1、应能提供不同的鉴别机制,用于鉴别特定事件的用户身份,并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份;e) 重新鉴别:应有能力规定需要重新鉴别用户的事件,即SSF应在需要重鉴别的条件表所指示的条件下,重新鉴别用户。例如,用户终端操作超时被断开后,重新连接时需要进行重鉴别。5.1.3 用户-主体绑定 在SSON安全功能控制范围之内,对一个已标识和鉴别的用户,为了要求SSF完成某个任务,需要激活另一个主体(如进程),这时,要求通过用户-主体绑定将该用户与该主体相关联,从而将用户的身份与该用户的所有可审计行为相关联。5.1.4 鉴别失败处理 要求SSF为不成功的鉴别
2、尝试次数(包括尝试数目和时间的阈值)定义一个值,以及明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况,并进行预先定义的处理。5.2 自主访问控制 5.2.1 访问控制策略 SSF应按确定的自主访问控制安全策略进行设计,实现对策略控制下的主体与客体间操作的控制。可以有多个自主访问控制安全策略,但它们必须独立命名,且不能相互冲突。常用的自主访问控制策略包括:访问控制表访问控制、目录表访问控制、权能表访问控制等。5.2.2 访问控制功能 SSF应明确指出采用一条命名的访问控制策略所实现的特定功能,说明策略的使用和特征,以及该策略的控制范
3、围。无论采用何种自主访问控制策略,SSF应有能力提供:在安全属性或命名的安全属性组的客体上,执行访问控制SFP;在基于安全属性的允许主体对客体访问的规则的基础上,允许主体对客体的访问;在基于安全属性的拒绝主体对客体访问的规则的基础上,拒绝主体对客体的访问。5.2.3 访问控制范围 网络系统中自主访问控制的覆盖范围分为:a) 子集访问控制:要求每个确定的自主访问控制,SSF应覆盖网络系统中所定义的主体、客体及其之间的操作;b) 完全访问控制:要求每个确定的自主访问控制,SSF应覆盖网络系统中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少
4、被一个确定的访问控制SFP覆盖。5.2.4 访问控制粒度 网络系统中自主访问控制的粒度分为:a) 粗粒度:主体为用户组/用户级,客体为文件、数据库表级;b) 中粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级;c) 细粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级或元素级。5.3 标记 5.3.1 主体标记 应为实施强制访问控制的主体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。5.3.2 客体标记 应为实施强制访问控制的客体指定敏感标记,这些敏感标记是实施强制访问控制的依据。5.3.3 标记完整性
5、 敏感标记应能准确地表示特定主体或客体的访问控制属性,主体和客体应以此发生关联。当数据从SSON输出时,根据需要,敏感标记应能准确地和明确地表示输出数据的内部标记,并与输出的数据相关联。5.3.4 有标记信息的输出 SSON应对每个通信信道和I/O设备标明单级或多级。这个标志的任何变化都应由授权用户实现,并可由SSON审计。SSON应维持并且能够对安全保护等级的任何变化进行审定,或对与通信信道或I/O设备有关的安全保护等级进行安全审计。a) 向多级安全设备的输出:当SSON将一客体信息输出到一个具有多级安全的I/O设备时,与该客体有关的敏感标记也应输出,并以与输出信息相同的形式(如机器可读或人
6、可读形式)驻留在同一物理媒体上。当SSON在多级通信信道上输出或输入一客体信息时,该信道使用的协议应在敏感标记和被发送或被接收的有关信息之间提供明确的配对关系;b) 向单级安全设备的输出:单级I/O设备和单级通信信道不需要维持其处理信息的敏感标记,但SSON应包含一种机制,使SSON与一个授权用户能可靠地实现指定的安全级的信息通信。这种信息经由单级通信信道或I/O设备输入/输出;c) 人可读标记的输出:SSON应标记所有人可读的、编页的、具有人可读的敏感标记的硬拷贝输出(如行打印机输出)的开始和结束,以适当地表示输出敏感性。SSON应按默认值标记人可读的、编页的、具有人可读的敏感标记的硬拷贝输
7、出(如行打印机输出)每页的顶部和底部,以适当地表示该输出总的敏感性,或表示该页信息的敏感性。SSON应该按默认值,并以一种适当方法标记具有人可读的敏感标记的其他形式的人可读的输出(如图形),以适当地表示该输出的敏感性。这些标记默认值的任何滥用都应由SSON审计。5.4 强制访问控制 5.4.1 访问控制策略 网络强制访问控制策略应包括策略控制下的主体、客体,及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略,但它们必须独立命名,且不能相互冲突。当前常见的强制访问控制策略有:a) 多级安全模型:基本思想是,在对主、客体进行标记的基础上,SSOIS控制范围内的所有主体对客体的直接
8、或间接的访问应满足:向下读原则:仅当主体标记中的等级分类高于或等于客体标记中的等级分类,且主体标记中的非等级类别包含了客体标记中的全部非等级类别,主体才能读该客体;向上写原则:仅当主体标记中的等级分类低于或等于客体标记中的等级分类,且主体标记中的非等级类别包含于客体标记中的非等级类别,主体才能写该客体;b) 基于角色的访问控制(BRAC):基本思想是,按角色进行权限的分配和管理;通过对主体进行角色授予,使主体获得相应角色的权限;通过撤消主体的角色授予,取消主体所获得的相应角色权限。在基于角色的访问控制中,标记信息是对主体的授权信息;c) 特权用户管理:基本思想是,针对特权用户权限过于集中所带来
9、的安全隐患,对特权用户按最小授权原则进行管理。实现特权用户的权限分离;仅授予特权用户为完成自身任务所需要的最小权限。5.4.2 访问控制功能 SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供:在标记或命名的标记组的客体上,执行访问控制SFP;按受控主体和受控客体之间的允许访问规则,决定允许受控主体对受控客体执行受控操作;按受控主体和受控客体之间的拒绝访问规则,决定拒绝受控主体对受控客体执行受控操作。5.4.3 访问控制范围 网络强制访问控制的覆盖范围分为:对每个确定的强制访问控制,SSF应覆盖信息系统中由安全功能所定义的主体、客体及其之间的操作;对每个确定的强
10、制访问控制,SSF应覆盖信息系统中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的操作将至少被一个确定的访问控制SFP覆盖。5.4.4 访问控制粒度 网络强制访问控制的粒度分为:a) 中粒度:b) 细粒度:主体为用户级,客体为文件、数据库表级和/或记录、字段级和/或元素级。5.4.5 访问控制环境 a) 单一安全域环境:在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则。当被控客体输出到安全域以外时,应将其标记信息同时输出;b) 多安全域环境:在多安全域环境实施统一安全策略的强制访问控制时,应在这些安全域中维持统一的标记信息和
11、访问规则。当被控制客体在这些安全域之间移动时,应将其标记信息一起移动。5.5 数据流控制 对网络中以数据流方式实现数据流动的情况,应采用数据流控制机制实现对数据流动的控制,以防止具有高等级安全的数据信息向低等级的区域流动。5.6 安全审计 5.6.1 安全审计的响应 安全审计SSF应按以下要求响应审计事件:a) 记审计日志:当检测到可能有安全侵害事件时,将审计数据记入审计日志;b) 实时报警生成:当检测到可能有安全侵害事件时,生成实时报警信息;c) 违例进程终止:当检测到可能有安全侵害事件时,将违例进程终止;d) 服务取消:当检测到可能有安全侵害事件时,取消当前的服务;e) 用户账号断开与失效
12、:当检测到可能有安全侵害事件时,将当前的用户账号断开,并使其失效。5.6.2 安全审计数据产生 SSF应按以下要求产生审计数据:a) 为下述可审计事件产生审计记录:审计功能的启动和关闭;使用身份鉴别机制;将客体引入用户地址空间(例如:打开文件、程序初始化);删除客体;系统管理员、系统安全员、审计员和一般操作员所实施的操作;其他与系统安全有关的事件或专门定义的可审计事件;b) 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息;c) 对于身份鉴别事件,审计记录应包含请求的来源(例如:终端标识符);d) 对于客体被引入用户地址空间的事件及删除客
13、体事件,审计记录应包含客体名及客体的安全保护等级;e) 将每个可审计事件与引起该事件的用户相关联。5.6.3 安全审计分析 安全审计分析应包括:a) 潜在侵害分析:应能用一系列规则去监控审计事件,并根据这些规则指出SSP的潜在侵害。这些规则包括:由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;任何其他的规则;b) 基于异常检测的描述:应维护用户所具有的质疑等级历史使用情况,以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时,SSF应能指出将要发生对安全性的威胁;c) 简单攻击探测:应能检测到对SSF实施有重大威胁的签名事件的出现。为此,SSF应维护
14、指出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,指出一个对SSF的攻击即将到来;d) 复杂攻击探测:在上述简单攻击探测的基础上,要求SSF应能检测到多步入侵情况,并能根据已知的事件序列模拟出完整的入侵情况,还应指出发现对SSF的潜在侵害的签名事件或事件序列的时间。5.6.4 安全审计查阅 安全审计查阅工具应具有:a) 审计查阅:提供从审计记录中读取信息的能力,即要求SSF为授权用户提供获得和解释审计信息的能力。当用户是人时,必须以人类可懂的方式表示信息;当用户是外部IT实体时,必须以电子方式无歧义地表示审计信息;b) 有限审计查阅:在上述审计
15、查阅的基础上,审计查阅工具应禁止具有读访问权限以外的用户读取审计信息;c) 可选审计查阅:在上述有限审计查阅的基础上,审计查阅工具应具有根据准则来选择要查阅的审计数据的功能,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。5.6.5 安全审计事件选择 应根据以下属性选择可审计事件:a) 客体身份、用户身份、主体身份、主机身份、事件类型;b) 作为审计选择性依据的附加属性。5.6.6 安全审计事件存储 应具有以下创建并维护安全的审计踪迹记录的能力:a) 受保护的审计踪迹存储:要求审计踪迹的存储受到应有的保护,能检测或防止对审计记录的修改;b) 审计数据的可用性确保:要求在意外情
16、况出现时,能检测或防止对审计记录的修改,以及在发生审计存储已满、存储失败或存储受到攻击时,确保审计记录不被破坏;c) 审计数据可能丢失情况下的措施:要求当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理;d) 防止审计数据丢失:要求在审计踪迹存储记满时,应采取相应的防止审计数据丢失的措施,可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其它行动”等措施,防止审计数据丢失。5.7 用户数据完整性 5.7.1 存储数据的完整性 应对存储在SSC内的用户数据进行完整性保护,包括:a) 完整
17、性检测:要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进行完整性检测;b) 完整性检测和恢复:要求SSF应对基于用户属性的所有客体,对存储在SSC内的用户数据进行完整性检测,并且当检测到完整性错误时,SSF应采取必要的SSF应采取必要的恢复、审计或报警措施。5.7.2 传输数据的完整性 当用户数据在SSF和其它可信IT系统间传输时应提供完整性保护,包括:要求对被传输的用户数据进行检测,及时发现以某种方式传送或接收的用户数据被篡改、删除、插入等情况发生;b) 数据交换恢复:由接收者SSON借助于源可信IT系统提供的信息,或由接收者SSON自己无须来自源可信IT系统的任何帮助,能
18、恢复被破坏的数据为原始的用户数据。若没有可恢复条件,应向源可信IT系统提供反馈信息。5.7.3 处理数据的完整性 回退:对信息系统中处理中的数据,应通过“回退”进行完整性保护,即要求SSF应执行访问控制SFP,以允许对所定义的操作序列进行回退。5.8 用户数据保密性 5.8.1 存储数据的保密性 应对存储在SSC内的用户数据进行保密性保护。5.8.2 传输数据的保密性 应对在SSC内传输的用户数据进行保密性保护。5.8.3 客体安全重用 在对资源进行动态管理的系统中,客体资源(寄存器、内存、磁盘等记录介质)中的剩余信息不应引起信息的泄露。客体安全重用分为:a) 子集信息保护:要求对SSON安全
19、控制范围之内的某个子集的客体资源,在将其分配给某一用户或代表该用户运行的进程时,应不会泄露该客体中的原有信息;b) 完全信息保护:要求对SSON安全控制范围之内的所有客体资源,在将其分配给某一用户或代表该用户运行的进程时,应不会泄露该客体中的原有信息;c) 特殊信息保护:对于某些需要特别保护的信息,应采用专门的方法对客体资源中的残留信息做彻底清除,如对剩磁的清除等。5.9 可信路径 用户与SSF间的可信路径应:a) 提供真实的端点标识,并保护通信数据免遭修改和泄露;b) 利用可信路径的通信可以由SSF自身、本地用户或远程用户发起;c) 对原发用户的鉴别或需要可信路径的其它服务均使用可信路径。5
20、.10 抗抵赖 5.10.1 抗原发抵赖 应确保信息的发送者不能否认曾经发送过该信息。这就要求SSF提供一种方法,来确保接收信息的主体在数据交换期间能获得证明信息原发的证据,而且该证据可由该主体或第三方主体验证。抗原发抵赖分为:a) 选择性原发证明:要求SSF具有为主体提供请求原发证据信息的能力。即SSF在接到原发者或接收者的请求时,能就传输的信息产生原发证据,证明该信息的发送由该原发者所为;b) 强制性原发证明:要求SSF在任何时候都能对传输的信息产生原发证据。即SSF在任何时候都能就传输的信息强制产生原发证据,证明该信息的发送由该原发者所为。5.10.2 抗接收抵赖 应确保信息的接收者不能
21、否认接受过该信息。这就要求SSF提供一种方法,来确保发送信息的主体在数据交换期间能获得证明该信息被接收的证据,而且该证据可由该主体或第三方主体验证。抗接收抵赖分为:a) 选择性接收证明:要求SSF具有为主体提供请求信息接收证据的能力。即SSF在接到原发者或接收者的请求时,能就接收到的信息产生接收证据,证明该信息的接收由该接收者所为;b) 强制性接收证明:要求SSF总是对收到的信息产生接收证据。即SSF能在任何时候对收到的信息强制产生接收证据,证明该信息的接收由该接收者所为。5.11 网络安全监控 网络安全监控应采用以下安全技术和机制:a) 网络安全探测机制:在组成网络系统的各个重要部位,设置探
22、测器,实时监听网络数据流,监视和记录内、外部用户出入网络的相关操作,在发现违规模式和未授权访问时,报告网络安全监控中心;b) 网络安全监控中心:设置安全监控中心,对收到的来自探测器的信息,根据安全策略进行分析,并作审计、报告、事件记录和报警等处理。网络安全监控中心应具有必要的远程管理功能,如对探测器实现远程参数设置、远程数据下载、远程启动等操作。网络安全监控中心还应具有实时响应功能,包括攻击分析和响应、误操作分析和响应、漏洞分析和响应等。6 网络安全功能分层分级要求 6.1 身份鉴别功能 应按照用户标识和用户鉴别的要求进行身份鉴别安全机制的设计。 一般以用户名和用户标识符来标识一个用户,应确保
23、在一个信息系统中用户名和用户标识符的唯一性,严格的唯一性应维持在网络系统的整个生存周期都有效,即使一个用户的账户已被删除,他的用户名和标识符也不能再使用,并由此确保用户的唯一性和可区别性。 鉴别应确保用户的真实性。可以用口令进行鉴别,更严格的身份鉴别可采用智能IC卡密码技术,指纹、虹膜等特征信息进行身份鉴别,并在每次用户登录系统之前进行鉴别。口令应是不可见的,并在存储和传输时进行保护。智能IC卡身份鉴别应以密码技术为基础,并按用户鉴别中不可伪造鉴别所描述的要求进行设计。对于鉴别失败的情况,要求按鉴别失败所描述的要求进行处理。 用户在系统中的行为一般由进程代为执行,要求按用户-主体绑定所描述的要
24、求,将用户与代表该用户行为的进程相关联。这种关联应体现在SSON安全功能控制范围之内各主、客体之间的相互关系上。比如,一个用户通过键入一条命令要求访问一个指定文件,信息系统运行某一进程实现这一功能。这时,该进程应与该用户相关联,于是该进程的行为即可看作该用户的行为。身份鉴别应区分实体鉴别和数据起源鉴别:当身份是由参与通信连接或会话的远程实体提交时叫实体鉴别,它可以作为访问控制服务的一种必要支持;当身份信息是由数据项发送者提交时叫数据起源鉴别,它是确保部分完整性目标的直接方法,确保知道某个数据项的真正起源。 表2给出了从用户自主保护级到访问验证保护级对身份鉴别功能的分层分级要求。6.2 自主访问
25、控制功能 应按照对访问控制策略的要求,选择所需的访问控制策略,并按照对访问控制功能的要求,设计和实现所需要的自主访问控制功能。当使用文件、目录和网络设备时,网络管理员应给文件、目录等指定访问属性。访问控制规则应将给定的属性与网络服务器的文件、目录和网络设备相联系。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。自主访问控制应能控制以下权限:a) 向某个文件写数据、拷贝文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等;b) 为每个命名客体指定用户名和用户组,以及规定他们对客体的访问模式。表3给出了从用户
26、自主保护级到访问验证保护级对自主访问控制功能的分层分级要求。6.3 标记功能 应按照主体标记和客体标记所描述的要求进行标记设计。在网络环境中,带有特定标记的数据应能被安全策略禁止通过某些子网、链路或中继。连接的发起者(或无连接数据单元的发送者)可以指定路由选择说明,请求回避某些特定的子网、链路或中继。包含数据项的资源应具有与这些数据相关联的敏感标记。敏感标记可能是与被传送的数据相连的附加数据,也可能是隐含的信息,例如使用一个特定密钥加密数据所隐含的信息或由该数据的上下文所隐含的信息,可由数据源或路由来隐含。明显的敏感标记必须是清晰可辨认的,以便对它们作适当的验证。此外,它们还必须安全可靠地依附
27、于与之关联的数据。对于在通信期间要移动的数据项,发起通信的进程与实体,响应通信的进程与实体,在通信时被用到的信道和其他资源等,都可以用各自的敏感信息来标记。安全策 略应指明如何使用敏感信息以提供必要的安全性。当安全策略是基于用户身份时,不论直接或通过进程访问数据,敏感标记均应包含有关用户身份的信息。用于特定 标记的那些规则应该表示在安全管理信息库中的一个安全策略中,如果需要,还应与端系统协商。标记可以附带敏感信息,指明其敏感性,说明处理与分布上的隐蔽 处,强制定时与定位,以及指明对该端系统特有的要求。采用的安全策略决定了标记所携带的敏感信息及其含义,不同的网络会有差异。表4给出了从安全标记保护级到访问验证保护级对标记功能的分层分级要求。
