《計算機信息系統安全保護等級劃分準則》GB17859-1999（全文）

計算機信息系統安全保護等級劃分準則（GB17859-1999）

1 范圍

本標準規定了計算機系統安全保護能力的五個(gè)等級，即：

第一級：用戶(hù)自主保護級；

第二級：系統審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪(fǎng)問(wèn)驗證保護級。

本標準適用計算機信息系統安全保護技術(shù)能力等級的劃分。計算機信息系統安全保護能力隨著(zhù)安全保護等級的增高，逐漸增強。

2 引用標準

下列標準所包含的條文，通過(guò)在本標準中引用而構成本標準的條文。本標準出版時(shí)，所示版本均為有效。所有標準都會(huì )被修訂，使用本標準的各方應探討使用下列標準最新版本的可能性。

GB/T 5271 數據處理詞匯

3 定義

除本章定義外，其他未列出的定義見(jiàn)GB/T 5271。

3.1 計算機信息系統 computer information system

計算機信息系統是由計算機及其相關(guān)的和配套的設備、設施（含網(wǎng)絡(luò )）構成的，按照一定的應用目標和規則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機系統。

3.2 計算機信息系統可信計算基 trusted computing base of computer information system

計算機系統內保護裝置的總體，包括硬件、固件、軟件和負責執行安全策略的組合體。它建立了一個(gè)基本的保護環(huán)境并提供一個(gè)可信計算系統所要求的附加用戶(hù)服務(wù)。

3.3 客體 object

信息的載體。

3.4 主體 subject

引起信息在客體之間流動(dòng)的人、進(jìn)程或設備等。

3.5 敏感標記 sensitivity label

表示客體安全級別并描述客體數據敏感性的一組信息，可信計算基中把敏感標記作為強制訪(fǎng)問(wèn)控制決策的依據。

3.6 安全策略 security policy

有關(guān)管理、保護和發(fā)布敏感信息的法律、規定和實(shí)施細則。 3.7 信道 channel

系統內的信息傳輸路徑。

3.8 隱蔽信道 covert channel

允許進(jìn)程以危害系統安全策略的方式傳輸信息的通信信道。

3.9 訪(fǎng)問(wèn)監控器 reference monitor

監控主體和客體之間授權訪(fǎng)問(wèn)關(guān)系的部件。

4 等級劃分準則

4.1 第一級 用戶(hù)自主保護級

本級的計算機信息系統可信計算基通過(guò)隔離用戶(hù)與數據，使用戶(hù)具備自主安全保護的能力。它具有多種形式的控制能力，對用戶(hù)實(shí)施訪(fǎng)問(wèn)控制，即為用戶(hù)提供可行的手段，保護用戶(hù)和用戶(hù)組信息，避免其他用戶(hù)對數據的非法讀寫(xiě)與破壞。

4.1.1 自主訪(fǎng)問(wèn)控制

計算機信息系統可信計算基定義和控制系統中命名用戶(hù)對命名客體的訪(fǎng)問(wèn)。實(shí)施機制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)以用戶(hù)和（或）用戶(hù)組的身份規定并控制客體的共享；阻止非授權用戶(hù)讀取敏感信息。

4.1.2 身份鑒別

計算機信息系統可信計算基初始執行時(shí)，首先要求用戶(hù)標識自己的身份，并使用保護機制（例如：口令）來(lái)鑒別用戶(hù)的身份，阻止非授權用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數據。

4.1.3 數據完整性

計算機信息系統可信計算基通過(guò)自主完整性策略，阻止非授權用戶(hù)修改或破壞敏感信息。

4.2 第二級 系統審計保護級

與用戶(hù)自主保護級相比，本級的計算機信息系統可信計算基實(shí)施了粒度更細的自主訪(fǎng)問(wèn)控制，它通過(guò)登錄規程、審計安全性相關(guān)事件和隔離資源，使用戶(hù)對自己的行為負責。

4.2.1 自主訪(fǎng)問(wèn)控制

計算機信息系統可信計算基定義和控制系統中命名用戶(hù)對命名客體的訪(fǎng)問(wèn)。實(shí)施機制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)以用戶(hù)和（或）用戶(hù)組的身份規定并控制客體的共享；阻止非授權用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權限擴散。自主訪(fǎng)問(wèn)控制機制根據用戶(hù)指定方式或默認方式，阻止非授權用戶(hù)訪(fǎng)問(wèn)客體。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權的用戶(hù)只允許由授權用戶(hù)指定對客體的訪(fǎng)問(wèn)權。

4.2.2 身份鑒別

計算機信息系統可信計算基初始執行時(shí)，首先要求用戶(hù)標識自己的身份，并使用保護機制（例如：口令）來(lái)鑒別用戶(hù)的身份；阻止非授權用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數據。通過(guò)為用戶(hù)提供唯一標識、計算機信息系統可信計算基能夠使用戶(hù)對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶(hù)所有可審計行為相關(guān)聯(lián)的能力。

4.2.3 客體重用

在計算機信息系統可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個(gè)主體之前，撤銷(xiāo)該客體所含信息的所有授權。當主體獲得對一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權時(shí)，當前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。

4.2.4 審計

計算機信息系統可信計算基能創(chuàng )建和維護受保護客體的訪(fǎng)問(wèn)審計跟蹤記錄，并能阻止非授權的用戶(hù)對它訪(fǎng)問(wèn)或破壞。

計算機信息系統可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實(shí)施的動(dòng)作，以及其他與系統安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對于身份鑒別事件，審計記錄包含的來(lái)源（例如：終端標識符）；對于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計記錄包含客體名。

對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。

4.2.5 數據完整性

計算機信息系統可信計算基通過(guò)自主完整性策略，阻止非授權用戶(hù)修改或破壞敏感信息。

4.3 第三級 安全標記保護級

本級的計算機信息系統可信計算基具有系統審計保護級所有功能。此外，還提供有關(guān)安全策略模型、數據標記以及主體對客體強制訪(fǎng)問(wèn)控制的非形式化描述；具有準確地標記輸出 信息的能力；消除通過(guò)測試發(fā)現的任何錯誤。

4.3.1 自主訪(fǎng)問(wèn)控制

計算機信息系統可信計算基定義和控制系統中命名用戶(hù)對命名客體的訪(fǎng)問(wèn)。實(shí)施機制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)以用戶(hù)和（或）用戶(hù)組的身份規定并控制客體的共享；阻止非授權用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權限擴散。自主訪(fǎng)問(wèn)控制機制根據用戶(hù)指定方式或默認方式，阻止非授權用戶(hù)訪(fǎng)問(wèn)客體。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權的用戶(hù)只允許由授權用戶(hù)指定對客體的訪(fǎng)問(wèn)權。阻止非授權用戶(hù)讀取敏感信息。

4.3.2 強制訪(fǎng)問(wèn)控制

計算機信息系統可信計算基對所有主體及其所控制的客體（例如：進(jìn)程、文件、段、設備）實(shí)施強制訪(fǎng)問(wèn)控制。為這些主體及客體指定敏感標記，這些標記是等級分類(lèi)和非等級類(lèi)別的組合，它們是實(shí)施強制訪(fǎng)問(wèn)控制的依據。計算機信息系統可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基控制的所有主體對客體的訪(fǎng)問(wèn)應滿(mǎn)足：僅當主體安全級中的等級分類(lèi)高于或等于客體安全級中的等級分類(lèi)，且主體安全級中的非等級類(lèi)別包含了客體安全級中的全部非等級類(lèi)別，主體才能讀客體；僅當主體安全級中的等級分類(lèi)低于或等于客體安全級中的等級分類(lèi)，且主體安全級中的非等級類(lèi)別包含了客體安全級中 的非等級類(lèi)別，主體才能寫(xiě)一個(gè)客體。計算機信息系統可信計算基使用身份和鑒別數據，鑒別用戶(hù)的身份，并保證用戶(hù)創(chuàng )建的計算機信息系統可信計算基外部主體的安全級和授權受該用戶(hù)的安全級和授權的控制。

4.3.3 標記

計算機信息系統可信計算基應維護與主體及其控制的存儲客體（例如：進(jìn)程、文件、段、設備）相關(guān)的敏感標記。這些標記是實(shí)施強制訪(fǎng)問(wèn)的基礎。為了輸入未加安全標記的數據，計算機信息系統可信計算基向授權用戶(hù)要求并接受這些數據的安全級別，且可由計算機信息系統可信計算基審計。 4.3.4 身份鑒別

計算機信息系統可信計算基初始執行時(shí)，首先要求用戶(hù)標識自己的身份，而且，計算機信息系統可信計算基維護用戶(hù)身份識別數據并確定用戶(hù)訪(fǎng)問(wèn)權及授權數據。計算機信息系統可信計算基使用這些數據鑒別用戶(hù)身份，并使用保護機制（例如：口令）來(lái)鑒別用戶(hù)的身份；阻止非授權用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數據。通過(guò)為用戶(hù)提供唯一標識，計算機信息系統可信計算基能夠使用用戶(hù)對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶(hù)所有可審計行為相關(guān)聯(lián)的能力。

4.3.5 客體重用

在計算機信息系統可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配 一個(gè)主體之前，撤銷(xiāo)客體所含信息的所有授權。當主體獲得對一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權時(shí)，當前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。

4.3.6 審計

計算機信息系統可信計算基能創(chuàng )建和維護受保護客體的訪(fǎng)問(wèn)審計跟蹤記錄，并能阻止非授權的用戶(hù)對它訪(fǎng)問(wèn)或破壞。

計算機信息系統可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實(shí)施的動(dòng)作，以及其他與系統安全有關(guān)的事件。對于每一事件，其審計記錄包括： 事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來(lái)源（例如：終端標識符）；對于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。

對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。

4.3.7 數據完整性

計算機信息系統可信計算基通過(guò)自主和強制完整性策略，阻止非授權用戶(hù)修改或破壞敏 感信息。在網(wǎng)絡(luò )環(huán)境中，使用完整性敏感標記來(lái)確信信息在傳送中未受損。

4.4 第四級 結構化保護級

本級的計算機信息系統可信計算基建立于一個(gè)明確定義的形式化安全策略模型之上，它要求將第三級系統中的自主和強制訪(fǎng)問(wèn)控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統可信計算基必須結構化為關(guān)鍵保護元素和非關(guān)鍵保護元素。計算機信息系統可信計算基的接口也必須明確定義，使其設計與實(shí)現能經(jīng)受更充分的測試和更完整的復審。加強了鑒別機制；支持系統管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統具有相當的抗滲透能力。

4.4.1 自主訪(fǎng)問(wèn)控制

計算機信息系統可信計算基定義和控制系統中命名用戶(hù)對命名客體的訪(fǎng)問(wèn)。實(shí)施機制（例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)和（或）以用戶(hù)組的身份規定并控制客體的共享；阻止非授用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權限擴散。

自主訪(fǎng)問(wèn)控制機制根據用戶(hù)指定方式或默認方式，阻止非授權用戶(hù)訪(fǎng)問(wèn)客體。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。沒(méi)有存取權的用戶(hù)只允許由授權用戶(hù)指定對客體的訪(fǎng)問(wèn)權。

4.4.2 強制訪(fǎng)問(wèn)控制

計算機信息系統可信計算基對外部主體能夠直接或間接訪(fǎng)問(wèn)的所有資源（例如：主體、存儲客體和輸入輸出資源）實(shí)施強制訪(fǎng)問(wèn)控制。為這些主體及客體指定敏感標記，這些標記是等級分類(lèi)和非等級類(lèi)別的組合，它們是實(shí)施強制訪(fǎng)問(wèn)控制的依據。計算機信息系統可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基外部的所有主體對客體的直接或間接的訪(fǎng)問(wèn)應滿(mǎn)足：僅當主體安全級中的等級分類(lèi)高于或等于客體安全級中的等級分類(lèi)，且主體安全級中的非等級類(lèi)別包含了客體安全級中的全部非等級類(lèi)別，主體才能讀客體；僅當主體安全級中的等級分類(lèi)低于或等于客體安全級中的等級分類(lèi)，且主體安全級中的非等級類(lèi)別包含于客體安全級中的非等級類(lèi)別，主體才能寫(xiě)一個(gè)客體。計算機信息系統可信計算基使用身份和鑒別數據，鑒別用戶(hù)的身份，保護用戶(hù)創(chuàng )建的計算機信息系統可信計算基外部主體的安全級和授權受該用戶(hù)的安全級和授權的控制。

4.4.3 標記

計算機信息系統可信計算基維護與可被外部主體直接或間接訪(fǎng)問(wèn)到的計算機信息系統資源（例如：主體、存儲客體、只讀存儲器）相關(guān)的敏感標記。這些標記是實(shí)施強制訪(fǎng)問(wèn)的基礎。為了輸入未加安全標記的數據，計算機信息系統可信計算基向授權用戶(hù)要求并接受這些數據的安全級別，且可由計算機信息系統可信計算基審計。

4.4.4 身份鑒別

計算機信息系統可信計算基初始執行時(shí)，首先要求用戶(hù)標識自己的身份，而且，計算機信息系統可信計算基維護用戶(hù)身份識別數據并確定用戶(hù)訪(fǎng)問(wèn)權及授權數據。計算機信息系統可信計算基使用這些數據，鑒別用戶(hù)身份，并使用保護機制（例如：口令）來(lái)鑒別用戶(hù)的身份；阻止非授權用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數據。通過(guò)為用戶(hù)提供唯一標識，計算機信息系統可信計算基能夠使用戶(hù)對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶(hù)所有可審計行為相關(guān)聯(lián)的能力。

4.4.5 客體重用

在計算機信息系統可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個(gè)主體之前，撤銷(xiāo)客體所含信息的所有授權。當主體獲得對一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權時(shí)，當前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。

4.4.6 審計

計算機信息系統可信計算基能創(chuàng )建和維護受保護客體的訪(fǎng)問(wèn)審計跟蹤記錄，并能阻止非授權的用戶(hù)對它訪(fǎng)問(wèn)或破壞。

計算機信息系統可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序初始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實(shí)施的動(dòng)作，以及其他與系統安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來(lái)源（例如：終端標識符）；對于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計記錄包含客體及客體的安全級別。此外，計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。

對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。

計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時(shí)可能被使用的事件。

4.4.7 數據完整性

計算機信息系統可信計算基通過(guò)自主和強制完整性策略。阻止非授權用戶(hù)修改或破壞敏感信息。在網(wǎng)絡(luò )環(huán)境中，使用完整性敏感標記來(lái)確信信息在傳送中未受損。

4.4.8 隱蔽信道分析

系統開(kāi)發(fā)者應徹底搜索隱蔽存儲信道，并根據實(shí)際測量或工程估算確定每一個(gè)被標識信道的最大帶寬。

4.4.9 可信路徑

對用戶(hù)的初始登錄和鑒別，計算機信息系統可信計算基在它與用戶(hù)之間提供可信通信路徑。該路徑上的通信只能由該用戶(hù)初始化。

4.5 第五級 訪(fǎng)問(wèn)驗證保護級

本級的計算機信息系統可信計算基滿(mǎn)足訪(fǎng)問(wèn)監控器需求。訪(fǎng)問(wèn)監控器仲裁主體對客體的全部訪(fǎng)問(wèn)。訪(fǎng)問(wèn)監控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿(mǎn)足訪(fǎng)問(wèn)監控器需求，計算機信息系統可信計算基在其構造時(shí)，排除那些對實(shí)施安全策略來(lái)說(shuō)并非必要的代碼；在設計和實(shí)現時(shí)，從系統工程角度將其復雜性降低到最小程度。支持安全管理員職能；擴充審計機制，當發(fā)生與安全相關(guān)的事件時(shí)發(fā)出信號；提供系統恢復機制。系統具有很高的抗滲透能力。

4.5.1 自主訪(fǎng)問(wèn)控制

計算機信息系統可信計算基定義并控制系統中命名用戶(hù)對命名客體的訪(fǎng)問(wèn)。實(shí)施機制 （例如：訪(fǎng)問(wèn)控制表）允許命名用戶(hù)和（或）以用戶(hù)組的身份規定并控制客體的共享；阻止非授權用戶(hù)讀取敏感信息。并控制訪(fǎng)問(wèn)權限擴散。

自主訪(fǎng)問(wèn)控制機制根據用戶(hù)指定方式或默認方式，阻止非授權用戶(hù)訪(fǎng)問(wèn)客體。訪(fǎng)問(wèn)控制的粒度是單個(gè)用戶(hù)。訪(fǎng)問(wèn)控制能夠為每個(gè)命名客體指定命名用戶(hù)和用戶(hù)組，并規定他們對客體的訪(fǎng)問(wèn)模式。沒(méi)有存取權的用戶(hù)只允許由授權用戶(hù)指定對客體的訪(fǎng)問(wèn)權。

4.5.2 強制訪(fǎng)問(wèn)控制

計算機信息系統可信計算基對外部主體能夠直接或間接訪(fǎng)問(wèn)的所有資源（例如：主體、存儲客體和輸入輸出資源）實(shí)施強制訪(fǎng)問(wèn)控制。為這些主體及客體指定敏感標記，這些標記 是等級分類(lèi)和非等級類(lèi)別的組合，它們是實(shí)施強制訪(fǎng)問(wèn)控制的依據。計算機信息系統可信計算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基外部的所有主體對客體的直接或間接的訪(fǎng)問(wèn)應滿(mǎn)足：僅當主體安全級中的等級分類(lèi)高于或等于客體安全級中的等級分類(lèi)，且主體安全級中的非等級類(lèi)別包含了客體安全級中的全部非等級類(lèi)別，主體才能讀客體；僅當主體安全級中的等級分類(lèi)低于或等于客體安全級中的等級分類(lèi)，且主體安全級中的非等級類(lèi)別包含了客體安全級中的非等級類(lèi)別，主體才能寫(xiě)一個(gè)客體。計算機信息系統 可信計算基使用身份和鑒別數據，鑒別用戶(hù)的身份，保證用戶(hù)創(chuàng )建的計算機信息系統可信計算基外部主體的安全級和授權受該用戶(hù)的安全級和授權的控制。

4.5.3 標記

計算機信息系統可信計算基維護與可被外部主體直接或間接訪(fǎng)問(wèn)到計算機信息系統資源（例如：主體、存儲客體、只讀存儲器）相關(guān)的敏感標記。這些標記是實(shí)施強制訪(fǎng)問(wèn)的基礎。為了輸入未加安全標記的數據，計算機信息系統可信計算基向授權用戶(hù)要求并接受這些數據的安全級別，且可由計算機信息系統可信計算基審計。

4.5.4 身份鑒別 計算機信息系統可信計算基初始執行時(shí)，首先要求用戶(hù)標識自己的身份，而且，計算機信息系統可信計算基維護用戶(hù)身份識別數據并確定用戶(hù)訪(fǎng)問(wèn)權及授權數據。計算機信息系統可信計算基使用這些數據，鑒別用戶(hù)身份，并使用保護機制（例如：口令）來(lái)鑒別用戶(hù)的身份；阻止非授權用戶(hù)訪(fǎng)問(wèn)用戶(hù)身份鑒別數據。通過(guò)為用戶(hù)提供唯一標識，計算機信息系統可信計算基能夠使用戶(hù)對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該用戶(hù)所有可審計行為相關(guān)聯(lián)的能力。

4.5.5 客體重用

在計算機信息系統可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配 一個(gè)主體之前，撤銷(xiāo)客體所含信息的所有授權。當主體獲得對一個(gè)已被釋放的客體的訪(fǎng)問(wèn)權時(shí)，當前主體不能獲得原主體活動(dòng)所產(chǎn)生的任何信息。

4.5.6 審計

計算機信息系統可信計算基能創(chuàng )建和維護受保護客體的訪(fǎng)問(wèn)審計跟蹤記錄，并能阻止非授權的用戶(hù)對它訪(fǎng)問(wèn)或破壞。

計算機信息系統可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶(hù)地址空間（例如：打開(kāi)文件、程序出始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實(shí)施的動(dòng)作，以及其他與系統安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件 的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來(lái)源（例如：終端標識符）；對于客體引入用戶(hù)地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。

對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別于計算機信息系統可信計算基獨立分辨的審計記錄。計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時(shí)可能被使用的事件。 計算機信息系統可信計算基包含能夠監控可審計安全事件發(fā)生與積累的機制，當超過(guò)閾值時(shí)，能夠立即向安全管理員發(fā)出報警。并且，如果這些與安全相關(guān)的事件繼續發(fā)生或積累，系統應以最小的代價(jià)中止它們。

4.5.7 數據完整性

計算機信息系統可信計算基通過(guò)自主和強制完整性策略，阻止非授權用戶(hù)修改或破壞敏感信息。在網(wǎng)絡(luò )環(huán)境中，使用完整性敏感標記來(lái)確信信息在傳送中未受損。

4.5.8 隱蔽信道分析

系統開(kāi)發(fā)者應徹底搜索隱蔽信道，并根據實(shí)際測量或工程估算確定每一個(gè)被標識信道的最大帶寬。

4.5.9 可信路徑

當連接用戶(hù)時(shí)（如注冊、更改主體安全級），計算機信息系統可信計算基提供它與用戶(hù)之間的可信通信路徑?？尚怕窂缴系耐ㄐ胖荒苡稍撚脩?hù)或計算機信息系統可信計算基激活，且在邏輯上與其他路徑上的通信相隔離，且能正確地加以區分。

4.5.10 可信恢復

計算機信息系統可信計算基提供過(guò)程和機制，保證計算機信息系統失效或中斷后，可以進(jìn)行不損害任何安全保護性能的恢復。
 

掃描二維碼 關(guān)注我們

本文鏈接：http://jumpstarthappiness.com/law/9238.html

本文關(guān)鍵詞： 計算機, 信息系統安全, 保護, 等級, 劃分準則, GB, 1999, 全文