6.4 第四級 結構化保護級

6.4.1 物理安全

6.4.1.1 環境安全

6.4.1.1.1 中心機房安全

一般應按4.1.1.1的要求，設計和實現中心機房安全功能。本安全保護等級要求：

a) 按4.1.1.1.1中防火要求，防污染要求，防潮及防雷要求，防震動和噪聲要求，防強電場和磁場要求，防地震、水災要求，位置要求，以及防公眾干擾要求，進行機房場地的選擇；

b) 按4.1.1.1.2中機房出入、機房物品、機房人員、機房分區和機房門禁的要求，設計和實現機房內部安全防護；

c) 按4.1.1.1.3中建筑材料防火③、報警和滅火系統③和區域隔離防火的要求，設計和實現機房防火；

d) 按4.1.1.1.4中分開供電、緊急供電③、備用供電、穩壓供電、電源保護、不間斷供電、電器噪聲防護和突然事件防護的要求，設計和實現機房供、配電；

e) 按4.1.1.1.5中完備空調系統的要求，設計和實現機房空調降溫；

f) 按4.1.1.1.6中水管安裝、水害防護、防水檢測和排水要求，設計和實現機房防水與防潮；

g) 按4.1.1.1.7中接地與屏蔽、服裝防靜電、溫、濕度防靜電、地板防靜電、材料防靜電、維修MOS電路保護和靜電消除要求，設計和實現機房防靜電；

h) 按4.1.1.1.8中接地要求，去耦、濾波要求，避雷要求，防護地與屏蔽地要求，以及交流電源地線要求，設計和實現機房接地與防雷；

i) 按4.1.1.1.9中接地防干擾、屏蔽防干擾、距離防干擾、電磁泄漏發射防護和機房屏蔽的要求，設計和實現機房電磁防護。

6.4.1.1.2 通信線路的安全

一般應按4.1.1.2中確保線路暢通、及時發現線路截獲和防止線路截獲的要求，設計和實現通信線路安全防護。

6.4.1.2 設備安全

一般應按4.1.2的要求，設計和實現設備安全功能。本安全保護等級要求：

a) 按4.1.2.1中設備標記要求、計算中心防盜③和機房外部設備防盜的要求，設計和實現設備的安全保護功能；

b) 按4.1.2.2中基本運行支持、設備可用和設備不間斷運行的要求，設計和實現設備安全功能。

6.4.1.3 記錄介質安全

一般應按4.1.3中關鍵數據介質保護、的要求，設計和實現記錄介質安全保護功能。

6.4.2 運行安全

6.4.2.1 風險分析

一般應按4.2.1的要求進行風險分析，確定信息系統的總體安全需求；以結構化保護級對物理安全、運行安全和數據安全的要求為基本依據，確定為實現結構化保護級所要求的保密性、完整性和可用性應采取的安全技術和安全管理措施。

6.4.2.2 信息系統安全性檢測分析

一般應按4.2.2中操作系統安全性檢測分析、數據庫管理系統安全性檢測分析、網絡系統安全性檢測分析、應用系統安全性檢測分析、硬件系統安全性檢測分析和攻擊性檢測分析的要求，運用有關工具，檢測所選用和/或開發的操作系統、數據庫管理系統、網絡系統、應用系統、硬件系統的安全性，并通過對檢測結果的分析，按結構化保護級的安全要求，對存在的安全問題加以改進。

6.4.2.3 信息系統安全監控

一般應按4.2.3安全探測機制和安全監控中心的要求，設計和實現信息系統的安全監控功能。

6.4.2.4 安全審計

一般應按4.2.4安全審計的要求，設計和實現安全審計功能。安全審計應提供可查性，要求對安全審計功能的設計應與用戶標識與鑒別、自主訪問控制、標記、強制訪問控制、數據流控制、數據完整性、隱蔽信道分析和可信路徑等信息系統的所有安全功能的設計緊密結合，按安全審計功能設計的總要求和各安全功能技術要求中的具體安全審計要求來進行。本安全保護等級要求：

a) 按4.2.4.1中記審計日志、實時報警生成和違例進程的終止的要求，設計和實現審計響應功能；

b) 按4.2.4.2的要求，設計和實現審計數據產生功能；

c) 按4.2.4.3中潛在侵害分析、基于異常檢測的描述和簡單攻擊探測的要求，設計和實現審計分析功能；

d) 按4.2.4.4中基本審計查閱、有限審計查閱和可選審計查閱的要求，設計和實現安全審計查閱功能；

e) 按4.2.4.5的要求，實現審計事件選擇功能；

f) 按4.2.4.6中受保護的審計蹤跡存儲、審計數據的可用性確保和在審計數據可能丟失情況下的措施的要求，設計和實現保存審計事件功能；

g) 按4.2.4.7的要求，設計和實現網絡環境安全審計與評估功能。

6.4.2.5 信息系統邊界安全防護

一般應按4.2.5中最高安全防護的要求，設計和實現信息系統外部邊界的安全防護功能及其內部各個安全域邊界的安全防護功能。

6.4.2.6 備份與故障恢復

一般應按4.2.6中用戶自我信息備份與恢復、增量信息備份與恢復、局部系統備份與恢復、設備備份與容錯、網絡備份與容錯、全系統備份與恢復、災難備份與恢復的要求，設計和實現備份與恢復功能。

6.4.2.7 惡意代碼防護

一般應按4.2.7中嚴格管理、網關防護、整體防護和防管結合的要求，設計和實現惡意代碼防護功能。

6.4.2.８ 信息系統應急處理

一般應按4.2.8中具有各種安全措施、設置正常備份機制、健全安全管理機構和建立處理流程圖的要求，結合結構化保護級對級信息系統安全的具體要求，設計和制定應急計劃和應急措施，明確信息系統出現各種情況時應采取的措施。

6.4.3 數據安全

6.4.3.1 身份鑒別

6.4.3.1.1 用戶標識

一般應按4.3.1.1.1中基本標識、唯一性標識和標識信息管理的要求，設計和實現用戶標識功能，并按4.3.1.2的要求實現用戶-主體綁定。一般以用戶名和用戶標識符（UID）來標識一個用戶，確保在一個信息系統中用戶名和用戶標識符的唯一性。這種唯一性應在信息系統的整個生存周期內都有效，即使一個用戶的帳號已被刪除，他的用戶標識也不能再使用，并由此確保用戶的唯一性和可區別性。用戶標識應與安全審計相關聯，以提供可查性。

6.4.3.1.2 用戶鑒別

一般應按4.3.1.1的要求，設計和實現用戶鑒別功能。本安全保護等級要求：

a) 按4.3.1.1.2中基本鑒別、不可偽造鑒別、一次性使用鑒別、多機制鑒別和鑒別信息管理的要求，在每次用戶登錄系統時和重新連接時進行鑒別；鑒別信息應是不可見的，并在存儲和傳輸時按4.3.10密碼支持的要求進行保護；智能IC卡身份鑒別應以密碼技術為基礎進行進行設計；

b) 對跨網絡的遠程用戶，當用于身份鑒別的信息在網上傳輸時應按4.3.10密碼支持的要求進行保護；

c) 按4.3.1.1.3的要求，設計和實現鑒別失敗處理功能。

6.4.3.1.3 隱秘

一般應按4.3.1.3中匿名、假名、不可關聯性、不可觀察性的要求，設計和實現隱秘功能。

6.4.3.1.4 設備標識

一般應按4.3.1.4.1接入前標識和標識信息管理的要求，設計和實現設備標識功能。一般以設備名和設備標識符來標識一個設備。

6.4.3.1.5 設備鑒別

一般應按4.3.1.4的要求，設計和實現設備鑒別功能。本安全保護等級要求：

a) 按4.3.1.4.2中接入前鑒別、不可偽造鑒別和鑒別信息管理的要求，設計和實現標識設備的鑒別功能；

b) 按4.3.1.4.3的要求進行鑒別失敗的處理；

c) 在設備接入時，采用由密碼系統支持的鑒別信息，對接入設備身份的真實性進行鑒別；

d) 鑒別信息應是不可見的，并在存儲和傳輸時按4.3.10密碼支持的要求進行保護。

6.4.3.2 抗抵賴

一般應按4.3.2的要求，設計和實現抗抵賴功能。本安全等級要求：

a) 對數據的發送方，按4.3.2.1中強制性原發證明的要求，設計和實現抗原發抵賴功能；

b) 對數據的接收方，按4.3.2.2中強制性接收證明的要求，設計和實現抗接收抵賴功能。

6.4.3.3 自主訪問控制

一般應按4.3.3的要求，設計和實現自主訪問控制功能。本安全等級要求：

a) 按4.3.3.1的要求，確定自主訪問控制策略；

b) 按4.3.3.2的要求，設計和實現自主訪問控制功能；

c) 按4.3.3.3中完全訪問控制的要求，確定自主訪問控制的范圍；

d) 按4.3.3.3中中粒度訪問控制的要求，確定自主訪問控制的粒度；

e) 無論采用何種訪問控制策略所實現的自主訪問控制功能，都能夠允許命名用戶以用戶的身份規定并控制對客體的訪問，并阻止非授權用戶對客體的訪問。

6.4.3.4 標記

一般應按4.3.4的要求，設計和實現標記功能。本安全等級要求：

a) 按4.3.4.1的要求，設計和實現主體標記功能；

b) 按4.3.4.2的要求，設計和實現客體標記功能；

c) 按4.3.4.3中不帶標記的用戶數據輸出和帶有標記的用戶數據輸出的要求，設計和實現標記輸出功能；

d) 按4.3.4.4中不帶標記的用戶數據輸入和帶有標記的用戶數據輸入的要求，設計和實現標記輸入功能。

6.4.3.5 強制訪問控制

一般應按4.3.5的要求，設計和實現強制訪問控制功能。本安全等級要求：

a) 按4.3.5.1的要求，確定強制訪問控制安全策略模型；

b) 按4.3.5.2的要求，設計和實現強制訪問控制功能；

c) 按4.3.5.3中完全訪問控制的要求，確定強制訪問控制的范圍；

d) 按4.3.5.4中中粒度訪問控制的要求，確定強制訪問控制粒度；

e) 按4.3.5.5的要求，設計和實現適合相應環境的強制訪問控制。

6.4.3.6 數據流控制

對以數據流方式進行數據交換的信息系統，一般應按4.3.8的要求，設計和實現數據流控制功能。

6.4.3.7 用戶數據完整性

一般應按4.3.6的要求，設計和實現用戶數據完整性保護功能。本安全等級要求：

a) 按4.3.6.1中完整性檢測和恢復的要求，采用自主完整性策略設計和實現相應的SSOIS安全功能模塊，對存儲在SSOIS安全控制范圍內的用戶數據進行完整性保護。本安全保護等級級要求在讀取的時候檢測存儲在SSOIS控制范圍之內的用戶數據是否出現完整性錯誤，并在檢測到完整性錯誤時采取必要的恢復措施，還要求通過4.3.10提供的密碼支持，對加密存儲的數據進行存儲數據的完整性檢驗；

b) 按4.3.6.2中完整性檢測和數據交換恢復的要求設計和實現相應的SSOIS安全功能模塊，對經過網絡在兩個SSOIS間傳輸的用戶數據進行完整性保護。本安全保護等級要求SSOIS能檢測出被傳輸的用戶數據被篡改、刪除、插入等情況發生，并在檢測到完整性錯誤時采取必要的恢復措施，還要求通過4.3.10提供的密碼支持，對加密傳輸的數據進行傳輸數據的完整性檢驗；

c) 按4.3.6.3中回退的要求設計和實現相應的SSOIS安全功能模塊，通過在各種異常情況的操作序列的回退，確保處理數據的完整性。

6.4.3.8 用戶數據保密性

一般應按4.3.7的要求，設計和實現用戶數據保密性保護功能。本安全等級要求：

a) 按4.3.7.1的要求，按4.3.10所配置的密碼支持，對需要進行存儲保密性保護的用戶數據，采用存儲加密或其它有效措施，設計和實現用戶數據存儲保密性保護功能；

b) 按4.3.7.2的要求，按4.3.10所配置的密碼支持，對需要進行傳輸保密性保護的用戶數據，采用傳輸加密或其它有效措施，設計和實現用戶數據傳輸保密性保護功能；

c) 按4.3.7.3中完全信息保護**的要求，設計和實現客體安全重用功能。

6.4.3.9 可信路徑

一般應按4.3.9的要求，設計和實現可信路徑功能。在對用戶進行初始登錄和/或鑒別時，SSOIS應在它與用戶之間建立一條安全的可信路徑。**

6.4.3.10 密碼支持

一般應按4.3.10所配置的密碼支持，設計和實現由密碼機制所提供的安全功能。

6.4.4 SSOIS自身安全保護

6.4.4.1 SSF物理安全保護

一般應按5.1.1的要求，實現SSF的物理安全保護。本安全保護等級要求：

a) 按5.1.1.1的要求，實現物理攻擊的被動檢測；

b) 按5.1.1.2的要求，實現物理攻擊的自動報告；

c) 按5.1.1.3的要求，實現物理攻擊的抵抗。

6.4.4.2 SSF運行安全保護

一般應按5.1.2的要求，實現SSF的運行安全保護。本安全保護等級要求：

a) 按5.1.2.1的要求，實現對SSF安全運行的測試；

b) 按5.1.2.2的要求，實現對SSF的失敗保護的設計；

c) 按5.1.2.3的要求，實現對SSF的重放檢測的設計；

d) 按5.1.2.4的要求，實現對SSF參照仲裁的設計；

e) 按5.1.2.5中SSF域分離、SFP域分離的要求，實現對SSF域分離的設計；

f) 按5.1.2.6中相互的可信回執的要求，實現對SSF的狀態同步協議的設計；

g) 按5.1.2.7的要求，為SSOIS的運行提供可靠的時間戳支持；

h) 按5.1.2.9的要求，實現SSF在啟動時的自檢。

6.4.4.3 SSF數據安全保護

一般應按5.1.3的要求，實現SSF數據的安全保護。本安全保護等級要求：

a) 按5.1.3.1的要求，實現對輸出SSF數據可用性設計；

b) 按5.1.3.2的要求，實現對輸出SSF數據保密性設計；

c) 按5.1.3.3中SSF間修改檢測、SSF間修改的改正的要求，實現對輸出SSF數據完整性設計；

d) 按5.1.3.4中基本傳輸保護、數據分離傳輸、數據完整性保護的要求，實現SSOIS內SSF數據傳輸的保護；

e) 按5.1.3.5的要求，實現SSF間的SSF數據的一致性保護；

f) 按5.1.3.6的要求，實現SSOIS內SSF數據復制的一致性保護；

g) 按5.1.3.7的要求，實現用戶與SSF間可信路徑的設計。

6.4.4.4 SSOIS資源利用

一般應按5.1.4的要求，實現SSOIS的資源利用。本安全保護等級要求：

a) 按5.1.4.1中降級容錯、受限容錯的要求，實現SSOIS的容錯處理；

b) 按5.1.4.2中全部服務優先級的要求，實現SSOIS的服務優先級處理；

c) 按5.1.4.3中最小和最大限額的要求，實現SSOIS的資源分配。

6.4.4.5 SSOIS訪問控制

一般應按5.1.5的要求，實現SSOIS的訪問控制。本安全保護等級要求：

a) 按5.1.5中會話建立的要求，實現對會話建立的管理；

b) 按5.1.5中可選屬性范圍限定的要求，實現對會話安全屬性的范圍限制；

c) 按5.1.5中多重并發會話限定的要求，實現對并發會話限定；

d) 按5.1.5中SSOIS訪問歷史要求，實現會話歷史的管理；

e) 按5.1.5中會話鎖定的要求，實現會話鎖定的處理。

6.4.5 SSOIS設計和實現

6.4.5.1 配置管理

一般應按5.2.1的要求，實現SSOIS的配置管理。本安全保護等級要求：

a) 按5.2.1.1中生成支持和驗收過程的要求，實現配置管理能力設計；

b) 按5.2.1.2中部分CM自動化的要求，實現配置管理自動化設計；

c) 按5.2.1.3中開發工具配置管理范圍的要求，實現配置管理范圍設計；

d) 將SSOIS的實現表示、設計文檔、測試文檔、用戶文檔、安全管理員文檔以及配置管理文檔等置于配置管理之下。

6.4.5.2 分發和操作

一般應按5.2.2的要求，實現SSOIS的分發和操作。本安全保護等級要求：

a) 按5.2.2.1中修改防止的要求，編制SSOIS分發說明；

b) 按5.2.2.2中安裝、生成和啟動過程及日志生成所描述的要求，編制SSOIS安裝、生成和啟動說明。

6.4.5.3 開發

一般應按5.2.3的要求，進行SSOIS的開發。本安全保護等級要求：

a) 按5.2.3.1中半形式化功能設計的要求，實現SSOIS的功能設計；

b) 按5.2.3.7中半形式化SSOIS安全策略模型**的要求，實現SSOIS的安全策略模型的設計；

c) 按5.2.3.2中半形式化高層設計的要求，實現SSOIS的高層設計；

d) 按5.2.3.5中半形式化低層設計的要求，實現SSOIS的低層設計；

e) 按5.2.3.4中復雜度最小化的要求，實現SSOIS的內部結構設計；

f) 按5.2.3.3 中SSF的結構化實現的要求，完成SSOIS的實現表示設計；

g) 按5.2.3.6中半形式化對應性說明的要求，實現SSOIS表示的對應性設計。

6.4.5.4 文檔要求

一般應按5.2.4對安全管理員指南和用戶指南的要求，根據結構化保護級對配置管理、分發和操作、開發、生存周期支持、脆弱性評定以及測試等的要求，編寫安全管理員指南和用戶指南。

6.4.5.5 生存周期支持

一般應按5.2.5的要求，實現生存周期支持的設計。本安全保護等級要求：

a) 按5.2.5.1中安全措施的充分性的要求，實現安全開發；

b) 按5.2.5.2中基本缺陷糾正的要求，實現缺陷糾正；

c) 按5.2.5.3中標準生存周期模型的要求，實現生存周期模型設計；

d) 按5.2.5.4中遵照實現標準-應用部分所描述的要求，確定所采用的工具和技術。

6.4.5.6 測試

一般應按5.2.6的要求，進行SSOIS的測試。本安全保護等級要求：

a) 按5.2.6.1中范圍的證據和嚴格的范圍分析的要求，確定測試范圍；

b) 按5.2.6.2中高層設計測試、低層設計測試和實現表示測試的要求，實現設計測試；

c) 按5.2.6.3中順序的功能測試的要求，實現功能測試；

d) 按5.2.6.4中相符獨立性測試和抽樣獨立性測試的要求，實現獨立性測試。

6.4.5.7 脆弱性評定

一般應按5.2.7的要求，實現SSOIS的脆弱性評定。本安全保護等級要求：

a) 按5.2.7.1中一般性隱蔽信道分析的要求，實現隱蔽信道分析設計；

b) 按5.2.7.2的要求，實現防止誤用的設計；

c) 按5.2.7.3的要求，實現SSOIS安全功能強度評估設計；

d) 按5.2.7.4中中級抵抗力的要求，實現開發者脆弱性分析設計。

6.4.6 SSOIS安全管理

一般應根據本安全保護等級中安全功能技術要求所涉及的物理安全、運行安全、數據安全和安全保證技術要求所涉及SSOIS自身安全與SSOIS設計和實現的有關內容，按5.3所描述的有關要求，設計SSOIS安全管理要求。本安全保護等級要求將系統管理員、安全員和審計員等重要安全角色分別設置專人擔任，并按“最小授權原則”分別授予他們各自為完成自身任務所需的最小權限。同時，他們之間應形成相互制約的關系。本安全保護等級應按以下要求制定相應的操作、運行規程和行為規章制度：

a) 按5.3.1 的要求，實現SSF功能的管理；

b) 按5.3.2的要求，實現安全屬性的管理；

c) 按5.3.3的要求，實現SSF數據的管理；

d) 按5.3.4的要求，實現安全角色的定義與管理；

e) 按5.3.5的要求，實現SSOIS安全機制的集中管理。