GBT 21028-2007 信息安全技术 服务器安全技术要求

2007-06-29 发布 2007-12-01 实施 GB/T 21028—2007 信息安全技术 服务器安全技术要求 Information security technology Technology requirement for server security （征求 意见 文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见 稿） 中华人民共和国国家标准 信息安全技术 服务器安全技术要求 Information security technology- Security techniques requirement for server 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 发布 ICS 35.040 L 80 GB/T 21028—2007 I 目 次 前 言 .............................................................................. III 引 言 ................................................................................ V 1 范围 ............................................................................... 1 2 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性引用文件 ..................................................................... 1 3 术语、定义和缩略语 ................................................................. 1 3.1 术语和定义 ....................................................................... 1 3.2 缩略语 ........................................................................... 2 4 服务器安全功能要求 ................................................................. 2 4.1 设备安全 ......................................................................... 2 4.1.1 设备标签 ....................................................................... 2 4.1.2 设备可靠运行支持 ............................................................... 2 4.1.3 设备工作状态监控 ............................................................... 2 4.1.4 设备电磁防护 ................................................................... 3 4.2 运行安全 ......................................................................... 3 4.2.1 安全监控 ....................................................................... 3 4.2.2 安全审计 ....................................................................... 3 4.2.3 恶意代码防护 ................................................................... 4 4.2.4 备份与故障恢复 ................................................................. 5 4.2.5 可信技术支持 ................................................................... 5 4.2.6 可信时间戳 ..................................................................... 5 4.3 数据安全 ......................................................................... 5 4.3.1 身份鉴别 ....................................................................... 5 4.3.2 自主访问控制 ................................................................... 6 4.3.3 标记 ........................................................................... 6 4.3.4 强制访问控制 ................................................................... 7 4.3.5 数据完整性 ..................................................................... 8 4.3.6 数据保密性 ..................................................................... 8 4.3.7 数据流控制 ..................................................................... 9 4.3.8 可信路径 ....................................................................... 9 5 服务器安全分等级要求 ............................................................... 9 5.1 第一级：用户自主保护级 ........................................................... 9 5.1.1 安全功能要求 ................................................................... 9 5.1.2 安全保证要求 .................................................................. 10 5.2 第二级：系统审计保护级 .......................................................... 11 5.2.1 安全功能要求 .................................................................. 11 GB/T 21028—2007 II 5.2.2 安全保证要求 .................................................................. 13 5.3 第三级：安全标记保护级 .......................................................... 13 5.3.1 安全功能要求 .................................................................. 13 5.3.2 安全保证要求 .................................................................. 16 5.4 第四级：结构化保护级 ............................................................ 17 5.4.1 安全功能要求 .................................................................. 17 5.4.2 安全保证要求 .................................................................. 20 5.5 第五级：访问验证保护级 .......................................................... 20 5.5.1 安全功能要求 .................................................................. 20 5.5.2 安全保证要求 .................................................................. 23 附 录 A（资料性附录）有关概念说明 .................................................... 25 A.1 组成与相互关系 .................................................................. 25 A.2 服务器安全的特殊要求 ............................................................ 25 A.3 关于主体、客体的进一步说明 ...................................................... 25 A.4 关于 SSOS、SSF、SSP、SFP及其相互关系 ............................................ 26 A.5 关于密码技术的说明 .............................................................. 26 A.6 关于电磁防护的说明 .............................................................. 26 参考文献 ............................................................................. 27 GB/T 21028—2007 III 前 言 （略） GB/T 21028—2007 V 引 言 本标准为 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 、生产、制造、选配和使用所需要的安全等级的服务器提出了通用的安全技术要求， 主要从服务器安全保护等级划分的角度来说明其技术要求，即为实现 GB 17859-1999 的要求对服务器通 用安全技术进行了规范。 服务器是信息系统的主要组成部分，是由硬件系统和软件系统两大部分组成的，为网络环境中的客 户端计算机提供特定的应用服务的计算机系统。服务器安全就是要对在服务器中存储、传输、处理和发 布的数据信息进行安全保护，使其免遭由于人为的和自然的原因所带来的泄露、破坏和不可用的情况。 服务器是以硬件系统和操作系统为基础，分别由数据库管理系统提供数据存储功能，以及由应用系统提 供应用服务接口功能。因此，硬件系统和操作系统的安全便构成了服务器安全的基础。服务器安全从服 务器组成的角度来看，硬件系统、操作系统、数据库管理系统、应用系统的安全保护构成了服务器安全。 服务器的安全既要考虑服务器的安全运行保护，也要考虑对服务器中所存储、传输、处理和发布的数据 信息的保护。由于攻击和威胁既可能是针对服务器运行的，也可能是针对服务器中所存储、传输、处理 和发布的数据信息的保密性、完整性和可用性的，所以对服务器的安全保护的功能要求，需要从系统安 全运行和信息安全保护两方面综合进行考虑。本标准依据 GB/T 20271-2006 关于信息系统安全保证要 素的要求，从服务器的 SSOS 自身安全保护、SSOS 的设计和实现以及 SSOS 的安全管理等方面，对服 务器的安全保证要求进行更加具体的描述。 本标准按照 GB 17859-1999，分五个等级对服务器的安全功能和安全保证提出详细技术要求。其中， 第四章对服务器安全功能基本要求进行简要说明，第五章从安全功能要求和安全保证要求两个方面，按 硬件系统、操作系统、数据库管理系统、应用系统和运行安全五个层次对服务器安全功能的分等级要求 进行了详细说明。在此基础上，本标准的第五章对服务器安全功能分等级要求分别从安全功能要求和安 全保证要求两方面进行了详细说明。在第五章的描述中除了引用以前各章的内容外，还引用了 GB/T 20271-2006 中关于安全保证技术要求的内容。为清晰表示每一个安全等级比较低一级安全等级的安全 技术要求的增加和增强，在第 4 章的描述中，每一级新增部分用“宋体加粗”表示。 GB/T 21028—2007 1 信息安全技术 服务器安全技术要求 1 范围 本标准依据 GB 17859-1999的五个安全保护等级的划分， 规定 关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定 了服务器所需要的安全技术要求， 以及每一个安全保护等级的不同安全技术要求。 本标准适用于按 GB 17859-1999的五个安全保护等级的要求所进行的等级化服务器的设计、实现、 选购和使用。按 GB 17859-1999的五个安全保护等级的要求对服务器安全进行的测试、管理可参照使 用。 2 规范性引用文件 下列文件中的有关条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其后 所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的 各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求 GB/T 20272-2006 信息安全技术 操作系统安全技术要求 GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 GB/T 20520-2006 信息安全技术 公钥基础设施 时间戳规范 3 术语、定义和缩略语 3.1 术语和定义 GB 17859-1999、GB/T 20271-2006、GB/T 20272-2006 、GB/T 20273-2006和 GB/T 20520-2006 确 立的以及下列术语和定义适用于本标准。 3.1.1 服务器 server 服务器是信息系统的主要组成部分，是信息系统中为客户端计算机提供特定应用服务的计算机系 统，由硬件系统（如处理器、存储设备、网络连接设备等）和软件系统（如操作系统、数据库管理系 统、应用系统等）组成。 3.1.2 服务器安全性 server security 服务器所存储、传输、处理的信息的保密性、完整性和可用性的表征。 3.1.3 服务器安全子系统(SSOS) security subsystem of server 服务器中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了 一个基本的服务器安全保护环境，并提供服务器安全要求的附加用户服务。 3.1.4 安全要素 security element 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。 GB/T 21028—2007 2 3.1.5 安全功能策略（SFP） security function policy 为实现 SSOS安全要素要求的功能所采用的安全策略。 3.1.6 安全功能 security function 为实现 SSOS安全要素的内容，正确实施相应安全功能策略所提供的功能。 3.1.7 SSOS安全策略(SSP) SSOS security policy 对 SS0S中的资源进行管理、保护和分配的一组规则。一个 SSOS中可以有一个或多个安全策略。 3.1.8 SSOS安全功能(SSF) SSOS security function 正确实施 SSOS安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一 个 SSOS安全功能模块。一个 SSOS的所有安全功能模块共同组成该 SSOS的安全功能。 3.1.9 SSF控制范围（SSC） SSF scope of control SSOS的操作所涉及的主体和客体的范围。 3.1.10 网络接口部件（NIC） network interface component 是服务器的重要组成部分，是服务器对网络提供支持的接口。 3.2 缩略语 SSOS 服务器安全子系统 security subsystem of server SSF SSOS安全功能 SSOS security function SFP 安全功能策略 security function policy SSC SSF控制范围 SSF scope of control SSP SSOS安全策略 SSOS security policy 4 服务器安全功能要求 4.1 设备安全 4.1.1 设备标签 根据不同安全等级对服务器设备标签的不同要求，设备标签分为： a) 设备标记：服务器设备应提供在显著位置设置标签（如编号、用途、负责人等）的功能，以 方便查找和明确责任； b) 部件标记：服务器关键部件（包括硬盘、主板、内存、处理器、网卡等）应在其上设置标签， 以防止随意更换或取走。 4.1.2 设备可靠运行支持 根据不同安全等级对设备可靠运行支持的不同要求，可靠运行支持分为： a) 基本运行支持：服务器硬件配置应满足软件系统基本运行的要求，关键部件应有数据校验能 力； b) 安全可用支持：服务器硬件配置应满足安全可用的要求，关键部件均安全可用； c) 不间断运行支持：为满足服务器不间断运行要求，关键部件应具有容错、冗余或热插拔等安 全功能，服务器应按照业务连续性要求提供双机互备的能力。 4.1.3 设备工作状态监控 构成服务器的关键部件，包括电源、风扇、机箱、磁盘控制等应具备可管理接口，通过该接口或 GB/T 21028—2007 3 其它措施收集硬件的运行状态，如处理器工作温度、风扇转速、系统核心电压等，并对其进行实时监 控，当所监测数值超过预先设定的故障阈值时，提供报警、状态恢复等处理。 4.1.4 设备电磁防护 应根据电磁防护强度与服务器安全保护等级相匹配的原则，按国家有关部门的规定分等级实施。 4.2 运行安全 4.2.1 安全监控 4.2.1.1 主机安全监控 根据不同安全等级对服务器主机安全监控的不同要求，主机安全监控分为： a) 提供服务器硬件、软件运行状态的远程监控功能； b) 对命令执行、进程调用、文件使用等进行实时监控，在必要时应提供监控数据 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 功能。 4.2.1.2 网络安全监控 服务器应在其网络接口部件处对进出的网络数据流进行实时监控。根据不同安全等级对网络安全 监控的不同要求，网络安全监控应： a) 不依赖于服务器操作系统，且不因服务器出现非断电异常情况而不可用； b) 对进出服务器的网络数据流，按既定的安全策略和规则进行检测； c) 支持用户自定义网络安全监控的安全策略和规则； d) 具有对网络应用行为分类监控的功能，并根据安全策略提供报警和阻断的能力； e) 提供集中管理功能，以便接收网络安全监控集中管理平台下发的安全策略和规则，以及向网 络安全监控集中管理平台提供审计数据源。 4.2.2 安全审计 4.2.2.1 安全审计的响应 安全审计 SSF应按以下要求响应审计事件： a） 审计日志记录：当检测到有安全侵害事件时，将审计数据记入审计日志； b） 实时报警生成：当检测到有安全侵害事件时，生成实时报警信息，并根据报警开关的设置有 选择地报警； c） 违例进程终止：当检测到有安全侵害事件时，将违例进程终止； d） 服务取消：当检测到有安全侵害事件时，取消当前的服务； e） 用户账号断开与失效：当检测到有安全侵害事件时，将当前的用户账号断开，并使其失效。 4.2.2.2 安全审计数据产生 安全审计 SSF应按以下要求产生审计数据： a） 为下述可审计事件产生审计记录： ——审计功能的开启和关闭； ——使用身份鉴别机制； ——将客体引入用户地址空间（例如：打开文件、程序初始化）； ——删除客体； ——系统管理员、系统安全员、审计员和一般操作员所实施的操作； ——其他与系统安全有关的事件或专门定义的可审计事件； b） 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功， 及其他与审计相关的信息； c） 对于身份鉴别事件，审计记录应包含请求的来源（例如：末端标识符）； d） 对于客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全 级。 GB/T 21028—2007 4 4.2.2.3 安全审计分析 根据不同安全等级对安全审计分析的不同要求，安全审计分析分为： a） 潜在侵害分析：用一系列规则监控审计事件，并根据这些规则指出对 SSP 的潜在侵害。这些 规则包括： ——由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合； ——任何其它的规则； b） 基于异常检测的描述：维护用户所具有的质疑等级——历史使用情况，以表明该用户的现行 活动与已建立的使用模式的一致性程度。当用户的质疑等级超过阈值条件时，能指出将要发 生对安全性的威胁； c） 简单攻击探测：能检测到对 SSF 的实施有重大威胁的签名事件的出现。为此，SSF 应维护指 出对 SSF 侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当 发现两者匹配时，指出一个对 SSF 的攻击即将到来； d） 复杂攻击探测：在上述简单攻击探测的基础上，能检测到多步入侵情况，并根据已知的事件 序列模拟出完整的入侵情况，指出发现对 SSF 的潜在侵害的签名事件或事件序列的时间。 4.2.2.4 安全审计查阅 根据不同安全等级对安全审计查阅的不同要求，安全审计查阅分为： a） 基本审计查阅：提供从审计记录中读取信息的能力，即为授权用户提供获得和解释审计信息 的能力。当用户是人时，必须以人类可懂的方式表示信息；当用户是外部 IT 实体时，必须以 电子方式无歧义地表示审计信息； b） 有限审计查阅：在基本审计查阅的基础上，应禁止具有读访问权限以外的用户读取审计信息； c） 可选审计查阅：在有限审计查阅的基础上，应具有根据准则来选择要查阅的审计数据的功能， 并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。 4.2.2.5 安全审计事件选择 应根据以下属性选择可审计事件： a) 客体身份、用户身份、主体身份、主机身份、事件类型； b) 作为审计选择性依据的附加属性。 4.2.2.6 安全审计事件存储 根据不同安全等级对安全审计事件存储的不同要求，安全审计事件存储分为： a） 受保护的审计踪迹存储：审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改； b） 审计数据的可用性确保：在意外情况出现时，能检测或防止对审计记录的修改，以及在发生 审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏； c） 审计数据可能丢失情况下的措施：当审计跟踪超过预定的门限时，应采取相应的措施，进行 审计数据可能丢失情况的处理； d） 防止审计数据丢失：在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选 择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已 存储的最老的审计记录”和“一旦审计存储失败所采取的其它行动”等措施，防止审计数据 丢失。 4.2.3 恶意代码防护 根据不同安全等级对恶意代码防护的不同要求，恶意代码防护分为： a) 主机软件防护：应在服务器中设置防恶意代码软件，对所有进入服务器的恶意代码采取相应 的防范措施，防止恶意代码侵袭； b) 整体防护：主机软件防护应与防恶意代码集中管理平台协调一致，及时发现和清除进入系统 GB/T 21028—2007 5 内部的恶意代码。 4.2.4 备份与故障恢复 为了实现服务器安全运行，需要在正常运行时定期地或按某种条件进行适当备份，并在发生故障 时进行相应恢复的功能，根据不同安全等级对备份与故障恢复的不同要求，服务器的备份与恢复功能 分为： a) 用户自我信息备份与恢复：应提供用户有选择地对操作系统、数据库系统和应用系统中重要 信息进行备份的功能；当由于某种原因引起系统故障时，应能提供用户按自我信息备份所保 留的备份信息进行恢复的功能； b) 增量信息备份与恢复：提供定时对操作系统、数据库系统和应用系统中新增信息进行备份的 功能；当由于某种原因引起系统中的某些信息丢失或破坏时，提供用户按增量信息备份所保 留的信息进行信息恢复的功能； c) 局部系统备份与恢复：应提供定期对操作系统、数据库系统和应用系统中的某些重要的局部 系统的运行状态进行备份的功能；当由于某种原因引起系统某一局部发生故障时，应提供用 户按局部系统备份所保留的运行状态进行局部系统恢复的功能； d) 全系统备份与恢复：应提供对重要的服务器的全系统运行状态进行备份的功能；当由于某种 原因引起服务器全系统发生故障时，应对用户按全系统备份所保留的运行状态进行全系统恢 复提供支持； e) 紧耦合集群结构：对关键服务器采用多服务器紧耦合集群结构，确保其中某一个服务器发生 故障中断运行时，业务应用系统能在其余的服务器上不间断运行； f) 异地备份与恢复：对关键的服务器，应根据业务连续性的不同要求，设置异地备份与恢复功 能，确保服务器因灾难性故障中断运行时，业务应用系统能在要求的时间范围内恢复运行。 4.2.5 可信技术支持 通过在服务器上设置基于密码的可信技术支持模块，为在服务器上建立从系统引导、加载直到应 用服务的可信任链，确保各种运行程序的真实性，并对服务器用户的身份鉴别、连接设备的鉴别，以 及运用密码机制实现数据的保密性、完整性保护等安全功能提供支持。 4.2.6 可信时间戳 服务器应为其运行提供可靠的时钟和时钟同步系统，并按 GB/T20520-2006的要求提供可信时间戳 服务。 4.3 数据安全 4.3.1 身份鉴别 4.3.1.1 用户标识与鉴别 4.3.1.1.1 用户标识 根据不同安全等级对用户标识与鉴别的不同要求，用户标识分为： a） 基本标识：应在 SSF 实施所要求的动作之前，先对提出该动作要求的用户进行标识； b） 唯一性标识：应确保所标识用户在信息系统生存周期内的唯一性，并将用户标识与安全审计 相关联； c） 标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。 4.3.1.1.2 用户鉴别 根据不同安全等级对用户标识与鉴别的不同要求，用户鉴别分为： a） 基本鉴别：应在 SSF 实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别； b） 不可伪造鉴别：应检测并防止使用伪造或复制的鉴别信息；一方面，要求 SSF 应检测或防止 由任何别的用户伪造的鉴别数据，另一方面，要求 SSF 应检测或防止当前用户从任何其它用 户处复制的鉴别数据的使用； GB/T 21028—2007 6 c） 一次性使用鉴别：应提供一次性使用鉴别数据的鉴别机制，即 SSF 应防止与已标识过的鉴别 机制有关的鉴别数据的重用； d） 多机制鉴别：应提供不同的鉴别机制，用于鉴别特定事件的用户身份，并根据不同安全等级 所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份； e） 重新鉴别：应有能力规定需要重新鉴别用户的事件，即在需要重新鉴别的条件成立时，对用 户进行重新鉴别。例如，终端用户操作超时被断开后，重新连接时需要进行重鉴别； f） 鉴别信息管理：应对用户鉴别信息进行管理、维护，确保其不被非授权的访问、修改或删除。 4.3.1.1.3 鉴别失败处理 SSF 应为不成功的鉴别尝试（包括尝试次数和时间的阈值）定义一个值，并明确规定达到该值时 所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同 的情况，并进行预先定义的处理。 4.3.1.2 用户-主体绑定 在 SSOS 安全功能控制范围之内，对一个已标识和鉴别的用户，应通过用户-主体绑定将该用户与 为其服务的主体（如进程）相关联，从而将该用户的身份与该用户的所有可审计行为相关联，以实现 用户行为的可查性。 4.3.2 自主访问控制 4.3.2.1 访问控制策略 SSF 应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体对客体操作的控制。 可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制策 略包括：访问控制表访问控制、目录表访问控制等。 4.3.2.2 访问控制功能 SSF 应实现采用一条命名的访问控制策略的特定功能，说明策略的使用和特征，以及该策略的控 制范围。 无论采用何种自主访问控制策略，SSF 应有能力提供： ——在安全属性或命名的安全属性组的客体上，执行访问控制 SFP； ——在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问； ——在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问。 4.3.2.3 访问控制范围 根据不同安全等级对自主访问控制的不同要求，自主访问控制的覆盖范围分为： a） 子集访问控制：要求每个确定的自主访问控制，SSF 应覆盖由安全系统所定义的主体、客体 及其之间的操作； b） 完全访问控制：要求每个确定的自主访问控制，SSF 应覆盖信息系统中所有的主体、客体及 其之间的操作，即要求 SSF 应确保 SSC 内的任意一个主体和任意一个客体之间的所有操作将 至少被一个确定的访问控制 SFP 覆盖。 4.3.2.4 访问控制粒度 根据不同安全等级对访问控制的不同要求，自主访问控制的粒度分为： a） 粗粒度：主体为用户/用户组级，客体为文件、数据库表级； b） 中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级； c） 细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段/元素级。 4.3.3 标记 4.3.3.1 主体标记 应为实施强制访问控制的主体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等 GB/T 21028—2007 7 级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。 4.3.3.2 客体标记 应为实施强制访问控制的客体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等 级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。 4.3.3.3 标记的输出 当数据从 SSC 之内向其控制范围之外输出时，根据需要可以保留或不保留数据的敏感标记。根据 不同安全等级对标记输出的不同要求，标记的输出分为： a） 不带敏感标记的用户数据输出：在 SFP 的控制下输出用户数据到 SSC 之外时，不带有与数据 相关的敏感标记； b） 带有敏感标记的用户数据输出：在 SFP的控制下输出用户数据到 SSC之外时，应带有与数据 相关的敏感标记，并确保敏感标记与所输出的数据相关联。 4.3.3.4 标记的输入 当数据从 SSF 控制范围之外向其控制范围之内输入时，应有相应的敏感标记，以便输入的数据能 受到保护。根据不同安全等级对标记输入的不同要求，标记的输入分为： a） 不带敏感标记的用户数据输入：SSF应做到： ——在 SFP控制下从 SSC之外输入用户数据时，应执行访问控制 SFP； ——略去任何与从 SSC之外输入的数据相关的敏感标记； ——执行附加的输入控制规则，为输入数据设置敏感标记； b） 带有敏感标记的用户数据输入：SSF应做到： ——在 SFP控制下从 SSC之外输入用户数据时，应执行访问控制 SFP； ——SSF应使用与输入的数据相关的敏感标记； ——SSF应在敏感标记和接收的用户数据之间提供确切的联系； ——SSF应确保对输入的用户数据的敏感标记的解释与原敏感标记的解释是一致的。 4.3.4 强制访问控制 4.3.4.1 访问控制策略 强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操 作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访问控 制策略有： a) 多级安全模型：基本思想是，在对主、客体进行标记的基础上，SSOS 控制范围内的所有主 体对客体的直接或间接的访问应满足： ——向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标 记中的非等级类别包含了客体标记中的全部非等级类别，主体才能读该客体； ——向上写原则：仅当主体标记中的等级分类低于或等于客体标记中的等级分类，且主体标 记中的非等级类别包含于客体标记中的非等级类别，主体才能写该客体； b) 基于角色的访问控制（BRAC）：基本思想是，按角色进行权限的分配和管理；通过对主体进行 角色授予，使主体获得相应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应 角色权限。在基于角色的访问控制中，标记信息是对主体的授权信息； c) 特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按 最小授权原则进行管理。实现特权用户的权限分离；仅授予特权用户为完成自身任务所需要 的最小权限。 4.3.4.2 访问控制功能 SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供： GB/T 21028—2007 8 ——在标记或命名的标记组的客体上，执行访问控制 SFP； ——按受控主体和受控客体之间的允许访问规则，决定允许受控主体对受控客体执行受控操作； ——按受控主体和受控客体之间的拒绝访问规则，决定拒绝受控主体对受控客体执行受控操作。 4.3.4.3 访问控制范围 根据不同安全等级对强制访问控制范围的不同要求，强制访问控制的覆盖范围分为： a) 子集访问控制：对每个确定的强制访问控制，SSF 应覆盖信息系统中由安全功能所定义的主 体、客体及其之间的操作； b) 完全访问控制：对每个确定的强制访问控制，SSF 应覆盖信息系统中所有的主体、客体及其 之间的操作，即要求 SSF 应确保 SSC 内的任意一个主体和任意一个客体之间的操作将至少被 一个确定的访问控制 SFP 覆盖。 4.3.4.4 访问控制粒度 根据不同安全等级对强制访问控制粒度的不同要求，强制访问控制的粒度分为： a） 中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级； b） 细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段和/或元素级。 4.3.4.5 访问控制环境 强制访问控制应考虑以下不同的系统运行环境： a) 单一安全域环境：在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息 和访问规则；当被控客体输出到安全域以外时，应将其标记信息同时输出； b) 多安全域环境：在多安全域环境实施统一安全策略的强制访问控制时，应在这些安全域中维 持统一的标记信息和访问规则；当被控制客体在这些安全域之间移动时，应将其标记信息一 起移动。 4.3.5 数据完整性 4.3.5.1 存储数据的完整性 应对存储在 SSC 内的用户数据进行完整性保护。根据不同安全等级对用户数据完整性保护的不同 要求，存储数据的完整性分为： a） 完整性检测：SSF 应对存储在 SSC 内的用户数据在读取操作时进行完整性检测，以发现数据 完整性被破坏的情况； b） 完整性检测和恢复：SSF应对存储在 SSC内的用户数据在读取操作时进行完整性检测,并在检 测到完整性错误时，采取必要的恢复措施。 4.3.5.2 传输数据的完整性 当用户数据在 SSF 和 SSF 间传输时应提供完整性保护。根据不同安全等级对用户数据完整性保护 的不同要求，传输数据的完整性分为： a） 完整性检测：SSF 应对经网络传输的用户数据在传输过程中进行完整性检测，及时发现以某 种方式传送或接收的用户数据被篡改、删除、插入等情况发生； b） 完整性检测和恢复：SSF应对经网络传输的用户数据在传输过程中进行完整性检测，及时发 现以某种方式传送或接收的用户数据被篡改、删除、插入等情况发生，并在检测到完整性错 误时，采取必要的恢复措施。 4.3.5.3 处理数据的完整性 对信息系统中处理中的数据，应通过“回退”进行完整性保护，即 SSF 应执行数据处理完整性 SFP， 以允许对所定义的操作序列进行回退。 4.3.6 数据保密性 4.3.6.1 存储数据保密性保护 对存储在 SSC 内的用户数据，应根据不同数据类型的不同保密性要求，进行不同程度的保密性保 GB/T 21028—2007 9 护，确保除具有访问权限的合法用户外，其余任何用户不能获得该数据。 4.3.6.2 传输数据保密性保护 对在不同 SSF之间或不同 SSF 上的用户之间传输的用户数据，应根据不同数据类型的不同保密性 要求，进行不同程度的保密性保护，确保数据在传输过程中不被泄漏和窃取。 4.3.6.3 客体安全重用 在对资源进行动态管理的系统中，客体资源（寄存器、内存、磁盘等记录介质）中的剩余信息不 应引起信息的泄漏。根据不同安全等级对用户数据保密性保护的不同要求，客体安全重用分为： a） 子集信息保护：由 SSOS 安全控制范围之内的某个子集的客体资源，在将其释放后再分配给 某一用户或代表该用户运行的进程时，应不会泄漏该客体中的原有信息； b） 完全信息保护：由 SSOS 安全控制范围之内的所有客体资源，在将其释放后再分配给某一用 户或代表该用户运行的进程时，应不会泄漏该客体中的原有信息； c） 特殊信息保护：在完全信息保护的基础上，对于某些需要特别保护的信息，应采用专门的方 法对客体资源中的残留信息做彻底清除，如对剩磁的清除等。 4.3.7 数据流控制 在以数据流方式实现数据流动的信息系统中，应采用数据流控制机制实现对数据流动的安全控制， 以防止具有高等级安全的数据信息向低等级的区域流动。 4.3.8 可信路径 用户与 SSF 间的可信路径应： a) 提供真实的端点标识，并保护通信数据免遭修改和泄漏； b) 利用可信路径的通信可以由 SSF自身、本地用户或远程用户发起； c) 对原发用户的鉴别或需要可信路径的其它服务均使用可信路径。 5 服务器安全分等级要求 5.1 第一级：用户自主保护级 5.1.1 安全功能要求 5.1.1.1 硬件系统 5.1.1.1.1 设备标记 按 4.1.1 中设备标记的要求，设计和实现服务器设备标记的安全功能，设备标记一般采用标签。 5.1.1.1.2 设备可靠运行支持 按 4.1.2 中基本运行支持的要求，设计和实现服务器设备可靠运行支持的安全功能，服务器硬件 最低配制应满足软件系统运行的要求，关键部件（包括 CPU、内存等）应具有数据校验功能。 5.1.1.1.3 设备电磁防护 按 4.1.4 的要求，设计和实现服务器设备电磁防护功能，防止电磁信息泄露，以及屏蔽外界电磁 干扰。 5.1.1.2 操作系统 按 GB/T 20272-2006 4.1.1 的要求，从以下方面来设计、实现或选购用户自主保护级服务器所需要 的操作系统： a) 身份鉴别：根据 4.3.1 的描述，确保登录操作系统的用户身份的唯一性和真实性； b) 自主访问控制：根据 4.3.2 的描述，对操作系统的访问进行控制，允许合法操作，拒绝非法操 作； c) 数据完整性：根据 4.3.5 的描述，确保操作系统内部传输数据的完整性。 5.1.1.3 数据库管理系统 按 GB/T 20273-2006 5.1.1 的要求，从以下方面来设计、实现或选购用户自主保护级服务器所需要 GB/T 21028—2007 10 的数据库管理系统： a) 身份鉴别：根据 4.3.1 的描述，确保登录数据库管理系统的用户身份的唯一性和真实性； b) 自主访问控制：根据 4.3.2 的描述，对数据库管理系统的访问进行控制，允许合法操作，拒绝 非法操作； c) 数据完整性：根据 4.3.5 的描述，对数据库管理系统内部传输的用户数据应提供保证用户数据 完整性的功能。 5.1.1.4 应用系统 5.1.1.4.1 身份鉴别 根据 4.3.1 的描述，按 GB/T 20271-20066.1.3.1 的要求，从以下方面设计和实现应用系统的身份鉴 别功能： a) 身份标识：凡需进入应用系统的管理用户，应先进行标识（建立账号）；应用系统管理用户标 识一般使用用户名和用户标识符（UID）； b) 身份鉴别：采用口令进行鉴别，并在每次用户登录应用系统时进行鉴别；口令应是不可见的， 并在存储时有安全保护；对注册到应用系统的用户，应通过用户-主体绑定功能将用户与为其 服务的主体相关联。 5.1.1.4.2 自主访问控制 根据 4.3.2 的描述，按 GB/T 20271-2006 6.1.3.2 的要求，从以下方面设计和实现应用系统的自主 访问控制功能： a) 允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户对客体 的共享； b) 自主访问控制的粒度应是粗粒度。 5.1.1.4.3 数据完整性 根据 4.3.5 的描述，按 GB/T 20271-20066.1.3.3 的要求，从以下方面设计和实现应用系统的数据完 整性功能： a) 对应用系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。 5.1.1.5 运行安全 5.1.1.5.1 恶意代码防护 按 4.2.3 中主机软件防护的要求，设计和实现恶意代码防护功能。 5.1.1.5.2 备份与故障恢复 按 4.2.4 中用户自我信息备份与恢复的要求，设计和实现服务器备份与故障恢复的功能。 5.1.2 安全保证要求 5.1.2.1 SSOS自身安全保护 a) SSF 物理安全保护：按 GB/T 20271-2006 6.1.4.1 的要求，实现服务器用户自主保护级 SSF 的 物理安全保护； b) SSF 运行安全保护：按 GB/T 20271-2006 6.1.4.2 的要求，实现服务器用户自主保护级 SSF 的 运行安全保护； c) SSF 数据安全保护：按 GB/T 20271-2006 6.1.4.3 的要求，实现服务器用户自主保护级 SSF 的 数据按保护； d) 资源利用：按 GB/T 20271-2006 6.1.4.4 的要求，实现服务器用户自主保护级的资源利用； e) SSOS 访问控制：按 GB/T 20271-2006 6.1.4.5 的要求，实现服务器用户自主保护级的 SSOS 访问控制。 5.1.2.2 SSOS设计和实现 a) 配置管理：按 GB/T 20271-2006 6.1.5.1 的要求，实现服务器用户自主保护级的配置管理； GB/T 21028—2007 11 b) 分发和操作：按 GB/T 20271-2006 6.1.5.2 的要求，实现服务器用户自主保护级的分发和操作； c) 开发：按 GB/T 20271-2006 6.1.5.3 的要求，实现服务器用户自主保护级的开发； d) 指导性文档：按 GB/T 20271-2006 6.1.5.4 的要求，实现服务器用户自主保护级的指导性文档； e) 生命周期支持：按 GB/T 20271-2006 6.1.5.5 的要求，实现服务器用户自主保护级的生命周期 支持； f) 测试：按 GB/T 20271-2006 6.1.5.6 的要求，实现服务器用户自主保护级的测试。 5.1.2.3 SSOS安全管理 按 GB/T 20271-2006 6.1.6 的要求，实现服务器用户自主保护级的 SSOS 安全管理。 5.2 第二级：系统审计保护级 5.2.1 安全功能要求