信息系统等级保护安全设计技术要求(报批稿)

信息系统等级爱惜平安设计技术要求

引言

《中华人民共和国计算机信息系统平安爱惜条例》（国务院令第147

号）明确规定我国“计算机信息系统实行平安等级爱惜”。依据国务院147

号令要求制订发布的强制性国家标准《计算机信息系统平安爱惜

等级划分准则》（GB17859-1999）为计算机信息系统平安爱惜等级的划

分奠定了技术基础。《国家信息化领导小组关于加强信息平安保障工作的

看法》（中办发［2003］27号）明确指出实行信息平安等级

爱惜，“要重点爱惜基础信息网络和关系国家平安、经济命脉、社会稳

定等方面的重要信息系统，抓紧建立信息平安等级爱惜制度”。《关于信

息平安等级爱惜工作的实施看法》（公通字［2004］66号）和《

信息平安等级爱惜管理方法》（公通字［2007M3号）确定了实施信息

平安等级爱惜制度的原则、工作职责划分、实施要求和实施支配，明确了

开展信息平安等级爱惜工作的基本内容、工作流程、工作方法

等。

上述信息平安等级爱惜相关法规、政策文件、国家标准和公共平安行业标

准的出台，为信息平安等级爱惜工作的开展供应了法律、政策、标准依

据。

2007年7月全国开展重要信息系统等级爱惜定级工作，标记着信息平安等

级爱惜工作在我国全面绽开。在开展信息平安等级爱惜定级和备案工作基

础上，各单位、各部门正在依据信息平安等级爱惜有关政

策规定和技术标准规范，开展信息系统平安建设和加固工作，建立、健

全信息平安管理制度，落实平安爱惜技术措施，全面实行信息平安等级爱

惜制度。为了协作信息系统平安建设和加固工作，特制

订本标准。本标准规范了信息系统等级爱惜平安设计技术要求，包括

第一级至第五级系统平安爱惜环境的平安计算环境、平安区域边界、平安

通信网络和平安管理中心等方面的设计技术要求，以与定级系

统互联的设计技术要求。涉与物理平安、平安管理、平安运维等方面的

要求分别参见参考文献［9］、［2］、［7］、［10］等。进行平安技术

设计时，要依据信息系统定级状况，确定相应平安策略，采

取相应级别的平安爱惜措施。

在第五章至第九章中，每一级系统平安爱惜环境设计比较低一级系统平

安爱惜环境设计所增加和增加的部分，用“黑体”表示。

信息平安技术

信息系统等级爱惜平安设计技术要求

1范围

本标准依据国家信息平安等级爱惜的要求，规范了信息系统等级爱惜平

安设计技术要求。

本标准适用于指导信息系统运营运用单位、信息平安企业、信息平安服务

机构开展信息系统等级爱惜平安技术方案的设计和实施，也可作为信息平

安职能部门进行监督、检查和指导的依据。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期

的引用文件，其随后全部的修改单（不包括勘误的内容）或修订版均不适

用于本标准，然而，激励依据本标准达成协议的各方探讨是

否可运用这些文件的最新版本。凡是不注日期的引用文件，其最新版本

适用于本标准。

GB17859-1999计算机信息系统平安爱惜等级划分准则

3术语和定义

GB17859-1999确立的以与下列术语和定义适用于本标准。

3.1

定级系统classifiedsystem

依据参考文献［11］已确定平安爱惜等级的信息系统。定级系统分为第一级、

其次级、第三级、第四级和第五级信息系统。

3.2

定级系统平安爱惜环境securityenvironmentofclassifiedsystem

由平安计算环境、平安区域边界、平安通信网络和（或）平安管理中心构

3.6

平安管理中心securitymanagementcenter

对定级系统的平安策略与平安计算环境、平安区域边界和平安通信网络上

的平安机制实施统一管理的平台。

其次级与其次级以上的定级系统平安爱惜环境须耍设置平安管理中心，称

为其次级平安管理中心、第三级平安管理中心、第四级平安管理中心和第

五级平安管理中心。

3.7

跨定级系统平安管理中心securitymanagementcenterforcross

classifiedsystem跨定级系统平安管理中心是对相同或不同等级的定级

系统之间互联的平安策略与平安互联部件上的平安机制实施统一管

理的平台。

3.8

定级系统互联classifiedsysteminterconnection

通过平安互联部件和跨定级系统平安管理中心实现的相同或不同等级的

定级系统平安爱惜环境之间的平安连接。

4信息系统等级爱惜平安技术设计概述

信息系统等级爱惜平安技术设计包括各级系统平安爱惜环境的设计与

其平安互联的设计，如图1所示。各级系统平安爱惜环境由相应级别的平

安计算环境、平安区域边界、平安通信网络和（或）平安管理

中心组成。定级系统互联由平安互联部件和跨定级系统平安管理中心组

成。

第一级系统第二级系统.第三级系统第四级系统第五级系统

安全保护环境安全保护环境安全保护环境安全保护环境安全保护环境

第

第

第

第

第

第

第

第

第

第

第

第

第

第

第

三

二

二

二

三

三

四

四

四

五

五

五

级

级

级

级

级

级

级

缎

级

级

级

级

级

级

级

安

安

安

安

安

安

安

安

安

安

安

安

安

安

安

全

全

全

全

全

全

全

全

全

全

全

全

全

全

全

区

计

通小33

计

区

通

通

通

通

计

区

计

区

区

W计

域

算

信

域

信

信

信

信

算

算

域

算

域

域

算

边

环

网

边

网

网

网

网

环

环

边

环

边

边

环

界

境

络

界

络

络

络

络

境

境

界

境

界

界

境

第二级安全管理中心第三级安全管理中心第四级安全管理中心第五级安全管理中心

⑪nann

定级系统互联।安全互联部件

吏

跨定级系统安全管理中心

图1信息系统等级保护安全技术设计框架

本标准以下章节，对图1各个部分提出了相应的设计技术要求（第五级

信息平安爱惜环境的设计要求除外）。附录A给出了访问限制机制设计，

附录B给出了第三级系统平安爱惜环境设计示例。

5第一级系统平安爱惜环境设计

5.1设计目标

第一级系统平安爱惜环境的设计目标是：依据GB17859-1999对第一级

系统的平安爱惜要求，实现定级系统的自主访问限制，使系统用户对其所

属客体具有自我爱惜的实力。

5.2设计策略

第一级系统平安爱惜环境的设计策略是：遵循GB17859T999的4.1

中相关要求，以身份鉴别为基础，供应用户和（或）用户组对文件与数据

库表的自主访问限制，以实现用户与数据的隔离，运用户具备

自主平安爱惜的实力；以包过滤手段供应区域边界爱惜；以数据校验和

恶意代码防范等手段供应数据和系统的完整性爱惜。

第一级系统平安爱惜环境的设计通过第一级的平安计算环境、平安区域边

界以与平安通信网络的设计加以实现。

5.3设计技术要求

5.3.1平安计算环境设计技术要求

第一级平安计算环境从以下方面进行平安设计：

a）用户身份鉴别

应支持用户标识和用户鉴别。在每一个用户注册到系统时，接受用户名和

用户标识符标识用户身份；在每次用户登录系统时，接受口令鉴别机制进

行用户身份鉴别，并对口令数据进行爱惜。

b）自主访问限制

应在平安策略限制范围内，运用户/用户组对其创建的客体具有相应的访

问操作权限，并能将这些权限的部分或全部授予其他用户/用户组。访问

限制主体的粒度为用户/用户组级，客体的粒度为文件或数据

库表级。访问操作包括对客体的创建、读、写、修改和删除等。

C）用户数据完整性爱惜

可接受常规校验机制，检验存储的用户数据的完整性，以发觉其完整性是

否被破坏。

d）恶意代码防范

应安装防恶意代码软件或配置具有相应平安功能的操作系统，并定期进行

升级和更新，以防范和清除恶意代码。

5.3.2平安区域边界设计技术要求

第一级平安区域边界从以下方面进行平安设计：

a）区域边界包过滤

可依据区域边界平安限制策略，通过检查数据包的源地址、目的地址、传

输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。

b）区域边界恶意代码防范

可在平安区域边界设置防恶意代码软件，并定期进行升级和更新，以防止

恶意代码入侵。

5.3.3平安通信网络设计技术要求

a）通信网络数据传输完整性爱惜

可接受常规校验机制，检验通信网络数据传输的完整性，并能发觉其完整

性被破坏。

6其次级系统平安爱惜环境设计

6.1设计目标

其次级系统平安爱惜环境的设计目标是：依据GB17859-1999对其次级系

统的平安爱惜要求，在第一级系统平安爱惜环境的基础上，增加系统平安

审计、客体重用等平安功能，并实施以用户为基本粒度的

自主访问限制，使系统具有更强的自主平安爱惜实力。

6.2设计策略

其次级系统平安爱惜环境的设计策略是：遵循GB17859T999的4.2

中相关要求，以身份鉴别为基础，供应单个用户和（或）用户组对共享文

件、数据库表等的自主访问限制；以包过滤手段供应区域边界

爱惜；以数据校验和恶意代码防范等手段，司时通过增加系统平安审计、

客体平安重用等功能，运用户对自己的行为负责，供应用户数据保密性和

完整性爱惜，以增加系统的平安爱惜实力。

其次级系统平安爱惜环境的设计通过其次级的平安计算环境、平安区域边

界、平安通信网络以与平安管理中心的设计加以实现。

6.3设计技术要求

6.3.1平安计算环境设计技术要求

其次级平安计算环境从以下方面进行平安设计：

a）用户身份鉴别

应支持用户标识和用户鉴别。在对每一个用户注册到系统时，接受用户名

和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一

性；在每次用户登录系统时，接受受控的口令或具有相应

平安强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完

整性爱惜。

b）自主访问限制

应在平安策略限制范围内，运用户对其创建的客体具有相应的访问操作权

限，并能将这些权限的部分或全部授予其他用户。访问限制主体的粒度为

用户级，客体的粒度为文件或数据库表级。访问操作包括

对客体的创建、读、写、修改和删除等。

c）系统平安审计

应供应平安审计机制，记录系统的相关平安事务。审计记录包括平安事务

的主体、客体、时间、类型和结果等内容。该机制应供应审计记录查询、

分类和存储爱惜，并可由平安管理中心管理。

d）用户数据完整性爱惜

可接受常规校验机制，检验存储的用户数据的完整性，以发觉其完整性是

否被破坏。

e）用户数据保密性爱惜

可接受密码等技术支持的保密性爱惜机制，对在平安计算环境中存储和处

理的用户数据进行保密性爱惜二

f）客体平安重用

应接受具有平安客体复用功能的系统软件或具有相应功能的信息技术产

品，对用户运用的客体资源，在这些客体资源重新支配前，对其原运用者

的信息进行清除，以确保信息不被泄露。

g）恶意代码防范

应安装防恶意代码软件或配置具有相应平安功能的操作系统，并定期进行

升级和更新，以防范和清除恶意代码。

6.3.2平安区域边界设计技术要求

其次级平安区域边界从以下方面进行平安设计：

a）区域边界包过滤

应依据区域边界平安限制策略，通过检查数据包的源地址、目的地址、传

输层协议和请求的服务等，确定是否允许该数据包通过该区域边界。

b）区域边界平安审计

应在平安区域边界设置审计机制，并由平安管理中心统一管理。

C）区域边界恶意代码防范

应在平安区域边界设置防恶意代码网关，由平安管理中心管理。

d）区域边界完整性爱惜

应在区域边界设置探测器，探测非法外联等行为，并与时报告平安管理中

心。

6.3.3平安通信网络设计技术要求

其次级平安通信网络从以下方面进行平安设计：

a）通信网络平安审计

应在平安通信网络设置审计机制，由平安管理中心管理。

b）通信网络数据传输完整性爱惜

可接受由密码等技术支持的完整性校验机制，以实现通信网络数据传输完

整性爱惜。

c）通信网络数据传输保密性爱惜

可接受由密码等技术支持的保密性爱惜机制，以实现通信网络数据传输保

密性爱惜。

6.3.4平安管理中心设计技术要求

6.3.4.1系统管理

可通过系统管理员对系统的资源和运行进行配置、限制和管理，包括用

户身份和授权管理、系统资源配置、系统加载和启动、系统运行的异样处

理、数据和设备的备份与复原以与恶意代码防范等。

应对系统管理员进行身份鉴别，只允许其通过特定的叮嘱或操作界面进行

系统管理操作，并对这些操作进行审计。

6.3.4.2审计管理

可通过平安审计员对分布在系统各个组成部分的平安审计机制进行集

中管理，包括依据平安审计策略对审计记录进行分类；供应按时间段开启

和关闭相应类型的平安审计机制；对各类审计记录进行存储、

管理和查询等。

应对平安审计员进行身份鉴别，并只允许其通过特定的叮嘱或操作界面进

行平安审计操作。

7第三级系统平安爱惜环境设计

7.1设计目标

第三级系统平安爱惜环境的设计目标是：依据GB17859-1999对第三级

系统的平安爱惜要求，在其次级系统平安爱惜环境的基础上，通过实现基

于平安策略模型和标记的强制访问限制以与增加系统的审计

机制，使系统具有在统一平安策略管控下，爱惜敏感资源的实力。

7.2设计策略

第三级系统平安爱惜环境的设计策略是：在其次级系统平安爱惜环境的

基础上,遵循GB17859-1999的4.3中相关要求,构造非形式化的平安策

略模型，对主、客体进行平安标记，表明主、客体的级别分

类和非级别分类的组合，以此为基础，依据强制访问限制规则实现对主

体与其客体的访问限制。

第三级系统平安爱惜环境的设计通过第三级的平安计算环境、平安区域边

界、平安通信网络以与平安管理中心的设计加以实现。

7.3设计技术要求

7.3.1平安计算环境设计技术要求

第三级平安计算环境从以下方面进行平安设计：

a）用户身份鉴别

应支持用户标识和用户鉴别。在对每一个用户注册到系统时，接受用户名

和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一

性；在每次用户登录系统时，接受受平安管理中心限制的

口令、令牌、基于生物特征、数字证书以与其他具有相应平安强度的两

种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和

完整性爱惜。

b）自主访问限制

应在平安策略限制范围内，运用户对其创建的客体具有相应的访问操作权

限，并能将这些权限的部分或全部授予其他用户。自主访问限制主体的粒

度为用户级，客体的粒度为文件或数据库表级和（或）记

录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。

C）标记和强制访问限制

在对平安管理员进行身份鉴别和权限限制的基础上，应由平安管理员通过

特定操作界面对主、客体进行平安标记；应按平安标记和强制访问限制规

则，对确定主体访问客体的操作进行限制。强制访问限制

主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保平安计

算环境内的全部主、客体具有一样的标记信息，并实施相同的强制访问限

制规则。

d）系统平安审计

应记录系统的相关平安事务。审计记录包括平安事务的主体、客体、时间、

类型和结果等内容。应供应审计记录查询、分类、分析和存储爱惜；能对

特定平安事务进行报警；确保审计记录不被破坏或非授

权访问。应为平安管理中心供应接口；对不能由系统独立处理的平安事

务，供应由授权主体调用的接口。

e）用户数据完整性爱惜

应接受密码等技术支持的完整性校验机制，检验存储和处理的用户数据的

完整性，以发觉其完整性是否被破坏，且在其受到破坏时能对重要数据进

行复原。

f）用户数据保密性爱惜

接受密码等技术支持的保密性爱惜机制，对在平安计算环境中存储和处理

的用户数据进行保密性爱惜。

g）客体平安重用

应接受具有平安客体复用功能的系统软件或具有相应功能的信息技术

产品，对用户运用的客体资源，在这些客体资源重新支配前，对其原运用

者的信息进行清除，以确保信息不被泄露。

h）程序可信执行爱惜

可构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程

序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时

实行措施复原，例如接受可信计算等技术。

7.3.2平安区域边界设计技术要求

第三级平安区域边界从以下方面进行平安设计：

a）区域边界访问限制

应在平安区域边界设置自主和强制访问限制机制，实施相应的访问限制策

略，对进出平安区域边界的数据信息进行限制，阻挡非授权访问。

b）区域边界包过滤

应依据区域边界平安限制策略，通过检查数据包的源地址、目的地址、传

输层协议、请求的服务等，确定是否允许该数据包进出该区域边界。

C）区域边界平安审计

应在平安区域边界设置审计机制，由平安管理中心集中管理，并对确认的

违规行为与时报警。

d）区域边界完整性爱惜

应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为,

并与时报告平安管理中心。

7.3.3平安通信网络设计技术要求

第三级平安通信网络从以下方面进行平安设计：

a）通信网络平安审计

应在平安通信网络设置审计机制，由平安管理中心集中管理，并对确认的

违规行为进行报警。

b）通信网络数据传输完整性爱惜

应接受由密码等技术支持的完整性校验机制，以实现通信网络数据传输完

整性爱惜，并在发觉完整性被破坏时进行复原。

C）通信网络数据传输保密性爱惜

接受由密码等技术支持的保密性爱惜机制，以实现通信网络数据传输保密

性爱惜。

d）通信网络可信接入爱惜

可接受由密码等技术支持的可信网络连接机制，通过对连接到通信网络的

设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法

接入。

7.3.4平安管理中心设计技术要求

7.3.4.1系统管理

应通过系统管理员对系统的资源和运行进行配置、限制和管理，包括用

户身份管理、系统资源配置、系统加载和启动、系统运行的异样处理以与

支持管理本地和（或）异地灾难备

份与复原等。

应对系统管理员进行身份鉴别，只允许其通过特定的叮嘱或操作界面进行

系统管理操作，并对这些操作进行审计。

7.3.4.2平安管理

应通过平安管理员对系统中的主体、客体进行统一标记，对主体进行授

权，配置一样的平安策略。

应对平安管理员进行身份鉴别，只允许其通过特定的叮嘱或操作界面进行

平安管理操作，并进行审计。

7.3.4.3审计管理

应通过平安审计员对分布在系统各个组成部分的平安审计机制进行集

中管理，包括依据平安审计策略对审计记录进行分类；供应按时间段开启

和关闭相应类型的平安审计机制；对各类审计记录进行存储、

管理和查询等。对审计记录应进行分析，并依据分析结果进行处理。

应对平安审计员进行身份鉴别，只允许其通过特定的叮嘱或操作界面进

行平安审计操。

8第四级系统平安爱惜环境设计

8.1设计目标

第四级系统平安爱惜环境的设计目标是：依据GB17859T999对第四级

系统的平安爱惜要求，建立一个明确定义的形式化平安策略模型，将自主

和强制访问限制扩展到全部主体与客体，相应增加其他平安

功能强度；将系统平安爱惜环境结构化为关键爱惜元素和非关键爱惜元

素，以使系统具有抗渗透的实力。

8.2设计策略

第四级系统平安爱惜环境的设计策略是：在第三级系统平安爱惜环境设

计的基础上,遵循GB17859T999的4.4中相关要求,通过平安管理中心

明确定义和维护形式化的平安策略模型。依据该模型，接受

对系统内的全部主、客体进行标记的手段，实现全部主体与客体的强制

访问限制。同时，相应增加身份鉴别、审计、平安管理等功能，定义平安

部件之间接口的途径，实现系统平安爱惜环境关键爱惜部件

和非关键爱惜部件的区分，并进行测试和审核，保障平安功能的有效

性。

第四级系统平安爱惜环境的设计通过第四级的平安计算环境、平安区域边

界、平安通信网络以与平安管理中心的设计加以实现。

8.3设计技术要求

8.3.1平安计算环境设计技术要求

第四级平安计算环境从以下方面进行平安设计：

a）用户身份鉴别

应支持用户标识和用户鉴别。在每一个用户注册到系统时，接受用户名和

用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性;

在每次用户登录和重新连接系统时，接受受平安管理中

心限制的口令、基于生物特征的数据、数字证书以与其他具有相应平安

强度的两种或两种以上的组合机制进行用户身份鉴别，且其中一种鉴别技

术产生的鉴别数据是不行替代的，并对鉴别数据进行保密性

和完整性爱惜。

b）自主访问限制

应在平安策略限制范围内，运用户对其创建的客体具有相应的访问操作权

限，并能将这些权限部分或全部授予其他用户。自主访问限制主体的粒度

为用户级，客体的粒度为文件或数据库表级和（或）记录

或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。

c）标记和强制访问限制

在对平安管理员进行身份鉴别和权限限制的基础上，应由平安管理员通过

特定操作界面对主、客体进行平安标记，将范制访问限制扩展到全部主体

与客体；应按平安标记和强制访问限制规则，对确定主体

访问客体的操作进行限制。强制访问限制主体的粒度为用户级，客体的

粒度为文件或数据库表级。应确保平安计算/境内的全部主、客体具有一

样的标记信息，并实施相同的强制访问限制规则。

d）系统平安审计

应记录系统相关平安事务。审计记录包括平安事务的主体、客体、时间、

类型和结果等内容。应供应审计记录查询、分类、分析和存储爱惜；能对

特定平安事务进行报警，终止违例进程等；确保审计记录

不被破坏或非授权访问以与防止审计记录丢失等。应为平安管理中心供

应接口；对不能由系统独立处理的平安事务，供应由授权主体调用的接口。

e）用户数据完整性爱惜

应接受密码等技术支持的完整性校验机制，检验存储和处理的用户数据的

完整性，以发觉其完整性是否被破坏，且在其受到破坏时能对重要数据进

行复原。

f）用户数据保密性爱惜

接受密码等技术支持的保密性爱惜机制，对在平安计算环境中的用户数据

进行保密性爱惜。

g）客体平安重用

应接受具有平安客体复用功能的系统软件或具有相应功能的信息技术产

品，对用户运用的客体资源，在这些客体资源重新支配前，对其原运用者

的信息进行清除，以确保信息不被泄露。

h）程序可信执行爱情

应构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程

序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时

实行措施复原，例如接受可信计算等技术。

8.3.2平安区域边界设计技术要求

第四级平安区域边界从以下方面进行平安设计：

a）区域边界访问限制

应在平安区域边界设置自主和强制访问限制机制，实施相应的访问限制策

略，对进出平安区域边界的数据信息进行限制，阻挡非授权访问。

b）区域边界包过滤

应依据区域边界平安限制策略，通过检查数据包的源地址、目的地址、传

输层协议、请求的服务等，确定是否允许该数据包进出受爱惜的区域边界。

c）区域边界平安审计

应在平安区域边界设置审计机制，通过平安管理中心集中管理，对确认的

违规行为与时报警并做出相应处置。

d）区域边界完整性爱惜

应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为,

并与时报告平安管理中心。

8.3.3平安通信网络设计技术要求

第四级平安通信网络从以下方面进行平安设计：

a）通信网络平安审计

应在平安通信网络设置审计机制，由平安管理中心集中管理，并对确认的

违规行为进行报警，且做出相应处置

b）通信网络数据传输完整性爱惜

应接受由密码等技术支持的完整性校验机制，以实现通信网络数据传输完

整性爱惜，并在发觉完整性被破坏时进行复原。

c）通信网络数据传输保密性爱惜

接受由密码等技术支持的保密性爱惜机制，以实现通信网络数据传输保密

性爱^惜。

d）通信网络可信接入爱惜

应接受由密码等技术支持的可信网络连接机制，通过对连接到通信网络的

设备进行可信检验，确保接入通信网络的设备真实可信，防止设备的非法

接入。

8.3.4平安管理中心设计技术要求

8.3.4.1系统管理

应通过系统管理员对系统的资源和运行进行配置、限制和管理，包括用

户身份管理、系统资源配置、系统加载和启用、系统运行的异样处理以与

支持管理本地和异地灾难备份与复原等。

应对系统管理员进行身份鉴别，只允许其通过特定的叮嘱或操作界面进行

系统管理操作，并对这些操作进行审计。

8.3.4.2平安管理

应通过平安管理员对系统中的主体、客体进行统一标记，对主体进行授

权，配置一样的平安策略，并确保标记、授权和平安策略的数据完整性。

应对平安管理员进行身份鉴别，只允许其通过特定的叮嘱或

操作界面进行平安管理操作，并进行审计。

8.3.4.3审计管理

应通过平安审计员对分布在系统各个组成部分的平安审计机制进行集

中管理，包括依据平安审计策略对审计记录进行分类；供应按时间段开启

和关闭相应类型的平安审计机制；对各类审计记录进行存储•、

管理和查询等。对审计记录应进行分析，并依据分析结果进行与时处

理。

应对平安审计员进行身份鉴别，只允许其通过特定的叮嘱或操作界面进行

平安审计操作。

8.3.5系统平安爱惜环境结构化设计技术要求

8.3.5.1平安爱惜部件结构化设计技术要求

第四级系统平安爱惜环境各平安爱惜部件的设计应基于形式化的平安

策略模型。平安爱惜部件应划分为关键平安爱惜部件和非关键平安爱惜部

件，防止违反平安策略致使敏感信息从关键平安爱惜部件流向

非关键平安爱惜部件。关键平安爱惜部件应划分功能层次，明确定义功

能层次间的调用接口，确保接口之间的信息平安交换。

8.3.5.2平安爱惜部件互联结构化设计技术要求

第四级系统各平安爱惜部件之间互联的接口功能与其调用关系应明确

定义；各平安爱惜部件之间互联时，须要通过可信验证机制相互验证对方

的可信性，确保平安爱惜部件间的可信连接。

8.3.5.3重要参数结构化设计技术要求

应对第四级系统平安爱惜环境设计实现的与平安策略相关的重要参数

的数据结构给出明确定义，包括参数的类型、运用描述以与功能说明等,

并用可信验证机制确保数据不被篡改。

9第五级系统平安爱惜环境设计

9.1设计目标

第五级系统平安爱惜环境的设计目标是：依据GB17859T999对第五级

系统的平安爱惜要求，在第四级系统平安爱惜环境的基础上，实现访问监

控器，仲裁主体对客体的访问，并支持平安管理职能。审计

机制可依据审计记录与时分析发觉平安事务并进行报警，供应系统复原

机制，以使系统具有更强的抗渗透实力。

9.2设计策略

第五级系统平安爱惜环境的设计策略是：遵循GB17859-1999的4.5

中“访问监控器本身是抗篡改的；必需足够小，能够分析和测试”。在设

计和实现访问监控器时，应尽力降低其困难性；供应系统复原机

制；使系统具有更强的抗渗透实力；所设计的访问监控器能进行必要的

分析与测试，具有抗篡改实力。

第五级系统平安爱惜环境的设计通过第五级的平安计算环境、平安区域边

界、平安通信网络以与平安管理中心的设计加以实现。

9.3设计技术要求

第五级系统平安爱惜环境设计技术要求另行制定。

10定级系统互联设计

10.1设计目标

定级系统互联的设计目标是：对相同或不同等级的定级系统之间的互联、

互通、互操作进行平安爱惜，确保用户身份的真实性、操作的平安性以与

抗抵赖性，并按平安策略对信息流向进行严格限制，确保

进出平安计算环境、平安区域边界以与平安通信网络的数据平安。

10.2设计策略

定级系统互联的设计策略是：遵循GB17859-1999对各级系统的平安爱

惜要求，在各定级系统的计算环境平安、区域边界平安和通信网络平安的

基础上，通过平安管理中心增加相应的平安互联策略，保持

用户身份、主/客体标记、访问限制策略等平安要素的一样性，对互联

系统之间的互操作和数据交换进行平安爱惜。

10.3设计技术要求

10.3.1平安互联部件设计技术要求

应通过通信网络交换网关与各定级系统平安爱惜环境的平安通信网络

部件相连接，并按互联互通的平安策略进行信息交换，实现平安互联部件。

平安策略由跨定级系统平安管理中心实施。

10.3.2跨定级系统平安管理中心设计技术要求

应通过平安通信网络部件与各定级系统平安爱惜环境中的平安管理中

心相连，主要实施跨定级系统的系统管理、平安管理和审计管理。

系统管理

应通过系统管理员对平安互联部件与相同和不同等级的定级系统中与

平安互联相关的系统资源和运行进行配置和管理，包括用户身份管理、平

安互联部件资源配置和管理等。

平安管理

应通过平安管埋员对相同和不同等级的定级系统中与平安互联相关的

主/客体进行标记管理，使其标记能精确反映主/客体在定级系统中的平安

属性；对主体进行授权，配置统一的平安策略，并确保授权在

相同和不同等级的定级系统中的合理性。

审计管理

应通过平安审计员对平安互联部件的平安审计机制、各定级系统的平安

审计机制以与与跨定级系统互联有关的平安审计机制进行集中管理。包括

依据平安审计策略对审计记录进行分类；供应按时间段开启

和关闭相应类型的平安审计机制；对各类审计记录进行存储•、管理和查

询等。对审计记录应进行分析，并依据分析结果进行与时处理。

附录A

（资料性附录）

访问限制机制设计

A.1自主访问限制机制设计

系统在初始配置过程中，平安管理中心首先须要对系统中的主体与客体

进行登记命名，然后依据自主访问限制平安策略，依据主体对其创建客体

的授权叮嘱，为相关主体授权，规定主体允许访问的客体和

操作，并形成访问限制列表。自主访问限制机制结构如图A.1所示。

用户登录系统时，首先进行身份鉴别，经确认为合法的注册用户可登录系

统，并执行相应的程序。当执行程序主体发出访问系统中客体资源的请求

后，自主访问限制平安机制将截获该请求，然后查询对应

访问限制列表。假如该请求符合自主访问限制列表规定的权限，则允许

其执行；否则将拒绝执行，并将此行为记录在审计记录中。

A.2强制访问限制机制设计

系统在初始配置过程中，平安管理中心须要对系统中的确定主体与其所

限制的客体实施身份管理、标记管理、授权管理和策略管理。身份管理确

定系统中全部合法用户的身份、工作密钥、证书等与平安相

关的内容。标记管理依据业务系统的须要，结合客体资源的重要程度，

确定系统中全部客体资源的平安级别与范畴，生成全局客体平安标记列表;

同时依据用户在业务系统中的权限和角色确定主体的平安

级别与范畴，生成全局主体平安标记列表。授权管理依据业务系统需求

和平安状况，授予用户访问客体资源的权限，生成强制访问限制策略和级

别调整策略列表。策略管理则依据业务系统的需求，生成与

执行主体相关的策略，包括强制访问限制策略和级别调整策略。除此之

外，平安审计员须要通过平安管理中心制定系统审计策略，实施系统的审

计管理。强制访问限制机制结构如图A.2所示。

系统在初始执行时，首先要求用户标识自己的身份，经过系统身份认证

确认为授权主体后，系统将下载全局主/客体平安标记列表与与该主体对

应的访问限制列表，并对其进行初始化。当执行程序主体发出

访问系统中客体资源的请求后，系统平安机制将截获该请求，并从中取

出访问限制相关的主体、客体、操作三要素信息，然后查询全局主/客体

平安标记列表，得到主/客休的平安标记信息,，并依据强制访

问限制策略对该请求实施策略符合性检查。假如该请求符合系统强制访

问限制策略，则系统将允许该主体执行资源访问。否则，系统将进行级别

调整审核，即依据级别调整策略，推断发出该请求的主体是否有权访问该

客体。假如上述检查通过，系统同样允许该主体执行资源访问，否则，该

请求将被系统拒绝执行。系统强制访问限制机制在执行平安策略过程中,

须要依据平安审计员制定的审计策略，对用户的请求与平安决策结果进行

审计，并且将生成的审计记录发送到审计服务器存储，供平安审计员管

理。

执行程序主体请求访同客体

执行拒绝

返回返回

主手

身份/标记

符合

鬻M曾审计

强制访问用制执行

强制访问控制级别调隹

策略策略

用户身份管理标记曾理、授权管理、第略管理审计曾理

安全胃理中心

图A.2强制访问控制机制结构

附录B

（资料性附录）

第三级系统平安爱惜环境设计示例

B.1功能与流程

依据“一个中心”管理下的“三重爱惜”体系框架，构建平安机制和策

略，形成定级系统的平安爱惜环境。该环境分为如下四部分：平安计算环

境、平安区域边界、平安通信网络和平安管理中心。每个部分由1

个或若干个子系统（平安爱惜部件）组成，子系统具有平安爱惜功能独

立完整、调用接口简洁、与平安产品相对应和易于管理等特征。平安计算

环境可细分为节点子系统和典型应用支撑子系统；平安管理

中心可细分为系统管理子系统、平安管理子系统和审计子系统。以上各

子系统之间的逻辑关系如图B.1所示。

安全计■环境安至通信网络

___jrJB2£2

4JltXHXX

应

用

房

电寓|

拓

m

节

区

■由

信

域:

少

*冏

边

于

■络

界

系

子

干❹

统

w系

统

战

身定统买统安全管理*心

图B.1第三皴系统安全保护环境结构与流程

B.1.1各子系统主要功能

第三级系统平安爱惜环境各子系统的主要功能如下:

a）节点子系统

节点子系统通过在操作系统核心层、系统层设置以强制访问限制为主体的

系统平安机制，形成防护层，通过对用户行为的限制，可以有效防止非授

权用户访问和授权用户越权访问，确保信息和信息系统的

保密性和完整性，为典型应用支撑子系统的正常运行和免遭恶意破坏供

应支撑和保障。

b）典型应用支撑子系统

典型应用支撑子系统是系统平安爱惜环境中为应用系统供应平安支撑服

务的接口。通过接口平台使应用系统的主客体与爱惜环境的主客体相对应,

达到访问限制策略实现的一样性。

c）区域边界子系统

区域边界子系统通过对进入和流出平安爱惜环境的信息流进行平安检查，

确保不会有违反系统平安策略的信息流经过边界。

d）通信网络子系统

通信网络子系统通过对通信数据包的保密性和完整性的爱惜，确保其在传

输过程中不会被非授权窃听和篡改，以保障数据在传输过程中的平安。

e）系统管理子系统

系统管理子系统负责对平安爱惜环境中的计算节点、平安区域边界、平安

通信网络实施集中管理和维护，包括用户身份管理、资源管理、异样状况

处理等。

f）平安管理子系统

平安管理子系统是系统的平安限制中枢，主要实施标记管理、授权管理与

策略管理等。

平安管理子系统通过制定相应的系统平安策略，并要求节点子系统、区域

边界子系统和通信网络子系统强制执行，从而实现对整个信息系统的集中

管理。

g）审计子系统

审计子系统是系统的监督中枢。平安审计员通过制定审计策略，并要求节

点子系统、区域边界子系统、通信网络子系统、平安管理子系统、系统管

理子系统强制执行，实现对整个信息系统的行为审计，确

保用户无法抵赖违反系统平安策略的行为，同时为应急处理供应依据。

B.1.2各子系统主要流程

第二级系统平安爱惜环境的结构与流程可以分为平安管理流程与访问限

制流程。平安管理流程主要由平安管理员、系统管理员和平安审计员通过

平安管理中心执行，分别实施系统维护、平安策略制定和部署、审计记录

分析和结果响应等。访问限制流程则在系统运行时执行，实施自主访问限

制、强制访问限制等。

a）策略初始化流程

节点子系统在运行之前，首先由平安管理员、系统管理员和平安审计员通

过平安管理中心为其部署相应的平安策略。其中，系统管理员首先须要为

定级系统中的全部用户实施身份管理，即确定全部用户的身份、工作密钥、

证书等。同时须要为定级系统实施资源管理，以确定业务系统正常运行须

要运用的执行程序等。平安管理员须要通过平安管理中心为定级系统中全

部主、客体实施标记管理，即依据业务系统的须要，结合客体资源的重要

程度，确定其平安级，生成全局客体平安标记列表。同时依据用户在业务

系统中的权限和角色确定其平安标记，生成全局主体平安标记列表。在此

基础上，平安管理员须要依据系统需求和平安状况，为主体实施授权管理,

即授予用户访问客体资源的权限，生成强制访问限制列表和级别调整策略

列表。除此之外，平安审计员须要通过平安管理中心中的审计子系统制定

系统审计策略，实施系统的审核管理。假如定级系统须要和其它系统进行

互联，则上述初始化流程须要结合跨定级系统平安管理中心制定的策略执

行。

b）计算节点启动流程

策略初始化完成后，授权用户才可以启动并运用计算节点访问定级系统中

的客体资源。为了确保计算节点的系统完整性，节点子系统在启动时须要

对所装载的可执行代码进行可信验证，确保其在可执行代

码预期值列表中，并且程序完整性没有遭到破坏。计算节点启动后，用

户便可以平安地登录系统。在此过程中，系统首先装载代表用户身份唯一

标识的硬件令牌，然后获得其中的用户信息，进而验证登录

用户是否是该节点上的授权用户。假如检查通过，系统将请求策略服务

器下载与该用户相关的系统平安策略。下载成功后，系统可信计算基将确

定执行主体的数据结构，并初始化用户工作空间。此后，该

用户便可以通过启动应用访问定级系统中的客体资源。

C）计算节点访问限制流程

用户启动应用形成执行主体后，执行主体将代表用户发出访问本地或网络

资源的请求，该请求将被操作系统访问限制模块截获。访问限制模块首先

依据自主访问限制策略对其执行策略符合性检查。假如自

主访问限制策略符合性检查通过，则该请求允许被执行；否则，访问限

制模块依据强制访问限制策略对该请求执行策略符合性检查。假如强制访

问策略符合性检查通过，那么该请求允许被执行；否则，系

统对其进行级别调整检查。即依照级别调整检查策略，推断发出该请求

的主体是否有权访问该客体。假如通过，该请求同样允许被执行；

否则，该请求被拒绝执行。

系统访问限制机制在平安决策过程中，须要依据平安审计员制定的审计策

略，对用户的请求与决策结果进行审计，并且将生成的审计记录发送到审

计服务器存储，供平安审计员检查和处理。

d）跨计算节点访问限制流程

假如主体和其所请求访问的客体资源不在同一个计算节点，则该请求会被

可信接入模块截获，用来推断该请求是否会破坏系统平安。在进行接入检

查前，模块首先通知系统平安代理获得对方计算节点的身

份，并检验其平安性。假如检验结果是担吮全的，则系统拒绝该请求;

否则，系统将依据强制访问限制策略，推断该主体是否允许访问相应端口。

假如检查通过，该请求被放行；否则，该请求被拒绝。

e）跨边界访问限制流程

假如主体和其所请求访问的客体资源不在同一个平安爱惜环境内，那么该

请求将会被区域边界限制设备截获并且进行平安性检查，检查过程类似于

跨计算节点访问限制流程。

B.2子系统间接口

B.2.1综述

为了清楚描述各子系统之间的关系，图B.2给出了子系统间的接口关系。

图B.2第三级系统安全保护环境子系统接口

典型应用支撑子系统与节点子系统之间通过系统调用接口。其它子系统

之间则通过牢靠的网络传输协议，依据规定的接口协议传输策略数据、审

计数据以与其他平安爱惜环境数据等。由于不同子系统之间

须要交换各种类型的数据包，因此须要明确定义子系统间的接口协议并

规范传输数据包格式，使得各子系统之间能透亮交互，实现相应数据的交

换。数据包的标准格式如表B.1所示。

表B1子系统间数据包格式

013456789101112131415

版A号接口类型标记位

内容长度附E项长度保留

数据内容

•••

附加顼类型附配项内容

•••

数据包由包头、附加项和数据内容三部分组成，其中包头为32字节，

定义了标记、版本号、接口类型、标记位以与内容和附加项长度等。内容

和附加项长度不定。数据包各数据项说明如下：

标记（4字节）：用于标识等级爱惜相关的数据流，此标记可以作为区分

等级爱惜数据包的依据。

版本号（4字节）：表示该接口协议的版本号。其中前两个字节表示主版

本号。

接口类型（4字节）：表示本数据包的对应接口类型编号。

标记位（4字节）：表述数据包属性标记，如表B.2所示。

表B2数据包属性标志

保留＜29比特位）BROSIGCHK

BRO：表示数据包发送对象地址尚未确定，须要以广播方式发送或发送

给杳询服务器。

SIG：表示数据包是否有签名爱惜•，0为无签名，1为有签名。假如有签名

爱惜，签名信息在附加项中。

CHK：表示数据包是否须要校验，0为不校验，1为校验。假如须要校验，

校验码在附加项中存放。

内容长度（4字节）：表示数据包内容部分长度，以字节为单位。

附加项长度（4字节）：表示全部附加项长度之和，以字节为单位。

保留（8字节）：作为数据包扩展保留。

数据内容：数据包传输的具体内容，其格式与数据包类型相关，长度不

定。

附加项类型（4字节）：表示附加项的类型。

附加项内容：数据包传输的附加内容，其格式与附加项类型相关，长度不

定。

下面依据接口对应的数据包类型介绍数据内容部分，表格中不含包头和附

加项。

B.2.2接口1

功能：节点（区域边界、通信网络）子系统向平安管理子系统请求下载策

略。

类型：请求数据包。

描述：计算节点、区域边界、通信网络设备启动时，向平安管理子系统请

求下载策略,

该接口为节点子系统、区域边界子系统、通信网络子系统到平安管理子系

统之间的接口。

客户端向服务器发起TCP连接，发出的请求数据包数据内容格式如表B.3

所示。

表B.3名户潜向隔务器发出的请求数据包戮据内容格式

节点标定（1-16字节）

节点标1770字节）|用户身份（1T2字节）

__________________________________用户身份（13-28字节）___________________________________

用户身份（2970字节）|附加侑息长度

附加—

B.2.3接口2

功能：平安管理子系统向节点（区域边界、通信网络）子系统返回与请求

主体相关的策略。

类型：策略下发数据包。

描述：平安管理中心接到下载策略请求后，向计算节点、区域边界、通信

网络设备发送平安策略。

平安管理子系统策略下发数据包数据内容格式如表B.4