GBT 20271-2006 信息安全技术 信息系统通用安全技术要求

回退rollback 由于某种原因而撤消上一次/一系列操作，并返回到该操作以前的已知状态的过程。

可信信道trustedchannel

产品之间建立和维护的保护通借数据免建 和泄漏的通信路径

可信路径trustedpath

为实现用户与SSF之间的可信通信食用盐标准，在SSF与用户之间建立和维护的保护信数据免遭修改 漏的通信路径

内部用户数据internaluserdata

信息系统中具有一般使用价值或保密程度，需要进行一定保护的用户数据。该类数据的泄漏或破 坏，会带来一定的损失。

童要用户数据importantuserdate

信息系统中具有重要使用价值或保密程度，需要进行重点保护的用户数据，该类数据的泄露或破 坏，会带来较大的损失。

关键用户数据keyuserdata

核心用户数据nuclearuserdata

信息系统中具有最高使用价值或保密程度，需要进行绝对保护的用户数据，该类数据的泄漏或破 坏，会带来灾难性损失。

通过一系列内部处理措施，将软、硬件所出现的错误消除掉，确保出错情况下SSOIS所提供的安全 功能的有效性和可用性

服务优先级priorityof service

通过对资源使用的有限控制策略，确保SSOIS中高优先级任务的完成不受低优先级任务的干 延误，从面确保SSOIS安全功能的安全性。

资源分配resourceallocation

通过对SSOIS安全功能控制范围内资源的合理管理和调度，确保SSOIS的安全功能不因资 方面的原因而受到影响

配置管理configurationmanagement 一种建立功能要求和规范的方法。该功能要求和规范是在SSOIS的执行中实现的。 3.1.30 配置管理系统 configurationmanagementsystem 通过提供追踪任何变化，以及确保所有修改都已授权的方法，确保SSOIS各部分的完整性， 3.1.31 保护轮廓protectionprofile 详细说明信息系统安全保护需求的文档，即通常的安全需求，一般由用户负责编写。 3.1.32 安全目标securitytarget 述信息系统安全功能及信任度的文档，即通常的安全方案，一般由开发者编写。

配置管理configurationmanagement 一种建立功能要求和规范的方法。该功能要求和规范是在SSOIS的执行中实现的。 3. 1. 30 配置管理系统 configurationmanagementsystem 通过提供追踪任何变化，以及确保所有修改都已授权的方法，确保SSOIS各部分的完整性。 3. 1, 31 保护轮廓protectionprofile 详细说明信息系统安全保护需求的文档，即通常的安全需求，一般由用户负责编写。 3.1.32 安全目标securitytarget 述信息系统安全功能及信任度的文档，即通常的安全方案，一般由开发者编写。

SSOIS安全管理SSOISsecuritymanager

对与SSOIS安全相关方面的管理，包括对不同的管理角色和它们之间的相互作用（如能力的 进行规定，对分散在多个物理上分离的部件有关敏感标记的传播、SSF数据和功能的修改等间 处理。

安全功能数据securityfunctiondata

安全子系统中各个安全功能模块实现其安全功能所需要的数据。如主、客体的安全属性， 息，鉴别信息等。

下列缩略语适用于本标准： CM 配置管理configurationmanagement CMS配置管理系统configurationmanagementsystem PP保护轮廓protectionprofile SFP安全功能策略securityfunctionpolicy SSCSSF控制范围SSFscopeofcontrol SSFSSOIS安全功能SSOISsecurityfunction SSPSSOIS安全策略SSOISsecuritypolicy SSOIS信息系统安全子系统securitysubsystemofinformatio ST安全目标securitytarget

根据对机房安全保护的不同要求，机房场地选择分为： a）基本要求：按一般建筑物的要求进行机房场地选择； b） 防火要求：避开易发生火灾和危险程度高的地区，如油库和其他易燃物附近的区域； c） 防污染要求：避开尘埃、有毒气体、腐蚀性气体、盐雾魔蚀等环境污染的区域； d）防潮及防雷要求：避开低洼、潮湿及落雷区域；

e）防震动和噪声要求：避开强震动源和强噪声源区域； 防强电场、磁场要求：避开强电场和强磁场区域； g) 防地震、水灾要求：避开有地震、水灾危害的区域； h) 位置要求：避免在建筑物的高层以及用水设备的下层或隔壁； i）防公众于扰要求：避免靠近公共区域，如运输通道、停车场或餐厅等

4.1.1.1.2机房内部安全防护

根据对机房安全保护的不同要求，机房内部安全防护分为： a）机房出人：机房应只设一个出人口，并有专人负责，未经允许的人员不准进人机房；另设若干紧 急疏散出口，标明疏散线路和方向； b) 机房物品：没有管理人员的明确准许，任何记录介质、文件材料及各种被保护品均不准带出机 房，磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准带入机房； c 机房人员：获准进人机房的来访人员，其活动范围应受到限制，并有接待人员陪同； d) 机房分区：机房内部应分区管理，一般分为主机区、操作区、辅助区等，并根据每个工作人员的 实际工作需要，确定其能进人的区域； e 机房门禁：设置机房电子门禁系统，进入机房的人员，通过门禁系统的鉴别，方可进入。

4. 1.1.1.3机房防火

4. 1. 1. 1.4机房供、配电

根据对机房安全保护的不同要求，机房供、配电分为： 分开供电：机房供电系统应将计算机系统供电与其他供电分开，并配备应急照明装置； 紧急供电①：配置抵抗电压不足的基本设备，如UPS； 紧急供电②：配置抵抗电压不足的改进设备，如基本UPS、改进UPS、多级UPS； d) 紧急供电③：配置抵抗电压不足的更强设备，如基本UPS、改进的UPS、多级UPS和应急电源 （发电机组）等： 备用供电，建立各用的供电系统，以备常用供电系统停电时启用，完成对运行系统必要的保留

根据对机房安全保护的不同要求，机房供、配电分为： 分开供电：机房供电系统应将计算机系统供电与其他供电分开，并配备应急照明装置； 紧急供电①：配置抵抗电压不足的基本设备，如UPS； 紧急供电②：配置抵抗电压不足的改进设备，如基本UPS、改进UPS、多级UPS； 紧急供电③：配置抵抗电压不足的更强设备，如基本UPS、改进的UPS、多级UPS和应急电源 （发电机组）等； 备用供电：建立备用的供电系统，以备常用供电系统停电时启用，完成对运行系统必要的保留

稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响； g） 电源保护：设置电源保护装置，如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、 电压调整变压器和浪涌滤波器等，防止/减少电源发生故障； 不间断供电：采用不间断供电电源，防止电压波动、电器干扰、断电等对计算机系统的影响； 电器噪声防护：采取有效措施，减少机房中电器噪声干扰，保证计算机系统正常运行； J 突然事件防护：采取有效措施，防止/减少供电中断、异常状态供电（指连续电压过载或低电 压）、电压瞪变、噪声（电磁于扰）以及由于雷击等引起的设备突然失效事件，

4. 1. 1. 1.5 机房空调、降温

根据对机房安全保护的不同要求，机房空调、降温分为： a）基本温度要求：应有必要的空调设备，使机房温度达到所需的温度要求； b） 较完备空调系统：应有较完备的中央空调系统，保证机房温度的变化在计算机系统运行所允 许的范围； c) 完备空调系统：应有完备的中央空调系统，保证机房各个区域的温度变化能满足计算机系统运 行、人员活动和其他辅助设备的要求。

4.1.1.1.6机房防水与防潮

根据对机房安全保护的不同要求，机房防水与防潮分为： a）水管安装要求：水管安装，不得穿过屋顶和活动地板下，穿过墙壁和楼板的水管应使用套管，并 采取可靠的密封措施； b），水害防护：采取一定措施，防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移 与渗透： c） 防水检测：安装对水敏感的检测仪表或元件，对机房进行防水检测，发现水害，及时报警； d）排水要求.机房应设有排水口、并安装水泵，以便迅讯速排出积水

4. 1.1.1.7机房防静电

根据对机房安全保护的不同要求，机房防静电分为： ） 接地与屏蔽：采用必要的措施，使计算机系统有一套合理的防静电接地与屏蔽系统； 服装防静电：人员服装采用不易产生静电的衣料，工作鞋选用低阻值材料制作； C) 温、湿度防静电：控制机房温湿度，使其保持在不易产生静电的范围内； d) 地板防静电：机房地板从表面到接地系统的阻值，应在不易产生静电的范围； e) 材料防静电：机房中使用的各种家具，工作台、柜等，应选择产生静电小的材料； 5 维修MOS电路保护：在硬件维修时，应采用金属板台面的专用维修台，以保护MOS电路； 静电消除要求：在机房中 除剂和静电消除器等，以进一步减少静电的产生。

4.1.1.1.8机房接地与防雷击

根据对机房安全保护的不同要求，机房接地与防雷击分为： a 接地要求：采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等，确保接地体的良好 接地； 去耦、滤波要求：设置信号地与直流电源地，并注意不造成额外耦合，保障去耦、滤波等的良好 效果； c) 避雷要求：设置避雷地，以深埋地下、与大地良好相通的金属板作为接地点；至避雷针的引线则 应采用粗大的紫铜条，或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与避雷针 相连； d) 防护地与屏蔽地要求：设置安全防护地与屏蔽地，采用阻抗尽可能小的良导体的粗线，以减小 各种地之间的电位差；应采用焊接方法，并经常检查接地的良好，检测接地电阻，确保人身、设 备和运行的安全；

根据对机房安全保护的不同要求，机房接地与防雷击分为： a) 接地要求：采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等，确保接地体的良好 接地； b) 去耦、滤波要求：设置信号地与直流电源地，并注意不造成额外耦合，保障去耦、滤波等的良好 效果； 避雷要求：设置避雷地，以深埋地下、与大地良好相通的金属板作为接地点；至避雷针的引线则 应采用粗大的紫铜条，或使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与避雷针 相连； d) 防护地与屏蔽地要求：设置安全防护地与屏蔽地，采用阻抗尽可能小的良导体的粗线，以减小 各种地之间的电位差；应采用焊接方法，并经常检查接地的良好，检测接地电阻，确保人身、设 备和运行的安全：

和地线，并将该“地线”连通机房的地线网，以确保其安全保护作用

4.1.1.1.9机房电磁防

根据对机房安全保护的不同要求，机房电磁防护分为： a) 接地防干扰：采用接地的方法，防止外界电磁和设备寄生耦合对计算机系统的干扰； b）屏蔽防干扰：采用屏蔽方法，减少外部电器设备对计算机系统的瞬间干扰； C 距离防于扰：采用距离防护的方法，将计算机机房的位置选在外界电磁干扰小的地方和远离可 能接收射信号的地方； d) 电磁泄漏发射防护：应采用必要措施，防止计算机设备产生的电磁泄漏发射造成信息泄露； e) 介质保护：对磁带、磁盘等磁介质设备的保管存放，应注意电磁感应的影响，如使用铁制柜 存放； 机房屏蔽：采用屏蔽方法，对计算机机房进行电磁屏蔽，防止外部电磁场对计算机设备的干扰， 防止电磁信号泄漏造成的信息泄露，

4.1.1.2通信线路的安全防护

根据对通信线路安全的不同要求，通信线路安全防护分为： a）确保线路畅通：采取必要措施，保证通信线路畅通； b 发现线路截获：采取必要措施，发现线路截获事件并报警； C 及时发现线路截获：采取必要措施，及时发现线路截获事件并报警； d）防止线路截获：采取必要措施，防止线路截获事件发生。

4.1.2.1设备的防盗和防毁

根据对设备安全的不同要求，设备的防盗和防毁分为： a）设备标记要求：计算机系统的设备和部件应有明显的无法除去的标记，以防更换和方便查找 赃物； b）计算中心防盗①：计算中心应安装防盗报警装置，防止夜间从门窗进人的盗窃行为； c) 计算中心防盗②：计算中心应利用光、电、无源红外等技术设置机房报警系统，并有专人值守， 防止夜间从门窗进人的盗窃行为； d) 计算中心防盗③：利用闭路电视系统对计算中心的各重要部位进行监视，并有专人值守，防止 夜间从门窗进人的盗窃行为； e) 机房外部设备防盗：机房外部的设备，应采取加固防护等措施，必要时安排专人看管，以防止盗 窃和破坏。

4.1.2.2设备的安全可用

根据对设备安全的不同要求，设备的安全可用分为： a）基本运行支持：信息系统的所有设备应提供基本的运行支持，并有必要的容错和故障恢复 能力； b) 设备安全可用：支持信息系统运行的所有设备，包括计算机主机、外部设备、网络设备及其他 辅助设备等均应安全可用； C 设备不间断运行：提供可靠的运行支持，并通过容错和故障恢复等措施，支持信息系统实现不 间断运行。

4.1.3记录介质安全

艮据对设备安全的不同要求，记录介质安全分为： 公开数据介质保护：存放有用数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质 等，应采取一定措施防止被毁和受损：

b）内部数据介质保护：存放内部数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质 等，应采取一定措施，防止被盗、被毁和受损；需要删除和销毁的内部数据，应有一定措施，防止 被非法拷贝； C 重要数据介质保护：存放重要数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质 等，应采取较严格的保护措施，防止被盗、被毁和受损；应该删除和销毁的重要数据，要有有效 的管理和审批手续，防止被非法拷贝； d) 关键数据介质保护：存放关键数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质 等，应采取严格的保护措施，防止被盗、被毁和受损；需要删除和销毁的关键数据，要有严格的 管理和审批手续，并采取有效措施，防止被非法拷贝； e）核心数据介质保护：存放核心数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质 等，应采取最严格的保护措施，防止被盗、被毁和受损；核心数据应长期保存，并采取有效措施， 防止被非法拷贝。

信息系统的风险分析应按以下要求进行： a）以系统安全运行和数据安全保护为出发点，全面分析由于物理的、系统的、管理的、人为的和自 然的原因所造成的安全风险； b) 通过对影响信息系统安全运行的诸多因素的了解和分析，明确系统存在的风险，找出克服这 些风险的办法； 对常见的风险（如：后门/陷阱门、拒绝使用、辐射、盗用、伪造、假冒、逻辑炸弹、破坏活动、偷窃 行为、搭线窃听以及计算机病毒等)进行分析，确定每类风险的程度； 系统设计前和运行前应进行静态风险分析，以发现系统的潜在安全隐患； e) 系统运行过程中应进行动态风险分析，测试、跟踪并记录其活动，以发现系统运行期的安全漏 洞，并提供相应的系统脆弱性分析报告； f) 采用风险分析工具，通过收集数据、分析数据、输出数据，确定危险的严重性等级，分析危险的 可能性等方法，进行风险分析，并确定安全对策。

4.2.2信息系统安全性检测分析

根据对信息系统安全运行的不同要求，信息系统安全性检测分析分为： a）操作系统安全性检测分析：从操作系统的角度，以管理员身份评估文件许可、文件宿主、网络服 务设置、账户设置、程序真实性以及一般的与用户相关的安全点、人侵迹象等，从而检测和分析 操作系统的安全性，发现存在的安全隐患； b) 数据库管理系统安全性检测分析：对支持信息系统运行的数据库管理系统进行安全性检测分 析，要求通过扫描数据库系统中与鉴别、授权、访问控制和系统完整性设置相关的数据库管理 系统特定的安全脆弱性，分析其存在的缺点和漏洞，提出补救措施； C 网络系统安全性检测分析：采用侵袭模拟器，通过在网络设备的关键部位，用模拟侵袭的方法 自动扫描、检查并报告网络系统中（包括安全网络系统的各个组成部分，如防火墙等)存在的缺 陷和漏洞，提出补救措施，达到增强网络安全性的目的； d 应用系统安全性检测分析：对所开发的应用系统进行系统运行的安全性检测分析，要求通过 扫描应用系统中与鉴别、授权、访问控制和系统完整性有关的特定的安全脆弱性，分析其存在 的缺陷和漏洞，提出补救措施； e) 硬件系统安全性检测分析：对支持系统运行的硬件系统进行安全性检测，通过扫描硬件系统中 与系统运行和数据保护有关的特定安全脆弱性（包括电磁泄漏发射和电磁干扰等），分析其存 在的缺陷和漫渴，提出补救措施：

攻击性检测分析：对重要的信息系统作攻击性检测，通过专业技术攻击检测检查系统存在的缺 降和瀑洞，提出补救措施

4.2. 3信息系统安全监

信息系统安全监控应采用以下方法： a 安全探测机制：在组成信息系统的计算机、网络的各个重要部位，设置探测器，实时监听网络数 据流，监视和记录内、外部用户出人网络的相关操作。在发现违规模式和未授权访问时，报告 信息系统安全监控中心。 b）安全监控中心：设置安全监控中心，对收到的来自探测器的信息，根据安全策略进行分析，并 作审计、报告，事件记录和报警等处理。监控中心应具有必要的远程管理功能，如对探测器实 现远程参数设置、远程数据下载、远程启动等操作。安全监控中心还应具有实时响应功能，包 括攻击分析和响应、误操作分析和响应、漏洞分析和响应以及漏洞形势分析和响应等。

安全审计SSF应按以下要求响应审计事件： a) 记审计日志：当检测到有安全侵害事件时，将审计数据记入审计日志； b) 实时报警生成：当检测到有安全侵害事件时，生成实时报警信息，并根据报警开关的设置有选 择地报警： c) 违例进程终止：当检测到有安全侵害事件时，将违例进程终止； d) 服务取消：当检测到有安全侵害事件时，取消当前的服务； 用户账号断开与失效：当检测到有安全侵害事件时，将当前的用户账号断开，并使其失效。

4.2.4.2安全审计数据产生

安全审计SSF应按以下要求产生审计数据： a）为下述可审计事件产生审计记录： 一审计功能的开启和关闭； 一使用身份鉴别机制； 将客体引人用户地址空间（例如：打开文件、程序初始化）； 删除客体； 系统管理员、系统安全员、审计员和一般操作员所实施的操作； 一其他与系统安全有关的事件或专门定义的可审计事件。 b) 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及 其他与审计相关的信息。 ) 对于身份鉴别事件，审计记录应包含请求的来源（例如：末端标识符）。 d) ）对于客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安 全级

4.2.4.3安全审计分析

根据对安全审计的不同要求，安全审计分析分为： a）潜在侵害分析：用一系列规则监控审计事件，并根据这些规则指出对SSP的潜在侵害。这些 规则包括： 一由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合； 一一任何其他的规则。 b）基于异常检测的描述：维护用户所具有的质疑等级一一历史使用情况，以表明该用户的现行 活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，能指出将要发 生对安全性的威胁。

事件的出现。为此，SSF应维护指 出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当 发现两者匹配时，指出个对SSF的攻击即将到来。 d) 复杂攻击探测：在上述简单攻击探测的基础上，能检测到多步人侵情况，并根据已知的事件序 列模拟出完整的人侵情况，指出发现对SSF的潜在 名事件或事件序列的时间

4.2.4.4安全审计查阅

根据对安全审计的不同要求，安全审计查阅分为： a）基本审计查阅：提供从审计记录中读取信息的能力，即为授权用户提供获得和解释审计信息的 能力。当用户是人时，必须以人类可懂的方式表示信息；当用户是外部IT实体时，必须以电子 方式无歧义地表示审计信息。 b）有限审计查阅：在基本审计查阅的基础上，应禁止具有读访问权限以外的用户读取审计信息。 C) 可选审计查阅：在有限审计查阅的基础上，应具有根据准则来选择要查阅的审计数据的功能 并根据基种逻辑关系的标准提供对 新描进得描线分来排虚的能力

4.2.4.5安全审计事件选择

应根据以下属性选择可审计事件： a）客体身份、用户身份、主体身份、主机身份、事件类型； b）作为审计选择性依据的附加属性。

4.2.4.6安全审计事件存储

根据对安全审计的不同要求，安全审计事件存储分为： a）受保护的审计踪迹存储：审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改； b）审计数据的可用性确保：在意外情况出现时，能检测或防止对审计记录的修改，以及在发生审 计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏； 审计数据可能丢失情况下的措施：当审计跟踪超过预定的门限时，应采取相应的措施，进行审 计数据可能丢失情况的处理； d 防止审计数据丢失：在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择 “忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最 老的审计记录”和“一旦审计存储失

4.2.4.7网络环境安全审计

在网络环境运行的信息系统，应采用以下措施实现网络环境信息系统安全审计： a）安全审计中心：在信息系统中心建立由安全审计服务器组成的审计中心，收集各安全审计代理 程序的审计信息，并进行记录分析与保存； b) 安全审计代理程序：分布在网络各个运行节点的安全审计代理程序，为安全审计服务器提供 审计数据； c） 跨平台安全审计机制：设置跨平台的安全审计机制，对安全事件快速进行评估并作出响应，向 管理人员提供各种能反映系统使用情况、出现的可疑迹象、运行中发生的问题等有价值的统计 和分析信息： d) 审计评估方法和机制：运用统计方法学和审计评估机制，给出智能化审计报告及趋向报告，达 到综合评估系统安全现状的目的。

4.2.5信息系统边界安全防护

根据对信息系统运行安全的不同要求，信息系统边界安全防护采用的安全机制和措施分为： 基本安全防护：采用常规的信息系统边界安全防护机制，如基本的登录/连接控制等，实现基本 的信息系统边界安全防护； 较严格安全防护：采用较严格的安全防护机制，如较严格的登录/连接控制，普通功能的防火

墙、防病毒网关、人侵防范、信息过滤、边界完整性检查等，实现较严格的信息系统边界安全 防护； c）严格安全防护：根据当前信息安全对抗技术的发展，采用严格的安全防护机制，如严格的登录/ 连接控制，高安全功能的防火墙、防病毒网关、入侵防范、信息过滤、边界完整性检查等，实现严 格的信息系统边界安全防护； d）特别安全防护：采用当前最先进的边界防护技术，必要时可以采用物理隔离安全机制，实现特 别安全要求的信息系统边界安全防护

4.2.6备份与故障恢复

为了实现确定的恢复功能，必须在信息系统正常运行时定期地或按某种条件实施备份。不同的恢 要求应有不同的备份进行支持。根据对信息系统运行安全的不同要求，实现备份与故障恢复的安全 术和机制分为： a）用户自我信息备份与恢复：提供用户有选择地备份重要信息的功能；当由于某种原因引起信息 系统中用户信息丢失或破坏时，能提供用户按自我信息备份所保留的信息进行信息恢复的 功能； b）增量信息备份与恢复：提供由信息系统定时对新增信息进行备份的功能；当由于某种原因引 起信息系统中的某些信息丢失或破坏时，提供用户按增量信息备份所保留的信息进行信息恢 复的功能； c）局部系统备份与恢复：提供定期对信息系统的某些重要的局部系统的运行状态进行备份的功 能；当由于某种原因引起信息系统某一局部发生故障时，提供用户按局部系统备份所保留的运 行状态进行局部系统恢复的功能； d）全系统备份与恢复：提供定期对信息系统全系统的运行状态进行备份的功能；当由于某种原 因引起信息系统全系统发生故障时，提供用户按全系统备份所保留的运行状态进行全系统恢 复的功能； e）设备备份与容错：可采用设备冷/热备份、单机逻辑备份、双机备份等，对系统的重要设备进行 备份/完余设置和容错设计，并在必要时能立即投入使用，使故障对用户透明； f) 网络备份与容错：对于重要信息系统，采用允余技术、路由选择技术、路由备份技术等，实现网 络备份与容错，当网络正常路由不能工作时，能替代其工作，使信息系统照常运行； g） 灾难备份与恢复：对于重要的信息系统，设置主机系统的异地备份，当主机系统发生灾难性故 障中断运行时，能在较短时间内启动，替代主机系统工作，使系统不间断运行。

4.2.7恶意代码防护

对包括计算机病毒在内的恶意代码进行必要的安全防护。根据对信息系统运行安全的不同要求， 实现恶意代码防护的安全机制和措施分为： a）严格管理：严格控制各种外来介质的使用，防止恶意代码通过介质传播； b) 网关防护：要求在所有恶意代码可能人侵的网络连接部位设置防护网关，拦截并清除企图进 入系统的悉意代码： C 整体防护：设置恶意代码防护管理中心，通过对全系统的服务器、工作站和客户机，进行恶意代 码防护的统一一管理，及时发现和清除进入系统内部的恶意代码： d) 防管结合：将恶意代码防护与网络管理相结合，在网管所涉及的重要部位设置恶意代码防护 软件，在所有恶意代码能够进人的地方都采取相应的防范措施，防止恶意代码侵袭； e） 多层防御：采用实时扫描、完整性保护和完整性检验等不同层次的防护技术，将恶意代码检测， 多层数据保护和集中式管理功能集成起来，提供全面的恶意代码防护功能，检测、发现和消除 恶意代码，阻止恶意代码的扩散和传播。

4.2.8信息系统的应急处理

根据对信息系统运行安全的不同要求，实现信息系统应急处理的安全机制和措施分为： a 具有各种安全措施：包括在出现各种安全事件时应采取的措施，这些措施是管理手段与技术手 段的结合； b）设置正常备份机制：在系统正常运行时就通过各种备份措施为灾害和故障做准备； ） 健全安全管理机构：建立健全的安全事件管理机构，明确人员的分工和责任； 建立处理流程图：制定安全事件响应与处理计划及事件处理过程示意图，以便迅速恢复被破 坏的系统

4.2.9可信计算和可信连接技求

a）可信计算技术：通过在计算机的核心部位设置基于硬件支持的可信计算模块，为计算机系统的 运行，建立从系统引导、加载直到应用服务的可信任链，确保各种运行程序的真实性，并对用户 的身份鉴别，以及数据的保密性、完整性保护等安全功能提供支持。 b 可信连接技术：通过在网络设备的核心部位设置基于硬件支持的可信连接模块，为网络设备 的连接提供可信支持，确保网络设备的可信连接，

4.3.1.1用户标识与鉴别

4. 3. 1. 1. 1用户标识

根据对用户标识与鉴别的不同要求，用户标识分为： 基本标识：应在SSF实施所要求的动作之前，先对提出该动作要求的用卢进行标识； b）唯一性标识：应确保所标识用户在信息系统生存周期内的唯一性，并将用户标识与安全审计 相关联； c）标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。

c）标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。 3.1.1.2用户鉴别 根据对用户标识与鉴别的不同要求，用户鉴别分为： a）基本鉴别：应在SSF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别； b）不可伪造鉴别：应检测并防止使用伪造或复制的鉴别信息。一方面，要求SSF应检测或防止 由任何别的用户伪造的鉴别数据；另一方面，要求SSF应检测或防止当前用户从任何其他用 户处复制的鉴别数据的使用。 c) 一次性使用鉴别：应提供一次性使用鉴别数据的鉴别机制，即SSF应防止与已标识过的签鉴别 机制有关的鉴别数据的重用。 d） 多机制鉴别：应提供不同的鉴别机制，用于鉴别特定事件的用户身份，并根据所描述的多种鉴 别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份。 重新鉴别：应有能力规定需要重新鉴别用户的事件，即在需要重新鉴别的条件成立时，对用户 进行重新鉴别。例如，终端用户操作超时被断开后，重新连接时需要进行重鉴别。 ） 鉴别信息管理：应对用户鉴别信息进行管理、维护，确保其不被非授权的访问、修改或删除，

4. 3. 1. 1. 2 用户鉴别

4.3. 1. 1.3鉴别失败处

SSF应为不成功的鉴别尝试（包括尝试次数和时间的阅值）定义一个值，并明确规定达到该值时所 应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的 情况，并进行预先定义的处理。

4.3. 1.2用户一主体绑定

在SSOIS安全功能控制范围之内，对一个已标识和鉴别的用户，应通过用户一主体绑定将该用户 其服务的主体（如进程)相关联，从而将该用户的身份与该用户的所有可审计行为相关联标准血压，以实现月

SSOIS应为用户提供确保其身份具实性的前提下，不被其他用户发现或用的保护。根据对身份 鉴别的不同要求，隐秘分为： a）暨名：用户在其使用资源或服务时，不暴露身份，即：应确保任何用户和/或主体集，不能确定与 当前主体和/或操作相关联的实际用户，并在对主体提供服务时不询问实际的用户名； b) 假名：用户在使用资源或设备时，不暴露其真实名称，但仍能对该次使用负责，即：应确保用户 和/或主体集，不能确定与当前主体或操作相关联的真实的用户名，并能给一个用户提供多个 假名，以及验证所使用的假名是否符合假名的度量； C 不可关联性：一个用户可以多次使用资源和服务，但任何人都不能将这些使用联系在一起，即： 应确保任何用户和/或主体不能确定系统中的某些操作是否由同一用户引起； 不可观察性：用户在使用资源和服务时，其他人，特别是第三方不能观察到该资源和服务正在 被使用，即：应确保任何用户和/或主体，不能观察到由受保护的用户和/或主体对客体所进行 的操作，

4.3.1.4设备标识与鉴别

根据对设备标识与鉴别的不同要求，设备标识分为： a）接入前标识：对连接到信息系统的设备，应在将其接人到系统前先进行标识； b）标识信息管理：应对设备标识信息进行管理、维护，确保其不被非授权的访问、修改或删除。

4.3.1.4.2设备鉴别

根据设备标识与鉴别的不同要求，设备鉴别分为： a）接入前鉴别：对连接到信息系统的设备，应在将其接人到系统前先进行鉴别，以防止设备的非 法接人； b）不可伪造鉴别：鉴别信息应是不可见的，不易仿造的，应检测并防止使用伪造或复制的鉴别 信息； C鉴别信息管理，应对设备鉴别信息进行管理、维护，确保其不被非授权的访问、修改或删除

信息； c）鉴别信息管理：应对设备鉴别信息进行管理、维护，确保其不被非授权的访问、修改或删除。

4.3.1.4.3鉴别失败处理

出口标准4.3.2.1抗原发抵赖