GBT 20270-2006 信息安全技术 网络基础安全技术要求

5.1.4鉴别失败处理

要求SSF为不成功的鉴别尝试次数（包括尝试数目和时间的阅值)定义一个值，以及明确规定达到 该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数 目相同的情况，并进行预先定义的处理。

5. 2. 1访问控制策略

SSF应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体与客体间操 可以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问 包括：访问控制表访间控制、目录表访问控制、权能表访问控制等。

水利技术论文5.2. 2 访问控制功解

SSF应明确指出采用一条命名的访问控制策略所实现的特定功能，说明策略的使用和特征，以及该 策略的控制范围。 无论采用何种自主访问控制策略，SSF应有能力提供： 在安全属性或命名的安全属性组的客体上，执行访问控制SFP； 在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问； 在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问

5.2.3访问控制范围

网络系统中自主访问控制的覆盖范围分为： a）子集访问控制：要求每个确定的自主访问控制，SSF应盖网络系统中所定义的主体、客体及 其之间的操作； b） 完全访问控制：要求每个确定的自主访问控制，SSF应覆盖网络系统中所有的主体、客体及其 之间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至 少被一个确定的访间控制SFP覆盖

5. 2. 4 访问控制粒度

网络系统中自主访问控制的粒度分为： a）粗粒度：主体为用户组/用户级，客体为文件、数据库表级； b）中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级； C）细粒度，主体为用户级，客体为文件、数据库表级和/或记录、字段级或元素级

应为实施强制访问控制的主体指定敏感标记 这些敏感标记是实施强制访问控制的依据。如：等 类和非等级类别组合的敏感标记是实施多级安全模型的基础

应为实地强制访可控制的客体指定致 ，这些敏感标记是实施强制访问控制的依据。如 分类和非等级类别组合的敏感标记是实施多级安全模型的基础，

5.3. 3标记完整性

敏感标记应能准确地表示特定主体或客体的访问控制属性，主体和客体应以此发生关联。当数据 从SSON输出时，根据需要，敏感标记应能准确地和明确地表示输出数据的内部标记，并与输出的数据 相关联。

5.3.4有标记信息的输出

SSON应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权用户实 现，并可由SSON审计。SSON应维持并且能够对安全保护等级的任何变化进行审定，或对与通信信道 或I/O设备有关的安全保护等级进行安全审计。 a）向多级安全设备的输出：当SSON将一客体信息输出到一个具有多级安全的I/O设备时，与 该客体有关的敏感标记也应输出；并以与输出信息相同的形式（如机器可读或人可读形式)驻 留在同一物理媒体上。当SSON在多级通信信道上输出或输入一客体信息时，该信道使用的 协议应在敏感标记和被发送或被接收的有关信息之间提供明确的配对关系。 b）向单级安全设备的输出：单级1/O设备和单级通信信道不需要维持其处理信息的敏感标记 但SSON应包含一种机制，使SSON与一个授权用户能可靠地实现指定的安全级的信息通 信。这种信息经由单级通信信道或I/O设备输入/输出。 c）人可读标记的输出：SSOV应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输 出（如行打印机输出）的开始和结束，以适当地表示输出敏感性。SSON应按默认值标记人可 读的、编页的、具有人可读的敏感标记的硬拷贝输出（如行打印机输出）每页的顶部和底部，以 适当地表示该输出总的敏感性，或表示该页信息的敏感性。SSON应该按默认值，并以一种适 当方法标记具有人可读的敏感标记的其他形式的人可读的输出（如图形），以适当地表示该输 出的敏感性。这些标记默认值的任何滥用帮应由SSON审计

网络强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与客体间的 作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访问控 策略有： a 多级安全模型：基本思想是，在对主、客体进行标记的基础上，SSOIS控制范围内的所有主体对 客体的直接或间接的访问应满足： 一一向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记 中的非等级类别包含了客体标记中的全部非等级类别，主体才能读该客体； 一向上写原则：仅当主体标记中的等级分类低于或等于客体标记中的等级分类，且主体标记 中的非等级类别包含于客体标记中的非等级类别，主体才能写该客体。 b）基于角色的访问控制（BRAC)：基本思想是，按角色进行权限的分配和管理；通过对主体进行 角色授予，使主体获得相应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应角 色权限。在基于角色的访问控制中，标记信息是对主体的授权信息。 C 特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按最 小授权原则进行管理。实现特权用户的权限分离；仅授予特权用户为完成自身任务所需要的 最小权限，

5.4.2访问控制功能

在标记邮名的 按受控主体和受控客体之间的允许访问规则，决定允许受控主体对受控客体执行受控操作； 按受控主体和受控客体之间的拒绝访问规则，决定拒绝受控主体对受控客体执行受控操作。

5.4.3访问控制范围

5.4.4访问控制粒度

网络强制访问控制的粒度分为： a）中粒度：主体为用户级，客体为文件、数据库表级和/或记录、宇段级； b）细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级和/或元素级。

5.4.5 访问控制环境

对网络中以数据流方式实现数据流动的情况，应采用数据流控制机制实现对数据流动的控制 止具有高等级安全的数据信息向低等级的区域流动。

5.6.1安全审计的响应

5. 6.2安全审计数据产生

SSF应按以下要求产生审计数据： a）为下述可审计事件产生审计记录： 审计功能的启动和关闭； 使用身份鉴别机制； 一将客体引入用户地址空间（例如：打开文件、程序初始化）； 一一删除客体； 一系统管理员、系统安全员、审计员和一般操作员所实施的操作： 一其他与系统安全有关的事件或专门定义的可审计事件。 b）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及 其他与审计相关的信息。 c）对于身份鉴别事件，审计记录应包含请求的来源（例如：终端标识符）。

对手客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全 保护等级。

5.6.3安全审计分析

安全审计分析应包括： a）潜在侵害分析：应能用一系列规则去监控审计事件，并根据这些规则指出SSP的潜在侵害 这些规则包括： 一一由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合； 任何其他的规则。 b）基于异常检测的描述：应维护用户所具有的质疑等级一历史使用情况，以表明该用户的现 行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，SSF应能指 出将要发生对安全性的威胁。 C)T 简单攻击探测：应能检测到对SSF实施有重大威胁的签名事件的出现。为此，SSF应维护指 出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当 发现两者匹配时，指出一个对SSF的攻击即将到来。 d)2 复杂攻击探测：在上述简单攻击探测的基础上，要求SSF应能检测到多步人侵情况，并能根据 已知的事件序列模拟出完整的入侵情况，还应指出发现对SSF的潜在侵害的签名事件或事件 序列的时间，

5. 6.4安全审计查阅

安全审计查阅工具应具有： a）审计查阅：提供从审计记录中读取信息的能力，即要求SSF为授权用户提供获得和解释审计 信息的能力。当用户是人时，必须以人类可懂的方式表示信息；当用户是外部IT实体时，必须 以电子方式无歧义地表示审计信息。 6） 有限审计查阅：在上述审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户 读取审计信息。 可选审计查阅：在上述有限审计查阅的基础上，审计查阅工其应具有根据准则来选择要查阅的 审计数据的功能，并根据基种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力

5.6.5安全审计事件选择

应根据以下属性选择可审计事件： a）客体身份、用户身份、主体身份、主机身份、事件类型： b）作为审计选择性依据的附加属性。

5.6.6安全审计事件存储

应具有以下创建并维护安全的审计踪迹记录的能力： a）受保护的审计踪迹存储：要求审计踪迹的存储受到应有的保护，能检测或防止对审计记录的 修改； b) 审计数据的可用性确保：要求在意外情况出现时，能检测或防止对审计记录的修改，以及在发 生审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏； c) 审计数据可能丢失情况下的措施：要求当审计跟踪超过预定的门限时，应采取相应的措施，进 行审计数据可能丢失情况的处理； d) 防止审计数据丢失：要求在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可 选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储

的最老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施，防止审计数据丢失。

5.7.1 存储数据的完整性

应对存储在SSC内的用户数据进行完整性保护，包括： a）完整性检测：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进行完整 性检测； b 完整性检测和恢复：要求SSF应对基于用户属性的所有客体，对存储在SSC内的用户数据进 行完整性检测，并且当检测到完整性错误时，SSF应采取必要的SSF应采取必要的恢复、审计 或报警措施。

5.7.2传输数据的完整性

当用户数据在SSF和其他可信IT系统间传输时应提供完整性保护，包括： a）完整性检测：要求对被传输的用户数据进行检测，及时发现以某种方式传送或接收的用户数据 被篡改、删除、插人等情况发生； D 数据交换恢复：由接收者SSON借助于源可信IT系统提供的信息，或由接收者SSON自已无 须来自源可信IT系统的任何帮助，能恢复被破坏的数据为原始的用户数据。若没有可恢复条 件，应向源可信I工系统提供反馈信息

5.7.3处理数据的完整性

SFP，以允许对所定义的操作序列进行回退

5.8.1存储数据的保密性

8.2传输数据的保密性

应对在SSC内传输的用户数据进行保密性

5.8.3客体安全重用

用户与SSF间的可信路径应： a）提供真实的端点标识，并保护通信数据免遭修改和泄露； b），利用可信路径的通信可以由SSF自身、本地用户或远程用户发起； c）对原发用户的鉴别或需要可信路径的其他服务均使用可信路径。

5.10.1抗原发抵赖

应确保信息的发送者不能否认曾经发送过该信息。这就要求SSF提供一种方法，来确保接收信息

的主体在数据交换期间能获得证明信息原发的证据，而且该证据可由该主体或第三方主体验证。 抗原发抵赖分为： 选择性原发证明：要求SSF具有为主体提供请求原发证据信息的能力。即SSF在接到原发者 或接收者的请求时，能就传输的信息产生原发证据，证明该信息的发送由该原发者所为。 b 强制性原发证明：要求SSF在任何时候都能对传输的信息产生原发证据。即SSF在任何时候 都能就传输的信息强制产生原发证据，证明该信息的发送由该原发者所为

5.10.2抗接收抵赖

应确保信息的接收者不能否认接受过该信息。这就要求SSF提供一种方法，来确保发送信息的主 体在数据交换期间能获得证明该信息被接收的证据，而且该证据可由该主体或第三方主体验证。 抗接收抵赖分为： a 选择性接收证明：要求SSF其有为主体提供请求信息接收证据的能力。即SSF在接到原发者 或接收者的请求时，能就接收到的信息产生接收证据，证明该信息的接收由该接收者所为。 强制性接收证明：要求SSF总是对收到的信息产生接收证据。即SSF能在任何时候对收到的 信息强制产生接收证据，证明该信息的接收由该接收者所为

网络安全监控应采用以下安全技术和机制： a）网络安全探测机制：在组成网络系统的各个重要部位，设置探测器，实时监听网络数据流，监视 和记录内、外部用户出人网络的相关操作。在发现违规模式和未授权访问时，报告网络安全监 控中心。 人 b 网络安全监控中心：设置安全监控中心，对收到的来自探测器的信息，根据安全策略进行分 析，并作审计、报告、事件记录和报警等处理。网络安全监控中心应具有必要的远程管理功能， 如对探测器实现远程参数设置、远程数据下载、远程启动等操作。网络安全监控中心还应具有 实时响应功能，包括攻击分析和响应、误操作分析和响应、漏洞分析和响应等。

6网络安全功能分层分级要求

6. 1 身份鉴别功能

应按照用户标识和用户鉴别的要求进行身份鉴别安全机制的设计。 一般以用户名和用户标识符来标识一个用户，应确保在一个信息系统中用户名和用户标识符的唯 一性，严格的唯一性应维持在网络系统的整个生存周期都有效，即使一个用户的账户已被删除，他的用 户名和标识符也不能再使用，并由此确保用户的唯一性和可区别性。 鉴别应确保用户的真实性。可以用口令进行鉴别，更严格的身份鉴别可采用智能IC卡密码技术， 指纹、虹膜等特征信息进行身份鉴别，并在每次用卢登录系统之前进行鉴别。口令应是不可见的，并在 存储和传输时进行保护。智能IC卡身份鉴别应以密码技术为基础，并按接用户鉴别中不可伪造鉴别所描 述的要求进行设计。对于鉴别失败的情况，要求接鉴别失败所描述的要求进行处理。 用户在系统中的行为一般由进程代为执行，要求按用户一主体绑定所描述的要求，将用户与代表该 用户行为的进程相关联。这种关联应体现在SSON安全功能控制范围之内各主、客体之间的相互关系 上。比如，一个用户通过键人一条命令要求访问一个指定文件，信息系统运行某一进程实现这一功能。 这时，该进程应与该用户相关联，于是该进程的行为即可看作该用户的行为。 身份鉴别应区分实体鉴别和数据起源鉴别：当身份是由参与通信连接或会话的远程实体提交时叫 实体鉴别，它可以作为访问控制服务的一种必要支持；当身份信息是由数据项发送者提交时叫数据起源 鉴别，它是确保部分完整性目标的直接方法，确保知道某个数据项的真正起源。 表2给出了从用户自主保护级到访问验证保护级对身份鉴别功能的分层分级要求

6. 2 自主访问控制功能

GB/T202702006

应按照对访问控制策略的要求，选择所需的访问控制策略，并按照对访问控制功能的要求，设计和 实现所需要的自主访问控制功能。 当使用文件、目录和网络设备时，网络管理员应给文件、目录等指定访问属性。访问控制规则应将 给定的属性与网络服务器的文件、目录和网络设备相联系。网络上的资源都应预先标出一组安全属性。 用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。自主访问控 制应能控制以下权限： a）向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、 系统属性等； b）为每个命名客体指定用户名和用户组，以及规定他们对客体的访问模式。

表3自主访问控制功能分层分级要求

表4标记功能分层分级要求

6.4强制访问控制功能

应按照强制访问控制功能的要求，选择所需的访问控制策略，设计和实现所需要的强制访问控制 功能。 强制访问控制应由专门设置的系统安全员统一管理系统中与该访问控制有关的事件和信息。为了 防止由于系统管理人员或特权用户的权限过于集中所带来的安全隐患，应将系统的常规管理、与安全有 关的管理以及审计管理，由系统管理员、系统安全员和系统审计员分别承担，并在三者之间形成相互制 约的关系。 采用多级安全模型的强制访问控制应将SSON安全控制范围内的所有主、客体成分通过标记方式 设置敏感标记，这些敏感标记与访问规则一起确定每一次主体对客体的访问是否被允许。 这里所要求的对客体的控制范围除涉及系统内部的存储、处理和传输过程外，还应包括将信息进行 输人、输出操作的过程，即无论信息以何种形式存在，都应有一定的安全属性与其相关联，并按强制访问 控制规则对其进行控制

应扩展到信息系统中的所有主体与客体。表5给出了从安全标记保护级到访问验证保护级强制访问控 制功能的分层分级要求。

表5强制访问控制功能分层分级要求

对在网络中以数据流方式进行的数据交换，应按照数据流控制的要求进行用户数据保密性保护 表6给出了从安全标记保护级到访问验证保护级对数据流控制功能的分层分级要求。

对在网络中以数据流方式进行的数据交换，应按照数据流控制的要求进行用户效据保密性保护 计。表6给出了从安全标记保护级到访问验证保护级对数据流控制功能的分层分级要求。

，限定 数据可由审计员处理，但不可修改。 表7绘出了从系统审计保护级到访问验证保护级对安全审计功能的分层分级要求

表7安全审计功能分层分级要求

该要求。每个安全保护等级的具体要求可能不同，详见

6.7用户数据完整性保护功能

GB/T20270—2006

应对系统中存储、传输和处理的用户数据采取有效措施，防止其遭受非授权用户的修改、破坏或 删除。 对存储在系统中的用户数据的完整性保护，较低安全要求应按照存储数据的完整性保护中完整性 监视的要求，设计相应的SSON安全功能模块，对SSON安全控制范围内的用户数据进行完整性保护； 较高安全要求应通过密码支持系统所提供的功能，对加密存储的数据进行存储数据的完整性检验或采 用其他相应的安全机制，在检测到完整性错误时采取必要的恢复措施。 对经过网络传输的用户数据完整性保护，应按照SSON间通信保护中用户用户数据保密性和完整 性检测、以及源恢复和目的恢复的要求设计相应的SSON安全功能模块。 对系统中进行处理的数据的完整性保护，应按照回退的要求设计相应的SSON安全功能模块，进 行异常情况的操作序列回退，以确保数据的完整性。表8给出了从用户自主保护级到访问验证保护级 用户数据完整性保护功能的分层分级要求

表8用户数据完整性保护功能分层分级要求

提供用户与SSON之间安全 可信路径功能的分层分级要求。

公差标准表10可信路径功能分层分级要求

应提供通信双方身份的真实性利 抗原发抵赖中选择性原发证明/强制性原发证明的要求进行设计；对信息的接收方，SSON应按抗接收 抵赖中选择性接收证明/强制性接受证明的要求进行设计。 表11给出了从安全标记保护级到访问验证保护级抗抵赖功能的分层分级要求。

表11抗抵赖功能分层分级要求

c）用户数据完整性： 要求，设计和实现传 输层用户自主保护级的用厂 据的完整性

路桥设计、计算[7. 1. 1. 5 会话层

7. 1. 1. 6 表示层

7. 1. 1. 7 应用层