GBT 25070-2010 信息安全技术 信息系统等级保护安全设计技术要求

第二级安全计算环境应从以下方面进行安全设计： a）用户身份鉴别 应支持用户标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身 份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受控的口令或具有相 应安全强度的其他机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 b）自主访问控制 应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部 分或全部授予其他用户。访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。访问操作 包括对客体的创建、读、写、修改和删除等。 c）系统安全审计 应提供安全审计机制，记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和 结果等内容。该机制应提供审计记录查询、分类和存储保护，并可由安全管理中心管理。 d）用户数据完整性保护 可采用常规校验机制，检验存储的用户数据的完整性，以发现其完整性是否被破坏。 e）用户数据保密性保护 可采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密 性保护。 f）客体安全重用 应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资 源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。 g）恶意代码防范 应安装防恶意代码软件或配置具有相应安全功能的操作系统，并定期进行升级和更新，以防范和清 除恶意代码。

6.3.2安全区域边界设计技术要求

第二级安全区域边界应从以下方面进行安全设计： a）区域边界包过滤 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议和请求的服务等， 确定是否允许该数据包通过该区域边界。 b）区域边界安全审计 应在安全区域边界设置审计机制铁路标准，并由安全管理中心统一管理。 c）区域边界恶意代码防范 应在安全区域边界设置防恶意代码网关，由安全管理中心管理。 d）区域边界完整性保护 应在区域边界设置探测器，探测非法外联等行为，并及时报告安全管理中心。

6.3.3安全通信网络设计技术要求

第二级安全通信网络应从以下方面进行安全设计： a）通信网络安全审计 应在安全通信网络设置审计机制，由安全管理中心管理。 b）通信网络数据传输完整性保护 可采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护 c）通信网络数据传输保密性保护 可采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护

6.3.4安全管理中心设计技术要求

6. 3. 4. 1系统管理

可通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份和授权管理、系统资 源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复以及恶意代码防范等。 应对系统管理员进行身份鉴别，只充许其通过特定的命令或操作界面进行系统管理操作，并对这些 操作进行审计

6. 3. 4. 2审计管理

可通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计 策略对审计记录进行分类；提供按时间段并启和关闭相应类型的安全审计机制；对客类审计记录进行存 储、管理和查询等。 应对安全审计员进行身份鉴别，并只允许其通过特定的命令或操作界面进行安全审计操作

7第三级系统安全保护环境设讯

a）用户身份鉴别 应支持用户标识和用户鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户 身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受安全管理中心控 制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进 行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。 b）自主访问控制 应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部 分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或） 记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等

GB/T 250702010

c）标记和强制访问控制 在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体 进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控 制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有 一致的标记信息，并实施相同的强制访问控制规则。 d）系统安全审计 应记录系统的相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应 提供审计记录查询、分类、分析和存储保护；确保对特定安全事件进行报警；确保审计记录不被破坏或非 授权访问。应为安全管理中心提供接口；对不能由系统独立处理的安全事件，提供由授权主体调用的 接口。 e）用户数据完整性保护 应采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，以发现其完整性 是否被破坏，且在其受到破坏时能对重要数据进行恢复。 f)用户数据保密性保护 应采用密码等技术支持的保密性保护机制，对在安全计算环境中存储和处理的用户数据进行保密 性保护。 g）·客体安全重用 应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资 源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。 h）程序可信执行保护 可构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意 代码等攻击，并在检测到其完整性受到破坏时采取措施恢复，例如菜用可信计算等技术。

7.3.2安全区域边界设计技术要求

第三级安全区域边界应从以下方面进行安全设计： a）区域边界访问控制 应在安全区域边界设置自主和强制访问控制机制，实施相应的访问控制策略，对进出安全区域边界 的数据信息进行控制，阻止非授权访问。 b）区域边界包过滤 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等 确定是否允许该数据包进出该区域边界。 c）区域边界安全审计 应在安全区域边界设置审计机制，由安全管理中心集中管理，并对确认的违规行为及时报警。 d）区域边界完整性保护 应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理 中心

7.3.3安全通信网络设计技术要求

第三级安全通信网络应从以下方面进行安全设计： a）通信网络安全审计 应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警。 b）通信网络数据传输完整性保护 应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整 生被破坏时进行恢复。 c）通信网络数据传输保密性保护

摩技术支持的保密性保护机制，以实现通信网络

d）通信网络可信接入保护 可采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验 接入通信网络的设备真实可信，防止设备的非法接入。

7.3.4安全管理中心设计技术要求

应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理、系统资源配置 系统加载和启动、系统运行的异常处理以及支持管理本地和（或）异地灾难备份与恢复等。 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些 操作进行审计。

7.3.4.2安全管理

应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略。 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行 审计。

7.3.4.3审计管理

应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计 策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存 储、管理和查询等。对审计记录应进行分析，并根据分析结果进行处理。 应对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作

8第四级系统安全保护环境设计

第四级系统安全保护环境的设计目标是：按照GB17859一1999对第四级系统的安全保护要求，建 立一个明确定义的形式化安全策略模型，将自主和强制访问控制扩展到所有主体与客体，相应增强其他 安全功能强度；将系统安全保护环境结构化为关键保护元素和非关键保护元素，以使系统具有抗渗透的 能力。

第四级系统安全保护环境的设计策略是：在第三级系统安全保护环境设计的基础上， 遵循GB17859一1999的4.4中相关要求，通过安全管理中心明确定义和维护形式化的安全策略模型。 依据该模型，采用对系统内的所有主、客体进行标记的手段，实现所有主体与客体的强制访问控制。同 时，相应增强身份鉴别、审计、安全管理等功能，定义安全部件之间接口的途径，实现系统安全保护环境 关键保护部件和非关键保护部件的区分，并进行测试和审核，保障安全功能的有效性， 第四级系统安全保护环境的设计通过第四级的安全计算环境、安全区域边界、安全通信网络以及安 全管理中心的设计加以实现。

第四级安全计算环境应从以下方面进行安全设计： a）用户身份鉴别 应支持用户标识和用户鉴别。在每一个用户注册到系统时，采用用户名和用户标识符标识用户身 份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录和重新连接系统时，采用受安全管 理中心控制的口令、基于生物特征的数据、数字证书以及其他具有相应安全强度的两种或两种以上的组 合机制进行用户身份鉴别，且其中一种鉴别技术产生的鉴别数据是不可替代的，并对鉴别数据进行保密 性和完整性保护。

b）自主访间控制 应在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限部分 或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或)记 录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。 c）标记和强制访问控制 在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体 进行安全标记，将强制访问控制扩展到所有主体与客体；应按安全标记和强制访问控制规则，对确定主 体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。 应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。 d）系统安全审计 应记录系统相关安全事件。审计记录包括安全事件的主体、客体、时间、类型和结果等内容。应提 供审计记录查询、分类、分析和存储保护；能对特定安全事件进行报警，终止违例进程等；确保审计记录 不被破坏或非授权访间以及防止审计记录丢失等。应为安全管理中心提供接口；对不能由系统独立处 理的安全事件，提供由授权主体调用的接口。 e）用户数据完整性保护 应采用密码等技术支持的完整性校验机制，检验存储和处理的用户数据的完整性，以发现其完整性 是否被破坏，且在其受到破坏时能对重要数据进行恢复。 f）用户数据保密性保护 采用密码等技术支持的保密性保护机制，对在安全计算环境中的用户数据进行保密性保护。 g）客体安全重用 应采用具有安全客体复用功能的系统软件或具有相应功能的信息技术产品，对用户使用的客体资 源，在这些客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。 h）程序可信执行保护 应构建从操作系统到上层应用的信任链，以实现系统运行过程中可执行程序的完整性检验，防范恶意

3.3.2安全区域边界设计技术要求

第四级安全区域边界应从以下方面进行安全设计： a）区域边界访问控制 应在安全区域边界设置自主和强制访问控制机制，实施相应的访间控制策略，对进出安全区域边界 的数据信息进行控制，阻止非授权访问。 b）区域边界包过滤 应根据区域边界安全控制策略，通过检查数据包的源地址、目的地址、传输层协议、请求的服务等， 确定是否允许该数据包进出受保护的区域边界。 c）区域边界安全审计 应在安全区域边界设置审计机制，通过安全管理中心集中管理，对确认的违规行为及时报警并做出 相应处置。 d）区域边界完整性保护 应在区域边界设置探测器，例如外接探测软件，探测非法外联和入侵行为，并及时报告安全管理 中心。

8.3.3安全通信网络设计技术要求

第四级安全通信网络应从以下方面进行安全设计： a）通信网络安全审计 应在安全通信网络设置审计机制，由安全管理中心集中管理，并对确认的违规行为进行报警

GB/T25070—2010

出相应处置。 b）通信网络数据传输完整性保护 应采用由密码等技术支持的完整性校验机制，以实现通信网络数据传输完整性保护，并在发现完整 性被破坏时进行恢复。 c）通信网络数据传输保密性保护 采用由密码等技术支持的保密性保护机制，以实现通信网络数据传输保密性保护。 d）通信网络可信接人保护 应采用由密码等技术支持的可信网络连接机制，通过对连接到通信网络的设备进行可信检验，确保 接入通信网络的设备真实可信，防止设备的非法接人

8.3.4安全管理中心设计技术要求

8. 3. 4. 1系统管理

应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份管理、系统资源配置 系统加载和启动、系统运行的异常处理以及支持管理本地和异地灾难备份与恢复等。 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些 操作进行审计，

8. 3. 4. 2 安全管理

应通过安全管理员对系统中的主体、客体进行统一标记，对主体进行授权，配置一致的安全策略，并 确保标记、授权和安全策略的数据完整性， 应对安全管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全管理操作，并进行

8.3.4.3审计管理

应通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括根据安全审计 策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存 储、管理和查询等。对审计记录应进行分析，并根据分析结果进行及时处理。 应对安全审计员进行身份鉴别，只允许其通过特定的命令或操作界面进行安全审计操作，

3.3.5系统安全保护环境结构化设计技术要习

划分为关键安全保护部件和非关键安全保护部件，防止违背安全策略致使敏感信息从关键安全保 件流向非关键安全保护部件。关键安全保护部件应划分功能层次，明确定义功能层次间的调用接 保接口之间的信息安全交换

8.3.5.2安全保护部件互联结构化设计技术要求

第四级系统各安全保护部件之间互联的接口功能及其调用关系应明确定义，各安全保护部 互联时，需要通过可信验证机制相互验证对方的可信性，确保安全保护部件间的可信连接。 8.3.5.3重要参数结构化设计技术要求

8.3.5.3重要参数结构化设计技术要求

应对第四级系统安全保护环境设计实现的与安全策略相关的重要参数的数据结构给出明确 包括参数的类型、使用描述以及功能说明等，并用可信验证机制确保数据不被算改，

9第五级系统安全保护环境设计

第五级系统安全保护环境的设计目标是：按照GB17859一1999对第五级系统的安全保护要求，在 第四级系统安全保护环境的基础上，实现访问监控器，仲裁主体对客体的访问，并支持安全管理职能 审计机制可根据审计记录及时分析发现安全事件并进行报警，提供系统恢复机制，以使系统具有更强的 抗渗透能力。

GB/T 25070—2010

9. 3 设计技术要求

第五级系统安全保护环境设计技术要求另行制定

定级系统互联的设计目标是：对相同或不同等级的定级系统之间的互联、互通、互操作进行安全保 护，确保用户身份的真实性、操作的安全性以及抗抵赖性，并按安全策略对信息流向进行严格控制，确保 进出安全计算环境、安全区域边界以及安全通信网络的数据安全

定级系统互联的设计策略是：遵循GB17859一1999对各级系统的安全保护要求，在各定级系统的 计算环境安全、区域边界安全和通信网络安全的基础上，通过安全管理中心增加相应的安全互联策略 保持用户身份、主/客体标记、访问控制策略等安全要素的一致性，对互联系统之间的互操作和数据交换 进行安全保护

应通过通信网络交快网关与 络部件相连接，并接互联 安全策略进行信息交换，实现安 级系统安全管理中心实施，

10.3.2跨定级系统安全管理中心设计技术要求

应通过安全通信网络部件与各定级系统安全保护环境中的安全管理中心相连，主要实施跨定级系 统的系统管理、安全管理和审计管理，

10. 3. 2. 1系统管理

应通过系统管理员对安全互联部件与相同和不同等级的定级系统中与安全互联相关的系统资 行进行配置和管理，包括用户身份管理、安全互联部件资源配置和管理等

10.3.2.2安全管理

应通过安全管理员对相问和不问等级的定级 统中与安全互联相关的主/客体进行标记官理： 记能准确反映主/客体在定级系统中的安全属性；对主体进行授权，配置统一的安全策略，并确保 相同和不同等级的定级系统中的合理性

10.3.2.3审计管理

应通过安全审计员对安全互联部件的安全审计机制、各定级系统的安全审计机制以及与跨定级系 充互联有关的安全审计机制进行集中管理。包括根据安全审计策略对审计记录进行分类；提供按时间 设开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等。对审计记录应进行 分析，并根据分析结果进行及时处理，

附录A （资料性附录） 访问控制机制设计

附录A （资料性附录） 访问控制机制设计

A.1自主访问控制机制设计

系统在初始配置过程中，安全管理中心首先需要对系统中的主体及客体进行登记命名，然后根据自 主访问控制安全策略，按照主体对其创建客体的授权命令，为相关主体授权，规定主体允许访问的客体 和操作，并形成访问控制列表。自主访问控制机制结构如图A.1所示。 用户登录系统时，首先进行身份鉴别，经确认为合法的注册用户可登录系统，并执行相应的程序。 当执行程序主体发出访问系统中客体资源的请求后，自主访问控制安全机制将截获该请求，然后查询对 应的访问控制列表。如果该请求符合自主访问控制列表规定的权限，则允许其执行；否则将拒绝执行， 并将此行为记录在审计记录中

A.2强制访问控制机制设计

图A.1自主访问控制机制结构

系统在初始配置过程中，安全管理中心需要对系统中的确定主体及其所控制的客体实施身份管理、 标记管理、授权管理和策略管理。身份管理确定系统中所有合法用户的身份、工作密钥、证书等与安全 相关的内容。标记管理根据业务系统的需要，结合客体资源的重要程度，确定系统中所有客体资源的安 全级别及范畴，生成全局客体安全标记列表；同时根据用户在业务系统中的权限和角色确定主体的安全 级别及范畴，生成全局主体安全标记列表。授权管理根据业务系统需求和安全状况，授予用户访问客体 资源的权限，生成强制访问控制策略和级别调整策略列表。策略管理则根据业务系统的需求，生成与执 行主体相关的策略，包括强制访问控制策略和级别调整策略。除此之外，安全审计员需要通过安全管理 中心制定系统审计策略，实施系统的审计管理。强制访问控制机制结构如图A.2所示。

系统在初始执行时，首先要求用户标识自已的身份，经过系统身份认证确认为授权主体后，系统将 下载全局主/客体安全标记列表及与该主体对应的访间控制列表，并对其进行初始化。当执行程序主体 发出访问系统中客体资源的请求后，系统安全机制将截获该请求，并从中取出访问控制相关的主体、客 体、操作三要素信息，然后查询全局主/客体安全标记列表，得到主/客体的安全标记信息，并依据强制访 问控制策略对该请求实施策略符合性检查。如果该请求符合系统强制访问控制策略，则系统将允许该 主体执行资源访间。否则，系统将进行级别调整审核，即依据级别调整策略，判断发出该请求的主体是 否有权访问该客体。如果上述检查通过，系统同样允许该主体执行资源访间，否则，该请求将被系统拒 绝执行。 系统强制访问控制机制在执行安全策略过程中，需要根据安全审计员制定的审计策略，对用户的请

图A.2强制访问控制机制结构

GB/T25070—2010

附录B （资料性附录） 第三级系统安全保护环境设计示例

根据“二个中心”管理下的“三重保护”体系框架，构建安全机制和策略，形成定级系统的安全保护环 境。该环境分为如下四部分：安全计算环境、安全区域边界、安全通信网络和安全管理中心。每个部分 由1个或若干个子系统（安全保护部件)组成，子系统具有安全保护功能独立完整、调用接口简洁、与安 全产品相对应和易于管理等特征。安全计算环境可细分为节点子系统和典型应用支撑子系统；安全管 理中心可细分为系统管理子系统、安全管理子系统和审计子系统。以上各子系统之间的逻辑关系如 图B.1所示。

图B.1第三级系统安全保护环境结构与流程

B.1.1各子系统主要功能

第三级系统安全保护环境各子系统的主要功能如下： a）节点子系统 节点子系统通过在操作系统核心层、系统层设置以强制访问控制为主体的系统安全机制，形成防护 层，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统 的保密性和完整性，为典型应用支撑子系统的正常运行和免遭恶意破坏提供支撑和保障。 b）典型应用支撑子系统 典型应用支撑子系统是系统安全保护环境中为应用系统提供安全支撑服务的接口。通过接口平台 使应用系统的主客体与保护环境的主客体相对应，达到访问控制策略实现的一致性。 c）区域边界子系统 区域边界子系统通过对进入和流出安全保护环境的信息流进行安全检查，确保不会有违反系统安 全策略的信息流经过边界。 d）通信网络子系统 通信网络子系统通过对通信数据包的保密性和完整性的保护，确保其在传输过程中不会被非授权 窃听和篡改，以保障数据在传输过程中的安全。 e）系统管理子系统 系统管理子系统负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和 维护，包括用户身份管理、资源管理、异常情况处理等。 f）安全管理子系统 安全管理子系统是系统的安全控制中枢，主要实施标记管理、授权管理及策略管理等。安全管理子 系统通过制定相应的系统安全策略，并要求节点子系统、区域边界子系统和通信网络子系统强制执行 认而实现对整个信息系统的集中管理。 g）审计子系统 审计子系统是系统的监督中枢。安全审计员通过制定审计策略，并要求节点子系统、区域边界子系 统、通信网络子系统、安全管理子系统、系统管理子系统强制执行，实现对整个信息系统的行为审计，确 保用户无法抵赖违反系统安全策略的行为，同时为应急处理提供依据。

B. 1. 2 各子系统主要济

第三级系统安全保护环境的结构与流程可以分为安全管理流程与访问控制流程。安全管理流程主 要由安全管理员、系统管理员和安全审计员通过安全管理中心执行，分别实施系统维护、安全策略制定 和部署、审计记录分析和结果响应等。访问控制流程则在系统运行时执行，实施自主访问控制、强制访 问控制等。 a）策略初始化流程 节点子系统在运行之前，首先由安全管理员、系统管理员和安全审计员通过安全管理中心为其部署 相应的安全策略。其中，系统管理员首先需要为定级系统中的所有用户实施身份管理，即确定所有用户 的身份、工作密钥、证书等。同时需要为定级系统实施资源管理，以确定业务系统正常运行需要使用的 执行程序等。安全管理员需要通过安全管理中心为定级系统中所有主、客体实施标记管理，即根据业务 系统的需要，结合客体资源的重要程度，确定其安全级，生成全局客体安全标记列表。同时根据用户在 业务系统中的权限和角色确定其安全标记，生成全局主体安全标记列表。在此基础上，安全管理员需要 根据系统需求和安全状况，为主体实施授权管理，即授予用户访问客体资源的权限，生成强制访问控制 列表和级别调整策略列表。除此之外，安全审计员需要通过安全管理中心中的审计子系统制定系统审 计策略，实施系统的审核管理。如果定级系统需要和其他系统进行互联，则上述初始化流程需要结合跨

第三级系统安全保护环境的结构与流程可以分为安全管理流程与访问控制流程。安全管理流程主 要由安全管理员、系统管理员和安全审计员通过安全管理中心执行，分别实施系统维护、安全策略制定 和部署、审计记录分析和结果响应等。访问控制流程则在系统运行时执行，实施自主访问控制、强制访 问控制等。 a）策略初始化流程 节点子系统在运行之前，首先由安全管理员、系统管理员和安全审计员通过安全管理中心为其部署 相应的实全能略一其中系缩篮理品首生需两为定级系统中的所有用户实施息份管理，肌确定所有用户

GB/T250702010

定级系统安全管理中心制定的策略执行。 b）计算节点启动流程 策略初始化完成后，授权用户才可以启动并使用计算节点访问定级系统中的客体资源。为了确保 计算节点的系统完整性，节点子系统在启动时需要对所装载的可执行代码进行可信验证，确保其在可执 行代码预期值列表中，并且程序完整性没有遭到破坏。计算节点启动后，用户便可以安全地登录系统。 在此过程中，系统首先装载代表用户身份唯一标识的硬件令牌，然后获取其中的用户信息，进而验证登 录用户是否是该节点上的授权用户。如果检查通过，系统将请求策略服务器下载与该用户相关的系统 安全策略。下载成功后，系统可信计算基将确定执行主体的数据结构，并初始化用户工作空间。此后， 该用户便可以通过启动应用访问定级系统中的客体资源。 c）计算节点访问控制流程 用户启动应用形成执行主体后，执行主体将代表用户发出访问本地或网络资源的请求，该请求将被 操作系统访问控制模块截获。访问控制模块首先依据自主访问控制策略对其执行策略符合性检查。如 果自主访问控制策略符合性检查通过，则该请求允许被执行；否则，访问控制模块依据强制访问控制策 略对该请求执行策略符合性检查。如果强制访问策略符合性检查通过，那么该请求充许被执行；否则， 系统对其进行级别调整检查。即依照级别调整检查策略，判断发出该请求的主体是否有权访问该客体。 如果通过，该请求同样允许被执行；否则，该请求被拒绝执行。 系统访问控制机制在安全决策过程中，需要根据安全审计员制定的审计策略，对用户的请求及决策结果进 行审计，并且将生成的审计记录发送到审计服务器存储，供安全审计员检查和处理。 d）跨计算节点访向控制流程 如果主体和其所请求访问的客体资源不在同一个计算节点，则该请求会被可信接入模块截获，用来 判断该请求是否会破坏系统安全。在进行接人检查前，模块首先通知系统安全代理获取对方计算节点 的身份，并检验其安全性。如果检验结果是不安全的，则系统拒绝该请求；否则，系统将依据强制访问控 制策略，判断该主体是否允许访问相应端口。如果检查通过，该请求被放行；否则，该请求被拒绝。 e）跨边界访问控制流程 如果主体和其所请求访问的客体资源不在同一个安全保护环境内，那么该请求将会被区域边界控 制设备截获并且进行安全性检查，检查过程类似于跨计算节点访问控制流程。

B. 2 子系统间接口

为了清楚描述各子系统之间的关系，图B,2给出了子系统间的接口关系。

图B.2第三级系统安全保护环境子系统接口

客户端向服务器发出的请求数据包数据内容格式

功能：安全管理子系统向节点（区域边界、通信网络）子系统返回与请求主体相关的策略 类型：策略下发数据包。 描述：安全管理中心接到下载策略请求后，向计算节点、区域边界、通信网络设备发送安全策略。 安全管理子系统策略下发数据包数据内容格式如表B.4所示。

表B.4安全管理子系统策略下发数据包数据内容格式

功能：节点（区域边界、通信网络）子系统向审计服务器发送审计记录。 类型：审计记录数据包数据内容格式。 描述：计算节点、区域边界、通信网络设备向审计子系统发送审计记录 所发送的审计记录数据包数据内容格式如表B.5所示。

表B.5节点子系统发送的审计记录数据包数据内容格式

B.2. 5 接口 4

功能，节点子系统之间的接人可信性验证，

GB/T250702010

类型：可信接入申请包、可信接入应答包、可信接入确认包。 描述：节点子系统之间的接口主要实现可信接入。可信接人是在执行跨节点间访问时，客体所在节 点验证主体所在节点可信性的过程。可信接入需要三步协议执行。首先是访问发起方所在节点向访间 应答方所在节点提出可信接人申请包，应答方所在节点验证申请包后向发起方所在节点发送可信接人 应答包，由发起方所在节点验证应答包成功后，返回可信接入确认包。 可信接入申请包格式如表B.6所示。

表B.6可信接入申请包数据内容格式

可信接入应答包格式如表B.7所示。

表B.7可信接入应答包数据内容格式

建筑CAD图纸B.3.1重要数据结构列表

表B.8重要数据结构

B.3.2用户身份信息列表

B.3.2用户身份信息列表

质量标准ypedef struct tagUser Info

BYTE* RootCert; UINT32 RootCertLen; BYTE* UserCert; UINT32 UserCertLen; BYTE* UserSigKey; UINT32 UserSigKeyLen; BYTE EncAlgID; BYTE* WorkKey;