6.3 第三級 安全標記保護級

6.3.1 物理安全

6.3.1.1 環境安全

6.3.1.1.1 中心機房安全

一般應按4.1.1.1的要求，設計和實現中心機房安全功能。本安全保護等級要求：

a) 按4.1.1.1.1中防火要求，防污染要求，防潮及防雷要求，防震動和噪聲要求，防強電場和磁場要求，防地震、水災要求，以及位置要求，進行機房場地的選擇；

b) 按4.1.1.1.2中機房出入機房人員、機房分區和機房門禁的要求，設計和實現機房內部安全防護；

c) 按4.1.1.1.3中建筑材料防火②、報警和滅火系統②和區域隔離防火的要求，設計和實現機房防火；

d) 按4.1.1.1.4中分開供電、緊急供電②、備用供電、穩壓供電、電源保護和不間斷供電的要求，設計和實現機房供、配電；

e) 按4.1.1.1.5中較完備空調系統的要求，設計和實現機房空調降溫；

f) 按4.1.1.1.6中水管安裝、水害防護和防水檢測的要求，設計和實現機房防水與防潮；

g) 按4.1.1.1.7中接地與屏蔽、服裝防靜電、溫、濕度防靜電、地板防靜電和材料防靜電的要求，設計和實現機房防靜電；

h) 按4.1.1.1.8中接地要求，去耦、濾波要求，避雷要求，以及防護地與屏蔽地要求，設計和實現機房接地與防雷；

i) 按4.1.1.1.9中接地防干擾、屏蔽防干擾、距離防干擾和電磁泄漏發射防護的要求，設計和機房電磁防護。

6.3.1.1.2 通信線路的安全

一般應按4.1.1.2中確保線路暢通和發現線路截獲的要求，設計和實現通信線路安全防護。

6.3.1.2 設備安全

一般應按4.1.2的要求，設計和實現設備安全功能。本安全保護等級要求：

a) 按4.1.2.1中設備標記要求、計算中心防盜②和機房外部設備防盜的要求，設計和實現設備的安全保護；

b) 按4.1.2.2中基本運行支持和設備可用的要求，設計和實現設備安全功能。

6.3.1.3 記錄介質安全

一般應按4.1.3中重要數據介質保護的要求，設計和實現記錄介質安全保護功能。

6.3.2 運行安全

6.3.2.1 風險分析

一般應按4.2.1的要求進行風險分析，確定信息系統的總體安全需求；以安全標記保護級對物理安全、運行安全和數據安全的要求為基本依據，確定為實現安全標記保護級所要求的保密性、完整性和可用性應采取的安全技術和安全管理措施。

6.3.2.2 信息系統安全性檢測分析

一般應按4.2.2中操作系統安全性檢測分析、數據庫管理系統安全性檢測分析、網絡系統安全性檢測分析、應用系統安全性檢測分析和硬件系統安全性檢測分析的要求，運用有關工具，檢測所選用和/或開發的操作系統、數據庫管理系統、網絡系統、應用系統、硬件系統的安全性，并通過對檢測結果的分析，按安全標記保護級的要求，對存在的安全問題加以改進。

6.3.2.3 信息系統安全監控

一般應按4.2.3安全探測機制和安全監控中心的要求，設計和實現信息系統的安全監控功能。

6.3.2.4 安全審計

一般應按4.2.4安全審計的要求，設計和實現安全審計功能。安全審計應提供可查性，要求對安全審計功能的設計應與用戶標識與鑒別、自主訪問控制、標記、強制訪問控制、數據流控制、數據完整性等信息系統的所有安全功能的設計緊密結合，按安全審計功能設計的總要求和各安全功能技術要求中的具體安全審計要求來進行。本安全保護等級要求：

a) 按4.2.4.1中記審計日志和實時報警生成的要求，設計和實現審計響應功能；

b) 按4.2.4.2的要求，設計和實現產生審計數據功能；

c) 按4.2.4.3中潛在侵害分析和基于異常檢測的描述的要求，設計和實現審計分析功能；

d) 按4.2.4.4中基本審計查閱、有限審計查閱和可選審計查閱的要求，設計和實現安全審計查閱功能；

e) 按4.2.4.5的要求，設計和實現審計事件選擇功能；

f) 按4.2.4.6中受保護的審計蹤跡存儲和審計數據的可用性確保的要求，設計和實現保存審計事件功能；

g) 按4.2.4.7的要求，設計和實現網絡環境安全審計與評估功能。

6.3.2.5 信息系統邊界安全防護

一般應按4.2.5中嚴格安全防護的要求，設計和實現信息系統外部邊界的安全防護功能及其內部各個安全域邊界的安全防護功能。

6.3.2.6 備份與故障恢復

一般應按4.2.6中用戶自我信息備份與恢復、增量信息備份與恢復、局部系統備份與恢復、設備備份與容錯、網絡備份與容錯、全系統備份與恢復的要求，設計和實現備份與恢復功能。

6.3.2.7 惡意代碼防護

一般應按4.2.7中嚴格管理、網關防護和整體防護的要求，設計和實現惡意代碼防護功能。

6.3.2.8 信息系統應急處理

一般應按4.2.8中具有各種安全措施、設置正常備份機制和健全安全管理機構的要求，結合安全標記保護級對信息系統安全的具體要求，設計和制定應急計劃和應急措施，明確信息系統出現各種情況時應采取的措施。

6.3.3 數據安全

6.3.3.1 身份鑒別

6.3.3.1.1 用戶標識

一般應按4.3.1.1.1中基本標識、唯一性標識和標識信息管理的要求，設計和實現用戶標識功能，并按4.3.1.2的要求實現用戶-主體綁定。一般以用戶名和用戶標識符（UID）來標識一個用戶，確保在一個信息系統中用戶名和用戶標識符的唯一性。這種唯一性應在信息系統的整個生存周期內都有效，即使一個用戶的帳號已被刪除，他的用戶標識也不能再使用，并由此確保用戶的唯一性和可區別性。用戶標識應與安全審計相關聯，以提供可查性。

6.3.3.1.2 用戶鑒別

一般應按4.3.1.1的要求，設計和實現用戶鑒別功能。本安全保護等級要求：

a) 按4.3.1.1.2中基本鑒別、不可偽造鑒別、一次性使用鑒別和鑒別信息管理的要求，在每次用戶登錄系統時進行鑒別；鑒別信息應是不可見的，并在存儲和傳輸時按4.3.10密碼支持的要求進行保護；

b) 對跨網絡的遠程用戶，當用于身份鑒別的信息在網上傳輸時應按4.3.10密碼支持的要求進行保護；

c) 按4.3.1.1.3的要求，設計和實現鑒別失敗處理功能。

6.3.3.2 抗抵賴

一般應按4.3.2的要求，設計和實現抗抵賴功能。本安全等級要求：

a) 對數據的發送方，按4.3.2.1中選擇性原發證明的要求，設計和實現抗原發抵賴功能；

b) 對數據的接收方，按4.3.2.2中選擇性接收證明的要求，設計和實現抗接收抵賴功能。

6.3.3.3 自主訪問控制

一般應按4.3.3的要求，設計和實現自主訪問控制功能。本安全等級要求：

a) 按4.3.3.1的要求，確定自主訪問控制策略；

b) 按4.3.3.2的要求，設計和實現自主訪問控制功能；

c) 按4.3.3.3中子集訪問控制的要求，確定自主訪問控制的范圍；

d) 按4.3.3.3中中粒度訪問控制的要求，確定自主訪問控制的粒度；

e) 無論采用何種訪問控制策略所實現的自主訪問控制功能，都能夠允許命名用戶以用戶的身份規定并控制對客體的訪問，并阻止非授權用戶對客體的訪問。

6.3.3.4 標記

一般應按4.3.4的要求，設計和實現標記功能。本安全等級要求：**

a) 按4.3.4.1的要求，設計和實現主體標記功能；

b) 按4.3.4.2的要求，設計和實現客體標記功能；

c) 按4.3.4.3中不帶標記的用戶數據輸出和帶有標記的用戶數據輸出的要求，設計和實現標記輸出功能；

d) 按4.3.4.4中不帶標記的用戶數據輸入的要求，設計和實現標記輸入功能。

6.3.3.5 強制訪問控制

一般應按4.3.5的要求，設計和實現強制訪問控制功能。本安全等級要求：*

a) 按4.3.5.1的要求，確定強制訪問控制安全策略模型；

b) 按4.3.5.2的要求，設計和實現強制訪問控制功能；

c) 按4.3.5.3中子集訪問控制的要求，確定強制訪問控制的范圍；

d) 按4.3.5.4中中粒度的要求，確定強制訪問控制粒度；

e) 按4.3.5.5的要求，設計和實現適合相應環境的強制訪問控制。

6.3.3.6 數據流控制

對以數據流方式進行數據交換的信息系統，應按4.3.8的要求，設計和實現數據流控制功能。

6.3.3.7 用戶數據完整性

一般應按4.3.6的要求，設計和實現數據完整性保護功能。本安全等級要求：

a) 按4.3.6.1中完整性檢測和恢復的要求，采用自主完整性策略，設計和實現相應的SSOIS安全功能模塊，對存儲在SSOIS安全控制范圍內的用戶數據進行完整性保護。本安全保護等級級要求在讀取的時候檢測存儲在SSOIS控制范圍之內的用戶數據是否出現完整性錯誤，并在檢測到完整性錯誤時采取必要的恢復措施，還要求通過4.3.10提供的密碼支持，對加密存儲的數據進行存儲數據的完整性檢驗；

b) 按4.3.6.2中完整性檢測和數據交換恢復的要求，設計和實現相應的SSOIS安全功能模塊，對經過網絡在兩個SSOIS間傳輸的用戶數據進行完整性保護。本安全保護等級要求SSOIS能檢測出被傳輸的用戶數據被篡改、刪除、插入等情況發生，并在檢測到完整性錯誤時采取必要的恢復措施，還要求通過4.3.10提供的密碼支持，對加密傳輸的數據進行傳輸數據的完整性檢驗；

c) 按4.3.6.3中回退的要求，設計和實現相應的SSOIS安全功能模塊，通過在各種異常情況的操作序列的回退，確保處理數據的完整性。

6.3.3.8 用戶數據保密性

一般應按4.3.7的要求，設計和實現數據保密性保護功能。本安全等級要求：

a) 按4.3.7.1的要求，按4.3.10所配置的密碼支持或其它相應的安全機制，對需要進行存儲保密性保護的用戶數據，采用存儲加密或其它有效措施，設計和實現用戶數據存儲保密性保護功能；

b) 按4.3.7.2的要求，按4.3.10所配置的密碼支持或其它響應的安全機制，對需要進行傳輸保密性保護的用戶數據，采用傳輸加密或其它有效措施，設計和實現用戶數據傳輸保密性保護功能；

c) 按4.3.7.3中子集信息保護的要求，設計和實現客體安全重用功能。

6.3.3.9 密碼支持

一般應按4.3.10所配置的密碼支持，設計和實現由密碼機制所提供的安全功能。

6.3.4 SSOIS自身安全保護

6.3.4.1 SSF物理安全保護

一般應按5.1.1的要求，實現SSF的物理安全保護。本安全保護等級要求：

a) 按5.1.1.1的要求，實現物理攻擊的被動檢測；

b) 按5.1.1.2的要求，實現物理攻擊自的動報告。

6.3.4.2 SSF運行安全保護

一般應按5.1.2的要求，實現SSF的運行安全保護。本安全保護等級要求：

a) 按5.1.2.1的要求，實現對SSF安全運行的測試；

b) 按5.1.2.2的要求，實現對SSF的失敗保護的設計；

c) 按5.1.2.3的要求，實現對SSF的重放檢測的設計；

d) 按5.1.2.4的要求，實現對SSF參照仲裁的設計；

e) 按5.1.2.5中SSF域分離的要求，實現對SSF域分離的設計；

f) 按5.1.2.6中簡單的可信回執的要求，實現對SSF的狀態同步協議的設計；

g) 按5.1.2.7的要求，為SSOIS的運行提供可靠的時間戳支持；

h) 按5.1.2.9的要求，實現SSF在啟動時的自檢。

6.3.4.3 SSF數據安全保護

一般應按5.1.3的要求，實現SSF數據的安全保護。本安全保護等級要求：

a) 按5.1.3.1的要求，實現對輸出SSF數據可用性設計；

b) 按5.1.3.2的要求，實現對輸出SSF數據保密性設計；

c) 按5.1.3.3中SSF間修改檢測的要求，實現對輸出SSF數據完整性設計；

d) 按5.1.3.4中基本傳輸保護、數據分離傳輸、數據完整性保護的要求，實現SSOIS內SSF數據傳輸的保護；

e) 按5.1.3.5的要求，實現SSF間的SSF數據的一致性保護；

f) 按5.1.3.6的要求，實現SSOIS內SSF數據復制的一致性保護。

6.3.4.4 SSOIS資源利用

一般應按5.1.4的要求，實現SSOIS的資源利用。本安全保護等級要求：

a) 按5.1.4.1中降級容錯、受限容錯的要求，實現SSOIS的容錯處理；

b) 按5.1.4.2中全部服務優先級的要求，實現SSOIS的服務優先級處理；

c) 按5.1.4.3中最小和最大限額的要求，實現SSOIS的資源分配。

6.3.4.5 SSOIS訪問控制

一般應按5.1.5的要求，實現SSOIS的訪問控制。本安全保護等級要求：

a) 按5.1.5中SSOIS會話建立的要求，實現對會話建立的管理；

b) 按5.1.5中可選屬性范圍限定的要求，實現對會話安全屬性的范圍限制；

c) 按5.1.5中多重并發會話限定的要求，實現并發會話的限定；

d) 按5.1.5中SSOIS訪問歷史的要求，實現會話歷史的管理；

e) 按5.1.5中會話鎖定的要求，實現會話鎖定的處理。

6.3.5 SSOIS設計和實現

6.3.5.1 配置管理

一般應按5.2.1的要求，實現SSOIS的配置管理。本安全保護等級要求：

a) 按5.2.1.1中版本號、配置項和授權控制的要求，實現配置管理能力設計；

b) 按5.2.1.2中部分CM自動化的要求，實現配置管理自動化設計；

c) 按5.2.1.3中問題跟蹤配置管理范圍的要求，實現配置管理范圍設計；

d) 將SSOIS的實現表示、設計文檔、測試文檔、用戶文檔、安全管理員文檔以及配置管理文檔等置于配置管理之下。

6.3.5.2 分發和操作

一般應按5.2.2的要求，實現SSOIS的分發和操作。本安全保護等級要求：

a) 按5.2.2.1中修改檢測的要求，編制SSOIS的分發與操作說明；

b) 按5.2.2.2中安裝、生成和啟動過程及日志生成的要求，編制SSOIS的安裝、生成和啟動說明。

6.3.5.3 開發

一般應按5.2.3的要求，進行SSOIS的開發。本安全保護等級要求：

a) 按5.2.3.1中完全定義的外部接口的要求，實現SSOIS的功能設計；

b) 按5.2.3.2中非形式化SSOIS安全策略模型的要求，實現SSOIS的安全策略模型的設計；

c) 按5.2.3.3中安全加強的高層設計的要求，實現SSOIS的高層設計；

d) 按5.2.3.4中描述性低層設計的要求，實現SSOIS的低層設計；

e) 按5.2.3.5中層次化的要求，實現SSOIS的內部結構設計；

f) 按5.2.3.6 中SSF實現的要求進行，完成SSOIS的實現表示設計；

g) 按5.2.3.7中非形式化對應性說明的要求，實現SSOIS表示的對應性設計。

6.3.5.4 文檔要求

一般應按5.2.4對安全管理員指南和用戶指南的要求，根據安全標記保護級對配置管理、分發和操作、開發、生存周期支持、脆弱性評定以及測試等的要求，編寫安全管理員指南和用戶指南。

6.3.5.5 生存周期支持

一般應按5.2.5的要求，實現SSOIS的生存周期支持。本安全保護等級要求：

a) 按5.2.5.1中安全措施的要求，實現開發安全；

b) 按5.2.5.2中基本缺陷糾正的要求，實現缺陷糾正；

c) 按5.2.5.3中標準生存周期模型的要求，實現生存周期模型設計；

d) 按5.2.5.4中明確定義的開發工具的要求，確定所采用的工具和技術。

6.3.5.6 測試

一般應按5.2.6的要求，進行SSOIS的測試。本安全保護等級要求：

a) 按5.2.6.1中范圍的證據和范圍的分析的要求，確定測試范圍；

b) 按5.2.6.2中高層設計測試和低層設計測試的要求，實現設計測試；

c) 按5.2.6.3中順序功能測試的要求，實現功能測試；

d) 按5.2.6.4中相符獨立性測試和抽樣獨立性測試的要求，實現獨立性測試。

6.3.5.7 脆弱性評定

一般應按5.2.7的要求，實現SSOIS的脆弱性評定。本安全保護等級要求：

a) 按5.2.7.2中文檔檢查和分析確認的要求，實現防止誤用的設計；

b) 按5.2.7.3的要求，實現SSOIS安全功能強度評估設計；

c) 按5.2.7.4中獨立脆弱性分析的要求，實現脆弱性分析設計。

6.3.6 SSOIS安全管理

一般應根據本安全保護等級中安全功能技術要求所涉及的物理安全、運行安全、數據安全和安全保證技術要求所涉及SSOIS自身安全與SSOIS設計和實現的有關內容，按5.3所描述的有關要求，設計SSOIS安全管理要求。本安全保護等級要求將系統管理員、安全員和審計員等重要安全角色分別設置專人擔任，并按“最小授權原則”分別授予他們各自為完成自身任務所需的最小權限。同時，他們之間應形成相互制約的關系。本安全保護等級應按以下要求制定相應的操作、運行規程和行為規章制度：

a) 按5.3.1 的要求，實現SSF功能的管理；

b) 按5.3.2的要求，實現安全屬性的管理；

c) 按5.3.3中管理SSF數據、SSF數據界限的管理和安全的SSF數據的要求，實現SSF數據的管理；

d) 按5.3.4的要求，實現安全角色的定義與管理;

按5.3.5的要求，實現SSOIS安全機制的集中管理。