GB 17859-1999

計算機信息系統安全保護等級劃分準則(GB 17859-1999)

1 範圍

本標準規定了計算機系統安全保護能力的五個等級，即：

第一級：用戶自主保護級；

第二級：系統審計保護級；

第三級：安全標記保護級；

第四級：結構化保護級；

第五級：訪問驗證保護級。

本標準適用計算機信息系統安全保護技術能力等級的劃分。計算機信息系統安全保護能力隨著安全保護等級的增高，逐漸增強。

下列標準所包含的條文，通過在本標準中引用而構成本標準的條文。本標準出版時，所示版本均為有效。所有標準都會被修訂，使用本標準的各方應探討使用下列標準最新版本的可能性。

GB/T 5271 數據處理辭彙

除本章定義外，其他未列出的定義見GB/T 5271。

3.1 計算機信息系統 computer information system

計算機信息系統是由計算機及其相關的和配套的設備、設施（含網路）構成的，按照一定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。

3.2 計算機信息系統可信計算機 trusted computing base of computer information system

計算機系統內保護裝置的總體，包括硬體、固件、軟體和負責執行安全策略的組合體。它建立了一個基本的保護環境並提供一個可信計算系統所要求的附加用戶服務。

3.3 客體 object

信息的載體。

3.4 主體 subject

引起信息在客體之間流動的人、進程或設備等。

3.5 敏感標記 sensitivity label

表示客體安全級別並描述客體數據敏感性的一組信息，可信計算機中把敏感標記作為強制訪問控制決策的依據。

3.6 安全策略 security policy

有關管理、保護和發布敏感信息的法律、規定和實施細則。 3.7 信道 channel

系統內的信息傳輸路徑。

3.8 隱蔽信道 covert channel

允許進程以危害系統安全策略的方式傳輸信息的通信信道。

3.9 訪問監控器 reference monitor

監控主體和客體之間授權訪問關係的部件。

4 等級劃分準則

4.1 第一級 用戶自主保護級

本級的計算機信息系統可信計算機通過隔離用戶與數據，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞。

4.1.1 自主訪問控制

計算機信息系統可信計算機定義和控制系統中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規定並控制客體的共享；阻止非授權用戶讀取敏感信息。

4.1.2 身份鑑別

計算機信息系統可信計算機初始執行時，首先要求用戶標識自己的身份，並使用保護機制（例如：口令）來鑑別用戶的身份，阻止非授權用戶訪問用戶身份鑑別數據。

4.1.3 數據完整性

計算機信息系統可信計算機通過自主完整性策略，阻止非授權用戶修改或破壞敏感信息。

4.2 第二級 系統審計保護級

與用戶自主保護級相比，本級的計算機信息系統可信計算機實施了粒度更細的自主訪問控制，它通過登錄規程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。

4.2.1 自主訪問控制

計算機信息系統可信計算機定義和控制系統中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規定並控制客體的共享；阻止非授權用戶讀取敏感信息。並控制訪問許可權擴散。自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。

4.2.2 身份鑑別

計算機信息系統可信計算機初始執行時，首先要求用戶標識自己的身份，並使用保護機制（例如：口令）來鑑別用戶的身份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶提供唯一標識、計算機信息系統可信計算機能夠使用戶對自己的行為負責。計算機信息系統可信計算機還具備將身份標識與該用戶所有可審計行為相關聯的能力。

4.2.3 客體重用

在計算機信息系統可信計算機的空閒存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷該客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。

4.2.4 審計

計算機信息系統可信計算機能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非授權的用戶對它訪問或破壞。

計算機信息系統可信計算機能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址空間（例如：打開檔案、程式初始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含的來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名。

對不能由計算機信息系統可信計算機獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算機獨立分辨的審計記錄。

4.2.5 數據完整性

計算機信息系統可信計算機通過自主完整性策略，阻止非授權用戶修改或破壞敏感信息。

4.3 第三級 安全標記保護級

本級的計算機信息系統可信計算機具有系統審計保護級所有功能。此外，還提供有關安全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出 信息的能力；消除通過測試發現的任何錯誤。

4.3.1 自主訪問控制

計算機信息系統可信計算機定義和控制系統中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規定並控制客體的共享；阻止非授權用戶讀取敏感信息。並控制訪問許可權擴散。自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。阻止非授權用戶讀取敏感信息。

4.3.2 強制訪問控制

計算機信息系統可信計算機對所有主體及其所控制的客體（例如：進程、檔案、段、設備）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。計算機信息系統可信計算機支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算機控制的所有主體對客體的訪問應滿足：僅當主體安全級中的等級分類高於或等於客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當主體安全級中的等級分類低於或等於客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中 的非等級類別，主體才能寫一個客體。計算機信息系統可信計算機使用身份和鑑別數據，鑑別用戶的身份，並保證用戶創建的計算機信息系統可信計算機外部主體的安全級和授權受該用戶的安全級和授權的控制。

4.3.3 標記

計算機信息系統可信計算機應維護與主體及其控制的存儲客體（例如：進程、檔案、段、設備）相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據，計算機信息系統可信計算機向授權用戶要求並接受這些數據的安全級別，且可由計算機信息系統可信計算機審計。

4.3.4 身份鑑別

計算機信息系統可信計算機初始執行時，首先要求用戶標識自己的身份，而且，計算機信息系統可信計算機維護用戶身份識別數據並確定用戶訪問權及授權數據。計算機信息系統可信計算機使用這些數據鑑別用戶身份，並使用保護機制（例如：口令）來鑑別用戶的身份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶提供唯一標識，計算機信息系統可信計算機能夠使用用戶對自己的行為負責。計算機信息系統可信計算機還具備將身份標識與該用戶所有可審計行為相關聯的能力。

4.3.5 客體重用

在計算機信息系統可信計算機的空閒存儲客體空間中，對客體初始指定、分配或再分配 一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。

4.3.6 審計

計算機信息系統可信計算機能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非授權的用戶對它訪問或破壞。

計算機信息系統可信計算機能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址空間（例如：打開檔案、程式初始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括： 事件的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含請求的來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統可信計算機具有審計更改可讀輸出記號的能力。

對不能由計算機信息系統可信計算機獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算機獨立分辨的審計記錄。

4.3.7 數據完整性

計算機信息系統可信計算機通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏 感信息。在網路環境中，使用完整性敏感標記來確信信息在傳送中未受損。

4.4 第四級 結構化保護級

本級的計算機信息系統可信計算機建立於一個明確定義的形式化安全策略模型之上，它要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通道。本級的計算機信息系統可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。計算機信息系統可信計算機的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完整的複審。加強了鑑別機制；支持系統管理員和操作員的職能；提供可信設施管理；增強了配置管理控制。系統具有相當的抗滲透能力。

4.4.1 自主訪問控制

計算機信息系統可信計算機定義和控制系統中命名用戶對命名客體的訪問。實施機制（例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規定並控制客體的共享；阻止非授用戶讀取敏感信息。並控制訪問許可權擴散。

自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。

4.4.2 強制訪問控制

計算機信息系統可信計算機對外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。計算機信息系統可信計算機支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算機外部的所有主體對客體的直接或間接的訪問應滿足：僅當主體安全級中的等級分類高於或等於客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當主體安全級中的等級分類低於或等於客體安全級中的等級分類，且主體安全級中的非等級類別包含於客體安全級中的非等級類別，主體才能寫一個客體。計算機信息系統可信計算機使用身份和鑑別數據，鑑別用戶的身份，保護用戶創建的計算機信息系統可信計算機外部主體的安全級和授權受該用戶的安全級和授權的控制。

4.4.3 標記

計算機信息系統可信計算機維護與可被外部主體直接或間接訪問到的計算機信息系統資源（例如：主體、存儲客體、唯讀存儲器）相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據，計算機信息系統可信計算機向授權用戶要求並接受這些數據的安全級別，且可由計算機信息系統可信計算機審計。

4.4.4 身份鑑別

計算機信息系統可信計算機初始執行時，首先要求用戶標識自己的身份，而且，計算機信息系統可信計算機維護用戶身份識別數據並確定用戶訪問權及授權數據。計算機信息系統可信計算機使用這些數據，鑑別用戶身份，並使用保護機制（例如：口令）來鑑別用戶的身份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶提供唯一標識，計算機信息系統可信計算機能夠使用戶對自己的行為負責。計算機信息系統可信計算機還具備將身份標識與該用戶所有可審計行為相關聯的能力。

4.4.5 客體重用

在計算機信息系統可信計算機的空閒存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。

4.4.6 審計

計算機信息系統可信計算機能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非授權的用戶對它訪問或破壞。

計算機信息系統可信計算機能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址空間（例如：打開檔案、程式初始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含請求的來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體及客體的安全級別。此外，計算機信息系統可信計算機具有審計更改可讀輸出記號的能力。

對不能由計算機信息系統可信計算機獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算機獨立分辨的審計記錄。

計算機信息系統可信計算機能夠審計利用隱蔽存儲信道時可能被使用的事件。

4.4.7 數據完整性

計算機信息系統可信計算機通過自主和強制完整性策略。阻止非授權用戶修改或破壞敏感信息。在網路環境中，使用完整性敏感標記來確信信息在傳送中未受損。

4.4.8 隱蔽信道分析

系統開發者應徹底搜尋隱蔽存儲信道，並根據實際測量或工程估算確定每一個被標識信道的最大頻寬。

4.4.9 可信路徑

對用戶的初始登錄和鑑別，計算機信息系統可信計算機在它與用戶之間提供可信通信路徑。該路徑上的通信只能由該用戶初始化。

4.5 第五級 訪問驗證保護級

本級的計算機信息系統可信計算機滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監控器需求，計算機信息系統可信計算機在其構造時，排除那些對實施安全策略來說並非必要的代碼；在設計和實現時，從系統工程角度將其複雜性降低到最小程度。支持安全管理員職能；擴充審計機制，當發生與安全相關的事件時發出信號；提供系統恢復機制。系統具有很高的抗滲透能力。

4.5.1 自主訪問控制

計算機信息系統可信計算機定義並控制系統中命名用戶對命名客體的訪問。實施機制 （例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規定並控制客體的共享；阻止非授權用戶讀取敏感信息。並控制訪問許可權擴散。

自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。訪問控制能夠為每個命名客體指定命名用戶和用戶組，並規定他們對客體的訪問模式。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。

4.5.2 強制訪問控制

計算機信息系統可信計算機對外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記 是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。計算機信息系統可信計算機支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算機外部的所有主體對客體的直接或間接的訪問應滿足：僅當主體安全級中的等級分類高於或等於客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當主體安全級中的等級分類低於或等於客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的非等級類別，主體才能寫一個客體。計算機信息系統 可信計算機使用身份和鑑別數據，鑑別用戶的身份，保證用戶創建的計算機信息系統可信計算機外部主體的安全級和授權受該用戶的安全級和授權的控制。

4.5.3 標記

計算機信息系統可信計算機維護與可被外部主體直接或間接訪問到計算機信息系統資源（例如：主體、存儲客體、唯讀存儲器）相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數據，計算機信息系統可信計算機向授權用戶要求並接受這些數據的安全級別，且可由計算機信息系統可信計算機審計。

4.5.4 身份鑑別 計算機信息系統可信計算機初始執行時，首先要求用戶標識自己的身份，而且，計算機信息系統可信計算機維護用戶身份識別數據並確定用戶訪問權及授權數據。計算機信息系統可信計算機使用這些數據，鑑別用戶身份，並使用保護機制（例如：口令）來鑑別用戶的身份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶提供唯一標識，計算機信息系統可信計算機能夠使用戶對自己的行為負責。計算機信息系統可信計算機還具備將身份標識與該用戶所有可審計行為相關聯的能力。

4.5.5 客體重用

在計算機信息系統可信計算機的空閒存儲客體空間中，對客體初始指定、分配或再分配 一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。

4.5.6 審計

計算機信息系統可信計算機能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非授權的用戶對它訪問或破壞。

計算機信息系統可信計算機能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址空間（例如：打開檔案、程式出始化）；刪除客體；由操作員、系統管理員或（和）系統安全管理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括：事件 的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含請求的來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統可信計算機具有審計更改可讀輸出記號的能力。

對不能由計算機信息系統可信計算機獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算機獨立分辨的審計記錄。計算機信息系統可信計算機能夠審計利用隱蔽存儲信道時可能被使用的事件。 計算機信息系統可信計算機包含能夠監控可審計安全事件發生與積累的機制，當超過閾值時，能夠立即向安全管理員發出報警。並且，如果這些與安全相關的事件繼續發生或積累，系統應以最小的代價中止它們。

4.5.7 數據完整性

計算機信息系統可信計算機通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏感信息。在網路環境中，使用完整性敏感標記來確信信息在傳送中未受損。

4.5.8 隱蔽信道分析

系統開發者應徹底搜尋隱蔽信道，並根據實際測量或工程估算確定每一個被標識信道的最大頻寬。

4.5.9 可信路徑

當連線用戶時（如註冊、更改主體安全級），計算機信息系統可信計算機提供它與用戶之間的可信通信路徑。可信路徑上的通信只能由該用戶或計算機信息系統可信計算機激活，且在邏輯上與其他路徑上的通信相隔離，且能正確地加以區分。

4.5.10 可信恢復

計算機信息系統可信計算機提供過程和機制，保證計算機信息系統失效或中斷後，可以進行不損害任何安全保護性能的恢復。