GAT 390-2002计算机信息系统安全等级保护通用技术要求

可信路径trustedpath

为实现用户与TSF之间的可信通信，在TSF与用户之间建立和维护的保护通信数据免遭修改和泄 露的通信路径。

轻工业标准做障容错faulttolerance

通过一系列故障处理措施，确保故障情况下TCB所提供的安全功能的有效性和可用性

通过对资源使用的有限控制策略，确保TCB中高优先级任务的完成不受低优先级任务的干扰 从而确保TCB安全功能的安全性：

4.1.1.1中心机房的安全保护

4.1.1.1.1机房场地选择

避开强电场和强磁场区域； 避开有地震、水灾危害的区域； 避免在建筑物的高层以及用水设备的下层或隔壁； 避免靠近公共区域，如运输邮件通道、停车场或餐厅等

4.1.1.1.2机房内部安全防护

机房出入口应有专人负责，未经充许的人员不准进入机房： 没有指定管理人员的明确准许，任何记录介质、文件材料及各种被保护品均不准带出机 房， 磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准 带入机房。 ）较高要求 一机房应只设一个出入口，另设若干紧急疏散出口，标明疏散线路和方向，并应有专人负 责，未经允许的人员不准进入机房； 可派专门的警卫人员对出入机房的人员进行管理，没有指定管理人员的明确准许，任何 记录介质、文件材料及各种被保护品均不准带出机房；磁铁、私人电子计算机或电子设 备、食品及饮料、香烟、吸烟用具等均不准带入机房； 一获准进入机房的来访人员，其活动范围应受到限制，并有接待人员陪同： 在机房中设有信息系统安全管理中心的，更应加强其安全防护，如进入不同区域时佩带 有不同标记的证章、重要部位的出、入口设置电子锁、指纹锁等。 ）严格要求 一机房应只设一个出入口，另设若干紧急疏散出口，标明疏散线路和方向，并应有专人负 责，未经允许的人员不准进入机房； 可派专门的警卫人员对出入机房的人员进行管理，没有指定管理人员的明确准许，任何 记录介质、文件材料及各种被保护品均不准带出机房；磁铁、私人电子计算机或电子设 备、食品及饮料、香烟、吸烟用具等均不准带入机房； 一机房内部应分区管理，一般分为主机区、数据处理操作区、辅助区等，应根据每个工作 人员的实际工作需要，确定其能进入的区域：获准进入机房的来访人员，其活动范围应 受到限制，并有接待人员陪同； 在机房中设有信息系统安全管理中心的，更应加强其安全防护，如进入不同区域时佩带 有不同标记的证章、重要部位的出入、口设置电子锁、指纹锁等，必要时可设置摄像监 视系统。

机房出入口应有专人负责，未经充许的人员不准进入机房： 没有指定管理人员的明确准许，任何记录介质、文件材料及各种被保护品均不准带出机 房， 磁铁、私人电子计算机或电设备、食品及饮料、香烟、吸烟用具等均不准 带入机房。 ）较高要求 机房应只设一个出入口，另设若干紧急疏散出口，标明疏散线路和方向，并应有专人负 责，未经允许的人员不准进入机房； 可派专门的警卫人员对出入机房的人员进行管理，没有指定管理人员的明确准许，任何 记录介质、文件材料及各种被保护品均不准带出机房；磁铁、私人电子计算机或电子设 备、食品及饮料、香烟、吸烟用具等均不准带入机房； 一获准进入机房的来访人员，其活动范围应受到限制，并有接待人员陪同： 在机房中设有信息系统安全管理中心的，更应加强其安全防护，如进入不同区域时佩带 有不同标记的证章、重要部位的出、入口设置电子锁、指纹锁等。 ）严格要求 一机房应只设一个出入口，另设若干紧急疏散出口，标明疏散线路和方向，并应有专人负 责，未经允许的人员不准进入机房； 可派专门的警卫人员对出入机房的人员进行管理，没有指定管理人员的明确准许，任何 记录介质、文件材料及各种被保护品均不准带出机房；磁铁、私人电子计算机或电子设 备、食品及饮料、香烟、吸烟用具等均不准带入机房； 一机房内部应分区管理，一般分为主机区、数据处理操作区、辅助区等，应根据每个工作 人员的实际工作需要，确定其能进入的区域：获准进入机房的来访人员，其活动范围应 受到限制，并有接待人员陪同； 在机房中设有信息系统安全管理中心的，更应加强其安全防护，如进入不同区域时佩带 有不同标记的证章、重要部位的出入、口设置电子锁、指纹锁等，必要时可设置摄像监 视系统。

4.1.1.1.3机房防火

建筑材料防火，要求机房和记录介质存放间，其建筑材料的耐火等级，应符合TJ16中规 定的二级耐火等级；机房相关的其余基本工作房间和辅助房，其建筑材料的耐火等级应 不低于TJ16中规定的三级耐火等级； 区域隔离防火，要求机房布局要将脆弱区和危险区进行隔离，防止外部火灾进入机房， 特别是重要设备地区，安装防火门、使用阻燃材料装修等； 报警和灭火系统，要求设置火灾报警系统，由人来操作灭火设备，并对灭火设备的效率 毒性、用量和损害性有一定的要求。

建筑材料防火，要求机房和重要的记录介质存放间，其建筑材料的耐火等级，应符合 GBJ45中规定的二级耐火等级；机房相关的其余基本工作房间和辅助房，其建筑材料的 耐火等级应不低于TJ16中规定的二级耐火等级； 区域隔离防火，要求机房布局要将脆弱区和危险区用防火墙进行隔离，防止外部火灾进 入机房，特别是重要设备地区，安装防火门、使用阻燃材料装修等； 一报警和灭火系统，要求设置火灾自动报警系统，包括火灾自动探测器、区域报警器、集 中报警器和控制器等，能对火灾放生的部位以声、光或电的形式发出报警信号，并启动 自动灭火设备，切断电源、关闭空调设备等。 ）严格要求 一建筑材料防火，要求机房和重要的记录介质存放间，其建筑材料的耐火等级，应符合 GBJ45中规定的一级耐火等级；机房相关的其余基本工作房间和辅助房，其建筑材料的 耐火等级应不低于TJ16中规定的二级耐火等级： 一区域隔离防火，要求机房布局要将脆弱区和危险区用防火墙进行隔离，防止外部火灾进 入机房，特别是重要设备地区，安装防火门、使用阻燃材料装修等； 一报警和灭火系统，要求设置火灾自动消防系统，能自动检测火情、自动报警，并自动却 段电源和其他应急开关，自动启动事先固定安装好的灭火设备进行自动灭火。

4.1.1.1.4机房供、配电

机房供电系统应将动力、照明用电与计算机系统供电线路分开，并配备应急照明装置； 一建立备用的供电系统，以备常用供电系统停电时启用。 ） 较高要求 一机房供电系统应将动力、照明用电与计算机系统供电线路分开，并配备应急照明装置； 一建立备用的供电系统，以备常用供电系统停电时启用； 一采用线路稳压器，防止电压波动对计算机系统的影响： 一采用有效措施，减少机房中电器噪声干扰，保证计算机系统正常运行： 一防止电源线干扰，包括中断供电、异常状态供电（指连续电压过载或过低）、电压瞬变 噪声（电磁干扰）以及由于核爆炸或雷击等引起的设备突然失效事件； 一设置电源保护装置，如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电 压调整变压器、不间断电源（UPS）、避雷针和浪涌滤波器等。 c）严格要求 一机房供电系统应将动力、照明用电与计算机系统供电线路分开，并配备应急照明装置： 一建立备用的供电系统，以备常用供电系统停电时启用； 一采用不间断供电电源，防止电压波动、电器干扰、断电等对计算机系统的影响： 一采用有效措施，减少机房中电器噪声十扰，保证计算机系统止常运行； 一防止电源线干扰，包括中断供电、异常状态供电（指连续电压过载或低电压）、电压瞬变 噪声（电磁干扰）以及由于核爆炸或雷击等引起的设备突然失效事件： 一设置电源保护装置，如金属氧化物可变电阻、硅雪崩二极管、气体放电管、滤波器、电 压调整变压器、、避雷针和浪涌滤波器等； 提供紧急情况供电，配置抵抗电压不足的设备，包括基本的UPS、改进的UPS、多级UPS

和应急电源（发电机组）等

4.1.1.1.5机房空调、降温

一应有必要的空调设备，使机房温度达到所需的基本要求。 b）较高要求 一应有较完备的中央空调系统，保证机房温度的变化在计算机运行所允许的范围。 C）严格要求 一应有完备的中央空调系统，保证机房各个区域的温度变化能满足计算机运行、人员活动 和其它辅助设备的要求。

4.1.1.1.6机房防水与防潮

水管安装，不得穿过屋顶和活动地板下，穿过墙壁和楼板的水管应便用套管，并采取可 靠的密封措施；计算机设备应放在工作台上，并备有防水罩； 对工作人员进行防水害教育，了解机房进水管关闭阀的准确位置，做到人人会用； 一采取一定措施，防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移与渗 透

水管安装，不得穿过屋顶和活动地板下，穿过墙壁和楼板的水管应使用套管，并采取可 靠的密封措施： 一对工作人员进行防水害教育，了解机房进水管关闭阀的准确位置，做到人人会用； 一采取一定措施，防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移与渗 透； 安装对水敏感的检测仪表或元件，对机房进行防水检测、报警。 严格要求 一水管安装，不得穿过屋顶和活动地板下，穿过墙壁和楼板的水管应使用套管，并采取可 靠的密封措施； 一对工作人员进行防水害教育，了解机房进水管关闭阀的准确位置，做到人人会用 一采取一定措施，防止雨水通过屋顶和墙壁渗透、室内水蒸气结露和地下积水的转移与渗 透； 一安装对水敏感的检测仪表或元件，对机房进行防水检测、报警； 机房应设有排水口，并购置水泵，以便迅速排出积水

4.1.1.1.7机房防静电

采用接地与屏蔽措施，使计算机系统有一套合理的接地与屏蔽系统； 一人员服装采用不易产生静电的衣料，工作鞋选用低阻值材料制作； 一控制机房温湿度，使其保持在不易产生静电的范围内。 b）较高要求 一应采用接地与屏蔽措施，使计算机系统有一套合理的接地与屏蔽系统 一人员服装采用不易产生静电的衣料，工作鞋选用低阻值材料制作； 控制机房温湿度，使其保持在不易产生静电的范围内：

机房地板从地板表面到接地系统的阻值，应保证防人身触电和产生静电； 一机房中使用的各种家具，工作台、柜等，应选择产生静电小的材料。 C）严格要求 一应采用接地与屏蔽措施，使计算机系统有一套合理的接地与屏蔽系统； 一人员服装采用不易产生静电的衣料，工作鞋选用低阻值材料制作： 一控制机房温湿度，使其保持在不易产生静电的范围内； 一机房地板从地板表面到接地系统的阻值，应保证防人身触电和产生静电； 一机房中使用的各种家具，工作台、柜等，应选择产生静电小的材料； 在硬件维修时，应采用金属板台面的专用维修台，以保护MOS电路： 在机房中使用静电消除剂和静电消除器等，以进一步减少静电的产生，

4.1.1.1.8机房接地与防雷击

1.1.8机房接地与防霜

应采用地桩、水平栅网、金属板、建筑物基础钢筋等构建接地系统，确保接地体良好的 接地； 一设置信号地与直流电源地，应注意不造成额外耦合，保障去耦、滤波等的良好效果； 一设置避雷地，应以深理地下、与大地良好相通的金属板作为接地点，至避雷针的引线则 应采用粗大的紫铜条，或者使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与 避雷针相连。 较高要求 一应采用地桩、水平栅网、金属板、建筑物基础钢筋等构建接地系统，确保接地体良好的 接地； 一设置信号地与直流电源地，应注意不造成额外耦合，保障去耦、滤波等的良好效果； 一设置避雷地，应以深埋地下、与大地良好相通的金属板作为接地点，至避雷针的引线则 应采用粗大的紫铜条，或者使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与 避雷针相莲； 一一设置安全防护地与屏蔽地，应采用阻抗尽可能小的良导体的粗线，以减小各种地之间的 电位差：应采用焊接方法，并经常检查接地的良好，检测接地电阻，确保人身、设备和 运行的安全。 ）严格要求 一应采用地桩、水平栅网、金属板、建筑物基础钢筋构建接地系统等，确保接地体良好的 接地； 一设置信号地与直流电源地，应注意不造成额外耦合，保障去耦、滤波等的良好效果； 一设置避雷地，应以深理地下、与大地良好相通的金属板作为接地点，至避雷针的引线则 应采用粗大的紫铜条，或者使整个建筑的钢筋自地基以下焊连成钢筋网作为“大地”与 避雷针相连； 一设置安全防护地与屏蔽地，应采用阻抗尽可能小的良导体的粗线，以减小各种地之间的 电位差，应采用焊接方法，并经常检查接地的良好，检测接地电阻，确保人身、设备和 运行的安全； 设置交流电源地线，交流供电线应有规范连接位置的三芯线，即相线、中线和地线，并 将该“地线”连通机房的地线网，以确保其安全保护作用

4.1.1.1.9机房电磁防护

应采用接地的方法防止外界电磁干扰和设备寄生耦合干扰； 一应采用屏蔽方法，对信号线、电源线进行电屏蔽，减少外部电器设备对计算机的瞬间干 扰； 应采用距离防护的方法，将计算机机房的位置选在外界电磁干扰小的地方和远离可能接 收辐射信号的地方。 b）较高要求 一应采用接地的方法防止外界电磁干扰和设备寄生耦合干扰： 一应采用屏蔽方法，对信号线、电源线进行电屏蔽，减少外部电器设备对计算机的瞬间干 扰； 一应采用距离防护的方法，将计算机机房的位置选在外界电磁于扰小的地方和远离可能接 收辐射信号的地方： 一应采用低辐射材料和设备，防止电磁发射泄露 一应采用屏蔽方法，对重要设备进行电磁屏蔽，削弱外部电磁场对计算机设备的干扰，防 止电磁信号的泄露 一对磁带、磁盘等磁记录介质的保管存放，应注意电磁感应的影响，如使用铁制柜存放 c）严格要求 一应采用接地的方法防止外界电磁干扰和设备寄生耦合干扰； 一应采用屏蔽方法，对信号线、电源线进行电屏蔽，减少外部电器设备对计算机的瞬间干 扰； 应采用距离防护的方法，将计算机机房的位置选在外界电磁干扰小的地方和远离可能接 收辐射信号的地方： 一应采用低辐射材料和设备，防止电磁发射泄露： 一应采用屏蔽方法，对计算机机房进行电磁屏蔽，防止外部电磁场对计算机设备的干扰： 防止电磁信号的泄露： 对磁带、磁盘等磁介质设备的保管存放，应注意电磁感应的影响，如使用铁制柜存放，

4.1.1.2通信线路的安全防护

应采取一定措施，预防线路截获，使线路截获设备难以工作； 一应有探测线路截获装置，及时发现线路截获事件并报警。 b）较高要求 一应采取有效措施，预防线路截获，使线路截获设备无法工作； 一应有探测线路截获装置，及时发现线路截获的事件并报警； 一应有定位线路截获装置，能发现线路截获窃取设备的准确位置。 C）严格要求 应采取有效措施，预防线路截获，使线路截获设备无法工作； 应有探测线路截装置，及时发现线路截获的事件并报警； 一应有定位线路截获装置，能发现线路截获窃取设备的准确位置； 应有对抗线路截获装置，能阻止线路截获窃取设备的有效使用。

4.1.2.1设备的防盗和防毁

a）基本要求 一计算机系统的设备和部件应有明显的无法除去的标记，以防更换和方便查找赃物； 计算中心应安装防盗报警装置，防止夜间从门窗进入的盗窃行为。 b）较高要求 一计算机系统的设备和部件应有明显的无法除去的标记，以防更换和方便查找赃物； 一计算中心应利用光、电、无源红外等技术设置机房报警系统，并有专人值守，防止夜间 从门窗进入的盗窃行为； 机房外部的网络设备，应采取加固防护等措施，以防止盗窃和破坏。 c）严格要求 一计算机系统的设备和部件应有明显的无法除去的标记，以防更换和方便查找赃物； 一应利用闭路电视系统对计算机中心的各重要部位进行监视，并有专人值守，防止夜间从 门窗进入的盗窃行为； 机房外部的网络设备，应采取加固防护等措施，必要时安排专人看管，以防止盗窃和破 坏

复1.2. 2 设备的安全可用

支持计算机信息系统运行的所有设备，包括计算机主机、外部设备、网络设备及其它辅 助设备等均应安全可用； 一应提供基本的运行支持，并有一定的故障恢复能力。 b）较高要求 一支持计算机信息系统运行的所有设备，包括计算机主机、外部设备、网络设备及其它辅 助设备等均应安全可用； 一应提供可靠的运行支持，并有一定的故障容错和故障恢复能力。 c）严格要求 一支持计算机信息系统运行的所有设备，包括计算机主机、外部设备、网络设备及具它辅 助设备等均应安全可用； 应提供可靠的运行支持，并通过故障容错和故障恢复等措施，支持计算机信息系统实现 不间断运行，

4.1.3记录介质安全

存放有用数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取 定措施防止被盗、被毁和受损； 一应该删除和销毁的有用数据，应有一定措施，防止被非法拷贝。 b）较高要求 一存放有用数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取 定措施防止被盗、被毁和受损； 存放重要数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取有 效措施，如建立介质库等，防止被盗、被毁和受损

系统中有很高使用价值或很高机密程度的重要数据，应采用加密等方法进行保护； 一应该删除和销毁的有用数据，应有一定措施，防止被非法拷贝； 应该删除和销毁的重要数据，应采取有效措施，防止被非法拷贝； 重要数据的销毁和处理，要有严格的管理和审批手续，

应该删除和销毁的有用数据，应有一定措施，防止被非法拷贝； 应该删除和销毁的重要数据，应采取有效措施，防止被非法拷贝： 重要数据的销毁和处理，要有严格的管理和审批手续。 严格要求 存放有用数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等，应采取 定措施防止被盗、被毁和受损； 存放重要数据和关键数据的各类记录介质，如纸介质、磁介质、半导体介质和光介质等 应采取有效措施，如建立介质库、异地存放等，防止被盗、被毁和发霉变质： 系统中有很高使用价值或很高机密程度的重要数据，或者对系统运行和应用来说起关键 作用的数据，应采用加密等方法进行保护； 应该删除和销毁的有用数据，应有一定措施，防止被非法拷贝： 应该删除和销毁的重要数据和关键数据，应采取有效措施，防止被非法拷贝： 重要数据的销毁和处理，要有严格的管理和审批手续，而对于关键数据则应长期保存

.1.4安全管理中心安

安全管理中心的物理安全应满足以下要求： a）管理中心设置在中心机房，以各种方式与计算机信息系统的各类安全机制相连接； b） 除了按照一般的机房建设要求进行设计外，还应设置一些关卡，比如，严格的门卫制度和人 员管理，必要时可安装闭路摄像监视系统

风险分析应按以下要求进行： a）以系统安全运行和信息安全保护为出发点，全面分析由于物理的、系统的、管理的、人为的 和自然的原因所造成的安全风险； b）通过对影响计算机信息系统安全运行的诸多因素的了解和分析，明确系统存在的风险，找出 克服这些风险的办法； c）对常见的风险（如：后门/陷阱门、拒绝使用、辐射、盗用、伪造、假冒、逻辑炸弹、破坏活 动、超级处理、偷窃行为、搭线窃听以及计算机病毒等）进行分析，确定每类风险的程度； d) 系统设计前和运行前应进行静态风险分析，以发现系统的潜在安全隐惠： e 系统运行过程中应进行动态风险分析，测试、跟踪并记录其活动，以发现系统运行期的安全 漏洞； 系统运行后应进行综合性风险分析，并提供相应的系统脆弱性分析报告； g) 采用风险分析工具，通过收集数据、分析数据、输出数据，确定危险的严重性等级，分析危 险的可能性等方法进行风险分析，以便确定安全对策，

2. 2系统安全性检测

计算机信息系统安全性检测分析应从以下方面进行： a）操作系统安全性检测分析，应从操作系统的角度，以管理员身份评估文件许可、文件宿主、 网络服务设置、账户设置、程序真实性以及一般的与用户相关的安全点、入侵迹象等，从而 检测和分析操作系统的安全性，发现存在的安全隐患。 b） 数据库管理系统安全性检测分析，应对支持计算机信息系统运行的数据库管理系统进行安全

性检测分析，要求通过扫描数据库系统中与鉴别、授权、访问控制和系统完整性设置相关的 数据库管理系统特定的安全脆弱性，分析其存在的缺点和漏洞，提出补救措施， 网络安全性检测分析，应采用侵袭模拟器，通过在网络设备的关键部位，用模拟侵袭的方法 自动扫描、检查并报告网络系统中存在的缺点和漏洞，提出补救措施，达到增强网络安全性 的目的。 d 防火墙安全性检测分析，应通过反复高速地逐个对防火墙和宿主系统上的数百个与安全性相 关的因素进行测试，对其安全性进行检测分析，寻找其安全漏洞。 e） 电磁泄露检测分析，应对运行中的计算机信息系统环境进行电磁泄露检测，要求采用专门的 检测设备，检查系统运行过程中由于电磁干扰和电磁辐射对计算机信息系统的安全性所造成 的威胁，并提出补救措施

4. 2.3网络安全监控

网络安全监控应采用以下方法： a）设置分布式探测器实时监听网络数据流，监视和记录内、外部用户出入网络的相关操作，在 发现违规模式和未授权访问时，报告网络安全监控中心。 b）设置安全监控中心，对收到的来自分布式探测器的信息，根据安全策略进行分析，并作审计、 报告、事件记录和报警等处理。监控中心应具有一定的远程管理功能，如对探测器实现远程 参数设置、远程数据下载、远程启动等操作。安全监控中心还应具有实时响应功能，包括攻 击分析和响应、误操作分析和响应、漏洞分析和响应以及漏洞形势分析和响应。

4. 2. 4 安全审讯

4.2.4.1安全审计的自动响应

安全审计TSF应按以下要求响应审计事件： a 实时报警的生成，当检测到可能有安全侵害事件时，生成实时报警信息； b 违例进程的终止，当检测到可能有安全侵害事件时，将违例进程终止； 服务的取消，当检测到可能有安全侵害事件时，取消当前的服务； d 用户账号的断开与失效，当检测到可能有安全侵害事件时，将当前的用户账号断并，并使其 失效。

1.2.4.2安全审计数据

安全审计TSF应按以下要求产生审计数据： 为下述可审计事件产生审计记录： 审计功能的启动和关闭； 使用身份鉴别机制； 将客体引入用户地址空间（例如：打开文件、程序初始化）； 删除客体； 一 系统管理员、系统安全员、审计员和一般操作员所实施的操作； 一其他与系统安全有关的事件或专门定义的可审计事件。 对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功 及其他与审计相关的信息。 对于身份鉴别事件，审计记录应包含请求的来源（例如：终端标识符）。 对于客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全 级别。

e）将每个可审计事件与引起该事件的用户相关联！

4.2.4.3安全审计分析

安全审计分析应包括： a）潜在侵害分析，应能用一系列规则去监控审计事件，并根据这些规则指出TSP的潜在侵害。 这些规则包括： 一由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合； 任何其它的规则。 b）基于异常检测的描述，应维护用户所具有的质疑等级一一历史使用情况，以表明该用户的理 行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，TSF应能指 出将要发生对安全性的威胁。 c） 简单攻击探测，应能检测到对TSF实施有重大威胁的签名事件的出现。为此，TSF应维护指 出对TSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当 发现两者匹配时，指出一个对TSF的攻击即将到来。 d) 复杂攻击探测，在上述简单攻击探测的基础上，要求TSF应能检测到多步入侵情况，并能根 据已知的事件序列模拟出完整的入侵情况，还应指出发现对TSF的潜在侵害的签名事件或事 性序列的时间,

2.4.4安全审计查阅

安全审计查阅工具应具有： a）审计查阅，提供从审计记录中读取信息的能力，即要求TSF为授权用户提供获得和解释审计 信息的能力。当用户是人时，必须以人类可懂的方式表示信息；当用户是外部IT实体时，必 须以电子方式无歧义地表示审计信息。 b) 有限审计查阅，在上述审计查阅的基础上，审计查阅工具应禁止具有读访问权限以外的用户 读取审计信息。 c) 可选审计查阅，在上述有限审计查阅的基础上，审计查阅工具应具有根据准则来选择要查阅 的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能 力。

夏2. 4. 5 安全审计事件

应根据以下属性选择可审计事件： a）客体身份、用户身份、主体身份、主机身份、事件类型； b）作为审计选择性依据的附加属性

2.4.6安全审计事件

应具有以下创建并维护安全的审计踪迹记录的能力： a） 受保护的审计踪迹存储，要求审计踪迹的存储受到应有的保护，能检测或防止对审计记录的 修改。 b) 审计数据的可用性确保，要求在意外情况出现时，能检测或防止对审计记录的修改，以及在 发生审计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏。 c) 审计数据可能丢失情况下的措施，要求当审计跟踪超过预定的门限时，应采取相应的措施 进行审计数据可能丢失情况的处理。 d) 防止审计数据丢失，要求在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施， 可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆

GA/T 390 .

盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其它行动”等措施，防止审计 数据丢失。

2.4.7网络环境安全审

在网络环境运行的计算机信息系统，TSF应采用以下措施进行安全审计与评估： a）建立由安全审计中心（安全审计服务器）和分布在网络各个运行节点的审计代理程序组成的 分布式安全审计系统，实现网络环境计算机信息系统安全审计与评估： b）安全审计代理程序为安全审计服务器提供审计数据； c）安全审计服务器实时收集各安全代理程序的审计信息，并进行记录分析与保存： d 设置跨平台的安全审计机制，对安全事件快速进行评估并作出响应，向管理人员提供各种能 反映系统使用情况、出现的可疑迹象、运行中发生的问题等有价值的统计和分析信息； e）运用统计方法学和审计评估机制，给出智能化审计报告及趋向报告，达到综合评估系统安全 现状的自的。

4. 2.5网络防病毒

计算机信息系统应采用以下病毒防治措施： a）严格管理，严格控制各种外来介质的使用，必须先杀毒，后使用； b) 防杀结合，要求在所有病毒可能入侵的网络连接部位设置病毒扫描工具，拦截并杀除企图进 入系统的病毒； C） 整体防御，应设置病毒管理中心，通过对全系统的服务器、工作站和客户机，进行病毒防治 的统一管理，注意新病毒和杀病毒软件的升级换代；扫描、检查病毒感染情况，并设置在线 报警功能，一旦发现病毒，可由管理人员从管理中心予以解决； d) 防管结合，应将防病毒与网络管理相结合，在网管所涉及的重要部位设置防病毒软件，在所 有病毒能够进入的地方都采取相应的防范措施，防止病毒侵袭； e) 多层防御，应采用实时扫描、完整性保护和完整性检验等不同层次的技术，将病毒检测、多 层数据保护和集中式管理功能集成起来，提供全面的病毒防护功能，检测、发现和消除病毒 阻止病毒的扩散和传播

4.2.6备份与故障恢复

为了实现确定的恢复功能，必须在系统正常运行时定期地或按照某种条件实施相应的的备份。根 据不同的恢复要求，应有以下形式的备份： a） 用户自我信息备份，由用户自身有选择地备份重要信息 b） 增量信息备份，由系统定时对新增信息进行备份： 局部系统备份，对某些重要的局部系统进行定期备份； d 热备份，对系统的重要设备进行穴余设置，并在必要时能立即投入使用； e) 全系统备份，定期对全系统的运行现场进行备份： f) 主机系统远地备份，对于重要的计算机信息系统，设置主机系统的远地备份，以备主机系统 不能正常运行时能在较短时间内启动，替代主机系统工作，

4.2.6.2故障恢复

应在上述备份功能的基础上提供过程和机制，确保在确定不减弱保护的情况下启动TCB，并 中断后能在不减弱保护的情况下恢复计算机信息系统的运行。故障恢复包括： a）手动恢复，TCB只提供以人工干预的方法使计算机信息系统返回到安全状态的机制。该

在计算机信息系统发生失败或服务中断后，使TSF进入维护方式，并提供以手工方法将TCB 返回到一个保护状态的能力。 b） 自动恢复，应对至少一种类型的服务中断，在无人工干预的情况下能使计算机信息系统恢复 到安全状态，对其它的服务中断可由手动恢复实现。 c）无过分丢失的自动恢复，在进行自动恢复时，应确保在TSC内的TSF数据或客体无超过限 定量的去失。 d）灾难性恢复，当发生地震、水灾、火灾等不可抗拒的自然灾害或由于人为原因造成系统灾难 性故障时，能通过启动远地备份系统的主机系统，使计算机信息系统继续正常运行，提供不 间断服务

4.2.7计算机信息系统的应急计划和应急反应

在应急情况作出反应的应急计划应： ）具有各种安全措施，包括在出现各种安全事件时应采取的措施，这些措施是管理手段与技术 手段的结合； b） 设置正常备份机制，在系统正常运行时就通过各种备份措施为灾害和故障做准备； c）健全安全管理机构，建立健全的安全事件管理机构，明确人员的分工和责任； 日）建立处理流程图，制定安全事件响应与处理计划及事件处理过程示意图，以便迅速恢复被安 全事件破坏的系统，

4. 3.1标识和鉴别

4. 3. 1.1数据鉴别

要求TSF能提供一种鉴别信息真实性的方法（如数字签名），用这种方法，可以保证特定数据单 的有效性，进而可用其验证信息内容没有被伪造或篡改。数据鉴别包括： a）基本数据鉴别，要求TSF应具有保证客体信息内容真实性的能力。TSF能提供确保客体表或 信息类型表有效性的能力；TSF能提供一个主体表，该主体表能对验证指定信息的有效性提 供证据。 b）伴有保证者身份的数据鉴别，要求TSF除具有基本数据鉴别功能外，还应具有确保主体身份 真实性的能力。

4. 3. 1. 2用户标识

a）同步标识，应充许用户在被TSF标识之前，实施一定的动作，这些动作用来确定标识自已的 条件（如生成标识符或在登录过程中请求输入需要的信息等），并要求TSF在允许任何以该 用户的名义实施由其它TSF促成的动作之前，都要成功地标识该用户。 b）动作前标识，TSF应在允许任何代表该用户的其它TSF促成的动作之前，要求该用户应成功 地标识自己。

4.3.1.3标识用户的身份鉴别

a）同步鉴别，要求TSF应允许用户在被鉴别之前以该用户名义实施由TSF促成的某些动作。这 些动作用来确定鉴别自已的条件（如生成口令或在登录过程中请求输入需要的信息等），并 要求TSF在充许任何以该用户名义实施由其它TSF促成的动作之前，应成功地鉴别该用户。 动作前鉴别，TSF应在充许任何代表该用户的其它TSF促成的动作之前，要求对该用户的身 份进行成功的鉴别。

c）不可伪造鉴别，应检测并防止使用伪造或复制的鉴别数据。一方面，要求TSF应检测或防止 由任何别的用户伪造的鉴别数据，另一方面，要求TSF应检测或防止当前用户从任何其它用 户处复制的鉴别数据的使用。 d）一次性使用鉴别，应能提供一次性使用鉴别数据操作的鉴别机制，即TSF应防止与已标识过 的鉴别机制有关的鉴别数据的重用。 e） 多机制鉴别，应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且TSF应根据所 描述多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份。 f 重新鉴别，应有能力规定需要重新鉴别用户的事件，即TSF应在需要重鉴别的条件表所指示 的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别 g 受保护的鉴别反馈，要求TSF在鉴别期间只有有限的反馈信息提供给用户，即当进行鉴别时 TSF仅仅将反馈表提供给用户

4.3.1.4鉴别失败处理

要求TSF为不成功的鉴别尝试次数（包括尝试数目和时间的阈值）定义一个值，以及明确规定达 到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的 数目相同的情况，并进行预先定义的处理

4.3.2信息交换的安全鉴别

4.3.2信息交换的安全鉴别

4.3.2.1原发抗抵赖

信息的主体在数据交换期间能获得证明信息原发的证据，而且该证据可由该主体或第三方主体验证， 原发抗抵赖分为： a）选择性原发证明，要求TSF具有为主体提供请求原发证据信息的能力。即TSF在接到原发者 或接收者的请求时，能就传输的信息产生原发证据，证明该信息的发送由该原发者所为。 b）强制性原发证明，要求TSF在任何时候都能对传输的信息产生原发证据。即TSF在任何时候 都能就传输的信息强制产生原发证据，证明该信息的发送由该原发者所为

4. 3.2.2接收抗抵赖

应确保信息的接收者不能成功地否认对该信息的接收。这就要求TSF提供一种方法，来确保发送 息的主体在数据交换期间能获得证明该信息被接收的证据，而且该证据可由该主体或第三方主体验 接收抗抵赖分为： a）选择性接收证明，要求TSF具有为主体提供请求信息接收证据的能力。即TSF在接到原发者 或接收者的请求时，能就接收到的信息产生接收证据，证明该信息的接收由该接收者所为。 b）强制性接收证明，要求TSF总是对收到的信息产生接收证据。即TSF能在任何时候对收到的 信息强制产生接收证据，证明该信息的接收由该接收者所为，

4. 3. 3. 1匿名

要求TSF应确保用户和/或主体集 联的实际用

要求TSF应确保用户在使用资源或设备时，不暴露其真实名称，但仍能对该次使用负责，TS 保用户和/或主体集，在对用户身份进行真实性鉴别时，不能确定与主体和/或操作和/或客体列表 联的真实的用户名。

精装修标准规范范本4.3.3.3不可关联性

个用户可以多次使用资源和服务，但任何人都不能将这些使用联系在一起，要求TSF应确 和/主体不能确定系统中的某些操作是否由同一用户引起，

4. 3. 3. 4 不可观察性

用户在使用资源和服务时，其它人，特别是第三方不能观察到该资源和服务正在被使用，要求 TSF应确保用户和/或主体，不能观察到由受保护的用户和/或主体对客体所进行的操作，还要求TCB 为授权用户提供可观察性，即向授权用户提供观察资源和/或服务列表使用情况的能力。

4.3.4.1用户属性定义

要求TSF应对用户进行标记，即为用户指定安全属性。

要求TSF应对用户进行标记探伤标准，即为用户指定安全属性。

4.3.4.2客体属性定

要求TSF应对客体进行标记，即为客体指定安全属性。