系统安全保护等级划分准则（转）

      中华人民共和国国家标准51Testing软件测试网sIA6n+k7s A
      计算机信息系统安全保护等级划分准则 GB 17859-199951Testing软件测试网ZxvWc%J
      Classified criteria for security51Testing软件测试网xkJJ6A
@
      ---------------------------------------------------------------------------51Testing软件测试网9m^"Fu1b?9X
      1 范围
CI!kRW;i6UO0      本标准规定了计算机系统安全保护能力的五个等级，即：
.a*` e1E"E7_+Yqxp0      第一级：用户自主保护级；
/t~/x|J q.j0      第二级：系统审计保护级；
[+]+kn q1b8Q!ljZ0      第三级：安全标记保护级；51Testing软件测试网+lbi9[UB:X[3u.U
      第四级：结构化保护级；
8D/T:Te{k0      第五级：访问验证保护级。51Testing软件测试网%v1L){u-J8|8`H`
      本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能51Testing软件测试网a p2r
c,n;N
      力随着安全保护等级的增高，逐渐增强。51Testing软件测试网3g5OO"XJ{C
      2 引用标准
%GG0M,Z&u4Ig|0      下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。本标准出版时，所
@0c7B&}%f5S,|0      示版本均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的
kbIK&bs0[*s0      可能性。51Testing软件测试网@:Bv`o7z
      GB/T 5271 数据处理词汇51Testing软件测试网~#D|z9c2^
      3 定义
_x2I^P
D&A0      除本章定义外，其他未列出的定义见GB/T 5271。51Testing软件测试网'aEAP g KL2^ } q
      3.1 计算机信息系统 computer information system51Testing软件测试网1p2~]Ed)L8g.c#U
      计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一
,me"IB!L9a0      定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
[@7G%bm0      3.2 计算机信息系统可信计算基 trusted computing base of computer information51Testing软件测试网|7o;G:?*K d)p
      system
{_*f7Zx$D0      计算机系统内保护装置的总体，包括硬件、固件、软件和负责执行安全策略的组合体。51Testing软件测试网
Qwwk LV
K
      它建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。51Testing软件测试网l(v+]#Jfj
      3.3 客体 object
.v{D'[pFta0      信息的载体。
4s_} Hu/wa0      3.4 主体 subject51Testing软件测试网3g]wpkww
      引起信息在客体之间流动的人、进程或设备等。51Testing软件测试网Z@;nx.zI;}*Ry-UJ
      3.5 敏感标记 sensitivity label
U9n2rpE&Oj3}0      表示客体安全级别并描述客体数据敏感性的一组信息，可信计算基中把敏感标记作为强制访
%YwWHhy.C}E:~%^
_0      问控制决策的依据。
M#Pc(r W+w b*|~0      3.6 安全策略 security policy
@+s:@'RGf0kKI0      有关管理、保护和发布敏感信息的法律、规定和实施细则。 3.7 信道 channel51Testing软件测试网4v/d?Q8^r b
      系统内的信息传输路径。51Testing软件测试网DcX/k@ ] G
      3.8 隐蔽信道 covert channel
&bK0oyw&w&C0      允许进程以危害系统安全策略的方式传输信息的通信信道。
0l v+y1[T R0      3.9 访问监控器 reference monitor
$vQ n[xX0      监控主体和客体之间授权访问关系的部件。51Testing软件测试网)YcSo3q7OY
      4 等级划分准则
cOV'T!m9Q9nL8IeX0      4.1 第一级 用户自主保护级
:FK c3~m4I X&DOQ0      本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能
l4~q#ft1Q&O9V0      力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用51Testing软件测试网k&c8p G7e(~W s
      户和用户组信息，避免其他用户对数据的非法读写与破坏。51Testing软件测试网dm Y4g4kW:Ys
      4.1.1 自主访问控制
/G Ob-Q/gU0      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
6|j\X(R {V7sY+l0      （例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；
B0dr1I+R0      阻止非授权用户读取敏感信息。
ry$Nn}#f0      4.1.2 身份鉴别51Testing软件测试网/E"ia t"YW
      计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机51Testing软件测试网7t*jZ|#p%p`a
      制（例如：口令）来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。51Testing软件测试网z0[B&DI6b.P'T
r8e
      4.1.3 数据完整性
*\UE7^)\,g^[5C0      计算机信息系统可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信51Testing软件测试网|(U4x*B/p:g#uT6RW K
      息。51Testing软件测试网 Y4^V0}@"w'H
      4.2 第二级 系统审计保护级
JUVB M\'E0      与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问51Testing软件测试网7`,P%]8`_$u
      控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。
.dDX5AOd2jEV}h@0      4.2.1 自主访问控制51Testing软件测试网{W1A.B$i:D3C*C
      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
5oU9?*^vi0      （例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；51Testing软件测试网@)lt ^"{!d
      阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式
'\)OIa8c'|/l0nrt0      或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只51Testing软件测试网%XIURh2^ r
      允许由授权用户指定对客体的访问权。51Testing软件测试网9jP8e)M.u!^IO
      4.2.2 身份鉴别
Mb"}r!nZ:e[yU%Z0      计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，并使用保护机51Testing软件测试网#_~+z vt8B#v4Z$@\
      制（例如：口令）来鉴别用户的身份；阻止非授权用户访问用户身份鉴别数据。通过为用户51Testing软件测试网Kn
m
F,jOB5W
      提供唯一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统
QH-h&E?4~0      可信计算基还具备将身份标识与该用户所有可审计行为相关联的能力。
5rAP^#si N6U
f0      4.2.3 客体重用
FM
`e
XGX0      在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配
hC[os2p"s0      一个主体之前，撤销该客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问
0aF~d(NEQd0      权时，当前主体不能获得原主体活动所产生的任何信息。
&_9Z`@ F0@*p,cy0      4.2.4 审计51Testing软件测试网#I3c,eH(QX7S o
      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非
xM,["Z+Au+H)p-u1X
t2D0      授权的用户对它访问或破坏。51Testing软件测试网?
?7pS1e
      计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址
4p7p!wOaZ0      空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安51Testing软件测试网7LF{j.i"mowX
      全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：
8BV`/j{X$f3H x0      事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含的
LB}0OC%Z.D(r0      来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录51Testing软件测试网2eytZ5G8}
      包含客体名。
rE'G+?8O(G:lge0      对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接
&a^~ryg#Gy0      口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
1z[&G+u-\0      录。51Testing软件测试网(\9J.K R)y|1d6I8h
      4.2.5 数据完整性51Testing软件测试网(e?7w.we KY{
      计算机信息系统可信计算基通过自主完整性策略，阻止非授权用户修改或破坏敏感信51Testing软件测试网0W+kj(t-L`
      息。51Testing软件测试网#q9{+dS3h+f)yM*v
      4.3 第三级 安全标记保护级
1F']H0@``)U0      本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安
^Ww!j0g9i,\m0      全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出
S/T\J8T;V"k0cul0      信息的能力；消除通过测试发现的任何错误。51Testing软件测试网?)Jhc*e:Z)Ew
      4.3.1 自主访问控制
?Eu(u4P#[1r.yL,Q_0      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制
%GX`DXr"T$y0      （例如：访问控制表）允许命名用户以用户和（或）用户组的身份规定并控制客体的共享；51Testing软件测试网'cD,cmR v
      阻止非授权用户读取敏感信息。并控制访问权限扩散。自主访问控制机制根据用户指定方式51Testing软件测试网0tP2O6w ]Qo,]m_#d
      或默认方式，阻止非授权用户访问客体。访问控制的粒度是单个用户。没有存取权的用户只51Testing软件测试网R0E)[h"\
      允许由授权用户指定对客体的访问权。阻止非授权用户读取敏感信息。
M)W_o&y(U2^]Rz0      4.3.2 强制访问控制
@n:EA+o0      计算机信息系统可信计算基对所有主体及其所控制的客体（例如：进程、文件、段、设51Testing软件测试网+`qz|9E
      备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类51Testing软件测试网QQ
{CO'g6P$LW.w
      别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以
4d1K
x7slY+Q"~a!T0      上成分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足：仅
+b"BRM[$R JRN/T f`0      当主体安全级中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级51Testing软件测试网)G}z!?d:`+w:E1d
      类别包含了客体安全级中的全部非等级类别，主体才能读客体；仅当主体安全级中的等级分
4w6}"~0u-dENr0      类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中
6?+U(d^/T6Z"GY\0      的非等级类别，主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据，鉴51Testing软件测试网~4mE0mekE
      别用户的身份，并保证用户创建的计算机信息系统可信计算基外部主体的安全级和授权受该
c2x!a
hF ~+R C0SZ4N0      用户的安全级和授权的控制。
0c%C#]'z:\&T0      4.3.3 标记
H9_$M5k"k-I0      计算机信息系统可信计算基应维护与主体及其控制的存储客体（例如：进程、文件、51Testing软件测试网Y"[)X7|:Xc X
      段、设备）相关的敏感标记。这些标记是实施强制访问的基础。为了输入未加安全标记的数
/T"fm"xW|uKNc0      据，计算机信息系统可信计算基向授权用户要求并接受这些数据的安全级别，且可由计算机
.v:R#H_XN4C0      信息系统可信计算基审计。 4.3.4 身份鉴别51Testing软件测试网(],n9h0N.P
      计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机51Testing软件测试网(h5c
]hi
      信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统51Testing软件测试网
vw$[0d$~U
      可信计算基使用这些数据鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身51Testing软件测试网,F#A@P]/@.[
      份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可
(Jep.tVv7g"J Z0      信计算基能够使用用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与
1@-~I?`!n0      该用户所有可审计行为相关联的能力。51Testing软件测试网7l lm,KUYP
      4.3.5 客体重用51Testing软件测试网/O0`jz%\h0z.W%a
      在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配
n`\&k)m6d'Ie2pzw0      一个主体之前，撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权51Testing软件测试网:{CrMR
      时，当前主体不能获得原主体活动所产生的任何信息。
1m"t6ctU+^0      4.3.6 审计51Testing软件测试网A[~(Uv\L
      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非51Testing软件测试网N$A {`b|@E[
      授权的用户对它访问或破坏。
1\E-{!L3`A0      计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址51Testing软件测试网/w6F!x#u5|1y
      空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安51Testing软件测试网niwm;c2P |ZhY5jU
      全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：
8X+BK3xG v)o0wG fM0      事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请51Testing软件测试网4_{;Rx7qkVm4g
      求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计
uf al0k(MJ0      记录包含客体名及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输
9fC)K&|9v&Z*p%F H(H0      出记号的能力。
by(b%[y5~'e.y!p/r0      对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接51Testing软件测试网LN#x3\E
      口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记
4Rk+fZ+~d0      录。51Testing软件测试网jbF$eJx
      4.3.7 数据完整性
b0Cj `^A3M U;L!~j0      计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏
9ku%A.\2Dl)~'{O0      感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。
)A F[^PF0      4.4 第四级 结构化保护级
C`:\t;J?0G6\v0      本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它
`A%L)j2N7M%W j0      要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通51Testing软件测试网9p"V2`^(|1eq5g
      道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算51Testing软件测试网`%Z4Wd[1v7~ cg ^
      机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完
Zu7B!R"c0      整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了51Testing软件测试网~P7i H#jJ
      配置管理控制。系统具有相当的抗渗透能力。51Testing软件测试网 |.YA&L*nk$e
      4.4.1 自主访问控制
\
eJx1]0      计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制51Testing软件测试网O/hVO:l2P3m6?9cR
      （例如：访问控制表）允许命名用户和（或）以用户组的身份规定并控制客体的共享；阻止
7_6t+G_"qC:Oa0      非授用户读取敏感信息。并控制访问权限扩散。51Testing软件测试网 iU/Sfg8Q;d-c(\
      自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制的粒51Testing软件测试网_G g+@R5km(zXA"}v
      度是单个用户。没有存取权的用户只允许由授权用户指定对客体的访问权。51Testing软件测试网#`$Mf?,k3g'fbyj
      4.4.2 强制访问控制
KS;Mh
_ `G+x+T0      计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源（例如：主体、51Testing软件测试网#G9[PkN!y8N
j/y
      存储客体和输入输出资源）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记
^1b+xO#BFR+g.u0      是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计51Testing软件测试网$B
T$dB:AR,Ru
      算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对
_,@SlL#f4e0      客体的直接或间接的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的
@(C["b}5Z0      等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能51Testing软件测试网^ g z[\{Jf
      读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级51Testing软件测试网UclB6\:ISuI4M UA
      中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统
m6[,c#{#Q(e;OIB+e0      可信计算基使用身份和鉴别数据，鉴别用户的身份，保护用户创建的计算机信息系统可信计51Testing软件测试网)Q8QFj2[
      算基外部主体的安全级和授权受该用户的安全级和授权的控制。51Testing软件测试网^1J/~(]+v
      4.4.3 标记
h
D J
|;oGs$R![p0      计算机信息系统可信计算基维护与可被外部主体直接或间接访问到的计算机信息系统资51Testing软件测试网Eq0gX/@}$g*B^g
      源（例如：主体、存储客体、只读存储器）相关的敏感标记。这些标记是实施强制访问的基
neV2Vmw_!Nk#jTy0      础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些51Testing软件测试网Tf$SX!L `
      数据的安全级别，且可由计算机信息系统可信计算基审计。
^$S7J;~#w^D0      4.4.4 身份鉴别
7i ri#E&IZ
{
]0      计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机
V3j4s+|)c9U.oo0      信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统
N'v9Z J+X0      可信计算基使用这些数据，鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身51Testing软件测试网~G]xT+nI&D
      份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可
;Sy2g Q@G
W0      信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该
pJd5gp0      用户所有可审计行为相关联的能力。
D:ZX:c {0      4.4.5 客体重用51Testing软件测试网 yc4lO-j@ R
      在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配51Testing软件测试网6T+~OQy7@
      一个主体之前，撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权51Testing软件测试网BQc v-z&U
      时，当前主体不能获得原主体活动所产生的任何信息。
r2L`$T)f'Q],R _.{0      4.4.6 审计51Testing软件测试网y+j!w}q k1bb
      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非
0q!^/YW8h5I0      授权的用户对它访问或破坏。
&jf^l)@
A0      计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址
s&ss ta!^/h^g0      空间（例如：打开文件、程序初始化）；删除客体；由操作员、系统管理员或（和）系统安
U\5GNa#{~ P E0      全管理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：51Testing软件测试网 b)H4ZArp.RK
      事件的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请
F(dJ:K+_ Z
ys2T
?0      求的来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计
]p+oBE"qO,w7S0      记录包含客体及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出
6jznFax9YE-WD0      记号的能力。
W6R+Q ~e,K V0      对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接51Testing软件测试网DS3vn.nd;Y o:w
      口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记51Testing软件测试网{6~ B^F1F
      录。51Testing软件测试网$l)`e6{k8VRI
      计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。
vR#K W5?Ck'q ]8y0      4.4.7 数据完整性
"T6cO(Dn$On0      计算机信息系统可信计算基通过自主和强制完整性策略。阻止非授权用户修改或破坏敏51Testing软件测试网8H
Csgh
      感信息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。51Testing软件测试网a U w [c9A
V|`
      4.4.8 隐蔽信道分析
$W7`,G+E*Mii[ U7@K0      系统开发者应彻底搜索隐蔽存储信道，并根据实际测量或工程估算确定每一个被标识信
[ x.|M~J0      道的最大带宽。51Testing软件测试网)}o!NE W ZX
      4.4.9 可信路径
4b,p J:bziV Hy0      对用户的初始登录和鉴别，计算机信息系统可信计算基在它与用户之间提供可信通信路
q`+M5~4c!^0      径。该路径上的通信只能由该用户初始化。
A0p(U\3[r(ZDg0      4.5 第五级 访问验证保护级51Testing软件测试网?tK*V$ka0`
      本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的51Testing软件测试网M\o{\&tFIR
      全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控51Testing软件测试网 xz].qk
      器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的51Testing软件测试网N0}4RfU&VS{6o
      代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职51Testing软件测试网(V M y bx b%m
      能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很51Testing软件测试网+z_b,o3A
      高的抗渗透能力。
5r+N"~jSK0      4.5.1 自主访问控制51Testing软件测试网.t$P8meM2il3f
      计算机信息系统可信计算基定义并控制系统中命名用户对命名客体的访问。实施机制
0R,kRg.}+]d0P)|S0      （例如：访问控制表）允许命名用户和（或）以用户组的身份规定并控制客体的共享；阻止
+?jV+nhyth0      非授权用户读取敏感信息。并控制访问权限扩散。51Testing软件测试网 {{0i z8t}^+D0b
      自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。访问控制51Testing软件测试网Z5{ b;k)F[\
      的粒度是单个用户。访问控制能够为每个命名客体指定命名用户和用户组，并规定他们对客
3MP8S
I(IbcF0      体的访问模式。没有存取权的用户只允许由授权用户指定对客体的访问权。51Testing软件测试网;ssg:Z.ld W[DD#w
      4.5.2 强制访问控制
:LW,_p?9P#O0      计算机信息系统可信计算基对外部主体能够直接或间接访问的所有资源（例如：主体、51Testing软件测试网VB-aaew
      存储客体和输入输出资源）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记
Q.zAU5{ O7p:w0      是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。计算机信息系统可信计51Testing软件测试网E4j-` t2lpj.@
      算基支持两种或两种以上成分组成的安全级。计算机信息系统可信计算基外部的所有主体对51Testing软件测试网 g)],T:d8h,A
      客体的直接或间接的访问应满足：仅当主体安全级中的等级分类高于或等于客体安全级中的51Testing软件测试网u.F_4?j4d/A*u
      等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能51Testing软件测试网Ur)|7`)Z*]-T
      读客体；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级51Testing软件测试网(^;i}Is
@M
J{,}"J
      中的非等级类别包含了客体安全级中的非等级类别，主体才能写一个客体。计算机信息系统51Testing软件测试网7A%T.a'vR!tL X
      可信计算基使用身份和鉴别数据，鉴别用户的身份，保证用户创建的计算机信息系统可信计
!Ajm}V r)Z/E0      算基外部主体的安全级和授权受该用户的安全级和授权的控制。
*MKWhw6o |5c9`0      4.5.3 标记
's?,Y)?
s
?0      计算机信息系统可信计算基维护与可被外部主体直接或间接访问到计算机信息系统资源
~%i9Jz^$s+|\0      （例如：主体、存储客体、只读存储器）相关的敏感标记。这些标记是实施强制访问的基
"|%](F5PWi0      础。为了输入未加安全标记的数据，计算机信息系统可信计算基向授权用户要求并接受这些
&h,c X#g$h"g7n0      数据的安全级别，且可由计算机信息系统可信计算基审计。
k.Sp,BnfAbB O0      4.5.4 身份鉴别 计算机信息系统可信计算基初始执行时，首先要求用户标识自己的身份，而且，计算机
k7UW5F#gf}#\0      信息系统可信计算基维护用户身份识别数据并确定用户访问权及授权数据。计算机信息系统51Testing软件测试网i-O G fV;h
      可信计算基使用这些数据，鉴别用户身份，并使用保护机制（例如：口令）来鉴别用户的身
2N;wu}0CEP$xk0      份；阻止非授权用户访问用户身份鉴别数据。通过为用户提供唯一标识，计算机信息系统可51Testing软件测试网 ZB}rN
      信计算基能够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该51Testing软件测试网GA1AR@.I
      用户所有可审计行为相关联的能力。
7o-BN,Z*p$R3b:viOb0      4.5.5 客体重用51Testing软件测试网%k$DaL!^[3r
      在计算机信息系统可信计算基的空闲存储客体空间中，对客体初始指定、分配或再分配
r4a.lzp6X:dV:W0      一个主体之前，撤销客体所含信息的所有授权。当主体获得对一个已被释放的客体的访问权51Testing软件测试网A N;kM(Ly;Q3Y
      时，当前主体不能获得原主体活动所产生的任何信息。51Testing软件测试网b@ y#y Jc4h
      4.5.6 审计51Testing软件测试网qf|x i4d!p7_
      计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录，并能阻止非51Testing软件测试网L&ht1iZ]/B7~Xf Lu
      授权的用户对它访问或破坏。
Fa?w2m0      计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间
c'B0d|?w0      （例如：打开文件、程序出始化）；删除客体；由操作员、系统管理员或（和）系统安全管
)X(l/B1alh$U0      理员实施的动作，以及其他与系统安全有关的事件。对于每一事件，其审计记录包括：事件
kI o:hT0      的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的51Testing软件测试网(}DcbLyl[;o-k
      来源（例如：终端标识符）；对于客体引入用户地址空间的事件及客体删除事件，审计记录
s1q(?fy&x
W/]
C0      包含客体名及客体的安全级别。此外，计算机信息系统可信计算基具有审计更改可读输出记51Testing软件测试网-U&I9}6WMf,?3J&q X
      号的能力。51Testing软件测试网5M#_3Vq.h-\i{
      对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接
z+J)D\3c p)\&R3t0      口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记51Testing软件测试网'G|XL:ITzJ
      录。计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。51Testing软件测试网+MM5G)](g ~;A"q
计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制，当超过阈
S`:A!?e+| ~-a0      值时，能够立即向安全管理员发出报警。并且，如果这些与安全相关的事件继续发生或积
h E8WdE0      累，系统应以最小的代价中止它们。
/q(V"Dj'v'dC4N`0      4.5.7 数据完整性
$}y!U&n:lP([YJ0      计算机信息系统可信计算基通过自主和强制完整性策略，阻止非授权用户修改或破坏敏感信
$eM!G5kR0      息。在网络环境中，使用完整性敏感标记来确信信息在传送中未受损。51Testing软件测试网[)Qy3Yxb
      4.5.8 隐蔽信道分析
(TS[4v$N6|2A0      系统开发者应彻底搜索隐蔽信道，并根据实际测量或工程估算确定每一个被标识信道的
e8B Ao4C7O0      最大带宽。51Testing软件测试网$Q-L/O$L4r*c
      4.5.9 可信路径
0P#EWC$BkAt0      当连接用户时（如注册、更改主体安全级），计算机信息系统可信计算基提供它与用户
r,}+Ejh5@Nw0      之间的可信通信路径。可信路径上的通信只能由该用户或计算机信息系统可信计算基激活，
']Y:n'n,I,f;pf+k0      且在逻辑上与其他路径上的通信相隔离，且能正确地加以区分。51Testing软件测试网X^9brU7FyKY
      4.5.10 可信恢复
rxp}i!HA0      计算机信息系统可信计算基提供过程和机制，保证计算机信息系统失效或中断后，可以51Testing软件测试网qr d6|/~"hyK A
      进行不损害任何安全保护性能的恢复。