GAT387-2002计算机信息系统安全等级保护网络技术要求.pdf 42页

'ICs35.020[.09N.1中华人民共和国公共安全行业标准GA/T387-2002计算机信息系统安全等级保护网络技术要求Networktechnologyrequirementincomputerinformationsystemclassifiedsecurityprotection2002一07门5发布2002一07一15实施中华人民共和国公安部发布 GA/T387-2002目次班前言份引言1范围·············································································································。···一12规范性引用文件·······························································································⋯⋯13术语和定义··························。··············，···················································.···.·.·.⋯⋯14网络安全组成与相互关系·，················································································。⋯⋯15网络基本安全技术························································································。····⋯⋯25.1身份鉴别····························，·········································································⋯⋯25.1.1用户标识·············································。·····················································⋯⋯25.1.2用户鉴别··········，·····················································································。··⋯⋯35.1.3用户一主体绑定·····························································································⋯⋯35.1.4鉴别失败处理·······················································································......⋯⋯35.2自主访问控制·················································。··············································⋯⋯35.2.1访问控制策略·····································。···················································。···⋯⋯35.2.2访问控制功能···········································。·················································⋯⋯35.3标记········，·，·································································································⋯⋯35.3.1主体标记···································································································⋯⋯35.3.2客体标记····。······························································································⋯⋯35.3.3标记完整性································································································⋯⋯35.3.4有标记信息的输出·················································································.·..·.⋯⋯45.3.5主体敏感标记显示······················································································⋯⋯45.3.6设备标记···································································································⋯⋯45.4强制访问控制······························································································⋯⋯45.4.1访问控制策略··························································································。·.⋯⋯45.4.2访问控制功能·.................................................................................··.............45.5客体重用······································································································⋯⋯55.6安全审计··························································································....·..·····⋯⋯55.6.1安全审计的响应··························································································⋯⋯55.6.2安全审计数据产生·............................................................................................55.6.3安全审计分析····························································································⋯⋯65.6.4安全审计查阅····························································································⋯⋯65.6.5安全审计事件选择·······················································································⋯⋯65.6.6安全审计事件存储·······················································································⋯⋯65.7数据完整性·····································································································一65.7.1存储数据的完整性······················································································.⋯⋯65.7.2传输数据的完整性·················。·····················································.....·..·.......⋯⋯75.7.3处理数据的完整性·······················································································⋯⋯75.8隐蔽信道分析····························································································..··⋯⋯75.8.1一般性的隐蔽信道分析································································...·..·..·..·..·.⋯⋯7 cn/T387-20028.2系统化的隐蔽信道分析················································································.⋯⋯7:‘9可信路径······································································································⋯⋯75.1。可信恢复······································································································⋯⋯75.n抗抵赖·········································································································⋯⋯85.11.1抗原发抵赖································································································⋯⋯85.11.2抗接收抵赖································································································⋯⋯85.12密码支持······································································································⋯⋯86网络安全技术要求·····························································································⋯⋯81身份鉴别技术要求························································································⋯⋯82自主访问控制技术要求·················································.........·.....·........·........⋯⋯96.3标记技术要求·······························································································⋯⋯H6.4强制访问控制技术要求····················································································⋯⋯126.5客体重用技术要求··························································································⋯⋯126.6审计技术要求································································································⋯⋯146.7数据完整性技术要求·······················································································⋯⋯156.8隐蔽信道分析技术要求···············································································.....⋯⋯176.9可信路径······································································································⋯⋯176.10可信恢复技术要求·······················································································⋯⋯186.11抗抵赖技术要求··························································································⋯⋯18网络安全等级保护技术要求·································································.....·..........⋯⋯191第一级:用户自主保护级·......................................................................................19一l.1安全功能要求·····························································································⋯⋯191.2安全保证要求···············································································............·.⋯⋯21:.2第二级:系统审计保护级·····································································.......·.⋯⋯212.1安全功能要求····························································································⋯⋯21).2.2安全保证要求························································································.....⋯⋯233第三级:安全标记保护级·········································································........⋯⋯24).3.1安全功能要求·····························································································⋯⋯247.3.2安全保证要求·.................................................................................................267.4第四级结构化保护级···········································································.........⋯⋯277.4.1安全功能要求·····························································································⋯⋯277.4.2安全保证要求·····························································································⋯⋯307.5第五级访问验证保护级·......................................................................................317.5.1安全功能要求·····························································································⋯⋯317.5.2安全保证要求·····························································································⋯⋯34附录A(资料性附录)标准概念说明········································································⋯⋯36A.1关于安全等级划分·······················································································⋯⋯36A.2关于主体、客体·············································································..·.....·..·....⋯⋯36A.3关于TCB,TSF和TSP··········································································...⋯⋯36A.4关于密码技术·····························································································⋯⋯36A.5关于安全网络的建设····················································································⋯⋯36参考文献·................................................................................................................37 GA/T387-2002月U舌GB17859-1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全等级管理的重要标准，已于1999年9月13日发布。为促进安全等级管理工作正常有序地开展，特制定一系列相关的标准，包括:—计算机信息系统安全等级保护技术要求系列标准;—计算机信息系统安全等级保护管理要求;—计算机信息系统安全等级保护工程实施要求;—计算机信息系统安全等级保护评测系列标准。其中，计算机信息系统安全等级保护技术要求系列标准由以下标准和其他相关标准组成:GA/T390-2002计算机信息系统安全等级保护通用技术要求;GA/T387-2002计算机信息系统安全等级保护网络技术要求;GA/T388-2002计算机信息系统安全等级保护操作系统技术要求;GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求。本标准是计算机信息系统安全等级保护技术要求系列标准的第2项。本标准的附录A是资料性附录。本标准由中华人民共和国公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位江南计算技术研究所本标准主要起草人:刘广明、吉增瑞、景乾元、张文元、徐良华 GA/"r387-2002引言本标准是计算机信息系统安全等级保护技术要求系列标准的重要组成部分，用以指导设计者如何设计和实现具有所需要的安全等级的网络系统，主要从对网络系统的安全保护等级进行划分的角度来说明其技术要求，即主要说明为实现GB17859-1999中每一个安全保护等级的安全要求对网络系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体差异本标准按GB17859-1999五个安全保护等级的划分，对每一个安全保护等级的安全功能技术要求和安全保证技术要求做了详细描述。本标准中有关概念的说明见附录A。本标准参考的主要文件列在参考文献中。 GA/T387-2002计算机信息系统安全等级保护网络技术要求范围本标准规定了按GB17859-1999对网络系统进行安全保护等级划分所需要的详细技术要求。本标准适用于按GB17859-1999的要求所进行的网络系统的设计和实现。按GB17859-1999的要求对网络系统进行的测试、管理也可参照使用。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准GB17859-1999计算机信息系统安全保护等级划分准则GA/T390-2002计算机信息系统安全等级保护通用技术要求3术语和定义GB17859-1999和GA/T390-2002中确立的术语和定义适用于本标准。网络安全组成与相互关系根据idtISO7498-2:1989的参考模型和GB17859-1999所规定的安全保护等级和安全要素，网络安全的组成与相互关系如表1所示。对于网络系统的每个协议层，如物理层、链路层、网络层、会话层、表示层、以及应用层，都可按GB17859-1999的要求进行设计。在各层中，安全要素的实现方法应有所不同，本标准分别从物理层、链路层、网络层、会话层、表示层及应用层对GB17859-1999中的各项安全要素在每个安全保护等级中应采用的安全技术和机制提出要求。对于每一个安全要素，则根据其提供的安全功能和安全保证来区分各个安全保护等级的差别。表1安全等级、网络层次与安全要紊的相互关系安全要素安全等级、自主强制数据隐蔽身份客体可信可信密码网络层次访问标记访问审计完整信道抗抵赖鉴别重用恢复支持控制控制性分析}{路径物理层☆☆链路层☆☆☆☆网络层☆☆☆☆用户自主传输层☆☆☆☆保护级会话层☆☆☆☆表示层☆☆☆☆应用层☆☆☆☆ GA/T387-2002表1(续)安全要素安全等级、自主强制数据隐蔽身份客体可信可信密码网络层次访问标记访问审计完整信道抗抵赖鉴别重用路径恢复支持控制控制性分析物理层☆☆链路层☆☆☆☆☆网络层☆☆☆☆☆☆承Wrt甘传输层☆☆☆☆☆☆保护级会话层☆☆☆☆☆☆表示层☆☆☆☆☆☆应用层☆☆☆☆☆☆☆物理层☆☆链路层☆☆☆☆☆☆☆网络层☆☆☆☆☆☆☆☆☆安全标记传输层☆☆☆☆☆☆☆☆☆保护级会话层☆☆☆☆☆☆☆☆☆表示层☆☆☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆☆☆物理层☆☆链路层☆☆☆☆☆☆☆网络层☆☆☆☆☆☆☆☆☆☆☆结构化传输层☆☆☆☆☆☆☆☆☆☆☆保护级会话层☆食☆☆☆☆☆☆☆☆☆一表示层☆女☆☆☆☆☆☆☆☆☆一一应用层☆☆☆☆☆☆☆☆☆☆☆一物理层☆☆链路层{一☆☆☆☆☆☆☆网络层☆☆☆☆☆☆☆☆☆☆☆☆访问验证传输层☆☆☆☆☆☆☆☆☆☆☆☆保护级会话层☆☆☆☆☆☆☆☆☆☆☆☆表示层护，一☆☆☆☆☆☆☆☆☆;☆☆{应用层☆☆☆☆☆☆☆☆☆☆☆☆注:“☆”号表示具有该要求。每个安全等里级的具体要求可能不同，详见第7章描述。5网络基本安全技术5.1身份鉴别5.1.1用户标识 GA/T387-2002a)基本标识:应在TSF实施所要求的动作之前，先对提出该动作要求的用户进行标识b)唯一性标识:应确保所标识用户在计算机信息系统生命周期内的唯一性，并将用户标识与审计相关联。c)标识信息管理应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。5门.2用户鉴别a)基本鉴别:应在TSF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别。b)不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。一方面，要求TSF应检测或防止由任何别的用户伪造的鉴别数据;另一方面，要求TSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。c)一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制，即TSF应防止与已标识过的鉴别机制有关的鉴别数据的重用。d)多机制鉴别:应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且TSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份。e)重新鉴别:应有能力规定需要重新鉴别用户的事件，即TSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。5门.3用户一主体绑定在TCs安全功能控制范围之内，对一个已标识和鉴别的用户，为了要求TSF完成某个任务，需要激活另一个主体(如进程)，这时，要求通过用户一主体绑定将该用户与该主体相关联，从而将用户的身份与该用户的所有可审计行为相关联。5门.4鉴别失败处理要求TSF为不成功的鉴别尝试次数(包括尝试数目和时间的闭值)定义一个值，以及明确规定达到该值时所应采取的动作鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况，并进行预先定义的处理。5.2自主访问控制5.2.1访问控制策略TSF应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操作的控制。可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制策略包括:访问控制表访问控制、目录表访问控制、权能表访问控制等5.2.2访问控制功能TSF应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该策略的控制范围。无论采用何种自主访问控制策略，TSF应有能力提供;一一在安全属性或命名的安全属性组的客体上，执行访问控制SFP;—在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问;—在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问5.3标记5.3门主体标记应为主体指定敏感标记，这些敏感标记是等级分类和非等级类别的组合，是实施强制访问控制的依据。5.3.2客体标记应为客体指定敏感标记，这些敏感标记是等级分类和非等级类别的组合，是实施强制访问控制的依据。5.3.3标记完整性 GA/T387-2002敏感标记应能准确地表示特定主体或客体的安全等级，主体和客体应以此发生关联。当数据从TCB输出时，根据需要，敏感标记应能准确地和明确地表示输出数据的内部标记，并与输出的数据相关联。5.3.4有标记信息的输出TCB应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权用户实现，并可由TCB审计。TCB应维持并且能够对安全等级的任何变化进行审定，或对与通信信道或I/O设备有关的安全等级进行审计a)向多级安全设备的输出:当TCB将一客体信息输出到一个具有多级安全的I/O设备时，与该客体有关的敏感标记也应输出，并以与输出信息相同的形式(如机器可读或人可读形式)驻留在同一物理媒体上。当TCB在多级通信信道上输出或输人一客体信息时，该信道使用的协议应在敏感标记和被发送或被接收的有关信息之间提供明确的配对关系。b)向单级安全设备的输出:单级I/O设备和单级通信信道不需要维持其处理信息的敏感标记，但TCB应包含一种机制，使TCB与一个授权用户能可靠地实现指定的安全级的信息通信这种信息经由单级通信信道或I/O设备输人/输出。c)人可读标记的输出:TCB应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)的开始和结束，以适当地表示输出敏感性。TCB应按默认值标记人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)每页的顶部和底部，以适当地表示该输出总的敏感性，或表示该页信息的敏感性。TCB应该按默认值，并以一种适当方法标记具有人可读的敏感标记的其他形式的人可读的输出(如图形)，以适当地表示该输出的敏感性。这些标记默认值的任何滥用都应由TCB审计。53.5主体敏感标记显示在终端用户交互对话期内，与该用户有关的敏感标记的各种变化，TCB应立即通知该用户，并在需要时显示完整的主体敏感标记5.3.6设备标记对各种附加物理设备，TCB应能支持最小和最大安全等级的分配。TCB应利用这些安全等级来实施对该设备安放的物理环境所强加的约束。5.4强制访问控制5.4门访问控制策略TSF应按确定的强制访问控制安全策略进行设计.并按需要确定访问控制策略的控制范围，包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。按访问控制的覆盖范围，访问控制策略分为a)子集访问控制:要求TSF的每个确定的基于敏感标记的访问控制，TSF应对属性所覆盖的主体、客体及其之间的操作，执行访问控制安全功能策略。b)完全访问控制:要求TSF的每个确定的基于敏感标记的访问控制，TSF应对属性所覆盖的主体、客体及其之间的操作，执行访问控制安全功能策略，并要求TSF应确保TSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制SFP覆盖常用的强制访问控制策略为多级安全模型。该模型要求TCB控制范围内的所有主体对客体的直接或间接的访问应满足:—向下读原则—仅当主体敏感标记中的等级分类高于或等于客体敏感标记中的等级分类，且主体敏感标记中的非等级类别包含了客体敏感标记中的全部非等级类别，主体才能读该客体;—向上写原则—仅当主体敏感标记中的等级分类低于或等于客体敏感标记中的等级分类，且主体敏感标记中的非等级类别包含于客体敏感标记中的非等级类别，主体才能写该客体。5.4.2访问控制功能 GA/"r387-2002TSF应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的敏感标记的使用和特征，以及该策略的控制范围。按访问控制的覆盖范围，访问控制功能分为:a)子集访问控制:由相应子集访问控制策略实现的访问控制功能，能对TSF的敏感标记所覆盖的主体、客体及其之间的操作进行控制。卜)完全访问控制:由相应的完全访问控制策略实现的访问控制功能，能对TSF的敏感标记所覆盖的主体、客体及其之间的操作进行控制，并要求TSF应确保TSC内的任意一个主体和任意一个客体之间的所有操作至少被一个确定的访问控制功能覆盖。无论子集访问控制还是完全访问控制，TSF应有能力提供:—在敏感标记或命名的敏感标记组的客体上，执行访问控制SFP;—使用在受控客体上的受控操作所管理的受控主体和受控客体之间的访问规则，来决定受控主体与受控客体之间的操作是否被允许;—在基于敏感标记的拒绝主体对客体访问的规则的基础上，实现拒绝主体对客体的访问。5.5客体重用在对资源进行动态管理的系统中，客体资源(寄存器、内存、磁盘等记录介质)中的剩余信息不应引起信息的泄露。剩余信息保护分为:a)子集信息保护:要求对TCB安全控制范围之内的某个子集的客体资源，在将其分配给某一用户或代表该用户运行的进程时，应不会泄露该客体中的原有信息。b)完全信息保护:要求对TCB安全控制范围之内的所有客体资源，在将其分配给某一用户或代表该用户运行的进程时，应不会泄露该客体中的原有信息。c)特殊信息保护:对于某些需要特别保护的信息，应采用专门的方法对客体资源中的残留信息做彻底清除，如对剩磁的清除等。5.6安全审计5.6.1安全审计的响应安全审计TSF应按以下要求响应审计事件:a)记审计日志:当检测到可能有安全侵害事件时，将审计数据记人审计日志。b)实时报警生成:当检测到可能有安全侵害事件时，生成实时报警信息。的违例进程终止:当检测到可能有安全侵害事件时，将违例进程终止。d)服务取消:当检测到可能有安全侵害事件时，取消当前的服务e)用户账号断开与失效:当检测到可能有安全侵害事件时，将当前的用户账号断开，并使其失效。5.6.2安全审计数据产生TSF应按以下要求产生审计数据:a)为下述可审计事件产生审计记录:—审计功能的启动和关闭;—使用身份鉴别机制;—将客体引人用户地址空间(例如:打开文件、程序初始化);—删除客体;—系统管理员、系统安全员、审计员和一般操作员所实施的操作;—其他与系统安全有关的事件或专门定义的可审计事件。b)对于每一个事件，其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息。c)对于身份鉴别事件，审计记录应包含请求的来源(例如:终端标识符)。d)对于客体被引人用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全等级。 GA/T387-2002e)将每个可审计事件与引起该事件的用户相关联。5.6.3安全审计分析安全审计分析应包括a)潜在侵害分析:应能用一系列规则去监控审计事件，并根据这些规则指出TSP的潜在侵害这些规则包括:—由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;—任何其他的规则。b)基于异常检测的描述:应维护用户所具有的质疑等级—历史使用情况，以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，TSF应能指出将要发生对安全性的威胁。c)简单攻击探测:应能检测到对TSF实施有重大威胁的签名事件的出现。为此，TSF应维护指出对TSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当发现两者匹配时，指出一个对TSF的攻击即将到来。d)复杂攻击探测:在上述简单攻击探测的基础上，要求TSF应能检测到多步人侵情况，并能根据已知的事件序列模拟出完整的人侵情况，还应指出发现对TSF的潜在侵害的签名事件或事件序列的时间。5.6.4安全审计查阅安全审计查阅工具应具有:a)审计查阅:提供从审计记录中读取信息的能力，即要求TSF为授权用户提供获得和解释审计信息的能力。当用户是人时，必须以人类可懂的方式表示信息;当用户是外部工T实体时，必须以电子方式无歧义地表示审计信息。b)有限审计查阅:在上述审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户读取审计信息。可选审计查阅:在上述有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。5.6.5安全审计事件选择应根据以下属性选择可审计事件:a)客体身份、用户身份、主体身份、主机身份、事件类型。b)作为审计选择性依据的附加属性。56.6安全审计事件存储应具有以下创建并维护安全的审计踪迹记录的能力:a)受保护的审计踪迹存储:要求审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改。b)审计数据的可用性确保:要求在意外情况出现时，能检测或防止对审计记录的修改，以及在发生审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏。c)审计数据可能丢失情况下的措施:要求当审计跟踪超过预定的门限时，应采取相应的措施，进行审计数据可能丢失情况的处理。d)防止审计数据丢失:要求在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施，防止审计数据丢失。5，了数据完整牲5.7.1存储数据的完整性应对存储在TSC内的用户数据进行完整性保护，包括: GAIT387-2002a)完整性检测:要求TSF应对基于用户属性的所有客体，对存储在TSC内的用户数据进行完整性检测。b)完整性检测和恢复:要求TSF应对基于用户属性的所有客体，对存储在TSC内的用户数据进行完整性检测，并且当检测到完整性错误时，TSF应采取必要的恢复措施5，了.2传输数据的完整性当用户数据在TSF和其他可信IT产品间传输时应提供完整性保护，包括a〕完整性检测:要求对被传输的用户数据进行检测，及时发现以某种方式传送或接收的用户数据被篡改、删除、插人等情况发生。b)数据交换恢复:由接收者TCB借助于源可信IT产品提供的信息，或由接收者TCB自己无须来自源可信IT产品的任何帮助，能恢复被破坏的数据为原始的用户数据。5.7.3处理数据的完整性a)回退对计算机信息系统中处理中的数据，应通过“回退”进行完整性保护，即要求TSF应执行访问控制SFP，以允许对所定义的操作序列进行回退。5.8隐蔽信道分析5.8.1一般性的隐蔽信道分析应通过对隐蔽存储信道的非形式化搜索，标识出可识别的隐蔽存储信道，并以文档形式说明以下情况:a)标识出隐蔽存储信道并估算它们的带宽。b)描述用于确定隐蔽存储信道存在的过程，以及进行隐蔽存储信道分析所需要的信息。c)描述隐蔽存储信道分析期间所作的全部假设d)描述最坏的情况下对隐蔽存储信道带宽进行估算的方法。e)为每个可标识的隐蔽存储信道描述其最大可能的利用情形。5.8.2系统化的隐蔽信道分析应通过对隐蔽信道的系统化搜索，标识出可识别的隐蔽信道，并以结构化、可重复的方式标识出隐蔽信道，并以文档形式说明以下情况:a)标识出隐蔽信道并估算它们的带宽。b)描述用于确定隐蔽信道存在的过程，以及进行隐蔽信道分析所需要的信息。c)描述隐蔽信道分析期间所作的全部假设。d)描述最坏的情况下对隐蔽信道带宽进行估算的方法e)为每个可标识的隐蔽信道描述其最大可能的利用情形。5.9可信路径用户与TSF间的可信路径应:a)提供真实的端点标识，并保护通信数据免遭修改和泄露。b)利用可信路径的通信可以由TSF自身、本地用户或远程用户发起。c)对原发用户的鉴别或需要可信路径的其他服务均使用可信路径。5.10可信恢复a)手动恢复:在发生失败或服务中断后，TSF应进人维护方式，该方式将提供以手工方法将TCB返回到一个保护状态的能力。b)自动恢复:对失败或服务中断，TSF应确保使用自动化过程使TCB返回到一个保护状态。当不能从失败或服务中断自动恢复时，丁SF应进人维护方式，该方式将提供以手工方法将TCB返回到一个保护状态的能力。c)无过分丢失的自动恢复:在自动恢复的基础上，要求TSF所提供的从失败或服务中断状态恢复的功能，应确保在TSC内的TSF数据或客体无超过限定量的丢失 GA/T387-2002d)功能恢复:对失败或服务中断，TSF应确保安全功能或者被成功完成，或者对指定的情况恢复到一致的和安全的状态。5门1抗抵赖5.11.1抗原发抵赖应确保信息的发送者不能成功地否认曾经发送过该信息。这就要求TSF提供一种方法，来确保接收信息的主体在数据交换期间能获得证明信息原发的证据，而且该证据可由该主体或第三方主体验证。抗原发抵赖分为:a)选择性原发证明:要求TSF具有为主体提供请求原发证据信息的能力。即TSF在接到原发者或接收者的请求时，能就传输的信息产生原发证据，证明该信息的发送由该原发者所为。b)强制性原发证明:要求TSF在任何时候都能对传输的信息产生原发证据。即TSF在任何时候都能就传输的信息强制产生原发证据，证明该信息的发送由该原发者所为。5.11.2抗接收抵赖应确保信息的接收者不能成功地否认对该信息的接收。这就要求TSF提供一种方法，来确保发送信息的主体在数据交换期间能获得证明该信息被接收的证据，而且该证据可由该主体或第三方主体验证。抗接收抵赖分为:a)选择性接收证明:要求TSF具有为主体提供请求信息接收证据的能力。即TSF在接到原发者或接收者的请求时，能就接收到的信息产生接收证据，证明该信息的接收由该接收者所为。b)强制性接收证明:要求TSF总是对收到的信息产生接收证据。即TSF能在任何时候对收到的信息强制产生接收证据，证明该信息的接收由该接收者所为。5.12密码支持应根据密码强度与信息系统安全等级匹配的原则，按国家密码主管部门的规定分级配置密码管理。6网络安全技术要求6.飞身份鉴别技术要求应按照用户标识和用户鉴别的要求进行身份鉴别安全机制的设计。一般以用户名和用户标识符来标识一个用户，应确保在一个计算机信息系统中用户名和用户标识符的唯一性，严格的唯一性应维持在网络系统的整个生命周期都有效，即使一个用户的账户已被删除，他的用户名和标识符也不能再使用，并由此确保用户的唯一性和可区别性。鉴别应确保用户的真实性。可以用口令进行鉴别，更严格的身份鉴别可采用智能IC卡、指纹、视网膜等特征信息进行身份鉴别，并在每次用户登录系统之前进行鉴别。口令应是不可见的，并在存储和传输时进行保护。智能IC卡身份认证应以密码技术为基础，并按用户鉴别中不可伪造鉴别所描述的要求进行设计。对于鉴别失败的情况，要求按鉴别失败所描述的要求进行处理。用户在系统中的行为一般由进程代为执行，要求按用户一主体绑定所描述的要求，将用户与代表该用户行为的进程相关联。这种关联应体现在TCB安全功能控制范围之内各主、客体之间的相互关系上。比如，一个用户通过键人一条命令要求访问一个指定文件，计算机信息系统运行某一进程实现这一功能。这时，该进程应与该用户相关联，于是该进程的行为即可看作该用户的行为身份鉴别应区分实体鉴别和数据起源鉴别:当身份是由参与通信连接或会话的远程实体提交时叫实体鉴别，它可以作为访问控制服务的一种必要支持;当身份信息是由数据项发送者提交时叫数据起源鉴别，它是确保部分完整性目标的直接方法，确保知道某个数据项的真正起源。表2给出了从第一级到第五级对身份鉴别技术的不同要求。 GA/T387-2002表2身份鉴别技术要求基本安全技术安全等级5.1.3用户-5.1.4鉴别和网络层次5·L1用户标识5.1.2用户鉴别主体绑定失败处理物理层链路层☆☆☆网络层☆☆☆用户自主保护级传输层“☆☆☆会话层☆☆☆表示层☆☆☆应用层☆☆☆物理层链路层☆☆☆网络层☆☆☆系统审计保护级传输层☆☆☆会话层☆☆☆表示层1}Y"☆☆应用层☆☆☆物理层链路层☆☆☆网络层☆☆☆安全标记保护级传输层☆☆☆会话层☆☆☆表示层☆☆☆应用层☆☆☆☆物理层链路层☆☆☆网络层☆☆☆结构化保护级传输层☆☆☆会话层☆☆☆表示层☆☆☆应用层☆☆☆☆物理层链路层☆☆☆网络层☆☆☆访间验证保护级传输层☆☆☆会话层☆☆☆表示层☆☆☆应用层☆☆☆☆注:“☆”号表示具有该要求。每个安全等级的具体要求可能不同，详见第7章描述。6.2自主访问控制技术要求应按照对访问控制策略的要求，选择所需的访问控制策略，并按照对访问控制功能的要求，设计和 GA/T387-2002实现所需要的自主访问控制功能。当使用文件、目录和网络设备时，网络管理员应给文件、目录等指定访问属性。访问控制规则应将给定的属性与网络服务器的文件、目录和网络设备相联系。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。自主访问控制应能控制以下权限:a)向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。b)为每个命名客体指定用户名和用户组，以及规定他们对客体的访问模式。表3给出了从第一级到第五级对自主访问控制技术的不同要求。表3自主访问控制技术要求安全等级基本安全技术和网络层次5.2.1访问控制策略与.2.2访问控制功能物理层链路层☆☆网络层☆☆用户自主保护级传输层☆☆会话层☆☆表示层☆☆应用层☆☆物理层链路层☆☆网络层☆☆系统审计保护级传输层☆☆会话层☆☆表示层☆☆应用层☆☆物理层链路层☆☆网络层☆☆安全标记保护级传输层☆☆会话层☆☆表示层☆☆应用层☆☆物理层链路层☆☆网络层☆☆结构化保护级传输层☆☆会话层☆☆表示层☆☆应用层☆☆ GA/T387一2002表3(续)安全等级基本安全技术和网络层次5.2.1访问控制策略5.2.2访问控制功能物理层链路层☆☆网络层价子☆访问验证保护级传输层☆☆会话层☆☆表示层☆☆应用层☆☆注:“☆”号表示具有该要求。每个安全等级的具体要求可能不同，详见第7章描述。6.3标记技术要求应按照主体标记和客体标记所描述的要求进行标记设计。在网络环境中，带有特定标记的数据应能被安全策略禁止通过某些子络、链路或中继。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明，请求回避某些特定的子络、链路或中继。包含数据项的资源应具有与这些数据相关联的安全标记。安全标记可能是与被传送的数据相连的附加数据，也可能是隐含的信息，例如使用一个特定密钥加密数据所隐含的信息或由该数据的上下文所隐含的信息，可由数据源或路由来隐含。明显的安全标记必须是清晰可辨认的，以便对它们作适当的验证。此外，它们还必须安全可靠地依附于与之关联的数据。对于在通信期间要移动的数据项，发起通信的进程与实体，响应通信的进程与实体，在通信时被用到的信道和其他资源等，都可以用各自的敏感信息来标记。安全策略应指明如何使用敏感信息以提供必要的安全性。当安全策略是基于用户身份时，不论直接或通过进程访问数据，安全标记均应包含有关用户身份的信息。用于特定标记的那些规则应该表示在安全管理信息库中的一个安全策略中，如果需要，还应与端系统协商标记可以附带敏感信息，指明其敏感性，说明处理与分布上的隐蔽处，强制定时与定位，以及指明对该端系统特有的要求。采用的安全策略决定了标记所携带的敏感信息及其含义，不同的网络会有差异。表4给出了从第三级到第五级对标记技术的不同要求。表4标记技术要求基本安全技术安全等级5.3.4有a)向多级b)向单级c)人可读5.3.5主5.3.1主5.3.2客5.3.3标5.3，6设和网络层次标记信息安全设备安全设备标记的输体敏感标体标记体标记记完整性备标记的输出的输出的输出出记显示物理层链路层☆☆☆☆☆☆☆☆☆网络层☆☆☆☆☆☆☆☆☆传输层☆☆☆☆☆☆☆☆☆会话层☆☆☆☆一*一☆☆☆☆☆表示层☆☆☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆☆☆ GA/T387-2002表4(续)基本安全技术安全等级s.3.4有a)向多级b)向单级c)人可读5.3.s主5.3.1主5.3.2客5.3.3标5.3.6设和网络层次标记信息安全设备安全设备标记的输体敏感标体标记体标记记完整性备标记的输出的输出的输出出记显示物理层链路层☆☆☆☆☆☆☆☆☆结网络层☆☆☆☆☆☆☆☆☆构化传输层☆☆☆☆☆☆☆☆☆保护会话层☆☆☆☆☆☆☆☆☆级表示层☆☆☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆☆☆物理层链路层☆☆☆☆☆☆☆☆☆访问网络层☆☆☆☆☆☆☆☆☆验证传输层☆☆☆☆☆☆☆☆☆保护会话层☆☆☆☆☆☆☆☆☆级表示层☆☆☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆☆☆注:“☆”号表示具有该要求。每个安全等级的具体要求可能不同，i全见第7章描述6.4强制访问控制技术要求应按照强制访问控制策略的要求，选择所需的访问控制策略，并按照对强制访问控制功能的要求，设计和实现所需要的强制访问控制功能。强制访问控制应由专门设置的系统安全员统一管理系统中与该访问控制有关的事件和信息。为了防止由于系统管理人员或特权用户的权限过于集中所带来的安全隐患，应将系统的常规管理、与安全有关的管理以及审计管理，由系统管理员、系统安全员和系统审计员分别承担，并在三者之间形成相互制约的关系。采用多级安全模型的强制访问控制应将TCB安全控制范围内的所有主、客体成分通过标记方式设置敏感标记(非等级分类)，这些敏感标记与访问规则一起确定每一次主体对客体的访问是否被允许。这里所要求的对客体的控制范围除涉及系统内部的存储、处理和传输过程外，还应包括将信息进行输人、输出操作的过程，即无论信息以何种形式存在，都应有一定的安全属性与其相关联，并按强制访问控制规则对其进行控制。第三级的强制访问控制应对TCB所定义的主体与客体实施控制。第四级以上的强制访问控制应扩展到计算机信息系统中的所有主体与客体。表5给出了第三级到第五级强制访问控制技术的不同要求。6.5客体重用技术要求应按照剩余信息保护中子集信息保护/完全信息保护的要求进行设计。当网络资源动态分配时，应确保曾在该资源中存放过的信息不因动态分配而泄露。在向一个主体初始转让、分配或重分配客体之前或回收客体资源以后，应确保其残留信息全部被清除。表6给出了从二级到第五级对客体重用技术的不同要求。 GA/T387-2002表5强制访问控制技术要求基本安全技术安全等级5.4.1访问a)子集访问b)完全访问5.4.2访间a)子集访问b)完全访问和网络层次控制策略控制控制控制功能控制控制物理层链路层☆☆☆☆网络层☆☆☆☆安全标记保护级传输层☆☆☆☆会话层☆☆☆☆表示层☆☆☆☆应用层☆☆☆☆物理层链路层☆☆☆☆网络层☆☆☆☆结构化保护级传输层☆☆☆☆会话层☆☆☆☆表示层☆☆☆☆应用层☆☆☆☆物理层链路层☆☆☆☆网络层☆☆☆☆访问验证保护级传输层☆☆☆☆会话层☆☆☆☆表示层☆☆☆☆应用层☆☆☆☆注:“☆”号表示具有该要求。每个安全等级的具体要求可能不同，详见第7章描述。裹6客体，用技术要求安全等级基本安全技术和网络层次5.5客体重用a)子集信息保护b)完全信息保护。)特殊信息保护物理层链路层网络层☆☆系统审计保护级传输层☆☆会话层☆☆表示层☆☆应用层☆☆ Gn/T387-2002表6(续)安全等级基本安全技术和网络层次5.5客体重用!a)子集信息保护}b)完全信息保护一c)特殊信息保护物理层☆食链路层一-☆☆网络层一-☆☆安全标记保护级传输层一一☆☆会话层-一☆☆表示层一一☆☆应用层物理层☆☆链路层一一☆☆网络层一-☆☆结构化保护级传输层一一☆☆会话层--☆☆表示层--☆☆应用层物理层☆☆☆链路层一-一☆☆☆网络层一一☆☆☆访问验证保护级传输层-一一吞☆☆会话层囚一-一☆☆☆表示层-一一☆☆☆应用层匕兰竺扛呈赓重县到空要奎每个安全等级的具体要求可能不同，详见第障描述·6.6审计技术要求应按照对安全审计的要求进行设计。按安全审计数据产生的描述产生审计数据;按安全审计查阅的描述提供审计查阅、有限审计查阅和可选审计查阅;按安全审计事件选择的描述提供对审计事件的选择;按安全审计事件存储中受保护的审计踪迹存储、审计数据的可用性确保、审计数据可能丢失行动和防止审计事件丢失的要求来保存审计事件;按安全审计分析中的潜在侵害分析、基于异常检测的描述以及简单攻击探测和复杂攻击探测的要求进行审计分析设计;按安全审计的自动响应的要求设计相应的功能。网络安全审计涉及与安全有关的事件，包括事件的探测、收集、控制，进行事件责任的追查。审计中必须包含的信息的典型类型包括:标定哪些网段需要有限授权访问或数据加密，哪些设备、文件和目录需要加锁或口令保护，哪些文件应该进行存档备份，执行备份程序的频率，以及网络所使用的病毒防护措施的类型等。安全审计通过对网络上发生的各种访问情况记录日志，并对日志进行统计分析，从而对资源使用情况进行事后分析。审计也是发现和追踪安全事件的常用措施，能够自动记录攻击发起人的IP地址及企图攻击的时间，以及攻击包数据，给系统安全管理及追查网络犯罪提供可靠的线索。安全审计应该提供有关网络所使用的紧急事件和灾难处理程序，提供准确的网络安全审计和趋向分析报告，支14 GA/T387-2002持安全程序的计划和评估。表7给出了从第二级到第五级对审计技术的不同要求表了审计技术要求基本安全技术安全等级5.6.1安5.6.2安5.6.3安5.6.4安5.6.5安5.6.6安5.6安全和网络层次全审计响全审计数全审计分全审计查全审计事全审计事审计应据产生析阅件选择件存储物理层链路层网络层☆☆☆☆☆☆☆系统审计保护级传输层☆☆☆☆☆☆☆会话层☆☆☆☆☆☆☆表示层☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆物理层链路层网络层☆☆☆☆☆☆安全标记保护级传输层☆☆☆☆☆☆会话层☆☆☆☆☆☆表示层☆☆☆☆☆☆应用层☆☆☆☆☆☆物理层链路层网络层☆☆☆☆☆☆☆结构化保护级传输层☆☆☆☆☆☆☆会话层☆☆☆☆☆☆☆表示层☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆物理层链路层网络层☆☆☆☆☆☆☆访问验证保护级传输层☆☆☆☆☆☆☆会话层☆☆☆☆☆☆☆表示层☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆注:“☆”号表示具有该要求。每个安全等级的具体要求可能不同，A全见第7章描述。6.7数据完整性技术要求应对系统中存储、传输和处理的信息采取有效措施，防止其遭受非授权用户的修改、破坏或删除。对存储在系统中的数据完整性保护，应按照存储数据的完整性保护中完整性监视的要求，设计相应 GA/T387-2002的TCB安全功能模块，对TCB安全控制范围内的用户数据进行完整性保护。对于较高安全要求的系统，要求通过密码支持系统所提供的功能，对加密存储的数据进行存储数据的完整性检验，还要求在检测到完整性错误时采取必要的动作。对经过网络传输的数据完整性保护，应按照TCB间通信保护中用户数据保密性和完整性检测、以及源恢复和目的恢复的要求设计相应的TCB安全功能模块.在系统中进行处理的数据完整性保护，应按照回退的要求设计相应的TCB安全功能模块，进行异常情况的操作序列回退，以确保数据的完整性。表8给出了不同安全级别的数据完整性技术要求。表8数据完整性技术要求基本安全技术安全等级5.7.1存b)完整性5.7.2传5.7.3处a)完整性a)完整性b)数据交和网络层次储数据完检侧和恢愉数据完理数据完a)回退检测检测换恢复整性复整性整性物理层☆☆链路层☆☆网络层☆☆用户自主传输层☆☆保护级会话层☆☆表示层☆☆应用层☆☆物理层☆☆链路层☆☆☆☆网络层☆☆☆☆系统审计传输层☆☆保护级会话层☆☆☆☆☆☆表示层☆☆☆☆☆☆应用层☆☆☆☆☆☆物理层☆☆链路层☆☆☆☆网络层☆☆☆☆安全标记传输层☆☆保护级会话层☆☆☆☆☆☆☆表示层☆☆☆☆☆☆☆应用层☆☆☆☆☆☆☆物理层☆☆链路层☆☆☆☆网络层☆☆☆☆结构化传输层☆☆保护级会话层☆☆☆☆☆表示层☆☆☆☆☆应用层☆☆☆☆☆ GA/T387-2002表8(续)基本安全技术安全等级5.7.1存b)完整性5.7.2传5.7.3处a)完整性a)完整性b)数据交和网络层次储数据完检测和恢输数据完理数据完a)回退检测检测换恢复整性复整性整性物理层☆☆链路层☆☆☆☆网络层☆☆女☆访问验证传输层☆☆保护级会话层☆☆☆☆☆表示层☆☆☆☆☆应用层☆☆☆☆介注:“☆”号表示具有该要求每个安全等级的具体要求可能不同，钧全见第7章描述68隐蔽信道分析技术要求应确定并标识出TCB中非预期的信号通道的存在性。隐蔽信道分析所基于的假设可以包括处理器速度、系统或网络配置、内存大小和缓存大小等隐蔽信道分析应估算隐蔽信道的带宽，根据带宽决定对隐蔽信道的处理(容忍存在、消除或审计)，设计出辅助识别工具。表9给出了结构化保护级和访问验证保护级隐蔽信道分析的技术要求。表9隐蔽信道分析技术要求安全等级基本安全技术和网络层次5.8.1一般性的隐蔽信道分析5.8.2系统化的隐蔽信道分析物理层链路层网络层☆结构化保护级传输层☆会话层☆表示层☆应用层☆物理层链路层网络层☆访问验证保护级传输层☆会话层☆表示层☆应用层☆注:“☆”号表示具有该要求。每个安全等级的具体要求可能不同，详见第7章描述6.9可信路径应提供用户与TCB之间安全地进行数据传输的保证，要求按用户与TSF间可信路径所描述的要求进行设计。表10给出结构化保护级和访问验证保护级对可信路径/信道的技术要求。 GAIT387-2002表10可信路径技术要求基本安全技术安全等级、网络层次5.9可信路径物理层链路层网络层☆结构化保护级传输层☆会话层☆表示层☆应用层☆物理层链路层网络层☆访问验证保护级传输层☆会话层☆表示层☆应用层☆注:“☆”号表示具有该要求.每个安全等级的具体要求可能不同，详见第7章描述。6.10可信恢复技术要求TCB由于某种原因发生运行中断时，应在不减弱安全性的前提下恢复运行，要求按可信恢复所描述的要求，设计手动或自动的可信恢复功能。表11给出访问验证保护级可信恢复的技术要求。表11可信恢复技术要求基本安全技术安全等级、网络层次c)无过分丢失5.10可信恢复a)手动恢复b)自动恢复d)功能恢复的自动恢复物理层链路层网络层☆☆☆☆☆访问验证保护级传输层☆☆☆☆☆会话层☆☆☆☆☆表示层☆☆☆☆☆应用层☆☆☆☆☆注:“☆”号表示具有该要求每个安全等级的具{本要求可能不同，详见第7章描述。6.11抗抵赖技术要求应提供通信双方身份的真实性和双方对信交换行为的不可抵赖性。对信息的发送方，TCB应按抗原发抵赖中选择性原发证明/强制性原发证明的要求进行设计;对信息的接收方，TCB应按抗接收抵赖中选择性接收证明/强制性接受证明的要求进行设计。表12给出了从系统审计保护级到访问验证保护级对抗抵赖的技术要求。 GA/T387-2002表12抗抵赖技术要求基本安全技术安全等级5.11.1抗原a)选择性原b)强制性原5.11.2抗接a)选择性接b)强制性接和网络层次发抵赖发证明发证明收抵赖收证明收证明物理层链路层网络层系统审计保护级传输层会话层表示层应用层☆☆☆☆物理层链路层网络层☆☆☆☆安全标记保护级传输层☆☆☆☆会话层☆☆☆☆表示层☆☆☆☆应用层☆☆☆☆物理层链路层网络层☆☆☆☆结构化保护级传输层☆☆☆☆会话层S}7☆☆☆表示层公☆☆☆应用层☆☆☆☆物理层链路层网络层☆☆☆☆访问验证保护级传输层☆☆☆☆会话层☆☆☆☆表示层☆☆☆☆应用层☆☆☆☆注:“☆”号表示具有该要求。每个安全等级的具体要求可能不同，详见第7章描述.了网络安全等级保护技术要求了.1第一级用户自主保护级了1.，安全功能要求了门.1门物理层第一级 GA/T387-2002应采用加密数据流的方法确保所传送的数据受到应有的保密性和完整性保护，防止其遭受非授权的泄露或破坏。本安全等级应按GA/T390-2002中6.1.3.4的要求进行传输数据加密。该层所涉及的数据完整性应满足6.7和GA/T390-2002中6.1.3.3要求。7门.1.2链路层第一级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.1.3.1.1和6.1.3.1.2的要求，实现链路层用户自主保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要应考虑链路级实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.1.3.2自主访问控制的要求实现链路层用户自主保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)数据完整性:应根据6.7的描述，按GA/T390-2002中6.1.3.3要求，设计链路层用户自主保护级的数据完整性保护功能，保护传输数据的完整性。7.1.13网络层第一级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.1.3.1.1和6.1.3.1.2的要求，实现网络层用户自主保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要应考虑网络级实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.1.3.2的要求，实现网络层用户自主保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)数据完整性:应根据6.7的描述，按GA/T390-2002中6.1.3.3要求，实现网络层用户自主保护级的数据完整性保护功能，保护传输数据的完整性。7.1门.4传输层第一级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.1.3.1.1和6.1.3.1.2的要求，实现传输层用户自主保护级的身份鉴别功能，在首次建立TCP连接时，进行(相互)身份认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.1.3.2的要求，实现传输层用户自主保护级的自主访问控制功能，对来自接入网的访问进行控制，允许合法操作，拒绝非法操作c)数据完整性:应根据6.7的描述，按GA/T390-2002中6.1.3.3要求，实现传输层用户自主保护级的数据完整性保护功能，保护传输数据的完整性。7.1.1.5会话层第一级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.1.3.1.1和6.1.3.1.2的要求，实现会话层用户自主保护级的身份鉴别功能，确保用户身份的唯一性和真实性。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.1.3.2的要求，实现会话层用户自主保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作c)数据完整性:应根据6.7的描述，按GA/T390-2002中6.1.3.3的要求，实现会话层用户自主保护级的数据完整性保护功能，保护传输数据的完整性。了.1门，6表示层第一级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.1.3.1.1和6.1.3.1.2的要求，实现表示层用户自主保护级的身份鉴别功能，确保用户身份的唯一性和真实性。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.1.3.2的要求，实现表示层用户自主保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。 GA/T387-2002c)数据完整性:应根据6.7的描述，按GA/T390-2002中6.1.3.3要求，实现表示层用户自主保护级的数据完整性保护功能，保护传输数据的完整性。7.1门，7应用层第一级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.1.3.1.1和6.1.3.1.2的要求，实现应用层用户自主保护级的身份鉴别功能，确保用户身份的唯一性和真实性。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.1.3.2的要求，实现应用层用户自主保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)数据完整性:应根据6.7的描述，按GA/T390-2002中6.1.3.3的要求，实现应用层用户自主保护级的数据完整性保护功能，保护传输数据的完整性。7.1.2安全保证要求7.1.2门TCB自身安全保护a)TSF保护:应按GA/T390-2002中6.1.4.1的要求，实现网络系统用户自主保护级的TSF保护b)资源利用应按GA/T390-2002中6.1.4.2的要求，实现网络系统用户自主保护级的资源利用。c)TCB访问控制:应按GA/T390-2002中6.1.4.3的要求，实现网络系统用户自主保护级的TCB访问控制。7.1.2.2TCB设计和实现a)配置管理:应按GA/T390-2002中6.1.5.1的要求，实现网络系统用户自主保护级的配置管理b)分发和操作:应按GA/T390-2002中6.1.5.2的要求，实现网络系统用户自主保护级的分发和操作。)开发:应按GA/T390-2002中6.1.5.3的要求，实现网络系统用户自主保护级的开发。d)指导性文档:应按GA/T390-2002中6.1.5.4的要求，实现网络系统用户自主保护级的指导性文档。e)生命周期支持:应按GA/T390-2002中6.1.5.5的要求，实现网络系统用户自主保护级的生命周期支持。f)测试:应按GA/T390-2002中6.1.5.6的要求，实现网络系统用户自主保护级的测试7.1.2.3TCB安全管理应按GA/T390-2002中6.1.6的要求，实现网络系统用户自主保护级的TCB安全管理。7.2第二级:系统审计保护级7.2.1安全功能要求7.2.1.1物理层第二级应采用加密数据流的方法确保所传送的数据受到应有的保密性和完整性保护，防止其遭受非授权的泄露或破坏。本安全等级应按GA/T390-2002中6.2.3.6的要求进行传输数据加密。该层所涉及的数据完整性应满足6.7和GA/T390-2002中6.2.3.5的要求。7.2.1.2链路层第二级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.2.3.1.1和6.2.3.1.2的要求，实现链路层系统审计保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要是链路层实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.2.3.3的要求实现链路层系统审计保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法21 GA/T387-2002操作。数据完整性:应根据6.7的描述，按GA/T390-2002中6.2.3.5的要求，实现链路层系统审计保护级的数据完整性保护功能，保护传输数据的完整性。7.2.13网络层第二级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.2.3.1.1和6.2.3.1.2的要求，实现网络层系统审计保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要应考虑网络级实体认证。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.2.3.3的要求，实现网络层系统审计保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.2.3.4的要求，实现网络层系统审计保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.2.2.3的要求，实现网络层系统审计保护级的审计功能。数据完整性:应根据6.7的描述，按GA/T390-2002中6.2.3.5的要求，实现网络层系统审计保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性了qr:乙传输层第二级身份鉴别:应根据6.1的描述，按GA/T390-2002中6.2.3.1.1和6.2.3.1.2的要求，实现传输层系统审计保护级的身份鉴别功能，提供通信双方在首次建立连接时身份的真实性认证，并进行相互认证。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.2.3.3的要求，实现传输层系统审计保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)客体重用:应根据6.5的描述，按GA/T390-2002中6.2.3.4的要求，实现传输层系统审计保护级对剩余信息保护的要求。d)审计:应根据6.6的描述，按GA/T390-2002中6.2.2.3的要求，实现传输层系统审计保护级的审计功能。e)数据完整性:应根据6.7的描述，按GA/T390-2002中6.2.3.5的要求，实现传输层系统审计保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。7门r户‘1.5会话层第二级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.2.3.1.1和6.2.3.1.2的要求，实现会话层系统审计保护级的身份鉴别功能，确保用户身份的唯一性和真实性。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.2.3.3的要求，实现会话层系统审计保护级的自主访问控制功能，对来自接入网的访问进行控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.2.3.4的要求，实现会话层系统审计保护级对剩余信息保护的要求审计:应根据6.6的描述，按GA/T390-2002中6.2.2.3的要求，实现会话层系统审计保护级的审计功能。数据完整性:应根据6.7的描述，按GA/T390-2002中6.2.3.5的要求，实现会话层系统审计保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性7.2.1.6表示层第二级a)>45?d}il:应根#6.1N#ki*,按GA/T390-2002中6.2.3.1.1和6.2.3.1.2的要求，实现 GA/T397-2002表示层系统审计保护级的身份鉴别功能，确保用户身份的唯一性和真实性。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.2.3.3的要求，实现表示层系统审计保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)客体重用:应根据6.5的描述，按GA/T390-2002中6.2.3.4的要求，实现表示层系统审计保护级对剩余信息保护的要求。d)审计:应根据6.6的描述，按GA/T390-2002中6.2.2.3的要求，实现表示层系统审计保护级的审计功能。e)数据完整性:应根据6.7的描述，按GA/T390-2002中6.2.3.5的要求，实现表示层系统审计保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性7.2.1.7应用层第二级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.2.3.1.1和6.2.3.1.2的要求，实现应用层系统审计保护级的身份鉴别功能，确保用户身份的唯一性和真实性。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.2.3.3的要求，实现应用层系统审计保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)客体重用:应根据6.5的描述，按GA/T390-2002中6.2.3.4的要求，实现应用层系统审计保护级对剩余信息保护的要求。d)审计:应根据6.6的描述，按GA/T390-2002中6.2.2.3的要求，实现应用层系统审计保护级的审计功能。e)数据完整性:应根据6.7的描述，按GA/T390-2002中6.2.3.5的要求，实现应用层系统审计保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。f)抗抵赖:应根据6.11的描述，按GA/T390-2002中6.2.3.2的要求，实现应用层系统审计保护级的抗抵赖功能7.2.2安全保证要求7.2.2.1TCB自身安全保护a)TSF保护:应按GA/T390-2002中6.2.4.1的要求，实现网络系统系统审计保护级的TSF保护。b)资源利用:应按GA/T390-2002中6.2.4.2的要求，实现网络系统系统审计保护级的资源利用。c)TCB访问控制:应按GA/T390-2002中6.2.4.3的要求，实现网络系统系统审计保护级的TCB访问控制。7.2.2.2TCB设计和实现a)配置管理:应按GA/T390-2002中6.2.5.1的要求，实现网络系统系统审计保护级的配置管理。b)分发和操作:应按GA/T390-2002中6.2.5.2的要求，实现网络系统系统审计保护级的分发和操作。c)开发:应按GA/T390--2002中6.2.5.3的要求，实现网络系统系统审计保护级的开发。d)指导性文档:应按GA/T390-2002中6.2.5.4的要求，实现网络系统系统审计保护级的指导性文档。e)生命周期支持:应按GA/T390-2002中6.2.5.5的要求，实现网络系统系统审计保护级的生命周期支持。f)测试:应按GA/T390-2002中6.2.5.6的要求，实现网络系统系统审计保护级的测试。23 GA/T387-20027.2.2.3TCB安全管理应按GA/T390-2002中6.2.6的要求，实现网络系统系统审计保护级的TCB安全管理。7.3第三级:安全标记保护级7.3.，安全功能要求7.3.1.1物理层第三级应采用加密数据流的方法确保所传送的数据受到应有的保密性和完整性保护，防止其遭受非授权的泄露或破坏。本安全等级应按GA/T390-2002中6.3.3.S的要求进行传输数据加密。该层所涉及的数据完整性应满足6.7和GA/T390-2002中6.3.3.7的要求。7.3.1.2链路层第三级a)身份鉴别:应根据6.1的描述，应按GA/T390-2002中6.3.3.1.1用户标识和GA/T390-2002中6.3.3.1.2用户鉴别的要求，实现链路层安全标记保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要是链路层实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.3.3.3的要求，实现链路层安全标记保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。C)标记:应根据6.3的描述，按GA/T390-2002中6.3.3.4的要求，实现链路层安全标记保护级的标记功能，为主、客体设置所需要的安全属性。d)强制访问控制:根据6.4的描述，按GA/T390-2002中6.3.3.5的要求，实现链路层安全标记保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。e)客体重用:根据6.5的描述，按GA/T390-2002中6.3.3.6的要求，实现链路层安全标记保护级客体重用。f)数据完整性:应根据6.7的描述，按GA/T390-2002中6.3.3.7的要求，实现链路层安全标记保护级的数据完整性保护功能，保护传输数据的完整性。7.3.1.3网络层第三级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.3.3.1.1和6.3.3.1.2的要求，实现网络层安全标记保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要应考虑网络级实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.3.3.3的要求，实现网络层安全标记保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)标记:应根据6.3的描述，按GA/T390-2002中6.3.3.4的要求，实现网络层安全标记保护级的标记功能，为主、客体设置所需要的安全属性。d)强制访问控制:根据6.4的描述，按GA/T390-2002中6.3.3.5的要求，实现网络层安全标记保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。e)客体重用:应根据6.5的描述，按GA/T390-2002中6.3.3.6的要求，实现网络层安全标记保护级对剩余信息保护的要求。f)审计:应根据6.6的描述，按GA/T390-2002中6.3.2.4的要求，实现网络层安全标记保护级的审计功能。B)数据完整性:应根据6.7的描述，按GA/T390-2002中6.3.3.7的要求，实现网络层安全标记保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。h)抗抵赖:应根据6.11的描述，按GA/T390-2002中6.3.3.2的要求，实现网络层安全标记保24 GA/T387-2002护级的抗抵赖功能，7.3传输层第三级身份鉴别:应根据6.1的描述，按GA/T390-2002中6.3.3.1.1和6.3.3.1.2的要求，实现传输层安全标记保护级的身份鉴别功能，在首次建立连接时，进行(相互)身份认证。自主访问控制应根据6.2的描述，按GA/丁390-2002中6.3.3.3的要求.实现传输层安全标记保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6.3的描述，按GA/T390-2002中6.3.3.4标记的要求，实现传输层安全标记保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390-2002中6.3.3.5的要求，实现传输层安全标记保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.3.3.6的要求，实现传输层安全标记保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.3.2.4的要求，实现传输层安全标记保护级的审计功能。B)数据完整性:应根据6.7的描述，按GA/T390-2002中6.3.3.7的要求，实现传输层安全标记保护级的数据完整性保护功能，保护存储传输和处理数据的完整性。坑抵赖:应根据6.11的描述，按GA/T390-2002中6.3.3.2的要求，实现传输层安全标记保护级的抗抵赖功能会话层第三级3.1a.)5身份鉴别:应根据6.1的描述，按GA/T390-2002中6.3.3.1.1和6.3.3.1.2的要求，实现会话层安全标记保护级的身份鉴别功能，确保用户身份的唯一性和真实性。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.3,3.3的要求，实现会话层安全标记保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6-3的描述，按GA/T390-2002中6.3.3.4的要求，实现会话层安全标记保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390-2002中6.3.3.5的要求，实现会话层安全标记保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.3.3.6的要求，实现会话层安全标记保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.3.2.4的要求，实现会话层安全标记保护级的审计功能。K)数据完整性:应根据6,7的描述按GA/T390-2002中6.3.3.7的要求，实现会话层安全标记保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。抗抵赖:应根据6.11的描述，按GA/T390-2002中6.3.3.2的要求，实现会话层安全标记保护级的抗抵赖功能。7.3.，6表示层第三级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.3.3.1.1和6.3.3.1.2的要求，实现表示层安全标记保护级的身份鉴别功能，确保用户身份的唯一性和真实性。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.3.3.3的要求，实现表示层安全25 GA/T387-2002标记保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作标记:应根据6.3的描述，按GA/T390-2002中6.3.3.4的要求，实现表示层安全标记保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390-2002中6.3.3.5的要求，实现表示层安全标记保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.3.3.6的要求，实现表示层安全标记保护级对剩余信息保护的要求审计应根据6.6的描述按GA/丁390-2002中6.3.2.4的要求，实现表示层安全标记保护级的审计功能g)数据完整性:应根据6.7的描述，按GA/T39。一2002中6.3.3.7的要求，实现表示层安全标记保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。抗抵赖:应根据6.11的描述，按GA/T390-2002中6.3.3.2的要求，实现表示层安全标记保护级的抗抵赖功能，7.3.1.7应用层第三级身份鉴别:应根据6.1的描述，按GA/T390-2002中6.3.3.1.1和6.3.3.1.2的要求，实现应用层安全标记保护级的身份鉴别功能，确保用户身份的唯一性和真实性。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.3.3.3的要求，实现应用层安全标记保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作标记:应根据6.3的描述，按GA/T390-2002中6.3.3.4的要求，实现应用层安全标记保护级的标记功能，为主飞客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390-2002中6.3.3.5的要求，实现应用层安全标记保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据615的描述.按GA/T390-2002中6.3.3.6的要求，实现应用层安全标记保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.3.2.4的要求，实现应用层安全标记保护级的审计功能。数据完整性:应根据6.7的描述，按GA/T390-2002中6.3.3.7的要求，实现应用层安全标记保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。抗抵赖:应根据6.11的描述，按GA/T390-2002中6.3.3.2的要求，实现应用层安全标记保护级的抗抵赖功能。7.3.2安全保证要求7.3.2.TCB自身安全保护a)TSF保护应按GA/T390-2002中6.3.4.1的要求，实现网络系统系统审计保护级的TSF保护.n、资源利用:应按GA/T390-2002中6.3.4.2的要求，实现网络系统系统审计保护级的资源利用、c、了TCB访问控制:应按GA/T390-2002中6.3.4.3的要求‘实现网络系统系统审计保护级的TCB访问控制。C/7.236.TCB设计和实现 GA/T387-2002a)配置管理应按GA/T390-2002中6.3.5.1的要求，实现网络系统系统审计保护级的配置管理。b)分发和操作:应按GA/T390-2002中6.3.5.2的要求，实现网络系统系统审计保护级的分发和操作。c)开发:应按GA/T390-2002中6.3.5.3的要求，实现网络系统系统审计保护级的开发。d)指导性文档:应按GA/T390-2002中6.3,5.4的要求，实现网络系统系统审计保护级的指导性文档e)生命周期支持:应按GA/T390-2002中6.3.5.5的要求，实现网络系统系统审计保护级的生命周期支持。f)测试:应按GA/T390-2002中6.3.5.6的要求，实现网络系统系统审计保护级的测试。9)脆弱性评定:应按GA/丁390-2002中6.3.5.7的要求，实现网络系统审计保护级的脆弱性评定。7.12.3TCB安全管理应按GA/T390-2002中6.3.6的要求，实现网络系统系统审计保护级的TCB安全管理了4第四级:结构化保护级了.4门安全功能要求7.4.1.1物理层第四级应采用加密数据流的方法确保所传送的数据受到应有的保密性和完整性保护，防止其遭受非授权的泄露或破坏。本安全等级应按GA/T390-2002中6.4.3.10的要求进行传输数据加密。该层所涉及的数据完整性应满足6.7和GA/T390-2002中6.4.3.7的要求。7.4.1.2链路层第四级a)身份鉴别:应根据6.1的描述，应按GA/T390-2002中6.4.3.1.1和6.4.3.1.2的要求，实现链路层结构化保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要是链路层实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.4.3.3的要求，实现链路层结构化保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作c)标记:应根据6.3的描述，按GA/T390-2002中6.4.3.4的要求，实现链路层结构化保护级的标记功能，为主、客体设置所需要的安全属性。d)强制访问控制:应根据6.4的描述，按GA/T390-2002中6.4.3.5的要求，实现链路层结构化保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。。)客体重用:应根据6.5的描述，按GA/T390-2002中6.4.3.6的要求，实现链路层结构化保护级客体重用。f)数据完整性:应根据6.7的描述，按GA/T390-2002中6.4.3.7的要求，实现链路层结构化保护级的数据完整性保护功能，保护传输数据的完整性。7.4.1.3网络层第四级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.4.3.1.1和6.4.3.1.2的要求，实现网络层结构化保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要应考虑网络级实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.4.3.3的要求，实现网络层结构化保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。 GA/T387-2002标记:应根据6.3的描述，按GA/T390-2002中6.4.3.4的要求，实现网络层结构化保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390-2002中6.4.3.5的要求，实现网络层结构化保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.4.3.6的要求，实现网络层结构化保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.4.2.4的要求，实现网络层结构化保护级的审计功能。数据完整性:应根据6.7的描述，按GA/T390-2002中6.4.3.7的要求，实现网络层结构化保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。隐蔽信道分析:应根据6.8的描述。按GA/T390-2002中6.4-3.8的要求，实现网络层结构化保护级的一般性隐蔽信道分析。可信路径:应根据6.9的描述，按GA/T390-2002中6.4.3.9的要求，实现网络层结构化保护级的可信路径。抗抵赖:应根据6.11的描述，按GA/T390-2002中6.4.3.2的要求，实现网络层结构化保护级的抗抵赖功能。传翰层第四级‘.:)‘身份鉴别:应根据6.1的描述，按GA/T390-2002中6.4.3.1.1和6.4.3.1.2的要求，实现传输层结构化保护级的身份鉴别功能，在首次建立连接时，进行(相互)身份认证。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.4.3.3的要求，实现传输层结构化保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6.3的描述，按GA/T390-2002中6.4.3.4的要求，实现传输层结构化保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:应根据6.4的描述，按GA/T390-2002中6.4.3.5的要求，实现传输层结构化保护级强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。e)客体重用:应根据6.5的描述，按GA/T390-2002中6.4.3.6的要求，实现传输层结构化保护级对剩余信息保护的要求。f)审计:应根据6.6的描述，按GA/T390-2002中6.4.2.4的要求，实现传输层结构化保护级的审计功能。卯数据完整性:应根据6.7的描述，按GA/T390-2002中6.4.3.7的要求，实现传输层结构化保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。h)隐蔽信道分析:应根据6.8的描述，按GA/T390-2002中6.4.3.8的要求，实现传输层结构化保护级的一般性隐蔽信道分析。i)可信路径:应根据6.9的描述，按GA/T390-2002中6.4.3.9的要求，实现传输层结构化保护级可信路径。户抗抵赖:应根据6.11抗抵赖技术要求的描述，按GA/T390-2002中6.4.3.2的要求，实现传输层结构化保护级的抗抵赖功能。1.7.4会话层第四级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.4.3.1.1和6.4.3.1.2的要求，实现会话层结构化保护级的身份鉴别功能，确保用户身份的唯一性和真实性。 GA/T387-2002b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.4.3.3的要求，实现会话层结构化保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)标记:应根据6.3的描述，按GA/T390-2002中6.4.3.4的要求，实现会话层结构化保护级的标记功能，为主、客体设置所需要的安全属性。d)强制访问控制应根据6.4的描述，按GA/T390-2002中6.4.3.5的要求，实现会话层结构化保护级的强制访间控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作e)客体重用:应根据6.5的描述，按GA/T390-2002中6.4.3.6的要求，实现会话层结构化保护级对剩余信息保护的要求。f)审计:应根据6.6的描述，按GA/T390-2002中6.4.2.4的要求，实现会话层结构化保护级的审计功能。S)数据完整性:应根据6.7的描述按GA/T390-2002中6.4.3.7的要求，实现会话层结构化保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性h)隐蔽信道分析:应根据6.8的描述，按GA/T390-2002中6.4.3.8的要求，实现会话层结构化保护级的一般性隐蔽信道分析。i)可信路径:应根据6.9的描述，按GA/T390-2002中6.4.3.9的要求，实现会话层结构化保护级可信路径。户抗抵赖:应根据6.11抗抵赖技术要求的描述，按GA/T390-2002中6.4.3.2的要求，实现会话层结构化保护级的抗抵赖功能。1.6表示层第四级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.4.3.1.1和6.4.3.1.2的要求，实现表示层结构化保护级的身份鉴别功能，确保用户身份的唯一性和真实性。b)自主访问控制应根据6.2的描述，按GA/T390-2002中6.4.3.3的要求，实现表示层结构化保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)标记应根据6.3的描述，按GA/T390-2002中6.4.3.4的要求，实现表示层结构化保护级的标记功能，为主、客体设置所需要的安全属性d)强制访问控制:应根据6.4的描述，按GA/T390-2002中6.4.3.5的要求，实现表示层结构化保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。的客体重用:应根据6.5的描述，按GA/T390-2002中6.4.3.6的要求，实现表示层结构化保护级对剩余信息保护的要求f)审计:应根据6.6的描述，按GA/T390-2002中6.4.2.4的要求，实现表示层结构化保护级的审计功能。9)数据完整性:应根据6.7的描述，按GA/丁390-2002中6.4.3.7的要求，实现表示层结构化保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。h)隐蔽信道分析:应根据6.8的描述，按GA/T390-2002中6.4.3.8的要求，实现表示层结构化保护级的一般性隐蔽信道分析。1)可信路径:应根据6.9的描述，按GA/T390-2002中6.4.3.9的要求，实现表示层结构化保护级可信路径。J)抗抵赖:应根据6.11抗抵赖技术要求的描述，按GA/T390-2002中6.4.3.2的要求，实现表示层结构化保护级的抗抵赖功能。29 GA/T387-20027.4.1.7应用层第四级身份鉴别:应根据6.1的描述，按GA/T390-2002中6.4.3.1.1和6.4.3.1.2的要求，实现应用层结构化保护级的身份鉴别功能，确保用户身份的唯一性和真实性自主访问控制应根据6.2的描述，按GA/T390-2002中6.4.3.3的要求.实现应用层结构化保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6.3的描述，按GA/T390-2002中6.4.3.4的要求，实现应用层结构化保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390-2002中6.4.3.5的要求，实现应用层结构化保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.4.3.6的要求，实现应用层结构化保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.4.2.4的要求，实现应用层结构化保护级的审计功能。S)数据完整性:应根据6.7的描述，按GA/T390-2002中6.4.3.7的要求，实现应用层结构化保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性隐蔽信道分析:应根据6.8的描述，按GA/T390-2002中6.4.3.8的要求，实现应用层结构化保护级的一般性隐蔽信道分析。可信路径:应根据6.9的描述，按GA/T390-2002中6.4.3.9的要求，实现应用层结构化保护级可信路径。抗抵赖:应根据6.11抗抵赖技术要求的描述，按GA/T390-2002中6.4.3.2的要求，实现应用层结构化保护级的抗抵赖功能。7.4.2安全保证要求7.4.2.TCB自身安全保护a)TSF保护:应按GA/T390-2002中6.4.4.1的要求，实现网络系统系统审计保护级的TSF保护资源利用:应按GA/T390-2002中6.4.4.2的要求，实现网络系统系统审计保护级的资源利用。TCB访问控制:应按GA/T390-2002中6.4.4.3的要求，实现网络系统系统审计保护级的TCB访问控制。可信路径/信道:应按GA/T390-2002中6.4.4.4的要求，实现网络系统结构化保护级的可信路径/信道。7.4-2.2TCB设计和实现a)配置管理:应按GA/T390-2002中6.4-5.1的要求，实现网络系统系统审计保护级的配置管理。.n，分发和操作:应按GA/T390-2002中6.4.5.2的要求，实现网络系统系统审计保护级的分发和操作。c1开发应按GA/T390-2002中6.4.5.3的要求，实现网络系统系统审计保护级的开发d、指导性文档:应按GA/T390-2002中6,4,5.4的要求，实现网络系统系统审计保护级的指导性文档。e、生命周期支持:应按GA/T390-2002中6.4.5.5的要求，实现网络系统系统审计保护级的生命周期支持。 GA/T387-2002f)测试;应按GA/T390-2002中6.4.5.6的要求，实现网络系统系统审计保护级的测试。8)脆弱性评定:应按GA/T390-2002中6.4.5.7的要求，实现网络系统系统审计保护级的脆弱性评定。7.4.2.3Tcs安全管理应按GA/T390-2002中6.4.6的要求，实现网络系统系统审计保护级的TCB安全管理。了.5第五级:访问验证保护级7.5.1安全功能要求7.5.1.1物理层第五级应采用加密数据流的方法确保所传送的数据受到应有的保密性和完整性保护，防止其遭受非授权的泄露或破坏。本安全等级应按GA/T390-2002中6.5.3.10的要求进行传输数据加密。该层所涉及的数据完整性应满足6.7和GA/T390-2002中6.5.3.7的要求7.5门2链路层第五级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.5.3.1.1和6.5.3.1.2的要求，实现链路层访问验证保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要是链路层实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.5.3.3的要求，实现链路层访问验证保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)标记:应根据6.3的描述，按GA/T390-2002中6.5.3.4的要求，实现链路层访问验证保护级的标记功能，为主、客体设置所需要的安全属性。d)强制访问控制:根据6.4的描述，按GA/T390-2002中6.5.3.5的要求，实现链路层访问验证保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。e)客体重用:根据6.5的描述，按GA/T390-2002中6.5.3.6的要求，实现链路层访问验证保护级客体重用。f)数据完整性:应根据6.7的描述，按GA/T390--2002中6.5.3.7的要求，实现链路层访问验证保护级的数据完整性保护功能，保护传输数据的完整性。7.5.1.3网络层第五级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.5.3.1.1和6.5.3.1.2的要求，实现网络层访问验证保护级的身份鉴别功能，提供通信双方身份的真实性认证，主要应考虑网络级实体认证。b)自主访问控制:应根据6.2的描述，按GA/T390-2002中6.5.3.3的要求，实现网络层访问验证保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。c)标记:应根据6.3的描述，按GA/T390-2002中6.5.3.4的要求，实现网络层结访问验证保护级的标记功能，为主、客体设置所需要的安全属性d)强制访问控制:根据6.4的描述，按GA/T39。一2002中6.5.3.5的要求，实现网络层访问验证保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。e)客体重用:应根据6.5的描述，按GA/T390-2002中6.5.3.6的要求，实现网络层访问验证保护级对剩余信息保护的要求。f)审计:应根据6.6的描述，按GA/T390-2002中6.5.2.4的要求，实现网络层访问验证保护级的审计功能。3I GA/T387-2002e)数据完整性:应根据6.7的描述，按GA/T390-2002中6.5.3.7的要求，实现网络层访问验证保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。隐蔽信道分析:应根据6.8的描述。按GA/T390-2002中6.5.3.8的要求，实现网络层访问验证保护级的系统化隐蔽信道分析、彻底的隐蔽信道分析。可信路径:应根据6.9的描述，按GA/T390-2002中6.5.3.9的要求，实现网络层访问验证保护级的可信路径。可信恢复:应根据6.10的描述，按GA/T390-2002中6.5.2.6的要求，实现网络层访问验证保护级的可信恢复。抗抵赖:应根据6.11的描述，按GA/T390-2002中6.5.3.2的要求，实现网络层访问验证保护级的抗抵赖功能。7.5.1.4传输层第五级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.5.3.1.1和6.5.3.1.2的要求，实现传输层访问验证保护级的身份鉴别功能，在首次建立连接时，进行(相互)身份认证。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.5.3.3的要求，实现传输层访问验证保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6.3的描述，按GA/T390-2002中6.5.3.4的要求，实现传输层访问验证保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390-2002中6.5.3.5的要求，实现传输层访问验证保护级强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.5.3.6的要求，实现传输层访问验证保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.5.2.4的要求，实现传输层访问验证保护级的审计功能。B)数据完整性:应根据6.7的描述，按GA/T390-2002中6.5.3.7的要求，实现传输层访问验证保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。隐蔽信道分析:应根据6.8的描述，按GA/T390-2002中6.4.3.8的要求，实现传输层访问验证保护级的系统化隐蔽信道分析、彻底的隐蔽信道分析可信路径:应根据6.9的描述，按GA/T390-2002中6.5.3.9的要求，实现传输层访问验证保护级可信路径。可信恢复:应根据6.10的描述，按GA/T390-2002中6.5.2.6的要求，实现传输层访问验证保护级的可信恢复。抗抵赖:应根据6.11的描述，按GA/T390-2002中6.5.3.2的要求，实现传输层访问验证保护级的抗抵赖功能。7.5.1.5会话层第五级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.5.3.1.1和6.5.3.1.2的要求，实现会话层访问验证保护级的身份鉴别功能，确保用户身份的唯一性和真实性。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.5.3.3的要求，实现会话层访问验证保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6.3的描述，按GA/T390--2002中6.5.3.4的要求，实现会话层访问验证保护级的标记功能，为主、客体设置所需要的安全属性。 GA/T387-2002强制访问控制:根据6.4的描述，按GA/T390-2002中6.5.3.5的要求，实现会话层访问验证保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.5.3.6的要求，实现会话层访问验证保护级对剩余信息保护的要求审计:应根据6.6的描述，按GA/T390-2002中6.5.2.4的要求，实现会话层访问验证保护级的审计功能。B1数据完整性:应根据6.7的描述，按GA/T390-2002中6.5.3.7的要求，实现会话层访问验证保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。隐蔽信道分析:应根据6.8的描述，按GA/T390-2002中6.5.3.8的要求，实现会话层访问验证保护级的系统化隐蔽信道分析、彻底的隐蔽信道分析。可信路径:应根据6.9的描述，按GA/T390-2002中6.5.3.9的要求，实现会话层访问验证保护级可信路径。可信恢复:应根据6.10的描述按GA/T390---2002中6.5.2.6的要求，实现会话层访问验证保护级的可信恢复。抗抵赖:应根据6.11抗抵赖技术要求的描述，按GA/T390-2002中6.5.3.2的要求，实现会话层访问验证保护级的抗抵赖功能。7.5.1.6表示层第五级身份鉴别:应根据6.1的描述，按GA/T390-2002中6.5.3.1.1和6.5.3.1.2的要求，实现表示层访问验证保护级的身份鉴别功能，确保用户身份的唯一性和真实性。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.5.3.3的要求，实现表示层访问验证保护级的自主访问控制功能，对来自接人网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6.3的描述，按GA/T390-2002中6.5.3.4的要求，实现表示层访问验证保护级的标记功能，为主、客体设置所需要的安全属性。强制访问控制:根据6.4的描述，按GA/T390--2002中6.5.3.5的要求，实现表示层访问验证保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述，按GA/T390-2002中6.5.3.6的要求，实现表示层访问验证保护级对剩余信息保护的要求。审计:应根据6.6的描述，按GA/T390-2002中6.5.2.4的要求，实现表示层访问验证保护级的审计功能。B)数据完整性:应根据6.7的描述，按GA/T390-2002中6.5.3.7的要求，实现表示层访问验证保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。隐蔽信道分析:应根据6.8的描述.按GA/T390-2002中6.5.3.8的要求，实现表示层访问验证保护级的系统化隐蔽信道分析、彻底的隐蔽信道分析可信路径:应根据6.9的描述，按GA/T390-2002中6.5.3.9的要求，实现表示层访问验证保护级可信路径。可信恢复:应根据6.10的描述，按GA/T390-2002中6.5.2.6的要求，实现表示层访问验证保护级的可信恢复。抗抵赖;应根据6.11抗抵赖技术要求的描述，按GA/T390-2002中6.5.3.2的要求，实现表示层访问验证保护级的抗抵赖功能 GA/T387-20027.5.1.7应用层第五级a)身份鉴别:应根据6.1的描述，按GA/T390-2002中6.5.3.1.1和6.5.3.1.2的要求，实现应用层访问验证保护级的身份鉴别功能，确保用户身份的唯一性和真实性。自主访问控制:应根据6.2的描述，按GA/T390-2002中6.5.3.3的要求，实现应用层访问验证保护级的自主访问控制功能，对来自接入网的访问进行控制，允许合法操作，拒绝非法操作。标记:应根据6.3的描述，按GA/T390-2002中6.5.3.4的要求，实现应用层访问验证保护级的标记功能，为主、客体设置所需要的安全属性强制访问控制:应根据6.4的描述，按GA/T390-2002中6.5.3.5的要求，实现应用层访问验证保护级的强制访问控制，对来自接人网的访问进行强制性控制，允许合法操作，拒绝非法操作。客体重用:应根据6.5的描述.按GA/丁390-2002中6.5.3.6的要求，实现应用层访问验证保护级对剩余信息保护的要求审计:应根据6.6的描述，按GA/T390-2002中6.5.2.4的要求，实现应用层访问验证保护级的审计功能。K)数据完整性:应根据6.7的描述，按GA/T390-2002中6.5.3.7的要求，实现应用层访问验证保护级的数据完整性保护功能，保护存储、传输和处理数据的完整性。隐蔽信道分析:应根据6.8的描述，按GA/T390-2002中6.5.3.8的要求，实现应用层访问验证保护级的系统化隐蔽信道分析、彻底的隐蔽信道分析。可信路径:应根据6.9的描述，按GA/T390-2002中6.5.3.9的要求，实现应用层访问验证保护级可信路径。可信恢复:应根据6.10的描述，按GA/T390-2002中6.5.2.6的要求，实现应用层访问验证保护级的可信恢复。抗抵赖:应根据6.11抗抵赖技术要求的描述，按GA/T390-2002中6.5.3.2的要求，实现应用层访问验证保护级的抗抵赖功能。7.5.2安全保证要求7.5.2.Tcs自身安全保护a)TSF保护:应按GA/T390-2002中6.5.4.1的要求，实现网络系统系统审计保护级的TSF保护。资源利用:应按GA/T390-2002中6.5.4.2的要求，实现网络系统系统审计保护级的资源利用。TCB访问控制:应按GA/T390-2002中6.5.4.3的要求，实现网络系统系统审计保护级的TCB访问控制。可信路径/信道:应按GA/T390-2002中6.5.4.4的要求，实现网络系统结构化保护级的可信路径/信道。7.5.2.2TCB设计和实现a)配置管理:应按GA/T390-2002中6.5.5.1的要求，实现网络系统系统审计保护级的配置管理。.b、分发和操作:应按GA/T390-2002中6.5.5.2的要求，实现网络系统系统审计保护级的分发和操作。、C1产开发:应按GA/T39。一2002中6.5.5.3的要求，实现网络系统系统审计保护级的开发。J曰、指导性文档:应按GA/"r390-2002中6.5.5.4的要求，实现网络系统系统审计保护级的指导性文档 GA/T387-2002。)生命周期支持:应按GA/T390-2002中6.5.5.5的要求，实现网络系统系统审计保护级的生命周期支持。f)测试:应按GA/T390-2002中6.5.5.6的要求，实现网络系统系统审计保护级的测试。B)脆弱性评定:应按GA/T390-2002中6.5.5.7的要求，实现网络系统系统审计保护级的脆弱性评定。7.5.2.3TCB安全管理应按GA/T390-2002中6.5.6的要求，实现网络系统系统审计保护级的TCB安全管理。 GA/T387-2002附录A(资料性附录)标准概念说明A.1关于安全等级划分根据OSI参考模型，在进行网络的安全性设计时，应考虑构成网络的每一层协议实现的安全性，应把每一层协议的处理当作一个相对独立的信息处理系统来看待，使其达到网络整体安全要求的安全等级A.2关于主体、客体在一个网络系统中，每一个实体成分都必须或者是主体，或者是客体，或者既是主体又是客体。网络系统的各层协议之间的关系也应看成是主、客体关系。他们之间协同工作，共同完成在客户与服务器之间传送数据的任务A-3关于TCB,TSF和TSP在网络各层协议的实现中，应该有一个TCB(可信计算基)实现所需要的安全功能。这个TCB可以是一个安全内核，也可以是一个前端过滤器，或是一个实现协议功能的统一体一个TCB可以包含多个TSF(TCB安全功能)，每一个TSF实现一个TSP(TCB安全策略)，这些TSF协同工作，实现所需要的安全功能。A.4关于密码技术网络中密码技术的主要应用领域可包括关键信息的保密性保护、完整性保护和真实性验证。本标准对于密码的应用不作详细的要求。对于不同安全等级的密码配置应由国家密码主管部门来确定。A.5关于安全网络的建设a)确定所要设计、实现的网络设备、网络协议、网络软件及网络环境;b)分析网络设备、网络协议、网络软件及网络环境的安全需求，分析其可能存在的薄弱环节以及这些环节可能造成的危害和由此产生的后果;c)确定安全策略，根据安全需求分析的结果，确定应控制哪些危害因素及控制程度、应保护的资源和保护程度;d)确定网络设备、网络协议、网络软件及网络环境想要达到的安全等级;e)确定网络设备、网络协议、网络软件及网络环境在OSI参考模型中的网络层次;f)根据所确定的安全等级、网络层次，在表1中找到所对应的安全要素;B)根据所确定的安全等级、网络层次、安全要素，分别在表2、表3...⋯表11、表12中找到相对应的基本安全技术，实现这些基本安全技术，就能使网络设备、网络协议、网络软件及网络环境达到所预期的安全需求、安全等级;h)按照第7章网络安全等级保护技术要求中的安全功能要求和安全保证要求，综合控制网络设备、网络协议、网络软件及网络环境的整个设计、实现过程。 GA/"r387-2002参考文献1.ISO/IEC15408-1:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforITSecurity-Part1:Introductionandgeneralmodel,Version2.0(ISO/IEC15408-1:1999信息技术安全技术信息技术安全性评估准则第1部分:引言和一般模型,2.0版)2.ISO/IEC15408-2:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforITSecurity-Part2:Securityfunctionalrequirements,Version2.0(ISO/IEC15408-2:1999信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求，2.0版)3.ISO/IEC15408-3:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforITSecurity-Part3:Securityassurancerequirements,Version2.0(ISO/IEC15408-3:1999信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求，2.。版)4.GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分安全体系结构'