6.1 第一級 用戶自主保護級

本章以GB17859-1999對各個安全保護等級的不同要求為基礎，分別從安全功能和安全保證兩方面，對信息系統安全技術要求作詳細描述。表1給出了每一個安全保護等級應達到的安全功能技術要求；表2給出了每一個安全保護等級應達到的安全保證技術要求。

6.1.1 物理安全

6.1.1.1 環境安全

6.1.1.1.1 中心機房安全

可按4.1.1.1的要求，設計和實現中心機房安全功能。本安全保護等級要求：
a)按4.1.1.1.1中基本要求的描述，進行機房場地的選擇；
b)按4.1.1.1.2中機房出入和機房物品管理的要求，設計和實現機房內部安全防護；
c)按4.1.1.1.3中建筑材料防火①及報警和滅火系統①的要求，設計和實現機房防火；
d)按4.1.1.1.4中分開供電和緊急供電①的要求，設計和實現機房供、配電；
e)按4.1.1.1.5中基本溫度要求，設計和實現機房空調降溫；
f)按4.1.1.1.6中水管安裝和水害防護的要求，設計和實現機房防水與防潮；
g)按4.1.1.1.7中接地與屏蔽、服裝防靜電和溫、濕度防靜電的要求，設計和實現機房防靜電；
h)按4.1.1.1.8中接地要求，去耦、濾波要求，以及避雷要求，設計和實現機房接地與防雷；
i)按4.1.1.1.9中接地防干擾、屏蔽防干擾和距離防干擾的要求，設計和實現機房電磁防護。

6.1.1.1.2 通信線路的安全

可按4.1.1.2中確保線路暢通的要求，設計和實現通信線路的安全防護。

6.1.1.2 設備安全

可按4.1.2的要求，設計和實現設備安全功能。本安全保護等級要求：
a)按4.1.2.1中設備標記要求和計算中心防盜①的要求，設計和實現設備的安全保護；
b)按4.1.2.2中基本運行支持的要求，設計和實現設備安全功能。

6.1.1.3 記錄介質安全

可按4.1.3中公開數據介質保護的要求，設計和實現記錄介質安全保護功能。

6.1.2 運行安全

6.1.2.1 風險分析

可按4.2.1的要求進行風險分析，確定信息系統的總體安全需求；以用戶自主保護級對物理安全、運行安全和數據安全的要求為基本依據，確定為實現用戶自主保護級所要求的保密性、完整性和可用性應采取的安全技術和安全管理措施。

6.1.2.2 信息系統安全性檢測分析

可按4.2.2中操作系統安全性檢測分析和數據庫管理系統安全性檢測分析的要求，運用有關工具，檢測所選用的操作系統和數據庫系統的安全性，通過對檢測結果的分析，按用戶自主保護級的安全要求，對所存在的問題加以改進。

6.1.2.3 信息系統邊界安全防護

可按4.2.5基本安全防護的要求，設計和實現信息系統外部邊界的安全防護功能及其內部各個安全域邊界的安全防護功能。

6.1.2.4 備份與故障恢復

可按4.2.6中用戶自我信息備份與恢復、增量信息備份與恢復的要求，設計和實現備份與恢復功能。

6.1.2.5 惡意代碼防護

可按4.2.7中嚴格管理的要求，設計和實現惡意代碼防護功能。

6.1.2.6 信息系統應急處理

可按4.2.8中具有各種安全措施的要求，結合用戶自主保護級對信息系統安全的具體要求，設計和制定應急計劃和應急措施，明確信息系統出現各種情況時應采取的措施。

6.1.3 數據安全

6.1.3.1 身份鑒別

6.1.3.1.1 用戶標識

可按4.3.1.1.1中基本標識和標識信息管理的要求，設計和實現用戶標識功能，并按4.3.1.2的要求實現用戶-主體綁定。一般以用戶名和用戶標識符（UID）來標識一個用戶。

6.1.3.1.2 用戶鑒別

可按4.3.1.1的要求，設計和實現用戶鑒別功能。本安全保護等級要求：
a)按4.3.1.1.2基本鑒別和鑒別信息管理的要求，在每次用戶登錄系統時進行鑒別，鑒別信息應是不可見的，并在存儲時有安全保護；
b)對跨網絡的遠程用戶，當鑒別信息在網上傳輸時應有安全保護；
c)按4.3.1.1.3的要求，設計和實現鑒別失敗處理功能。

6.1.3.2 自主訪問控制

可按4.3.3的要求，設計和實現自主訪問控制功能。本安全保護等級要求：
a)按4.3.3.1的要求，確定自主訪問控制策略；
b)按4.3.3.2的要求，設計和實現自主訪問控制功能；
c)按4.3.3.3中子集訪問控制的要求，確定自主訪問控制的范圍；
d)按4.3.3.4中粗粒度的要求，確定自主訪問控制的粒度；
e)無論采用何種訪問控制策略所實現的自主訪問控制功能，都能夠允許命名用戶以用戶或用戶組的身份規定并控制對客體的訪問，并阻止非授權用戶對客體的訪問。

6.1.3.3 用戶數據完整性

可按4.3.6的要求，設計和實現用戶數據完整性保護功能。本安全保護等級要求：
a）按4.3.6.2中完整性檢測的要求，設計和實現相應的SSOIS安全功能模塊，對經過網絡在兩個SSOIS間傳輸的用戶數據進行完整性保護。本安全保護等級要求SSOIS提供監視用戶數據完整性的功能，即能檢測出被傳輸的用戶數據被篡改、刪除、插入等情況發生。

6.1.3.4 密碼支持

根據需要，可按4.3.10所配置的密碼支持，對需要傳輸加密保護的數據，在傳輸時進行加密。

6.1.4 SSOIS自身安全保護

6.1.4.1 SSF物理安全保護

可按5.1.1的要求，實現SSF的物理安全保護。本安全保護等級要求：

6.1.4.2 SSF運行安全保護

可按5.1.2的要求，實現SSF的運行安全保護。本安全保護等級要求：
a)按5.1.2.1的要求，實現對SSF安全運行的測試；
b)按5.1.2.2的要求，實現對SSF的失敗保護；
c)按5.1.2.7的要求，為SSOIS的運行提供可靠的時間戳支持；
d)按5.1.2.9的要求，實現SSF在啟動時的自檢。

6.1.4.3 SSF數據安全保護

可按5.1.3的要求，實現SSF數據的安全保護。本安全保護等級要求：
a)按5.1.3.4中基本傳輸保護的要求，實現SSOIS內SSF數據傳輸的保護。

6.1.4.4 SSOIS資源利用

可按5.1.4的要求，實現SSOIS的資源利用。本安全保護等級要求：
a)按5.1.4.1中降級容錯的要求，實現SSOIS的容錯處理；
b)按5.1.4.2中有限服務優先級的要求，實現SSOIS的服務優先級處理；
c)按5.1.4.3中最大限額的要求，實現SSOIS的資源分配。

6.1.4.5 SSOIS訪問控制

可按5.1.5的要求，實現SSOIS的訪問控制。本安全保護等級要求：
a)按5.1.5中SSOIS會話建立的要求，實現對會話建立的管理；
b)按5.1.5中可選屬性范圍限定的要求，實現對會話安全屬性的范圍限制；
c)按5.1.5中多重并發會話限定的要求，實現并發會話的限定。

6.1.5 SSOIS設計和實現

6.1.5.1 配置管理

可按5.2.1的要求，實現SSOIS的配置管理。本安全保護等級要求：
a)按5.2.1.1版本號的要求，實現版本號管理。

6.1.5.2 分發和操作

可按5.2.2的要求，實現SSOIS的分發和操作。本安全保護等級要求：
a)按5.2.2.1中分發過程的要求，編制分發和操作說明；
b)按5.2.2.2中安裝、生成和啟動過程的要求，編制安裝、生成和啟動說明。

6.1.5.3 開發

可按5.2.3的要求，進行SSOIS的開發。本安全保護等級要求：
a)按5.2.3.1中非形式化功能設計的要求，實現SSOIS的功能設計；
b)按5.2.3.3中描述性高層設計的要求，實現SSOIS的高層設計；
c)按5.2.3.4中描述性低層設計的要求，實現SSOIS的低層設計；
d)按5.2.3.5中模塊化的要求，實現SSOIS的內部結構設計；
e)按5.2.3.6 中SSF子集實現的要求，完成SSOIS的實現表示設計；
f)按5.2.3.7中非形式化對應性的要求，實現SSOIS的對可性設計。

6.1.5.4 文檔要求

可按5.2.4對安全管理員指南和用戶指南的要求，根據用戶自主保護級對配置管理、分發和操作、開發、生存周期支持以及測試等的要求，編寫安全管理員指南和用戶指南。

6.1.5.5 生存周期支持

可按5.2.5的要求，實現SSOIS的生存周期支持。本安全保護等級要求：
a)按5.2.5.3中開發者定義的生存周期模型的要求，實現SSOIS生存周期模型的設計。

6.1.5.6 測試

可按5.2.6的要求，進行SSOIS的測試。本安全保護等級要求：
a)按5.2.6.3中一般功能測試的要求，實現功能測試；
b)按5.2.6.4中相符獨立性測試的要求，實現獨立性測試。

6.1.6 SSOIS安全管理

根據本安全保護等級中安全功能技術要求所涉及的物理安全、運行安全、數據安全和安全保證技術要求所涉及的SSOIS自身安全與SSOIS設計和實現等有關內容，按5.3所描述的要求，設計SSOIS安全管理。本安全保護等級可按以下要求制定相應的操作、運行規程和行為規章制度：
a)按5.3.1 的要求，實現SSF功能的管理。