6.2 第二級 系統審計保護級

6.2.1 物理安全

6.2.1.1 環境安全

6.2.1.1.1 中心機房安全

宜按4.1.1.1的要求，設計和實現中心機房安全功能。本安全保護等級要求：
a)按4.1.1.1.1中基本要求的描述，進行機房場地的選擇；
b)按4.1.1.1.2中機房出入和機房物品管理的要求，設計和實現機房內部安全防護；
c)按4.1.1.1.3中建筑材料防火①、報警和滅火系統①和區域隔離防火的要求，設計和實現機房防火；
d)按4.1.1.1.4中分開供電、緊急供電①、穩壓供電和電源保護的要求，設計和實現機房供、配電；
e)按4.1.1.1.5中基本溫度的要求，設計和實現機房空調降溫；
f)按4.1.1.1.6中水管安裝和水害防護的要求，設計和實現機房防水與防潮；
g)按4.1.1.1.7中接地與屏蔽、服裝防靜電和溫、濕度防靜電的要求，設計和實現機房防靜電；
h)按4.1.1.1.8中接地要求，去耦、濾波要求，以及避雷要求，設計和實現機房接地與防雷；
i)按4.1.1.1.9中接地防干擾、屏蔽防干擾和距離防干擾的要求，設計和實現機房電磁防護。

6.2.1.1.2 通信線路的安全

宜按4.1.1.2中確保線路暢通的要求，設計和實現通信線路安全防護。

6.2.1.2 設備安全

宜按4.1.2的要求，設計和實現設備安全功能。本安全保護等級要求：
a)按4.1.2.1中設備標記要求和計算中心防盜①的要求，設計和實現設備的安全保護功能；
b)按4.1.2.2中基本運行支持的要求，設計和實現設備安全功能。

6.2.1.3 記錄介質安全

宜按4.1.3中內部數據介質保護的要求，設計和實現記錄介質安全保護功能。

6.2.2 運行安全

6.2.2.1 風險分析

宜按4.2.1的要求進行風險分析，確定信息系統的總體安全需求；以系統審計保護級對物理安全、運行安全和數據安全的要求為基本依據，確定為實現系統審計保護級所要求的保密性、完整性和可用性應采取的安全技術和安全管理措施。

6.2.2.2 信息系統安全性檢測分析

宜按4.2.2中操作系統安全性檢測分析、數據庫管理系統安全性檢測分析、網絡系統安全性檢測分析、應用系統安全性檢測分析和硬件系統安全性檢測分析的要求，運用有關工具，檢測所選用和/或開發的操作系統、數據庫管理系統、網絡系統、應用系統、硬件系統的安全性，并通過對檢測結果的分析，按系統審計保護級的要求，對存在的安全問題加以改進。

6.2.2.3 安全審計

宜按4.2.4對安全審計的要求，設計和實現安全審計功能。系統審計保護級的安全審計功能應提供可查性，要求對安全審計功能的設計應與用戶標識與鑒別、自主訪問控制、數據完整性等信息系統的所有安全功能的設計緊密結合，按安全審計功能設計的總要求和各安全功能技術要求中的具體安全審計要求，設計和實現安全審計功能。本安全保護等級要求：
a)按4.2.4.1中記審計日志的要求，設計和實現審計響應功能；
b)按4.2.4.2的要求，設計和實現審計數據產生功能；
c)按4.2.4.3中潛在侵害分析的要求，設計和實現審計分析功能；
d)按4.2.4.4中基本審計查閱和有限審計查閱的要求，設計和實現審計查閱功能；
e)按4.2.4.5的要求，設計和實現審計事件選擇功能；
f)按4.2.4.6中受保護的審計蹤跡存儲的要求，設計和實現審計事件保存功能。

6.2.2.4 信息系統邊界安全防護

宜按4.2.5中較嚴格安全防護的要求，設計和實現信息系統外部邊界的安全防護功能及其內部各個安全域邊界的安全防護功能。

6.2.2.5 備份與故障恢復

宜按4.2.6中用戶自我信息備份與恢復、增量信息備份與恢復、局部系統備份與恢復、設備備份與容錯的要求，設計備份與恢復功能。

6.2.2.6 惡意代碼防護

宜按4.2.7中嚴格管理和網關防護的要求，設計和實現惡意代碼防護功能。

6.2.2.7 信息系統應急處理

宜按4.2.8中具有各種安全措施和設置正常備份機制的要求，結合系統審計保護級對信息系統安全的具體要求，設計和制定應急計劃和應急措施，明確信息系統出現各種情況時應采取的措施。

6.2.3 數據安全

6.2.3.1 身份鑒別

6.2.3.1.1 用戶標識

宜按4.3.1.1.1基本標識、唯一性標識和標識信息管理的要求，設計和實現用戶標識功能，并按4.3.1.2的要求實現用戶-主體綁定。一般以用戶名和用戶標識符（UID）來標識一個用戶，確保在一個信息系統中用戶名和用戶標識符的唯一性。這種唯一性應在信息系統的整個生存周期內都有效，即使一個用戶的帳號已被刪除，他的用戶標識也不能再使用，并由此確保用戶的唯一性和可區別性。用戶標識應與審計相關聯，以提供可查性。

6.2.3.1.2 用戶鑒別

宜按4.1.1.1的要求，設計和實現用戶鑒別功能。本安全保護等級要求：
a)按4.3.1.1.2基本鑒別、不可偽造鑒別和鑒別信息管理的要求，在每次用戶登錄系統時進行鑒別；鑒別信息應是不可見的，并在存儲時有安全保護；
b)對跨網絡的遠程用戶，當鑒別信息在網上傳輸時應有安全保護；
c)按4.3.1.1.3的要求，設計和實現鑒別失敗處理功能。

6.2.3.2 自主訪問控制

宜按4.3.3的要求，設計和實現自主訪問控制功能。本安全保護等級要求：
a)按4.3.3.1的要求，確定自主訪問控制策略；
b)按4.3.3.2的要求，設計和實現自主訪問控制功能；
c)按4.3.3.3中子集訪問控制的要求，確定自主訪問控制的范圍；
d)按4.3.3.3中中粒度訪問控制的要求，確定自主訪問控制的粒度；
e)無論采用何種訪問控制策略所實現的自主訪問控制功能，都能夠允許命名用戶以用戶的身份規定并控制對客體的訪問，并阻止非授權用戶對客體的訪問。

6.2.3.3 用戶數據完整性

宜按4.3.6的要求，設計和實現用戶數據完整性保護功能。本安全保護等級要求：
a)按4.3.6.1中完整性檢測的要求，采用自主完整性策略設計和實現相應的SSOIS安全功能模塊，對存儲在SSOIS安全控制范圍內的用戶數據進行完整性保護。本安全保護等級要求在讀取的時候檢測存儲在SSOIS控制范圍之內的用戶數據是否出現完整性錯誤；
b)按4.3.6.2中完整性檢測的要求，設計和實現相應的SSOIS安全功能模塊，對經過網絡在兩個SSOIS間傳輸的用戶數據進行完整性保護。本安全保護等級要求SSOIS能檢測出被傳輸的用戶數據被篡改、刪除、插入等情況發生；
c)按4.3.6.3中回退的要求，設計和實現相應的SSOIS安全功能模塊，通過在各種異常情況的操作序列的回退，確保處理數據的完整性。

6.2.3.4 用戶數據保密性

宜按4.376的要求，設計和實現用戶數據保密性保護功能。本安全保護等級要求：
a)按4.3.7.1的要求，按4.3.10所配置的密碼支持或其它相應的安全機制，對需要進行存儲保密性保護的用戶數據，采用存儲加密或其它有效措施，設計和實現用戶數據存儲保密性保護功能；
b)按4.3.7.2的要求，按4.3.10所配置的密碼支持或其它相應的安全機制，對需要進行傳輸保密性保護的用戶數據，采用傳輸加密或其它有效措施，設計和實現用戶數據傳輸保密性保護功能；
c)按4.3.7.3中子集信息保護的要求，設計和實現客體安全重用功能。

6.2.3.5 密碼支持

宜按4.3.10所配置的密碼支持，設計和實現由密碼機制所提供的安全功能。

6.2.4 SSOIS自身安全保護

6.2.4.1 SSF物理安全保護

宜按5.1.1的要求，實現SSF的物理安全保護。本安全保護等級要求：

6.2.4.2 SSF運行安全保護

宜按5.1.2的要求，實現SSF的運行安全保護。本安全保護等級要求：
a)按5.1.2.1的要求，實現對SSF安全運行的測試；
b)按5.1.2.2的要求，實現對SSF的失敗保護；
c)按5.1.2.7的要求，為SSOIS的運行提供可靠的時間戳支持；
d)按5.1.2.9的要求，實現SSF在啟動時的自檢。

6.2.4.3 SSF數據安全保護

宜按5.2.3的要求，實現SSF數據的安全保護。本安全保護等級要求：
a)按5.1.3.4中基本傳輸保護的要求，實現SSOIS內SSF數據傳輸的保護；
b)按5.1.3.6的要求，實現對SSOIS內SSF數據復制的一致性保護。

6.2.4.4 SSOIS資源利用

宜按5.1.4的要求，實現SSOIS的資源利用。本安全保護等級要求：
a)按5.1.4.1中降級容錯的要求，實現SSOIS的容錯處理；
b)按5.1.4.2中有限服務優先級的要求，實現SSOIS的服務優先級處理；
c)按5.1.4.3中最大限額的要求，實現SSOIS的資源分配。

6.2.4.5 SSOIS訪問控制

宜按5.1.5的要求，實現SSOIS的訪問控制。本安全保護等級要求：
a)按5.1.5中SSOIS會話建立的要求，實現對會話建立的管理；
b)按5.1.5中可選屬性范圍限定的要求，實現對會話安全屬性的范圍限制；
c)按5.1.5中多重并發會話限定的要求，實現并發會話的限定；
d)按5.1.5中SSOIS訪問歷史的要求，實現會話歷史的管理。

6.2.5 SSOIS設計和實現

6.2.5.1 配置管理

宜按5.2.1的要求，實現SSOIS的配置管理。本安全保護等級要求：
a)按5.2.1.1版本號的要求，實現配置管理能力設計；
b)按5.2.1.3 SSOIS配置管理范圍的要求，實現配置管理范圍設計；
c)將SSOIS的實現表示、設計文檔、測試文檔、用戶文檔、安全管理員文檔以及CM文檔等置于CM之下。

6.2.5.2 分發和操作

宜按5.2.2的要求，實現SSOIS的分發和操作。本安全保護等級要求：
a)按5.2.2.1分發過程的要求，編制SSOIS分發過程說明；
b)按5.2.2.2安裝、生成和啟動過程及日志生成的要求，編制SSOIS安裝、生成和啟動過程說明。

6.2.5.3 開發

宜按5.2.3的要求，進行SSOIS的開發。本安全保護等級要求：
a)按5.2.3.1中完全定義的外部接口的要求，實現SSOIS的功能設計；
b)按5.2.3.2中非形式化SSOIS安全策略模型的要求，實現SSOIS的安全策略模型設計；
c)按5.2.3.3中描述性高層設計的要求，實現SSOIS的高層設計；
d)按5.2.3.4中描述性低層設計的要求，實現SSOIS的低層設計；
e)按5.2.3.5中層次化的要求，實現SSOIS的內部結構設計；
f)按5.2.3.6 中SSF子集實現的要求，完成SSOIS的實現表示設計；
g)按5.2.3.7中非形式化對應性的要求，實現SSOIS的對應性設計。

6.2.5.4 文檔要求

宜按5.2.4對安全管理員指南和用戶指南的要求，根據系統審計保護級對配置管理、分發和操作、開發、生存周期支持、脆弱性評定以及測試等的要求，編寫安全管理員指南和用戶指南。

6.2.5.5 生存周期支持

宜按5.2.5的要求，實現SSOIS的生存周期支持。本安全保護等級要求：
a)按5.2.5.1中安全措施的說明的要求，實現安全措施的設計；
b)按5.2.5.3中開發者定義的生存周期模型的要求，實現生存周期模型設計；
c)按5.2.5.4中明確定義開發工具的要求，確定所采用的工具和技術。

6.2.5.6 測試

宜按5.2.6的要求，進行SSOIS的測試。本安全保護等級要求：
a)按5.2.6.1中范圍的證據和范圍的分析的要求，確定測試范圍；
b)按5.2.6.2中高層設計測試的要求，實現設計測試；
c)按5.2.6.3中一般功能測試的要求，實現功能測試；
d)按5.2.6.4中相符獨立性測試的要求，實現獨立性測試。

6.2.5.7 脆弱性評定

宜按5.2.7的要求，實現SSOIS的脆弱性評定。本安全保護等級要求：
a)按5.2.7.2中文檔檢查的要求，實現防止誤用設計；
b)按5.2.7.3的要求，實現SSOIS安全功能強度評估設計；
c)按5.2.7.4中開發者脆弱性分析的要求，實現脆弱性分析設計。

6.2.6 SSOIS安全管理

宜根據本安全保護等級中安全功能技術要求所涉及的物理安全、運行安全、數據安全和安全保證技術要求所涉及SSOIS自身安全與SSOIS設計和實現的有關內容，按5.3所描述的有關要求，設計SSOIS安全管理。本安全保護等級宜按以下要求制定相應的操作、運行規程和行為規章制度：
a)按5.3.1的要求，實現SSF功能的管理；
b)按5.3.2中安全屬性的管理的要求，實現安全屬性管理；
c)按5.3.3中管理SSF數據和SSF數據界限管理的要求，實現SSF數據的管理。