信息系統(tǒng)等級(jí)愛惜平安設(shè)計(jì)技術(shù)要求

引言

《中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安愛惜條例》（國務(wù)院令第147

號(hào)）明確規(guī)定我國“計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級(jí)愛惜”。依據(jù)國務(wù)院147

號(hào)令要求制訂發(fā)布的強(qiáng)制性國家標(biāo)準(zhǔn)《計(jì)算機(jī)信息系統(tǒng)平安愛惜

等級(jí)劃分準(zhǔn)則》（GB17859-1999）為計(jì)算機(jī)信息系統(tǒng)平安愛惜等級(jí)的劃

分奠定了技術(shù)基礎(chǔ)。《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的

看法》（中辦發(fā)［2003］27號(hào)）明確指出實(shí)行信息平安等級(jí)

愛惜，“要重點(diǎn)愛惜基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家平安、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)

定等方面的重要信息系統(tǒng)，抓緊建立信息平安等級(jí)愛惜制度”。《關(guān)于信

息平安等級(jí)愛惜工作的實(shí)施看法》（公通字［2004］66號(hào)）和《

信息平安等級(jí)愛惜管理方法》（公通字［2007M3號(hào)）確定了實(shí)施信息

平安等級(jí)愛惜制度的原則、工作職責(zé)劃分、實(shí)施要求和實(shí)施支配，明確了

開展信息平安等級(jí)愛惜工作的基本內(nèi)容、工作流程、工作方法

等。

上述信息平安等級(jí)愛惜相關(guān)法規(guī)、政策文件、國家標(biāo)準(zhǔn)和公共平安行業(yè)標(biāo)

準(zhǔn)的出臺(tái)，為信息平安等級(jí)愛惜工作的開展供應(yīng)了法律、政策、標(biāo)準(zhǔn)依

據(jù)。

2007年7月全國開展重要信息系統(tǒng)等級(jí)愛惜定級(jí)工作，標(biāo)記著信息平安等

級(jí)愛惜工作在我國全面綻開。在開展信息平安等級(jí)愛惜定級(jí)和備案工作基

礎(chǔ)上，各單位、各部門正在依據(jù)信息平安等級(jí)愛惜有關(guān)政

策規(guī)定和技術(shù)標(biāo)準(zhǔn)規(guī)范，開展信息系統(tǒng)平安建設(shè)和加固工作，建立、健

全信息平安管理制度，落實(shí)平安愛惜技術(shù)措施，全面實(shí)行信息平安等級(jí)愛

惜制度。為了協(xié)作信息系統(tǒng)平安建設(shè)和加固工作，特制

訂本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)規(guī)范了信息系統(tǒng)等級(jí)愛惜平安設(shè)計(jì)技術(shù)要求，包括

第一級(jí)至第五級(jí)系統(tǒng)平安愛惜環(huán)境的平安計(jì)算環(huán)境、平安區(qū)域邊界、平安

通信網(wǎng)絡(luò)和平安管理中心等方面的設(shè)計(jì)技術(shù)要求，以與定級(jí)系

統(tǒng)互聯(lián)的設(shè)計(jì)技術(shù)要求。涉與物理平安、平安管理、平安運(yùn)維等方面的

要求分別參見參考文獻(xiàn)［9］、［2］、［7］、［10］等。進(jìn)行平安技術(shù)

設(shè)計(jì)時(shí)，要依據(jù)信息系統(tǒng)定級(jí)狀況，確定相應(yīng)平安策略，采

取相應(yīng)級(jí)別的平安愛惜措施。

在第五章至第九章中，每一級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)比較低一級(jí)系統(tǒng)平

安愛惜環(huán)境設(shè)計(jì)所增加和增加的部分，用“黑體”表示。

信息平安技術(shù)

信息系統(tǒng)等級(jí)愛惜平安設(shè)計(jì)技術(shù)要求

1范圍

本標(biāo)準(zhǔn)依據(jù)國家信息平安等級(jí)愛惜的要求，規(guī)范了信息系統(tǒng)等級(jí)愛惜平

安設(shè)計(jì)技術(shù)要求。

本標(biāo)準(zhǔn)適用于指導(dǎo)信息系統(tǒng)運(yùn)營運(yùn)用單位、信息平安企業(yè)、信息平安服務(wù)

機(jī)構(gòu)開展信息系統(tǒng)等級(jí)愛惜平安技術(shù)方案的設(shè)計(jì)和實(shí)施，也可作為信息平

安職能部門進(jìn)行監(jiān)督、檢查和指導(dǎo)的依據(jù)。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期

的引用文件，其隨后全部的修改單（不包括勘誤的內(nèi)容）或修訂版均不適

用于本標(biāo)準(zhǔn)，然而，激勵(lì)依據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方探討是

否可運(yùn)用這些文件的最新版本。凡是不注日期的引用文件，其最新版本

適用于本標(biāo)準(zhǔn)。

GB17859-1999計(jì)算機(jī)信息系統(tǒng)平安愛惜等級(jí)劃分準(zhǔn)則

3術(shù)語和定義

GB17859-1999確立的以與下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。

3.1

定級(jí)系統(tǒng)classifiedsystem

依據(jù)參考文獻(xiàn)［11］已確定平安愛惜等級(jí)的信息系統(tǒng)。定級(jí)系統(tǒng)分為第一級(jí)、

其次級(jí)、第三級(jí)、第四級(jí)和第五級(jí)信息系統(tǒng)。

3.2

定級(jí)系統(tǒng)平安愛惜環(huán)境securityenvironmentofclassifiedsystem

由平安計(jì)算環(huán)境、平安區(qū)域邊界、平安通信網(wǎng)絡(luò)和（或）平安管理中心構(gòu)

3.6

平安管理中心securitymanagementcenter

對(duì)定級(jí)系統(tǒng)的平安策略與平安計(jì)算環(huán)境、平安區(qū)域邊界和平安通信網(wǎng)絡(luò)上

的平安機(jī)制實(shí)施統(tǒng)一管理的平臺(tái)。

其次級(jí)與其次級(jí)以上的定級(jí)系統(tǒng)平安愛惜環(huán)境須耍設(shè)置平安管理中心，稱

為其次級(jí)平安管理中心、第三級(jí)平安管理中心、第四級(jí)平安管理中心和第

五級(jí)平安管理中心。

3.7

跨定級(jí)系統(tǒng)平安管理中心securitymanagementcenterforcross

classifiedsystem跨定級(jí)系統(tǒng)平安管理中心是對(duì)相同或不同等級(jí)的定級(jí)

系統(tǒng)之間互聯(lián)的平安策略與平安互聯(lián)部件上的平安機(jī)制實(shí)施統(tǒng)一管

理的平臺(tái)。

3.8

定級(jí)系統(tǒng)互聯(lián)classifiedsysteminterconnection

通過平安互聯(lián)部件和跨定級(jí)系統(tǒng)平安管理中心實(shí)現(xiàn)的相同或不同等級(jí)的

定級(jí)系統(tǒng)平安愛惜環(huán)境之間的平安連接。

4信息系統(tǒng)等級(jí)愛惜平安技術(shù)設(shè)計(jì)概述

信息系統(tǒng)等級(jí)愛惜平安技術(shù)設(shè)計(jì)包括各級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)與

其平安互聯(lián)的設(shè)計(jì)，如圖1所示。各級(jí)系統(tǒng)平安愛惜環(huán)境由相應(yīng)級(jí)別的平

安計(jì)算環(huán)境、平安區(qū)域邊界、平安通信網(wǎng)絡(luò)和（或）平安管理

中心組成。定級(jí)系統(tǒng)互聯(lián)由平安互聯(lián)部件和跨定級(jí)系統(tǒng)平安管理中心組

成。

第一級(jí)系統(tǒng)第二級(jí)系統(tǒng).第三級(jí)系統(tǒng)第四級(jí)系統(tǒng)第五級(jí)系統(tǒng)

安全保護(hù)環(huán)境安全保護(hù)環(huán)境安全保護(hù)環(huán)境安全保護(hù)環(huán)境安全保護(hù)環(huán)境

第

第

第

第

第

第

第

第

第

第

第

第

第

第

第

三

二

二

二

三

三

四

四

四

五

五

五

級(jí)

級(jí)

級(jí)

級(jí)

級(jí)

級(jí)

級(jí)

緞

級(jí)

級(jí)

級(jí)

級(jí)

級(jí)

級(jí)

級(jí)

安

安

安

安

安

安

安

安

安

安

安

安

安

安

安

全

全

全

全

全

全

全

全

全

全

全

全

全

全

全

區(qū)

計(jì)

通小33

計(jì)

區(qū)

通

通

通

通

計(jì)

區(qū)

計(jì)

區(qū)

區(qū)

W計(jì)

域

算

信

域

信

信

信

信

算

算

域

算

域

域

算

邊

環(huán)

網(wǎng)

邊

網(wǎng)

網(wǎng)

網(wǎng)

網(wǎng)

環(huán)

環(huán)

邊

環(huán)

邊

邊

環(huán)

界

境

絡(luò)

界

絡(luò)

絡(luò)

絡(luò)

絡(luò)

境

境

界

境

界

界

境

第二級(jí)安全管理中心第三級(jí)安全管理中心第四級(jí)安全管理中心第五級(jí)安全管理中心

?nann

定級(jí)系統(tǒng)互聯(lián)?安全互聯(lián)部件

吏

跨定級(jí)系統(tǒng)安全管理中心

圖1信息系統(tǒng)等級(jí)保護(hù)安全技術(shù)設(shè)計(jì)框架

本標(biāo)準(zhǔn)以下章節(jié)，對(duì)圖1各個(gè)部分提出了相應(yīng)的設(shè)計(jì)技術(shù)要求（第五級(jí)

信息平安愛惜環(huán)境的設(shè)計(jì)要求除外）。附錄A給出了訪問限制機(jī)制設(shè)計(jì)，

附錄B給出了第三級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)示例。

5第一級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)

5.1設(shè)計(jì)目標(biāo)

第一級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)目標(biāo)是：依據(jù)GB17859-1999對(duì)第一級(jí)

系統(tǒng)的平安愛惜要求，實(shí)現(xiàn)定級(jí)系統(tǒng)的自主訪問限制，使系統(tǒng)用戶對(duì)其所

屬客體具有自我愛惜的實(shí)力。

5.2設(shè)計(jì)策略

第一級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)策略是：遵循GB17859T999的4.1

中相關(guān)要求，以身份鑒別為基礎(chǔ)，供應(yīng)用戶和（或）用戶組對(duì)文件與數(shù)據(jù)

庫表的自主訪問限制，以實(shí)現(xiàn)用戶與數(shù)據(jù)的隔離，運(yùn)用戶具備

自主平安愛惜的實(shí)力；以包過濾手段供應(yīng)區(qū)域邊界愛惜；以數(shù)據(jù)校驗(yàn)和

惡意代碼防范等手段供應(yīng)數(shù)據(jù)和系統(tǒng)的完整性愛惜。

第一級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)通過第一級(jí)的平安計(jì)算環(huán)境、平安區(qū)域邊

界以與平安通信網(wǎng)絡(luò)的設(shè)計(jì)加以實(shí)現(xiàn)。

5.3設(shè)計(jì)技術(shù)要求

5.3.1平安計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

第一級(jí)平安計(jì)算環(huán)境從以下方面進(jìn)行平安設(shè)計(jì)：

a）用戶身份鑒別

應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，接受用戶名和

用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份；在每次用戶登錄系統(tǒng)時(shí)，接受口令鑒別機(jī)制進(jìn)

行用戶身份鑒別，并對(duì)口令數(shù)據(jù)進(jìn)行愛惜。

b）自主訪問限制

應(yīng)在平安策略限制范圍內(nèi)，運(yùn)用戶/用戶組對(duì)其創(chuàng)建的客體具有相應(yīng)的訪

問操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶/用戶組。訪問

限制主體的粒度為用戶/用戶組級(jí)，客體的粒度為文件或數(shù)據(jù)

庫表級(jí)。訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。

C）用戶數(shù)據(jù)完整性愛惜

可接受常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)的用戶數(shù)據(jù)的完整性，以發(fā)覺其完整性是

否被破壞。

d）惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)平安功能的操作系統(tǒng)，并定期進(jìn)行

升級(jí)和更新，以防范和清除惡意代碼。

5.3.2平安區(qū)域邊界設(shè)計(jì)技術(shù)要求

第一級(jí)平安區(qū)域邊界從以下方面進(jìn)行平安設(shè)計(jì)：

a）區(qū)域邊界包過濾

可依據(jù)區(qū)域邊界平安限制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳

輸層協(xié)議和請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界。

b）區(qū)域邊界惡意代碼防范

可在平安區(qū)域邊界設(shè)置防惡意代碼軟件，并定期進(jìn)行升級(jí)和更新，以防止

惡意代碼入侵。

5.3.3平安通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求

a）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性愛惜

可接受常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)耐暾裕⒛馨l(fā)覺其完整

性被破壞。

6其次級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)

6.1設(shè)計(jì)目標(biāo)

其次級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)目標(biāo)是：依據(jù)GB17859-1999對(duì)其次級(jí)系

統(tǒng)的平安愛惜要求，在第一級(jí)系統(tǒng)平安愛惜環(huán)境的基礎(chǔ)上，增加系統(tǒng)平安

審計(jì)、客體重用等平安功能，并實(shí)施以用戶為基本粒度的

自主訪問限制，使系統(tǒng)具有更強(qiáng)的自主平安愛惜實(shí)力。

6.2設(shè)計(jì)策略

其次級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)策略是：遵循GB17859T999的4.2

中相關(guān)要求，以身份鑒別為基礎(chǔ)，供應(yīng)單個(gè)用戶和（或）用戶組對(duì)共享文

件、數(shù)據(jù)庫表等的自主訪問限制；以包過濾手段供應(yīng)區(qū)域邊界

愛惜；以數(shù)據(jù)校驗(yàn)和惡意代碼防范等手段，司時(shí)通過增加系統(tǒng)平安審計(jì)、

客體平安重用等功能，運(yùn)用戶對(duì)自己的行為負(fù)責(zé)，供應(yīng)用戶數(shù)據(jù)保密性和

完整性愛惜，以增加系統(tǒng)的平安愛惜實(shí)力。

其次級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)通過其次級(jí)的平安計(jì)算環(huán)境、平安區(qū)域邊

界、平安通信網(wǎng)絡(luò)以與平安管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。

6.3設(shè)計(jì)技術(shù)要求

6.3.1平安計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

其次級(jí)平安計(jì)算環(huán)境從以下方面進(jìn)行平安設(shè)計(jì)：

a）用戶身份鑒別

應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在對(duì)每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，接受用戶名

和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一

性；在每次用戶登錄系統(tǒng)時(shí)，接受受控的口令或具有相應(yīng)

平安強(qiáng)度的其他機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完

整性愛惜。

b）自主訪問限制

應(yīng)在平安策略限制范圍內(nèi)，運(yùn)用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)

限，并能將這些權(quán)限的部分或全部授予其他用戶。訪問限制主體的粒度為

用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫表級(jí)。訪問操作包括

對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。

c）系統(tǒng)平安審計(jì)

應(yīng)供應(yīng)平安審計(jì)機(jī)制，記錄系統(tǒng)的相關(guān)平安事務(wù)。審計(jì)記錄包括平安事務(wù)

的主體、客體、時(shí)間、類型和結(jié)果等內(nèi)容。該機(jī)制應(yīng)供應(yīng)審計(jì)記錄查詢、

分類和存儲(chǔ)愛惜，并可由平安管理中心管理。

d）用戶數(shù)據(jù)完整性愛惜

可接受常規(guī)校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)的用戶數(shù)據(jù)的完整性，以發(fā)覺其完整性是

否被破壞。

e）用戶數(shù)據(jù)保密性愛惜

可接受密碼等技術(shù)支持的保密性愛惜機(jī)制，對(duì)在平安計(jì)算環(huán)境中存儲(chǔ)和處

理的用戶數(shù)據(jù)進(jìn)行保密性愛惜二

f）客體平安重用

應(yīng)接受具有平安客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)

品，對(duì)用戶運(yùn)用的客體資源，在這些客體資源重新支配前，對(duì)其原運(yùn)用者

的信息進(jìn)行清除，以確保信息不被泄露。

g）惡意代碼防范

應(yīng)安裝防惡意代碼軟件或配置具有相應(yīng)平安功能的操作系統(tǒng)，并定期進(jìn)行

升級(jí)和更新，以防范和清除惡意代碼。

6.3.2平安區(qū)域邊界設(shè)計(jì)技術(shù)要求

其次級(jí)平安區(qū)域邊界從以下方面進(jìn)行平安設(shè)計(jì)：

a）區(qū)域邊界包過濾

應(yīng)依據(jù)區(qū)域邊界平安限制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳

輸層協(xié)議和請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包通過該區(qū)域邊界。

b）區(qū)域邊界平安審計(jì)

應(yīng)在平安區(qū)域邊界設(shè)置審計(jì)機(jī)制，并由平安管理中心統(tǒng)一管理。

C）區(qū)域邊界惡意代碼防范

應(yīng)在平安區(qū)域邊界設(shè)置防惡意代碼網(wǎng)關(guān)，由平安管理中心管理。

d）區(qū)域邊界完整性愛惜

應(yīng)在區(qū)域邊界設(shè)置探測器，探測非法外聯(lián)等行為，并與時(shí)報(bào)告平安管理中

心。

6.3.3平安通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求

其次級(jí)平安通信網(wǎng)絡(luò)從以下方面進(jìn)行平安設(shè)計(jì)：

a）通信網(wǎng)絡(luò)平安審計(jì)

應(yīng)在平安通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由平安管理中心管理。

b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性愛惜

可接受由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完

整性愛惜。

c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性愛惜

可接受由密碼等技術(shù)支持的保密性愛惜機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保

密性愛惜。

6.3.4平安管理中心設(shè)計(jì)技術(shù)要求

6.3.4.1系統(tǒng)管理

可通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、限制和管理，包括用

戶身份和授權(quán)管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異樣處

理、數(shù)據(jù)和設(shè)備的備份與復(fù)原以與惡意代碼防范等。

應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的叮囑或操作界面進(jìn)行

系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。

6.3.4.2審計(jì)管理

可通過平安審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的平安審計(jì)機(jī)制進(jìn)行集

中管理，包括依據(jù)平安審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；供應(yīng)按時(shí)間段開啟

和關(guān)閉相應(yīng)類型的平安審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、

管理和查詢等。

應(yīng)對(duì)平安審計(jì)員進(jìn)行身份鑒別，并只允許其通過特定的叮囑或操作界面進(jìn)

行平安審計(jì)操作。

7第三級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)

7.1設(shè)計(jì)目標(biāo)

第三級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)目標(biāo)是：依據(jù)GB17859-1999對(duì)第三級(jí)

系統(tǒng)的平安愛惜要求，在其次級(jí)系統(tǒng)平安愛惜環(huán)境的基礎(chǔ)上，通過實(shí)現(xiàn)基

于平安策略模型和標(biāo)記的強(qiáng)制訪問限制以與增加系統(tǒng)的審計(jì)

機(jī)制，使系統(tǒng)具有在統(tǒng)一平安策略管控下，愛惜敏感資源的實(shí)力。

7.2設(shè)計(jì)策略

第三級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)策略是：在其次級(jí)系統(tǒng)平安愛惜環(huán)境的

基礎(chǔ)上,遵循GB17859-1999的4.3中相關(guān)要求,構(gòu)造非形式化的平安策

略模型，對(duì)主、客體進(jìn)行平安標(biāo)記，表明主、客體的級(jí)別分

類和非級(jí)別分類的組合，以此為基礎(chǔ)，依據(jù)強(qiáng)制訪問限制規(guī)則實(shí)現(xiàn)對(duì)主

體與其客體的訪問限制。

第三級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)通過第三級(jí)的平安計(jì)算環(huán)境、平安區(qū)域邊

界、平安通信網(wǎng)絡(luò)以與平安管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。

7.3設(shè)計(jì)技術(shù)要求

7.3.1平安計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

第三級(jí)平安計(jì)算環(huán)境從以下方面進(jìn)行平安設(shè)計(jì)：

a）用戶身份鑒別

應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在對(duì)每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，接受用戶名

和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一

性；在每次用戶登錄系統(tǒng)時(shí)，接受受平安管理中心限制的

口令、令牌、基于生物特征、數(shù)字證書以與其他具有相應(yīng)平安強(qiáng)度的兩

種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和

完整性愛惜。

b）自主訪問限制

應(yīng)在平安策略限制范圍內(nèi)，運(yùn)用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)

限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問限制主體的粒

度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫表級(jí)和（或）記

錄或字段級(jí)。自主訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。

C）標(biāo)記和強(qiáng)制訪問限制

在對(duì)平安管理員進(jìn)行身份鑒別和權(quán)限限制的基礎(chǔ)上，應(yīng)由平安管理員通過

特定操作界面對(duì)主、客體進(jìn)行平安標(biāo)記；應(yīng)按平安標(biāo)記和強(qiáng)制訪問限制規(guī)

則，對(duì)確定主體訪問客體的操作進(jìn)行限制。強(qiáng)制訪問限制

主體的粒度為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫表級(jí)。應(yīng)確保平安計(jì)

算環(huán)境內(nèi)的全部主、客體具有一樣的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問限

制規(guī)則。

d）系統(tǒng)平安審計(jì)

應(yīng)記錄系統(tǒng)的相關(guān)平安事務(wù)。審計(jì)記錄包括平安事務(wù)的主體、客體、時(shí)間、

類型和結(jié)果等內(nèi)容。應(yīng)供應(yīng)審計(jì)記錄查詢、分類、分析和存儲(chǔ)愛惜；能對(duì)

特定平安事務(wù)進(jìn)行報(bào)警；確保審計(jì)記錄不被破壞或非授

權(quán)訪問。應(yīng)為平安管理中心供應(yīng)接口；對(duì)不能由系統(tǒng)獨(dú)立處理的平安事

務(wù)，供應(yīng)由授權(quán)主體調(diào)用的接口。

e）用戶數(shù)據(jù)完整性愛惜

應(yīng)接受密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)和處理的用戶數(shù)據(jù)的

完整性，以發(fā)覺其完整性是否被破壞，且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)

行復(fù)原。

f）用戶數(shù)據(jù)保密性愛惜

接受密碼等技術(shù)支持的保密性愛惜機(jī)制，對(duì)在平安計(jì)算環(huán)境中存儲(chǔ)和處理

的用戶數(shù)據(jù)進(jìn)行保密性愛惜。

g）客體平安重用

應(yīng)接受具有平安客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)

產(chǎn)品，對(duì)用戶運(yùn)用的客體資源，在這些客體資源重新支配前，對(duì)其原運(yùn)用

者的信息進(jìn)行清除，以確保信息不被泄露。

h）程序可信執(zhí)行愛惜

可構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程

序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時(shí)

實(shí)行措施復(fù)原，例如接受可信計(jì)算等技術(shù)。

7.3.2平安區(qū)域邊界設(shè)計(jì)技術(shù)要求

第三級(jí)平安區(qū)域邊界從以下方面進(jìn)行平安設(shè)計(jì)：

a）區(qū)域邊界訪問限制

應(yīng)在平安區(qū)域邊界設(shè)置自主和強(qiáng)制訪問限制機(jī)制，實(shí)施相應(yīng)的訪問限制策

略，對(duì)進(jìn)出平安區(qū)域邊界的數(shù)據(jù)信息進(jìn)行限制，阻擋非授權(quán)訪問。

b）區(qū)域邊界包過濾

應(yīng)依據(jù)區(qū)域邊界平安限制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳

輸層協(xié)議、請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出該區(qū)域邊界。

C）區(qū)域邊界平安審計(jì)

應(yīng)在平安區(qū)域邊界設(shè)置審計(jì)機(jī)制，由平安管理中心集中管理，并對(duì)確認(rèn)的

違規(guī)行為與時(shí)報(bào)警。

d）區(qū)域邊界完整性愛惜

應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為,

并與時(shí)報(bào)告平安管理中心。

7.3.3平安通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求

第三級(jí)平安通信網(wǎng)絡(luò)從以下方面進(jìn)行平安設(shè)計(jì)：

a）通信網(wǎng)絡(luò)平安審計(jì)

應(yīng)在平安通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由平安管理中心集中管理，并對(duì)確認(rèn)的

違規(guī)行為進(jìn)行報(bào)警。

b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性愛惜

應(yīng)接受由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完

整性愛惜，并在發(fā)覺完整性被破壞時(shí)進(jìn)行復(fù)原。

C）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性愛惜

接受由密碼等技術(shù)支持的保密性愛惜機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密

性愛惜。

d）通信網(wǎng)絡(luò)可信接入愛惜

可接受由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對(duì)連接到通信網(wǎng)絡(luò)的

設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法

接入。

7.3.4平安管理中心設(shè)計(jì)技術(shù)要求

7.3.4.1系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、限制和管理，包括用

戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟動(dòng)、系統(tǒng)運(yùn)行的異樣處理以與

支持管理本地和（或）異地災(zāi)難備

份與復(fù)原等。

應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的叮囑或操作界面進(jìn)行

系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。

7.3.4.2平安管理

應(yīng)通過平安管理員對(duì)系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對(duì)主體進(jìn)行授

權(quán)，配置一樣的平安策略。

應(yīng)對(duì)平安管理員進(jìn)行身份鑒別，只允許其通過特定的叮囑或操作界面進(jìn)行

平安管理操作，并進(jìn)行審計(jì)。

7.3.4.3審計(jì)管理

應(yīng)通過平安審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的平安審計(jì)機(jī)制進(jìn)行集

中管理，包括依據(jù)平安審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；供應(yīng)按時(shí)間段開啟

和關(guān)閉相應(yīng)類型的平安審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)、

管理和查詢等。對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并依據(jù)分析結(jié)果進(jìn)行處理。

應(yīng)對(duì)平安審計(jì)員進(jìn)行身份鑒別，只允許其通過特定的叮囑或操作界面進(jìn)

行平安審計(jì)操。

8第四級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)

8.1設(shè)計(jì)目標(biāo)

第四級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)目標(biāo)是：依據(jù)GB17859T999對(duì)第四級(jí)

系統(tǒng)的平安愛惜要求，建立一個(gè)明確定義的形式化平安策略模型，將自主

和強(qiáng)制訪問限制擴(kuò)展到全部主體與客體，相應(yīng)增加其他平安

功能強(qiáng)度；將系統(tǒng)平安愛惜環(huán)境結(jié)構(gòu)化為關(guān)鍵愛惜元素和非關(guān)鍵愛惜元

素，以使系統(tǒng)具有抗?jié)B透的實(shí)力。

8.2設(shè)計(jì)策略

第四級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)策略是：在第三級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)

計(jì)的基礎(chǔ)上,遵循GB17859T999的4.4中相關(guān)要求,通過平安管理中心

明確定義和維護(hù)形式化的平安策略模型。依據(jù)該模型，接受

對(duì)系統(tǒng)內(nèi)的全部主、客體進(jìn)行標(biāo)記的手段，實(shí)現(xiàn)全部主體與客體的強(qiáng)制

訪問限制。同時(shí)，相應(yīng)增加身份鑒別、審計(jì)、平安管理等功能，定義平安

部件之間接口的途徑，實(shí)現(xiàn)系統(tǒng)平安愛惜環(huán)境關(guān)鍵愛惜部件

和非關(guān)鍵愛惜部件的區(qū)分，并進(jìn)行測試和審核，保障平安功能的有效

性。

第四級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)通過第四級(jí)的平安計(jì)算環(huán)境、平安區(qū)域邊

界、平安通信網(wǎng)絡(luò)以與平安管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。

8.3設(shè)計(jì)技術(shù)要求

8.3.1平安計(jì)算環(huán)境設(shè)計(jì)技術(shù)要求

第四級(jí)平安計(jì)算環(huán)境從以下方面進(jìn)行平安設(shè)計(jì)：

a）用戶身份鑒別

應(yīng)支持用戶標(biāo)識(shí)和用戶鑒別。在每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，接受用戶名和

用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性;

在每次用戶登錄和重新連接系統(tǒng)時(shí)，接受受平安管理中

心限制的口令、基于生物特征的數(shù)據(jù)、數(shù)字證書以與其他具有相應(yīng)平安

強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，且其中一種鑒別技

術(shù)產(chǎn)生的鑒別數(shù)據(jù)是不行替代的，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性

和完整性愛惜。

b）自主訪問限制

應(yīng)在平安策略限制范圍內(nèi)，運(yùn)用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問操作權(quán)

限，并能將這些權(quán)限部分或全部授予其他用戶。自主訪問限制主體的粒度

為用戶級(jí)，客體的粒度為文件或數(shù)據(jù)庫表級(jí)和（或）記錄

或字段級(jí)。自主訪問操作包括對(duì)客體的創(chuàng)建、讀、寫、修改和刪除等。

c）標(biāo)記和強(qiáng)制訪問限制

在對(duì)平安管理員進(jìn)行身份鑒別和權(quán)限限制的基礎(chǔ)上，應(yīng)由平安管理員通過

特定操作界面對(duì)主、客體進(jìn)行平安標(biāo)記，將范制訪問限制擴(kuò)展到全部主體

與客體；應(yīng)按平安標(biāo)記和強(qiáng)制訪問限制規(guī)則，對(duì)確定主體

訪問客體的操作進(jìn)行限制。強(qiáng)制訪問限制主體的粒度為用戶級(jí)，客體的

粒度為文件或數(shù)據(jù)庫表級(jí)。應(yīng)確保平安計(jì)算/境內(nèi)的全部主、客體具有一

樣的標(biāo)記信息，并實(shí)施相同的強(qiáng)制訪問限制規(guī)則。

d）系統(tǒng)平安審計(jì)

應(yīng)記錄系統(tǒng)相關(guān)平安事務(wù)。審計(jì)記錄包括平安事務(wù)的主體、客體、時(shí)間、

類型和結(jié)果等內(nèi)容。應(yīng)供應(yīng)審計(jì)記錄查詢、分類、分析和存儲(chǔ)愛惜；能對(duì)

特定平安事務(wù)進(jìn)行報(bào)警，終止違例進(jìn)程等；確保審計(jì)記錄

不被破壞或非授權(quán)訪問以與防止審計(jì)記錄丟失等。應(yīng)為平安管理中心供

應(yīng)接口；對(duì)不能由系統(tǒng)獨(dú)立處理的平安事務(wù)，供應(yīng)由授權(quán)主體調(diào)用的接口。

e）用戶數(shù)據(jù)完整性愛惜

應(yīng)接受密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，檢驗(yàn)存儲(chǔ)和處理的用戶數(shù)據(jù)的

完整性，以發(fā)覺其完整性是否被破壞，且在其受到破壞時(shí)能對(duì)重要數(shù)據(jù)進(jìn)

行復(fù)原。

f）用戶數(shù)據(jù)保密性愛惜

接受密碼等技術(shù)支持的保密性愛惜機(jī)制，對(duì)在平安計(jì)算環(huán)境中的用戶數(shù)據(jù)

進(jìn)行保密性愛惜。

g）客體平安重用

應(yīng)接受具有平安客體復(fù)用功能的系統(tǒng)軟件或具有相應(yīng)功能的信息技術(shù)產(chǎn)

品，對(duì)用戶運(yùn)用的客體資源，在這些客體資源重新支配前，對(duì)其原運(yùn)用者

的信息進(jìn)行清除，以確保信息不被泄露。

h）程序可信執(zhí)行愛情

應(yīng)構(gòu)建從操作系統(tǒng)到上層應(yīng)用的信任鏈，以實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中可執(zhí)行程

序的完整性檢驗(yàn)，防范惡意代碼等攻擊，并在檢測到其完整性受到破壞時(shí)

實(shí)行措施復(fù)原，例如接受可信計(jì)算等技術(shù)。

8.3.2平安區(qū)域邊界設(shè)計(jì)技術(shù)要求

第四級(jí)平安區(qū)域邊界從以下方面進(jìn)行平安設(shè)計(jì)：

a）區(qū)域邊界訪問限制

應(yīng)在平安區(qū)域邊界設(shè)置自主和強(qiáng)制訪問限制機(jī)制，實(shí)施相應(yīng)的訪問限制策

略，對(duì)進(jìn)出平安區(qū)域邊界的數(shù)據(jù)信息進(jìn)行限制，阻擋非授權(quán)訪問。

b）區(qū)域邊界包過濾

應(yīng)依據(jù)區(qū)域邊界平安限制策略，通過檢查數(shù)據(jù)包的源地址、目的地址、傳

輸層協(xié)議、請(qǐng)求的服務(wù)等，確定是否允許該數(shù)據(jù)包進(jìn)出受愛惜的區(qū)域邊界。

c）區(qū)域邊界平安審計(jì)

應(yīng)在平安區(qū)域邊界設(shè)置審計(jì)機(jī)制，通過平安管理中心集中管理，對(duì)確認(rèn)的

違規(guī)行為與時(shí)報(bào)警并做出相應(yīng)處置。

d）區(qū)域邊界完整性愛惜

應(yīng)在區(qū)域邊界設(shè)置探測器，例如外接探測軟件，探測非法外聯(lián)和入侵行為,

并與時(shí)報(bào)告平安管理中心。

8.3.3平安通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)要求

第四級(jí)平安通信網(wǎng)絡(luò)從以下方面進(jìn)行平安設(shè)計(jì)：

a）通信網(wǎng)絡(luò)平安審計(jì)

應(yīng)在平安通信網(wǎng)絡(luò)設(shè)置審計(jì)機(jī)制，由平安管理中心集中管理，并對(duì)確認(rèn)的

違規(guī)行為進(jìn)行報(bào)警，且做出相應(yīng)處置

b）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性愛惜

應(yīng)接受由密碼等技術(shù)支持的完整性校驗(yàn)機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完

整性愛惜，并在發(fā)覺完整性被破壞時(shí)進(jìn)行復(fù)原。

c）通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性愛惜

接受由密碼等技術(shù)支持的保密性愛惜機(jī)制，以實(shí)現(xiàn)通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密

性愛^惜。

d）通信網(wǎng)絡(luò)可信接入愛惜

應(yīng)接受由密碼等技術(shù)支持的可信網(wǎng)絡(luò)連接機(jī)制，通過對(duì)連接到通信網(wǎng)絡(luò)的

設(shè)備進(jìn)行可信檢驗(yàn)，確保接入通信網(wǎng)絡(luò)的設(shè)備真實(shí)可信，防止設(shè)備的非法

接入。

8.3.4平安管理中心設(shè)計(jì)技術(shù)要求

8.3.4.1系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)行配置、限制和管理，包括用

戶身份管理、系統(tǒng)資源配置、系統(tǒng)加載和啟用、系統(tǒng)運(yùn)行的異樣處理以與

支持管理本地和異地災(zāi)難備份與復(fù)原等。

應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的叮囑或操作界面進(jìn)行

系統(tǒng)管理操作，并對(duì)這些操作進(jìn)行審計(jì)。

8.3.4.2平安管理

應(yīng)通過平安管理員對(duì)系統(tǒng)中的主體、客體進(jìn)行統(tǒng)一標(biāo)記，對(duì)主體進(jìn)行授

權(quán)，配置一樣的平安策略，并確保標(biāo)記、授權(quán)和平安策略的數(shù)據(jù)完整性。

應(yīng)對(duì)平安管理員進(jìn)行身份鑒別，只允許其通過特定的叮囑或

操作界面進(jìn)行平安管理操作，并進(jìn)行審計(jì)。

8.3.4.3審計(jì)管理

應(yīng)通過平安審計(jì)員對(duì)分布在系統(tǒng)各個(gè)組成部分的平安審計(jì)機(jī)制進(jìn)行集

中管理，包括依據(jù)平安審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；供應(yīng)按時(shí)間段開啟

和關(guān)閉相應(yīng)類型的平安審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)?、

管理和查詢等。對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并依據(jù)分析結(jié)果進(jìn)行與時(shí)處

理。

應(yīng)對(duì)平安審計(jì)員進(jìn)行身份鑒別，只允許其通過特定的叮囑或操作界面進(jìn)行

平安審計(jì)操作。

8.3.5系統(tǒng)平安愛惜環(huán)境結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求

8.3.5.1平安愛惜部件結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求

第四級(jí)系統(tǒng)平安愛惜環(huán)境各平安愛惜部件的設(shè)計(jì)應(yīng)基于形式化的平安

策略模型。平安愛惜部件應(yīng)劃分為關(guān)鍵平安愛惜部件和非關(guān)鍵平安愛惜部

件，防止違反平安策略致使敏感信息從關(guān)鍵平安愛惜部件流向

非關(guān)鍵平安愛惜部件。關(guān)鍵平安愛惜部件應(yīng)劃分功能層次，明確定義功

能層次間的調(diào)用接口，確保接口之間的信息平安交換。

8.3.5.2平安愛惜部件互聯(lián)結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求

第四級(jí)系統(tǒng)各平安愛惜部件之間互聯(lián)的接口功能與其調(diào)用關(guān)系應(yīng)明確

定義；各平安愛惜部件之間互聯(lián)時(shí)，須要通過可信驗(yàn)證機(jī)制相互驗(yàn)證對(duì)方

的可信性，確保平安愛惜部件間的可信連接。

8.3.5.3重要參數(shù)結(jié)構(gòu)化設(shè)計(jì)技術(shù)要求

應(yīng)對(duì)第四級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)實(shí)現(xiàn)的與平安策略相關(guān)的重要參數(shù)

的數(shù)據(jù)結(jié)構(gòu)給出明確定義，包括參數(shù)的類型、運(yùn)用描述以與功能說明等,

并用可信驗(yàn)證機(jī)制確保數(shù)據(jù)不被篡改。

9第五級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)

9.1設(shè)計(jì)目標(biāo)

第五級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)目標(biāo)是：依據(jù)GB17859T999對(duì)第五級(jí)

系統(tǒng)的平安愛惜要求，在第四級(jí)系統(tǒng)平安愛惜環(huán)境的基礎(chǔ)上，實(shí)現(xiàn)訪問監(jiān)

控器，仲裁主體對(duì)客體的訪問，并支持平安管理職能。審計(jì)

機(jī)制可依據(jù)審計(jì)記錄與時(shí)分析發(fā)覺平安事務(wù)并進(jìn)行報(bào)警，供應(yīng)系統(tǒng)復(fù)原

機(jī)制，以使系統(tǒng)具有更強(qiáng)的抗?jié)B透實(shí)力。

9.2設(shè)計(jì)策略

第五級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)策略是：遵循GB17859-1999的4.5

中“訪問監(jiān)控器本身是抗篡改的；必需足夠小，能夠分析和測試”。在設(shè)

計(jì)和實(shí)現(xiàn)訪問監(jiān)控器時(shí)，應(yīng)盡力降低其困難性；供應(yīng)系統(tǒng)復(fù)原機(jī)

制；使系統(tǒng)具有更強(qiáng)的抗?jié)B透實(shí)力；所設(shè)計(jì)的訪問監(jiān)控器能進(jìn)行必要的

分析與測試，具有抗篡改實(shí)力。

第五級(jí)系統(tǒng)平安愛惜環(huán)境的設(shè)計(jì)通過第五級(jí)的平安計(jì)算環(huán)境、平安區(qū)域邊

界、平安通信網(wǎng)絡(luò)以與平安管理中心的設(shè)計(jì)加以實(shí)現(xiàn)。

9.3設(shè)計(jì)技術(shù)要求

第五級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)技術(shù)要求另行制定。

10定級(jí)系統(tǒng)互聯(lián)設(shè)計(jì)

10.1設(shè)計(jì)目標(biāo)

定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)目標(biāo)是：對(duì)相同或不同等級(jí)的定級(jí)系統(tǒng)之間的互聯(lián)、

互通、互操作進(jìn)行平安愛惜，確保用戶身份的真實(shí)性、操作的平安性以與

抗抵賴性，并按平安策略對(duì)信息流向進(jìn)行嚴(yán)格限制，確保

進(jìn)出平安計(jì)算環(huán)境、平安區(qū)域邊界以與平安通信網(wǎng)絡(luò)的數(shù)據(jù)平安。

10.2設(shè)計(jì)策略

定級(jí)系統(tǒng)互聯(lián)的設(shè)計(jì)策略是：遵循GB17859-1999對(duì)各級(jí)系統(tǒng)的平安愛

惜要求，在各定級(jí)系統(tǒng)的計(jì)算環(huán)境平安、區(qū)域邊界平安和通信網(wǎng)絡(luò)平安的

基礎(chǔ)上，通過平安管理中心增加相應(yīng)的平安互聯(lián)策略，保持

用戶身份、主/客體標(biāo)記、訪問限制策略等平安要素的一樣性，對(duì)互聯(lián)

系統(tǒng)之間的互操作和數(shù)據(jù)交換進(jìn)行平安愛惜。

10.3設(shè)計(jì)技術(shù)要求

10.3.1平安互聯(lián)部件設(shè)計(jì)技術(shù)要求

應(yīng)通過通信網(wǎng)絡(luò)交換網(wǎng)關(guān)與各定級(jí)系統(tǒng)平安愛惜環(huán)境的平安通信網(wǎng)絡(luò)

部件相連接，并按互聯(lián)互通的平安策略進(jìn)行信息交換，實(shí)現(xiàn)平安互聯(lián)部件。

平安策略由跨定級(jí)系統(tǒng)平安管理中心實(shí)施。

10.3.2跨定級(jí)系統(tǒng)平安管理中心設(shè)計(jì)技術(shù)要求

應(yīng)通過平安通信網(wǎng)絡(luò)部件與各定級(jí)系統(tǒng)平安愛惜環(huán)境中的平安管理中

心相連，主要實(shí)施跨定級(jí)系統(tǒng)的系統(tǒng)管理、平安管理和審計(jì)管理。

系統(tǒng)管理

應(yīng)通過系統(tǒng)管理員對(duì)平安互聯(lián)部件與相同和不同等級(jí)的定級(jí)系統(tǒng)中與

平安互聯(lián)相關(guān)的系統(tǒng)資源和運(yùn)行進(jìn)行配置和管理，包括用戶身份管理、平

安互聯(lián)部件資源配置和管理等。

平安管理

應(yīng)通過平安管埋員對(duì)相同和不同等級(jí)的定級(jí)系統(tǒng)中與平安互聯(lián)相關(guān)的

主/客體進(jìn)行標(biāo)記管理，使其標(biāo)記能精確反映主/客體在定級(jí)系統(tǒng)中的平安

屬性；對(duì)主體進(jìn)行授權(quán)，配置統(tǒng)一的平安策略，并確保授權(quán)在

相同和不同等級(jí)的定級(jí)系統(tǒng)中的合理性。

審計(jì)管理

應(yīng)通過平安審計(jì)員對(duì)平安互聯(lián)部件的平安審計(jì)機(jī)制、各定級(jí)系統(tǒng)的平安

審計(jì)機(jī)制以與與跨定級(jí)系統(tǒng)互聯(lián)有關(guān)的平安審計(jì)機(jī)制進(jìn)行集中管理。包括

依據(jù)平安審計(jì)策略對(duì)審計(jì)記錄進(jìn)行分類；供應(yīng)按時(shí)間段開啟

和關(guān)閉相應(yīng)類型的平安審計(jì)機(jī)制；對(duì)各類審計(jì)記錄進(jìn)行存儲(chǔ)?、管理和查

詢等。對(duì)審計(jì)記錄應(yīng)進(jìn)行分析，并依據(jù)分析結(jié)果進(jìn)行與時(shí)處理。

附錄A

（資料性附錄）

訪問限制機(jī)制設(shè)計(jì)

A.1自主訪問限制機(jī)制設(shè)計(jì)

系統(tǒng)在初始配置過程中，平安管理中心首先須要對(duì)系統(tǒng)中的主體與客體

進(jìn)行登記命名，然后依據(jù)自主訪問限制平安策略，依據(jù)主體對(duì)其創(chuàng)建客體

的授權(quán)叮囑，為相關(guān)主體授權(quán)，規(guī)定主體允許訪問的客體和

操作，并形成訪問限制列表。自主訪問限制機(jī)制結(jié)構(gòu)如圖A.1所示。

用戶登錄系統(tǒng)時(shí)，首先進(jìn)行身份鑒別，經(jīng)確認(rèn)為合法的注冊(cè)用戶可登錄系

統(tǒng)，并執(zhí)行相應(yīng)的程序。當(dāng)執(zhí)行程序主體發(fā)出訪問系統(tǒng)中客體資源的請(qǐng)求

后，自主訪問限制平安機(jī)制將截獲該請(qǐng)求，然后查詢對(duì)應(yīng)

訪問限制列表。假如該請(qǐng)求符合自主訪問限制列表規(guī)定的權(quán)限，則允許

其執(zhí)行；否則將拒絕執(zhí)行，并將此行為記錄在審計(jì)記錄中。

A.2強(qiáng)制訪問限制機(jī)制設(shè)計(jì)

系統(tǒng)在初始配置過程中，平安管理中心須要對(duì)系統(tǒng)中的確定主體與其所

限制的客體實(shí)施身份管理、標(biāo)記管理、授權(quán)管理和策略管理。身份管理確

定系統(tǒng)中全部合法用戶的身份、工作密鑰、證書等與平安相

關(guān)的內(nèi)容。標(biāo)記管理依據(jù)業(yè)務(wù)系統(tǒng)的須要，結(jié)合客體資源的重要程度，

確定系統(tǒng)中全部客體資源的平安級(jí)別與范疇，生成全局客體平安標(biāo)記列表;

同時(shí)依據(jù)用戶在業(yè)務(wù)系統(tǒng)中的權(quán)限和角色確定主體的平安

級(jí)別與范疇，生成全局主體平安標(biāo)記列表。授權(quán)管理依據(jù)業(yè)務(wù)系統(tǒng)需求

和平安狀況，授予用戶訪問客體資源的權(quán)限，生成強(qiáng)制訪問限制策略和級(jí)

別調(diào)整策略列表。策略管理則依據(jù)業(yè)務(wù)系統(tǒng)的需求，生成與

執(zhí)行主體相關(guān)的策略，包括強(qiáng)制訪問限制策略和級(jí)別調(diào)整策略。除此之

外，平安審計(jì)員須要通過平安管理中心制定系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審

計(jì)管理。強(qiáng)制訪問限制機(jī)制結(jié)構(gòu)如圖A.2所示。

系統(tǒng)在初始執(zhí)行時(shí)，首先要求用戶標(biāo)識(shí)自己的身份，經(jīng)過系統(tǒng)身份認(rèn)證

確認(rèn)為授權(quán)主體后，系統(tǒng)將下載全局主/客體平安標(biāo)記列表與與該主體對(duì)

應(yīng)的訪問限制列表，并對(duì)其進(jìn)行初始化。當(dāng)執(zhí)行程序主體發(fā)出

訪問系統(tǒng)中客體資源的請(qǐng)求后，系統(tǒng)平安機(jī)制將截獲該請(qǐng)求，并從中取

出訪問限制相關(guān)的主體、客體、操作三要素信息，然后查詢?nèi)种?客體

平安標(biāo)記列表，得到主/客休的平安標(biāo)記信息,，并依據(jù)強(qiáng)制訪

問限制策略對(duì)該請(qǐng)求實(shí)施策略符合性檢查。假如該請(qǐng)求符合系統(tǒng)強(qiáng)制訪

問限制策略，則系統(tǒng)將允許該主體執(zhí)行資源訪問。否則，系統(tǒng)將進(jìn)行級(jí)別

調(diào)整審核，即依據(jù)級(jí)別調(diào)整策略，推斷發(fā)出該請(qǐng)求的主體是否有權(quán)訪問該

客體。假如上述檢查通過，系統(tǒng)同樣允許該主體執(zhí)行資源訪問，否則，該

請(qǐng)求將被系統(tǒng)拒絕執(zhí)行。系統(tǒng)強(qiáng)制訪問限制機(jī)制在執(zhí)行平安策略過程中,

須要依據(jù)平安審計(jì)員制定的審計(jì)策略，對(duì)用戶的請(qǐng)求與平安決策結(jié)果進(jìn)行

審計(jì)，并且將生成的審計(jì)記錄發(fā)送到審計(jì)服務(wù)器存儲(chǔ)，供平安審計(jì)員管

理。

執(zhí)行程序主體請(qǐng)求訪同客體

執(zhí)行拒絕

返回返回

主手

身份/標(biāo)記

符合

鬻M曾審計(jì)

強(qiáng)制訪問用制執(zhí)行

強(qiáng)制訪問控制級(jí)別調(diào)隹

策略策略

用戶身份管理標(biāo)記曾理、授權(quán)管理、第略管理審計(jì)曾理

安全胃理中心

圖A.2強(qiáng)制訪問控制機(jī)制結(jié)構(gòu)

附錄B

（資料性附錄）

第三級(jí)系統(tǒng)平安愛惜環(huán)境設(shè)計(jì)示例

B.1功能與流程

依據(jù)“一個(gè)中心”管理下的“三重愛惜”體系框架，構(gòu)建平安機(jī)制和策

略，形成定級(jí)系統(tǒng)的平安愛惜環(huán)境。該環(huán)境分為如下四部分：平安計(jì)算環(huán)

境、平安區(qū)域邊界、平安通信網(wǎng)絡(luò)和平安管理中心。每個(gè)部分由1

個(gè)或若干個(gè)子系統(tǒng)（平安愛惜部件）組成，子系統(tǒng)具有平安愛惜功能獨(dú)

立完整、調(diào)用接口簡潔、與平安產(chǎn)品相對(duì)應(yīng)和易于管理等特征。平安計(jì)算

環(huán)境可細(xì)分為節(jié)點(diǎn)子系統(tǒng)和典型應(yīng)用支撐子系統(tǒng)；平安管理

中心可細(xì)分為系統(tǒng)管理子系統(tǒng)、平安管理子系統(tǒng)和審計(jì)子系統(tǒng)。以上各

子系統(tǒng)之間的邏輯關(guān)系如圖B.1所示。

安全計(jì)■環(huán)境安至通信網(wǎng)絡(luò)

___jrJB2￡2

4JltXHXX

應(yīng)

用

房

電寓|

拓

m

節(jié)

區(qū)

■由

信

域:

少

*冏

邊

于

■絡(luò)

界

系

子

干?

統(tǒng)

w系

統(tǒng)

戰(zhàn)

身定統(tǒng)買統(tǒng)安全管理*心

圖B.1第三皴系統(tǒng)安全保護(hù)環(huán)境結(jié)構(gòu)與流程

B.1.1各子系統(tǒng)主要功能

第三級(jí)系統(tǒng)平安愛惜環(huán)境各子系統(tǒng)的主要功能如下:

a）節(jié)點(diǎn)子系統(tǒng)

節(jié)點(diǎn)子系統(tǒng)通過在操作系統(tǒng)核心層、系統(tǒng)層設(shè)置以強(qiáng)制訪問限制為主體的

系統(tǒng)平安機(jī)制，形成防護(hù)層，通過對(duì)用戶行為的限制，可以有效防止非授

權(quán)用戶訪問和授權(quán)用戶越權(quán)訪問，確保信息和信息系統(tǒng)的

保密性和完整性，為典型應(yīng)用支撐子系統(tǒng)的正常運(yùn)行和免遭惡意破壞供

應(yīng)支撐和保障。

b）典型應(yīng)用支撐子系統(tǒng)

典型應(yīng)用支撐子系統(tǒng)是系統(tǒng)平安愛惜環(huán)境中為應(yīng)用系統(tǒng)供應(yīng)平安支撐服

務(wù)的接口。通過接口平臺(tái)使應(yīng)用系統(tǒng)的主客體與愛惜環(huán)境的主客體相對(duì)應(yīng),

達(dá)到訪問限制策略實(shí)現(xiàn)的一樣性。

c）區(qū)域邊界子系統(tǒng)

區(qū)域邊界子系統(tǒng)通過對(duì)進(jìn)入和流出平安愛惜環(huán)境的信息流進(jìn)行平安檢查，

確保不會(huì)有違反系統(tǒng)平安策略的信息流經(jīng)過邊界。

d）通信網(wǎng)絡(luò)子系統(tǒng)

通信網(wǎng)絡(luò)子系統(tǒng)通過對(duì)通信數(shù)據(jù)包的保密性和完整性的愛惜，確保其在傳

輸過程中不會(huì)被非授權(quán)竊聽和篡改，以保障數(shù)據(jù)在傳輸過程中的平安。

e）系統(tǒng)管理子系統(tǒng)

系統(tǒng)管理子系統(tǒng)負(fù)責(zé)對(duì)平安愛惜環(huán)境中的計(jì)算節(jié)點(diǎn)、平安區(qū)域邊界、平安

通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，包括用戶身份管理、資源管理、異樣狀況

處理等。

f）平安管理子系統(tǒng)

平安管理子系統(tǒng)是系統(tǒng)的平安限制中樞，主要實(shí)施標(biāo)記管理、授權(quán)管理與

策略管理等。

平安管理子系統(tǒng)通過制定相應(yīng)的系統(tǒng)平安策略，并要求節(jié)點(diǎn)子系統(tǒng)、區(qū)域

邊界子系統(tǒng)和通信網(wǎng)絡(luò)子系統(tǒng)強(qiáng)制執(zhí)行，從而實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的集中

管理。

g）審計(jì)子系統(tǒng)

審計(jì)子系統(tǒng)是系統(tǒng)的監(jiān)督中樞。平安審計(jì)員通過制定審計(jì)策略，并要求節(jié)

點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)、平安管理子系統(tǒng)、系統(tǒng)管

理子系統(tǒng)強(qiáng)制執(zhí)行，實(shí)現(xiàn)對(duì)整個(gè)信息系統(tǒng)的行為審計(jì)，確

保用戶無法抵賴違反系統(tǒng)平安策略的行為，同時(shí)為應(yīng)急處理供應(yīng)依據(jù)。

B.1.2各子系統(tǒng)主要流程

第二級(jí)系統(tǒng)平安愛惜環(huán)境的結(jié)構(gòu)與流程可以分為平安管理流程與訪問限

制流程。平安管理流程主要由平安管理員、系統(tǒng)管理員和平安審計(jì)員通過

平安管理中心執(zhí)行，分別實(shí)施系統(tǒng)維護(hù)、平安策略制定和部署、審計(jì)記錄

分析和結(jié)果響應(yīng)等。訪問限制流程則在系統(tǒng)運(yùn)行時(shí)執(zhí)行，實(shí)施自主訪問限

制、強(qiáng)制訪問限制等。

a）策略初始化流程

節(jié)點(diǎn)子系統(tǒng)在運(yùn)行之前，首先由平安管理員、系統(tǒng)管理員和平安審計(jì)員通

過平安管理中心為其部署相應(yīng)的平安策略。其中，系統(tǒng)管理員首先須要為

定級(jí)系統(tǒng)中的全部用戶實(shí)施身份管理，即確定全部用戶的身份、工作密鑰、

證書等。同時(shí)須要為定級(jí)系統(tǒng)實(shí)施資源管理，以確定業(yè)務(wù)系統(tǒng)正常運(yùn)行須

要運(yùn)用的執(zhí)行程序等。平安管理員須要通過平安管理中心為定級(jí)系統(tǒng)中全

部主、客體實(shí)施標(biāo)記管理，即依據(jù)業(yè)務(wù)系統(tǒng)的須要，結(jié)合客體資源的重要

程度，確定其平安級(jí)，生成全局客體平安標(biāo)記列表。同時(shí)依據(jù)用戶在業(yè)務(wù)

系統(tǒng)中的權(quán)限和角色確定其平安標(biāo)記，生成全局主體平安標(biāo)記列表。在此

基礎(chǔ)上，平安管理員須要依據(jù)系統(tǒng)需求和平安狀況，為主體實(shí)施授權(quán)管理,

即授予用戶訪問客體資源的權(quán)限，生成強(qiáng)制訪問限制列表和級(jí)別調(diào)整策略

列表。除此之外，平安審計(jì)員須要通過平安管理中心中的審計(jì)子系統(tǒng)制定

系統(tǒng)審計(jì)策略，實(shí)施系統(tǒng)的審核管理。假如定級(jí)系統(tǒng)須要和其它系統(tǒng)進(jìn)行

互聯(lián)，則上述初始化流程須要結(jié)合跨定級(jí)系統(tǒng)平安管理中心制定的策略執(zhí)

行。

b）計(jì)算節(jié)點(diǎn)啟動(dòng)流程

策略初始化完成后，授權(quán)用戶才可以啟動(dòng)并運(yùn)用計(jì)算節(jié)點(diǎn)訪問定級(jí)系統(tǒng)中

的客體資源。為了確保計(jì)算節(jié)點(diǎn)的系統(tǒng)完整性，節(jié)點(diǎn)子系統(tǒng)在啟動(dòng)時(shí)須要

對(duì)所裝載的可執(zhí)行代碼進(jìn)行可信驗(yàn)證，確保其在可執(zhí)行代

碼預(yù)期值列表中，并且程序完整性沒有遭到破壞。計(jì)算節(jié)點(diǎn)啟動(dòng)后，用

戶便可以平安地登錄系統(tǒng)。在此過程中，系統(tǒng)首先裝載代表用戶身份唯一

標(biāo)識(shí)的硬件令牌，然后獲得其中的用戶信息，進(jìn)而驗(yàn)證登錄

用戶是否是該節(jié)點(diǎn)上的授權(quán)用戶。假如檢查通過，系統(tǒng)將請(qǐng)求策略服務(wù)

器下載與該用戶相關(guān)的系統(tǒng)平安策略。下載成功后，系統(tǒng)可信計(jì)算基將確

定執(zhí)行主體的數(shù)據(jù)結(jié)構(gòu)，并初始化用戶工作空間。此后，該

用戶便可以通過啟動(dòng)應(yīng)用訪問定級(jí)系統(tǒng)中的客體資源。

C）計(jì)算節(jié)點(diǎn)訪問限制流程

用戶啟動(dòng)應(yīng)用形成執(zhí)行主體后，執(zhí)行主體將代表用戶發(fā)出訪問本地或網(wǎng)絡(luò)

資源的請(qǐng)求，該請(qǐng)求將被操作系統(tǒng)訪問限制模塊截獲。訪問限制模塊首先

依據(jù)自主訪問限制策略對(duì)其執(zhí)行策略符合性檢查。假如自

主訪問限制策略符合性檢查通過，則該請(qǐng)求允許被執(zhí)行；否則，訪問限

制模塊依據(jù)強(qiáng)制訪問限制策略對(duì)該請(qǐng)求執(zhí)行策略符合性檢查。假如強(qiáng)制訪

問策略符合性檢查通過，那么該請(qǐng)求允許被執(zhí)行；否則，系

統(tǒng)對(duì)其進(jìn)行級(jí)別調(diào)整檢查。即依照級(jí)別調(diào)整檢查策略，推斷發(fā)出該請(qǐng)求

的主體是否有權(quán)訪問該客體。假如通過，該請(qǐng)求同樣允許被執(zhí)行；

否則，該請(qǐng)求被拒絕執(zhí)行。

系統(tǒng)訪問限制機(jī)制在平安決策過程中，須要依據(jù)平安審計(jì)員制定的審計(jì)策

略，對(duì)用戶的請(qǐng)求與決策結(jié)果進(jìn)行審計(jì)，并且將生成的審計(jì)記錄發(fā)送到審

計(jì)服務(wù)器存儲(chǔ)，供平安審計(jì)員檢查和處理。

d）跨計(jì)算節(jié)點(diǎn)訪問限制流程

假如主體和其所請(qǐng)求訪問的客體資源不在同一個(gè)計(jì)算節(jié)點(diǎn)，則該請(qǐng)求會(huì)被

可信接入模塊截獲，用來推斷該請(qǐng)求是否會(huì)破壞系統(tǒng)平安。在進(jìn)行接入檢

查前，模塊首先通知系統(tǒng)平安代理獲得對(duì)方計(jì)算節(jié)點(diǎn)的身

份，并檢驗(yàn)其平安性。假如檢驗(yàn)結(jié)果是擔(dān)吮全的，則系統(tǒng)拒絕該請(qǐng)求;

否則，系統(tǒng)將依據(jù)強(qiáng)制訪問限制策略，推斷該主體是否允許訪問相應(yīng)端口。

假如檢查通過，該請(qǐng)求被放行；否則，該請(qǐng)求被拒絕。

e）跨邊界訪問限制流程

假如主體和其所請(qǐng)求訪問的客體資源不在同一個(gè)平安愛惜環(huán)境內(nèi)，那么該

請(qǐng)求將會(huì)被區(qū)域邊界限制設(shè)備截獲并且進(jìn)行平安性檢查，檢查過程類似于

跨計(jì)算節(jié)點(diǎn)訪問限制流程。

B.2子系統(tǒng)間接口

B.2.1綜述

為了清楚描述各子系統(tǒng)之間的關(guān)系，圖B.2給出了子系統(tǒng)間的接口關(guān)系。

圖B.2第三級(jí)系統(tǒng)安全保護(hù)環(huán)境子系統(tǒng)接口

典型應(yīng)用支撐子系統(tǒng)與節(jié)點(diǎn)子系統(tǒng)之間通過系統(tǒng)調(diào)用接口。其它子系統(tǒng)

之間則通過牢靠的網(wǎng)絡(luò)傳輸協(xié)議，依據(jù)規(guī)定的接口協(xié)議傳輸策略數(shù)據(jù)、審

計(jì)數(shù)據(jù)以與其他平安愛惜環(huán)境數(shù)據(jù)等。由于不同子系統(tǒng)之間

須要交換各種類型的數(shù)據(jù)包，因此須要明確定義子系統(tǒng)間的接口協(xié)議并

規(guī)范傳輸數(shù)據(jù)包格式，使得各子系統(tǒng)之間能透亮交互，實(shí)現(xiàn)相應(yīng)數(shù)據(jù)的交

換。數(shù)據(jù)包的標(biāo)準(zhǔn)格式如表B.1所示。

表B1子系統(tǒng)間數(shù)據(jù)包格式

013456789101112131415

版A號(hào)接口類型標(biāo)記位

內(nèi)容長度附E項(xiàng)長度保留

數(shù)據(jù)內(nèi)容

???

附加頊類型附配項(xiàng)內(nèi)容

???

數(shù)據(jù)包由包頭、附加項(xiàng)和數(shù)據(jù)內(nèi)容三部分組成，其中包頭為32字節(jié)，

定義了標(biāo)記、版本號(hào)、接口類型、標(biāo)記位以與內(nèi)容和附加項(xiàng)長度等。內(nèi)容

和附加項(xiàng)長度不定。數(shù)據(jù)包各數(shù)據(jù)項(xiàng)說明如下：

標(biāo)記（4字節(jié)）：用于標(biāo)識(shí)等級(jí)愛惜相關(guān)的數(shù)據(jù)流，此標(biāo)記可以作為區(qū)分

等級(jí)愛惜數(shù)據(jù)包的依據(jù)。

版本號(hào)（4字節(jié)）：表示該接口協(xié)議的版本號(hào)。其中前兩個(gè)字節(jié)表示主版

本號(hào)。

接口類型（4字節(jié)）：表示本數(shù)據(jù)包的對(duì)應(yīng)接口類型編號(hào)。

標(biāo)記位（4字節(jié)）：表述數(shù)據(jù)包屬性標(biāo)記，如表B.2所示。

表B2數(shù)據(jù)包屬性標(biāo)志

保留＜29比特位）BROSIGCHK

BRO：表示數(shù)據(jù)包發(fā)送對(duì)象地址尚未確定，須要以廣播方式發(fā)送或發(fā)送

給杳詢服務(wù)器。

SIG：表示數(shù)據(jù)包是否有簽名愛惜?，0為無簽名，1為有簽名。假如有簽名

愛惜，簽名信息在附加項(xiàng)中。

CHK：表示數(shù)據(jù)包是否須要校驗(yàn)，0為不校驗(yàn)，1為校驗(yàn)。假如須要校驗(yàn)，

校驗(yàn)碼在附加項(xiàng)中存放。

內(nèi)容長度（4字節(jié)）：表示數(shù)據(jù)包內(nèi)容部分長度，以字節(jié)為單位。

附加項(xiàng)長度（4字節(jié)）：表示全部附加項(xiàng)長度之和，以字節(jié)為單位。

保留（8字節(jié)）：作為數(shù)據(jù)包擴(kuò)展保留。

數(shù)據(jù)內(nèi)容：數(shù)據(jù)包傳輸?shù)木唧w內(nèi)容，其格式與數(shù)據(jù)包類型相關(guān)，長度不

定。

附加項(xiàng)類型（4字節(jié)）：表示附加項(xiàng)的類型。

附加項(xiàng)內(nèi)容：數(shù)據(jù)包傳輸?shù)母郊觾?nèi)容，其格式與附加項(xiàng)類型相關(guān)，長度不

定。

下面依據(jù)接口對(duì)應(yīng)的數(shù)據(jù)包類型介紹數(shù)據(jù)內(nèi)容部分，表格中不含包頭和附

加項(xiàng)。

B.2.2接口1

功能：節(jié)點(diǎn)（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)向平安管理子系統(tǒng)請(qǐng)求下載策

略。

類型：請(qǐng)求數(shù)據(jù)包。

描述：計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信網(wǎng)絡(luò)設(shè)備啟動(dòng)時(shí)，向平安管理子系統(tǒng)請(qǐng)

求下載策略,

該接口為節(jié)點(diǎn)子系統(tǒng)、區(qū)域邊界子系統(tǒng)、通信網(wǎng)絡(luò)子系統(tǒng)到平安管理子系

統(tǒng)之間的接口。

客戶端向服務(wù)器發(fā)起TCP連接，發(fā)出的請(qǐng)求數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.3

所示。

表B.3名戶潛向隔務(wù)器發(fā)出的請(qǐng)求數(shù)據(jù)包戮據(jù)內(nèi)容格式

節(jié)點(diǎn)標(biāo)定（1-16字節(jié)）

節(jié)點(diǎn)標(biāo)1770字節(jié)）|用戶身份（1T2字節(jié)）

__________________________________用戶身份（13-28字節(jié)）___________________________________

用戶身份（2970字節(jié)）|附加侑息長度

附加—

B.2.3接口2

功能：平安管理子系統(tǒng)向節(jié)點(diǎn)（區(qū)域邊界、通信網(wǎng)絡(luò)）子系統(tǒng)返回與請(qǐng)求

主體相關(guān)的策略。

類型：策略下發(fā)數(shù)據(jù)包。

描述：平安管理中心接到下載策略請(qǐng)求后，向計(jì)算節(jié)點(diǎn)、區(qū)域邊界、通信

網(wǎng)絡(luò)設(shè)備發(fā)送平安策略。

平安管理子系統(tǒng)策略下發(fā)數(shù)據(jù)包數(shù)據(jù)內(nèi)容格式如表B.4