信息安全技术网络基础安全技术要求(GB-T 20270-2006).docx

《信息安全技术网络基础安全技术要求(GB-T 20270-2006).docx》由会员分享，可在线阅读，更多相关《信息安全技术网络基础安全技术要求(GB-T 20270-2006).docx（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 GB/T 202732006ICS 35.040L80中华人民共和国国家标准 GB/T 202732006信息安全技术网络基础安全技术要求Information security technologyBasis security techniques requirement for network2006 -5-31 发布 2006-12-1 实施 国家质量监督检验检疫总局 发布IGB/T 20270-2006目 次前 言IV引 言V1 范围12 规范性引用文件13 术语、定义和缩略语13.1 术语和定义13.2 缩略语24 网络安全组成与相互关系25 网络安全功能基本要求35.1 身份鉴别

2、35.1.1 用户标识35.1.2 用户鉴别45.1.3 用户-主体绑定45.1.4 鉴别失败处理45.2 自主访问控制45.2.1 访问控制策略45.2.2 访问控制功能45.2.3 访问控制范围45.2.4 访问控制粒度45.3 标记55.3.1 主体标记55.3.2 客体标记55.3.3 标记完整性55.3.4 有标记信息的输出55.4 强制访问控制55.4.1 访问控制策略55.4.2 访问控制功能65.4.3 访问控制范围65.4.4 访问控制粒度65.4.5 访问控制环境65.5 数据流控制65.6 安全审计65.6.1 安全审计的响应65.6.2 安全审计数据产生75.6.3 安

3、全审计分析75.6.4 安全审计查阅75.6.5 安全审计事件选择85.6.6 安全审计事件存储85.7 用户数据完整性85.7.1 存储数据的完整性85.7.2 传输数据的完整性85.7.3 处理数据的完整性85.8 用户数据保密性85.8.1 存储数据的保密性85.8.2 传输数据的保密性95.8.3 客体安全重用95.9 可信路径95.10 抗抵赖95.10.1 抗原发抵赖95.10.2 抗接收抵赖95.11 网络安全监控96 网络安全功能分层分级要求106.1 身份鉴别功能106.2 自主访问控制功能116.3 标记功能126.4 强制访问控制功能136.5 数据流控制功能146.6

4、安全审计功能156.7 用户数据完整性保护功能166.8 用户数据保密性保护功能176.9 可信路径功能186.10 抗抵赖功能196.11 网络安全监控功能207 网络安全技术分级要求207.1 第一级：用户自主保护级207.1.1 第一级安全功能要求207.1.2 第一级安全保证要求227.2 第二级：系统审计保护级227.2.1 第二级安全功能要求227.2.2 第二级安全保证要求247.3 第三级：安全标记保护级257.3.1 第三级安全功能要求257.3.2 第三级安全保证要求287.4 第四级：结构化保护级297.4.1 第四级安全功能要求297.4.2 第四级安全保证要求327.

5、5 第五级：访问验证保护级337.5.1 第五级安全功能要求337.5.2 第五级安全保证要求36附 录 A（资料性附录）标准概念说明38A.1 组成与相互关系38A.2 关于网络各层协议主要功能的说明38A.3 关于安全保护等级划分40A.4 关于主体和客体40A.5 关于SSON、SSF、SSP、SFP及其相互关系40A.6 关于数据流控制40A.7 关于密码技术40A.8 关于安全网络的建设40参考文献42前 言本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：北京思源新创信息安全资讯有限公司，江南计算技术研究所技术服务中心。本标准主要起草人：吉

6、增瑞、刘广明、王志强、陈冠直、景乾元、宋健平。引 言本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的网络系统，主要说明为实现GB 178591999中每一个安全保护等级的安全要求，网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体差异。网络是一个具有复杂结构、由许多网络设备组成的系统，不同的网络环境又会有不同的系统结构。然而，从网络系统所实现的功能来看，可以概括为“实现网上信息交换”。网上信息交换具体可以分解为信息的发送、信息的传输和信息的接收。从信息安全的角度，网络信息安全可以概括为“保障网上信息交换的安全”，具体表现为信息发送的安全、信息传输的安全和信息接

7、收的安全，以及网上信息交换的抗抵赖等。网上信息交换是通过确定的网络协议实现的，不同的网络会有不同的协议。任何网络设备都是为实现确定的网络协议而设置的。典型的、具有代表性的网络协议是国际标准化组织的开放系统互连协议（ISO/OSI），也称七层协议。虽然很少有完全按照七层协议构建的网络系统，但是七层协议的理论价值和指导作用是任何网络协议所不可替代的。网络安全需要通过协议安全来实现。通过对七层协议每一层安全的描述，可以实现对网络安全的完整描述。网络协议的安全需要由组成网络系统的设备来保障。因此，对七层协议的安全要求自然包括对网络设备的安全要求。信息安全是与信息系统所实现的功能密切相关的，网络安全也不

8、例外。网络各层协议的安全与其在每一层所实现的功能密切相关。附录A2关于网络各层协议主要功能的说明，对物理层、链路层、网络层、传输层、会话层、表示层、应用层等各层的功能进行了简要描述，是确定网络各层安全功能要求的主要依据。本标准以GB/T 20271-2006关于信息系统安全等级保护的通用技术要求为基础，围绕以访问控制为核心的思想进行编写，在对网络安全的组成与相互关系进行简要说明的基础上，第5章对网络安全功能基本技术分别进行了说明，第6章是对第5章网络安全功能的分级分层情况的描述。在此基础上，本标准的第7章对网络安全技术的分等级要求分别从安全功能技术要求和安全保证技术要求两方面进行了详细说明。在

9、第7章的描述中除了引用以前各章的内容外，还引用了GB/T 20271-2006中关于安全保证技术要求的内容。由于GB/T 20271-2006的安全保证技术要求，对网络而言没有需要特别说明的内容，所以在网络基本技术及其分级分层的描述中没有涉及这方面的内容。VGB/T 20270-2006信息安全技术 网络基础安全技术要求1 范围本标准依据GB 17859-1999的五个安全保护等级的划分，根据网络系统在信息系统中的作用，规定了各个安全等级的网络系统所需要的基础安全技术的要求。本标准适用于按等级化的要求进行的网络系统的设计和实现，对按等级化要求进行的网络系统安全的测试和管理可参照使用。2 规范性

10、引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后的所有修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T20271-2006 信息安全技术 信息系统通用安全技术要求3 术语、定义和缩略语3.1 术语和定义GB 178591999确立的以及下列术语和定义适用于本标准。3.1.1 网络安全 network security网络环境下存储、传输和处理的信息的保密性、完整性和

11、可用性的表征。3.1.2 网络安全基础技术 basis technology of network security实现各种类型的网络系统安全需要的所有基础性安全技术。3.1.3 网络安全子系统 security subsystem of network网络中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的网络安全保护环境，并提供安全网络所要求的附加用户服务。注：按照GB 17859-1999对TCB（可信计算基）的定义，SSON（网络安全子系统）就是网络的TCB。3.1.4 SSON安全策略 SS0N security policy对SS0N中的资源进行

12、管理、保护和分配的一组规则。一个SSON中可以有一个或多个安全策略。3.1.5 安全功能策略 security function policy为实现SSON安全要素要求的功能所采用的安全策略。3.1.6 安全要素 security element本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。3.1.7 SSON安全功能 SSON security function正确实施SSON安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSON安全功能模块。一个SSON的所有安全功能模块共同组成该SSON的安全功能。3.1.8 SSF控制范围 SSF scop

13、e of control SSON的操作所涉及的主体和客体的范围。3.2 缩略语下列缩略语适用于本标准：SFP 安全功能策略 security function policySSC SSF控制范围 SSF scope of control SSF SSON安全功能 SSON security functionSSP SSON安全策略 SS0N security policySSON 网络安全子系统 security subsystem of network4 网络安全组成与相互关系根据OSI参考模型和GB 17859-1999所规定的安全保护等级和安全要素，网络安全的组成与相互关系如表1所示。

14、对于网络系统的物理层、链路层、网络层、传输层、会话层、表示层和应用层，可分别按GB 17859-1999的各个安全等级的要求进行设计。在各协议层中，安全要素的实现方法可有所不同。本标准基于各项安全要素对各协议层在各个安全保护等级中应采用的安全技术和机制提出要求。表1 安全保护等级、网络层次与安全要素的相互关系安全等级和网络层次安全要素身份鉴别自主访问控制标记 强制访问控制数据流控 制安全审计数据完整 性数据保密 性可信路 径抗抵赖网络安全监控用户自主保护级物理层链路层网络层传输层会话层表示层应用层系统审计保护级物理层链路层网络层传输层会话层表示层应用层安全标记保护级物理层链路层网络层传输层会话

15、层表示层应用层结构化保护级物理层链路层网络层传输层会话层表示层应用层访问验证保护级物理层链路层网络层传输层会话层表示层应用层注：“”号表示具有该要素。每个安全级的各层协议所设置的安全要素可以是有选择的。选择的原则是整体上达到安全要求。5 网络安全功能基本要求5.1 身份鉴别5.1.1 用户标识a) 基本标识：应在SSF实施所要求的动作之前，先对提出该动作要求的用户进行标识。b) 唯一性标识：应确保所标识用户在信息系统生存周期内的唯一性，并将用户标识与安全审计相关联。c) 标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。5.1.2 用户鉴别a) 基本鉴别：应在S

16、SF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别。b) 不可伪造鉴别：应检测并防止使用伪造或复制的鉴别数据。一方面，要求SSF应检测或防止由任何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其它用户处复制的鉴别数据的使用；c) 一次性使用鉴别：应能提供一次性使用鉴别数据操作的鉴别机制，即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用；d) 多机制鉴别：应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份；e) 重新鉴别：应有能力规定需要重新鉴别用户的事件，即SSF应在

17、需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。5.1.3 用户-主体绑定在SSON安全功能控制范围之内，对一个已标识和鉴别的用户，为了要求SSF完成某个任务，需要激活另一个主体（如进程），这时，要求通过用户-主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联。5.1.4 鉴别失败处理要求SSF为不成功的鉴别尝试次数（包括尝试数目和时间的阈值）定义一个值，以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况，并进行预先定义的处理。5.2 自主访问

18、控制5.2.1 访问控制策略SSF应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制策略包括：访问控制表访问控制、目录表访问控制、权能表访问控制等。5.2.2 访问控制功能SSF应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该策略的控制范围。无论采用何种自主访问控制策略，SSF应有能力提供：在安全属性或命名的安全属性组的客体上，执行访问控制SFP；在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问；在基于安全属性的拒绝主体对

19、客体访问的规则的基础上，拒绝主体对客体的访问。5.2.3 访问控制范围网络系统中自主访问控制的覆盖范围分为：a） 子集访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所定义的主体、客体及其之间的操作；b） 完全访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所有的主体、客体及其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制SFP覆盖。5.2.4 访问控制粒度网络系统中自主访问控制的粒度分为：a） 粗粒度：主体为用户组/用户级，客体为文件、数据库表级；b） 中粒度：主体为用户级，客体为文件、数据库表级和/或记录、

20、字段级；c） 细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级或元素级。5.3 标记5.3.1 主体标记应为实施强制访问控制的主体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5.3.2 客体标记应为实施强制访问控制的客体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5.3.3 标记完整性敏感标记应能准确地表示特定主体或客体的访问控制属性，主体和客体应以此发生关联。当数据从SSON输出时，根据需要，敏感标记应能准确地和明确地表示输出数据的内部

21、标记，并与输出的数据相关联。5.3.4 有标记信息的输出SSON应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权用户实现，并可由SSON审计。SSON应维持并且能够对安全保护等级的任何变化进行审定，或对与通信信道或I/O设备有关的安全保护等级进行安全审计。a) 向多级安全设备的输出：当SSON将一客体信息输出到一个具有多级安全的I/O设备时，与该客体有关的敏感标记也应输出，并以与输出信息相同的形式(如机器可读或人可读形式)驻留在同一物理媒体上。当SSON在多级通信信道上输出或输入一客体信息时，该信道使用的协议应在敏感标记和被发送或被接收的有关信息之间提供明确的配对关系；

22、b) 向单级安全设备的输出：单级I/O设备和单级通信信道不需要维持其处理信息的敏感标记，但SSON应包含一种机制，使SSON与一个授权用户能可靠地实现指定的安全级的信息通信。这种信息经由单级通信信道或I/O设备输入/输出；c) 人可读标记的输出：SSON应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)的开始和结束，以适当地表示输出敏感性。SSON应按默认值标记人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)每页的顶部和底部，以适当地表示该输出总的敏感性，或表示该页信息的敏感性。SSON应该按默认值，并以一种适当方法标记具有人可读的敏感标记的其他

23、形式的人可读的输出(如图形)，以适当地表示该输出的敏感性。这些标记默认值的任何滥用都应由SSON审计。5.4 强制访问控制5.4.1 访问控制策略网络强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访问控制策略有：a) 多级安全模型：基本思想是，在对主、客体进行标记的基础上，SSOIS控制范围内的所有主体对客体的直接或间接的访问应满足：向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记中的非等级类别包含了客体标记中的全部非等级类别，主体才能读该客体；

24、向上写原则：仅当主体标记中的等级分类低于或等于客体标记中的等级分类，且主体标记中的非等级类别包含于客体标记中的非等级类别，主体才能写该客体；b) 基于角色的访问控制（BRAC）：基本思想是，按角色进行权限的分配和管理；通过对主体进行角色授予，使主体获得相应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应角色权限。在基于角色的访问控制中，标记信息是对主体的授权信息；c) 特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按最小授权原则进行管理。实现特权用户的权限分离；仅授予特权用户为完成自身任务所需要的最小权限。5.4.2 访问控制功能SSF应明确指出采用一条

25、命名的强制访问控制策略所实现的特定功能。SSF应有能力提供：在标记或命名的标记组的客体上，执行访问控制SFP；按受控主体和受控客体之间的允许访问规则，决定允许受控主体对受控客体执行受控操作；按受控主体和受控客体之间的拒绝访问规则，决定拒绝受控主体对受控客体执行受控操作。5.4.3 访问控制范围网络强制访问控制的覆盖范围分为：a) 子集访问控制：对每个确定的强制访问控制，SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作；b) 完全访问控制：对每个确定的强制访问控制，SSF应覆盖信息系统中所有的主体、客体及其之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的操

26、作将至少被一个确定的访问控制SFP覆盖。5.4.4 访问控制粒度网络强制访问控制的粒度分为：a） 中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级；b） 细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级和/或元素级。5.4.5 访问控制环境a) 单一安全域环境：在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则。当被控客体输出到安全域以外时，应将其标记信息同时输出；b) 多安全域环境：在多安全域环境实施统一安全策略的强制访问控制时，应在这些安全域中维持统一的标记信息和访问规则。当被控制客体在这些安全域之间移动时，应将其标记信息一起移动。5.5

27、 数据流控制对网络中以数据流方式实现数据流动的情况，应采用数据流控制机制实现对数据流动的控制，以防止具有高等级安全的数据信息向低等级的区域流动。5.6 安全审计5.6.1 安全审计的响应安全审计SSF应按以下要求响应审计事件：a) 记审计日志：当检测到可能有安全侵害事件时，将审计数据记入审计日志；b) 实时报警生成：当检测到可能有安全侵害事件时，生成实时报警信息；c) 违例进程终止：当检测到可能有安全侵害事件时，将违例进程终止；d) 服务取消：当检测到可能有安全侵害事件时，取消当前的服务；e) 用户账号断开与失效：当检测到可能有安全侵害事件时，将当前的用户账号断开，并使其失效。5.6.2 安全

28、审计数据产生SSF应按以下要求产生审计数据：a) 为下述可审计事件产生审计记录：审计功能的启动和关闭；使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；系统管理员、系统安全员、审计员和一般操作员所实施的操作；其他与系统安全有关的事件或专门定义的可审计事件；b) 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；c) 对于身份鉴别事件，审计记录应包含请求的来源（例如：终端标识符）；d) 对于客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全保护等级；e) 将每个可审计事件与引起该事件

29、的用户相关联。5.6.3 安全审计分析安全审计分析应包括： a) 潜在侵害分析：应能用一系列规则去监控审计事件，并根据这些规则指出SSP的潜在侵害。这些规则包括：由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合；任何其他的规则；b) 基于异常检测的描述：应维护用户所具有的质疑等级历史使用情况，以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，SSF应能指出将要发生对安全性的威胁；c) 简单攻击探测：应能检测到对SSF实施有重大威胁的签名事件的出现。为此，SSF应维护指出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当

30、发现两者匹配时，指出一个对SSF的攻击即将到来；d) 复杂攻击探测：在上述简单攻击探测的基础上，要求SSF应能检测到多步入侵情况，并能根据已知的事件序列模拟出完整的入侵情况，还应指出发现对SSF的潜在侵害的签名事件或事件序列的时间。5.6.4 安全审计查阅安全审计查阅工具应具有：a) 审计查阅：提供从审计记录中读取信息的能力，即要求SSF为授权用户提供获得和解释审计信息的能力。当用户是人时，必须以人类可懂的方式表示信息；当用户是外部IT实体时，必须以电子方式无歧义地表示审计信息；b) 有限审计查阅：在上述审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户读取审计信息；c) 可选审计查

31、阅：在上述有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。5.6.5 安全审计事件选择应根据以下属性选择可审计事件：a) 客体身份、用户身份、主体身份、主机身份、事件类型；b) 作为审计选择性依据的附加属性。5.6.6 安全审计事件存储应具有以下创建并维护安全的审计踪迹记录的能力：a) 受保护的审计踪迹存储：要求审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改；b) 审计数据的可用性确保：要求在意外情况出现时，能检测或防止对审计记录的修改，以及在发生审计存储已满、存储失败或存储受到攻击时，

32、确保审计记录不被破坏；c) 审计数据可能丢失情况下的措施：要求当审计跟踪超过预定的门限时，应采取相应的措施，进行审计数据可能丢失情况的处理；d) 防止审计数据丢失：要求在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其它行动”等措施，防止审计数据丢失。5.7 用户数据完整性5.7.1 存储数据的完整性应对存储在SSC内的用户数据进行完整性保护，包括：a) 完整性检测：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进行完整性检测；b)

33、完整性检测和恢复：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进行完整性检测,并且当检测到完整性错误时，SSF应采取必要的SSF应采取必要的恢复、审计或报警措施。5.7.2 传输数据的完整性当用户数据在SSF和其它可信IT系统间传输时应提供完整性保护，包括：a) 完整性检测：要求对被传输的用户数据进行检测，及时发现以某种方式传送或接收的用户数据被篡改、删除、插入等情况发生；b) 数据交换恢复：由接收者SSON借助于源可信IT系统提供的信息，或由接收者SSON自己无须来自源可信IT系统的任何帮助，能恢复被破坏的数据为原始的用户数据。若没有可恢复条件，应向源可信IT系统提供反馈

34、信息。5.7.3 处理数据的完整性回退：对信息系统中处理中的数据，应通过“回退”进行完整性保护，即要求SSF应执行访问控制SFP，以允许对所定义的操作序列进行回退。5.8 用户数据保密性5.8.1 存储数据的保密性应对存储在SSC内的用户数据进行保密性保护。5.8.2 传输数据的保密性应对在SSC内传输的用户数据进行保密性保护。5.8.3 客体安全重用在对资源进行动态管理的系统中，客体资源（寄存器、内存、磁盘等记录介质）中的剩余信息不应引起信息的泄露。客体安全重用分为：a) 子集信息保护：要求对SSON安全控制范围之内的某个子集的客体资源，在将其分配给某一用户或代表该用户运行的进程时，应不会泄

35、露该客体中的原有信息；b) 完全信息保护：要求对SSON安全控制范围之内的所有客体资源，在将其分配给某一用户或代表该用户运行的进程时，应不会泄露该客体中的原有信息；c) 特殊信息保护：对于某些需要特别保护的信息，应采用专门的方法对客体资源中的残留信息做彻底清除，如对剩磁的清除等。5.9 可信路径用户与SSF间的可信路径应：a) 提供真实的端点标识，并保护通信数据免遭修改和泄露；b) 利用可信路径的通信可以由SSF自身、本地用户或远程用户发起；c) 对原发用户的鉴别或需要可信路径的其它服务均使用可信路径。5.10 抗抵赖5.10.1 抗原发抵赖应确保信息的发送者不能否认曾经发送过该信息。这就要求

36、SSF提供一种方法，来确保接收信息的主体在数据交换期间能获得证明信息原发的证据，而且该证据可由该主体或第三方主体验证。抗原发抵赖分为：a) 选择性原发证明：要求SSF具有为主体提供请求原发证据信息的能力。即SSF在接到原发者或接收者的请求时，能就传输的信息产生原发证据，证明该信息的发送由该原发者所为；b) 强制性原发证明：要求SSF在任何时候都能对传输的信息产生原发证据。即SSF在任何时候都能就传输的信息强制产生原发证据，证明该信息的发送由该原发者所为。5.10.2 抗接收抵赖应确保信息的接收者不能否认接受过该信息。这就要求SSF提供一种方法，来确保发送信息的主体在数据交换期间能获得证明该信息

37、被接收的证据，而且该证据可由该主体或第三方主体验证。抗接收抵赖分为：a) 选择性接收证明：要求SSF具有为主体提供请求信息接收证据的能力。即SSF在接到原发者或接收者的请求时，能就接收到的信息产生接收证据，证明该信息的接收由该接收者所为；b) 强制性接收证明：要求SSF总是对收到的信息产生接收证据。即SSF能在任何时候对收到的信息强制产生接收证据，证明该信息的接收由该接收者所为。5.11 网络安全监控网络安全监控应采用以下安全技术和机制：a) 网络安全探测机制：在组成网络系统的各个重要部位，设置探测器，实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作，在发现违规模式和未授权访问时，

38、报告网络安全监控中心；b) 网络安全监控中心：设置安全监控中心，对收到的来自探测器的信息，根据安全策略进行分析，并作审计、报告、事件记录和报警等处理。网络安全监控中心应具有必要的远程管理功能，如对探测器实现远程参数设置、远程数据下载、远程启动等操作。网络安全监控中心还应具有实时响应功能，包括攻击分析和响应、误操作分析和响应、漏洞分析和响应等。6 网络安全功能分层分级要求6.1 身份鉴别功能应按照用户标识和用户鉴别的要求进行身份鉴别安全机制的设计。一般以用户名和用户标识符来标识一个用户，应确保在一个信息系统中用户名和用户标识符的唯一性，严格的唯一性应维持在网络系统的整个生存周期都有效，即使一个用

39、户的账户已被删除，他的用户名和标识符也不能再使用，并由此确保用户的唯一性和可区别性。鉴别应确保用户的真实性。可以用口令进行鉴别，更严格的身份鉴别可采用智能IC卡密码技术，指纹、虹膜等特征信息进行身份鉴别，并在每次用户登录系统之前进行鉴别。口令应是不可见的，并在存储和传输时进行保护。智能IC卡身份鉴别应以密码技术为基础，并按用户鉴别中不可伪造鉴别所描述的要求进行设计。对于鉴别失败的情况，要求按鉴别失败所描述的要求进行处理。用户在系统中的行为一般由进程代为执行，要求按用户-主体绑定所描述的要求，将用户与代表该用户行为的进程相关联。这种关联应体现在SSON安全功能控制范围之内各主、客体之间的相互关系

40、上。比如，一个用户通过键入一条命令要求访问一个指定文件，信息系统运行某一进程实现这一功能。这时，该进程应与该用户相关联，于是该进程的行为即可看作该用户的行为。身份鉴别应区分实体鉴别和数据起源鉴别：当身份是由参与通信连接或会话的远程实体提交时叫实体鉴别，它可以作为访问控制服务的一种必要支持；当身份信息是由数据项发送者提交时叫数据起源鉴别，它是确保部分完整性目标的直接方法，确保知道某个数据项的真正起源。表2给出了从用户自主保护级到访问验证保护级对身份鉴别功能的分层分级要求。表2 身份鉴别功能分层分级要求安全保护等级和网络层次安全功能基本要求5.1.1 用户标识5.1.2 用户鉴别5.1.3 用户-主体绑定5.1.4 鉴别失败处理用户自主保护级物理层链路层网络层传输层会话层表示层应用层系统审计保护级物理层链路层网络层传输层会话层表示层应用层安全标记保护级物理层链路层网络层传输层会话层表示层应用层结构化保护级物理层链路层网络层传输层会话层表示层应用层访问验证保护级物理层链路层网络层传输层会话层表示层应用层注：“”号表示具有该要求。每个安全保护等级的具体要求可能不同，详见