DB11_T145-2002政务公开网站通用安全技术要求.docx

《DB11_T145-2002政务公开网站通用安全技术要求.docx》由会员分享，可在线阅读，更多相关《DB11_T145-2002政务公开网站通用安全技术要求.docx（49页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、ICS 35,040L71备案号：11941-2002DB北京市地方标准DB11/T145-2002政务公开网站通用安全技术要求2002 - 02-20 实施2002-01-30 发布北京市质量技术监督局发布DB11/T 145-2002目 次前言V引言VI1范围;12术语和定义13系统概述34安全环境34.1资产 34.1.1系统内的数据 34.1.2系统软件44.1.3系统硬件 44.2系统具备的前提条件 44.2.1 系统设备维护(A.Maint_Sysdev) 44.2.2 系统软件安装维护(A.Maint_Inst_Syssoft) 44.2.3 系统管理员能力(A. Compete

2、nt_Admin) 44.2.4系统管理员不会滥用权限(A.No_Abuse_By_Admin) 44.2.5 系统数据毁坏(A.Acc_Ovrwrit_SysData) 44.2.6 远程用户(A.Remote_Access) 44.2.7 可信用户(A.Trusted_User) 44.2.8 物理访问(A.Prot_Against_Nature) 44.2.9 掉电保护(A.prot_of_Power_fault) 54.3对系统的威胁 54.3.1 管理错误(T.Admin_Err_Commit) 54.3.2 管理疏忽(T.Admin_Err一Omit) 54.3.3 威胁主体的能力

3、(T.Outsider_Med) 54.3.4 未授权的访问(T.Acs_to_Out) 54.3.5攻击者尝试使资源拒绝服务(T.Hack_Avl_Resource) 54.3.6 传输错误(T.Trans_Err) 54.3.7 关键系统组件失效(T.Component_Failure) 54.3.8 恶意代码(T.Malicious_Code) 54.4系统组织安全策略 54.4.1安全设备选型或采购控制(P.SeLdevice) 54.4.2 网络隔离(P.tec.Isolated) 54.4.3 站点监控与审计(P.Monitor and Audit) 64.4.4 漏洞扫描(P.S

4、can) 64.4.5 入侵检测(P.check and measure) 64.4.6 Web 页面监测与自动修复(P.Monitor and Recovery) 64.4.7 系统备份(P.Backup) 65 安全目的:65.1系统安全目的65.1.1 安全角色(O.Security_Roles) 65.1.2 安全功能管理行为(O.Security_Func_Mgt) 65.1.3 安全相关配置管理(O.Secure_Configuration) 65.1.4 管理安全属性(0.Security.Attr_Mgt) 65.1.5 管理安全关键数据(O.Security_Data_Mgt

5、) 65.1.6远程可信系统的可信通道(O.Comm_Trusted_Channel) 65.1.7用户标识和鉴别(0.I&A) 65.1.8系统访问控制(O.RBAC) 75.1.9 保护系统安全功能(O.Sys_Self_Protection) 75.1.10 采用补丁程序修改代码(O.Apply_Code_Fixes) 75.1.11限定用户和服务的资源(O.Resource_Quotas) 75.1.12保护和维护安全的系统状态(O.Secure_State) 75.1.13系统功能运行的完整性测试(O.Integrity_Practice) 75.1.14 对已发现的攻击的响应(O.

6、React_Discovered_Atk) 75.1.15主页的完整性监视与恢复(O.Website_Mnt_Recovery) 75.1.16 控制系统数据的输入(O.Data_Imp_Control) 75.1.17系统数据内部传递的完整性(O.Integ_Sys_Data_Int) 75.1.18识别对接收信息的修改(O.Rcv_MsgMod_ID) 75.1.19恢复对接收信息的修改(O.Rcv_MsgMod_Rcvr) 75.1.20识别对发布信息的修改(O.Snt_MsgMod_ID) 75.1.21支持在发布信息被修改后的恢复(O.Snt_MsgMod_Rcvr) 85.1.22

7、关键组件失效时保持安全状态(O.FaiLSecure) 85.1.23关键组件运行错误容限(O.Fault_Tolerance) 85.1.24出现恶意代码时能恢复对象和数据(O.Clean_Obj_Reco.very) 85.1.25 审计管理角色(O.Audit_Admin_Role) 85.1.26 标识审计记录(O.Audit_Generation) 85.1.27对可能丢失所保存的审计记录作出响应(O.Audit_Loss_Respond) 85.1.28保护存储的审计记录(O.Audit_Protect) 85.1.29确保可用的审计存储空间(O.Guarantee.Audit_S

8、tg) 85.1.30审计系统访问减少误用(O.Audit_Deter_Misuse) 85.1.31 系统备份(O.Sys_Backup_Procs) 85.1.32检测备份硬件、固件、软件的修改(O.Sys_Backup_Verify) 85.1.33 网络隔离(O.Tec_Isolated) 95.2环境安全目的 95.2.1安装与操作控制(OE.Install) 95.2.2 物理控制(OE.Ph_Access) 95.2.3授权管理员培训(OE.Train) 9DB11/T 145-20025.2.4 防自然灾害(OE.Disas_Protection) 95.2.5 电磁兼容(OE

9、.EMC) 96安全功能要求 96.1用户数据保护 96.1.1访问控制策略(FDP_ACC) 96.1.2访问控制功能(FDP_ACF) 106.1.3向安全功能控制之外输出(FDP_ETC) 106.1.4信息流控制策略(FDP_IFC) 106.1.5信息流控制功能(FDP_IFF) 106.1.6从安全功能控制之外输入(FDP_ITC) 116.1.7存储数据的完整性(FDP_SDI) 116.1.8安全功能间用户数据传输完整性保护(FDP_UIT) 116.2标识和鉴别 126.2.1 用户标识(FIA_UID) 126.2.2用户属性定义(FIA_ATD) 126.2.3 秘密的规

10、范(FIA_SOS) 126.2.4 用户鉴别(FIA_UAU) 126.2.5 鉴别失败(FIA_AFL) 126.2.6用户-主体绑定(FIA.USB) 136.3安全功能保护 136.3.1 失效保护(FPT_FLS) 136.3.2安全功能数据输出的保密性(FPT_ITC) 136.3.3系统内部安全功能数据传输(FPT_ITT) 136.3.4 可信恢复(FPT_RCV) 136.3.5 参照仲裁(FPT_RVM) 136.3.6安全功能域分离(FPT_SEP) 146.3.7安全功能自检(FPT_TST) 146.4 系统访问. 146.4.1多重并发会话限定(FTA_MCS) 1

11、46.5安全审计 146.5.1安全审计自动响应(FAU_ARP) 146.5.2安全审计数据产生(FAU_GEN) 156.5.3安全审计分析(FAU_SAA) 176.5.4安全审计査阅(FAU.SAR) 176.5.5安全审计事件存储(FAU-STG) 176.6安全管理类186.6.1系统中功能的管理(FMT_MOF) 186.6.2安全属性的管理(FMT_MOF) 196.6.3系统数据的管理(FMT_MTD) 206.6.4安全管理角色(FMT_SMR) 216.7可信路径/通道 21mDB11/T 145-20026.7.1系统间可信信道(FTP_ITC) 216.8资源利用 2

12、26.8.1 容错(FRU_FLT) 226.8.2资源分配(FRU_RSA)最高配额 227安全保证要求 227.1配置管理 237.1.1 配置项(ACM_CAP.2) 237.2交付和操作 237.2.1 交付程序(ADO_DEL.l) 237.2.2安装、生成和启动程序(ADOJGS.1) 237.3开发 247.3.1非形式化功能规范(ADV_FSP.l) 247.3.2描述性高层设计(ADV_HLD.l) 247.3.3非形式化相关性阐明(ADV_RCR.l) 257.4指导性文档 257.4.1 管理员指南(AGD_ADM.l) 257.4.2 用户指南(AGD_USR.l) 2

13、67.5测试 267.5.1 范围证据(ATE_COV.l) 267.5.2 功能测试(ATE_FUN.l) 277.5.3独立性测试抽样(ATE_IND.2) 277.6脆弱性评定 287.6.1系统安全功能强度评估(AVA_SOF.l) 287.6.2开发者脆弱性分析(AVA-VLA.1) 288环境安全要求 298.1备份和恢复 298.2操作系统安全 298.3数据库安全298.4病毒防范 299基本原理 309.1安全目的基本原理 309.2安全要求基本原理 319.3满足依赖关系基本原理 33#DB11/T 145-2002刖 言本标准系按照国家标准GB/T18336-2001信息

14、技术安全技术一信息技术安全性评估准 则(idt. IS0/IEC 15408-1999)的结构，针对政务公开网站的整体安全需求而开发。本标准由北京信息安全测评中心提出。本标准由中国国家信息安全测评认证中心系统工程实验室负责起草。本标准由北京市质量技术监督局负责解释。本标准主要起草人：方关宝、任卫红、崔玉华、马力、刘作康、张晓冬、陆丽、陈冠直vDB11/T 145-2002引 言国际标准IS0/IEC 15408信息技术安全技术一信息技术安全性评估准则（简称CC） 是由联合技术委员会ISO/IEC JTC1 （信息技术）与通用准则项目发起组织合作产生的。CC标准是评估信息技术产品和系统安全特性的

15、基础准则，它针对在安全性评估过程中 信息技术产品和系统的安全功能及相应的保证措施，提供了一组通用要求。针对具体一类产品或系统的评估，需要产生具体的一组与实现无关的IT安全要求，这 就是所说的由CC方法产生的保护轮廓（PP）。被评估的产品或系统被称为评估对象（T0E）, 如：操作系统、计算机网络、分布式系统以及应用程序等。用CC方法产生的保护轮廓（PP）具有规定的统一结构，主要内容包括：-PP引言：包括PP标识、PP概述等；-TOE描述：这部分描述TOE,以帮助了解它的安全要求，同时说明TOE的类型和一般 的IT特性；-TOE安全环境:这部分描述TOE所处的应用环境和TOE期望的使用方式中的安全

16、问题。 包括假设、威胁、组织安全策略；-安全目的：描述环境安全目的和TOE安全目的；-IT安全要求：包括TOE安全功能要求、TOE安全保证要求、IT环境安全要求；-PP应用注释；-基本原理：包括安全目的基本原理、安全要求基本原理。其中列出了安全目的与假 设/威胁/组织安全策略的映射关系、安全目的与安全功能要求的映射关系和安全功 能之间的依赖关系。完全等同于CC标准的国家标准信息技术安全技术一信息技术安全性评估准则 （GB/T18336-2001）也已经颁布。本标准就是由CC方法产生的针对政务公开网站的一个PP。#DB11/T 145-2002政务公开网站通用安全技术要求1范围本标准规定了政务公

17、开网站系统(以下简称系统)的通用安全技术要求。本标准适用于采集、存储、处理、传递、输出非国家秘密信息的政务网站的设计、建 设、使用、评估和监管，也可作其它网站的参考。2术语和定义本标准釆用如下术语和定义。2. 1政务公开网站指各级国家机关利用INTERNET/INTRANET等相关计算机通信技术,在因特网上建立的以 实现国家机关及相关部门在政治、经济、社会生活诸多领域管理和服务的部分职能的公开信 息站点。2.2个人用户(human user)与系统交互的任何个人。2.3用户(user)在系统之外与系统交互的任何实体(个人用户或外部IT实体)。2.4授权用户(author i sed user)

18、依据系统安全策略可以执行某项操作的用户。2.5授权管理员(Author ized Administrator)经组织授权，对系统进行有关配置、日常维护和安全管理的专业人员。2.6客体(Object) 信息的载体。1DB11/T 145-20022.7主体(Subject)引起信息在客体之间流动的人、进程或设备等。2.8访问控制(Access ControI)限制授权的用户、程序、进程或计算机网络中其他系统访问系统资源的过程。2.9鉴别(Authent i cat i on)验证用户、设备和其他实体的身份；验证数据的完整性。2. 10授权(Authority)授予用户、程序或进程的访问权。2.

19、11威胁(Threat)以破坏、泄漏、修改数据和拒绝服务的方式，可能对系统造成损害的环境或潜在事件。2. 12资产(Asset)系统中需要保护的信息或资源。2. 13安全功能(Security Function)为实现系统安全策略中一组紧密相关的规则子集，必须依赖的系统的组成部分。.2.14安全功能策略(Security Function PoI icy)系统中安全功能执行的安全策略。2. 15安全属性(Security Attribute)用于实施系统安全功能策略的，与主体、信息和客体相关的信息。3系统概述本标准中，政务公开网站系统包括信息公开、信息交互和网上办公三种业务。一个系统通常包括各

20、类服务器、网络接入设备和安全隔离设备。系统可以是虚拟主机、 服务器托管和专线接入的独立网站，以及这三种类型的组合。系统通常可提供WWW服务、域 名服务、邮件服务、应用服务和数据库服务等。系统的通用结构如图1所示。图1网站系统的通用结构4安全环境4.1资产该系统中需要保护的主要资产包括但不局限于以下内容。4. 1.1系统内的数据4.1.1.1公开发布的数据是指政务公开网站提供的各类信息。4.1.1.2通过网站收集的数据主要包括通过网站得到的基层反馈信息。4.1.1.3系统安全功能数据是指做出安全策略决定时由安全功能使用的信息。包括用来验证进行服务请求的用户身 份的鉴别数据和用于实施安全策略的与主

21、体、用户、客体或信息相关的安全属性数据。如: 系统运行日志、系统审计日志、入侵检测记录、系统口令、系统权限设置、数据存储分配、内部网络地址，系统配置数据等。4.1.2系统软件包括操作系统软件、数据库管理软件和应用软件等。4.1.3系统硬件包括系统内的服务器、个人计算机、网络设备、安全设备，以及计算机外围设备如电源、 打印机、终端、输入设备、数据备份设备等。4. 2系统具备的前提条件4. 2.1 系统设备维护(A.Maint_Sysdev)系统设备能做到及时维护更新，防止自然老化影响系统正常运行，甚至引起系统瘫痪或 信息不可恢复。4. 2. 2 系统软件安装维护(A. Ma int_lnst_S

22、yssoft)相应的软件系统应保证正确的安装和维护。系统软件处理不当会直接影响系统的运行和安全性。如操作系统一旦维护不及时和不当 会逐渐退化，造成功能不能完全执行或者根本不能执行，最终导致系统的失效。4. 2. 3 系统管理员能力(A. Competent_Admin)系统管理员有能力管理系统及其所含信息的安全。4. 2.4系统管理员不会滥用权限(A. No_Abuse_By_Admin)信任系统管理员不会滥用权限。4. 2. 5 系统数据毁坏(A. Acc_0vrwr i t_SysData)系统依赖于系统软件环境，系统用户不会无意识地改写系统程序、日志或数据。4. 2. 6 远程用户(A.

23、 Remote_Access)允许用户远程访问系统。4. 2. 7 可信用户(A. Trusted_User)授权用户不会故意破坏安全。4. 2. 8 物理访问(A. Prot_Aga i nst_Nature)系统位于受控的访问设备中，以阻止未授权的物理访问，并能防止火灾、洪水等自然灾 害对系统的破坏。4. 2. 9 掉电保护(A. prot_of_Power_fau 11)系统有足够的备用电源以保证突然的电力中断不会危害服务的可用性或导致数据的丢 失。4.3对系统的威胁4. 3. 1 管理错误(T. Adm in_Er r_Comm i t)管理人员的错误直接危害组织安全策略，或改变系统或

24、应用强制执行的技术安全策略。4. 3. 2 管理疏忽(T. Admin_Err_0mit)系统管理人员未执行某些基本安全功能。4.3.3威胁主体的能力(T.0utsider_Med)系统可能受到威胁主体有预谋的攻击。4. 3. 4 未授权的访问(T. Acs_to_0ut)未授权人员通过非法途径访问获取信息或破坏系统。4. 3. 5攻击者尝试使资源拒绝服务(T. Hack_Avl-Resource)攻击者通过执行命令、发送数据、或执行其他操作使系统资源对系统用户失效。资源 可能是带宽、处理器时间、内部存储器、数据存储器等。4. 3.6 传输错误(T.Trans_Err)数据在传输过程中可能出现

25、错误，导致信息完整性的破坏。4. 3. 7 关键系统组件失效(T. Component_Fai lure)关键系统组件失效导致系统关键功能失败。4. 3. 8 恶意代码(T.Mal icious_Code)授权用户下载和执行恶意代码，产生异常的进程，对系统产生破坏。4. 4系统组织安全策略4. 4.1安全设备选型或采购控制(P. Se l_dev i ce)信息系统建设期间或设备更换、添加时能够从信息系统安全要求的整体角度进行设备 选型或釆购；或者能按照国家有关部门的规定和政策要求选择和采购安全设备。4. 4. 2 网络隔离(P. tec. Isolated)系统必须与涉密的系统物理隔离，与其

26、它系统逻辑隔离。5DB11/T 145-20024. 4. 3 站点监控与审计(P. Monitor and Audit)系统应具有监控和审计功能；系统还应具有对公开发布数据进行关键词过滤功能。4. 4. 4 漏洞扫描(P. Scan)系统应具有对网络和系统漏洞扫描和报告功能。4. 4. 5 入侵检测(P. check and measure)系统应通过分析数据流来发现入侵行为和违规操作，并能及时作出反应。4. 4. 6 Web 页面监测与自动修复(P. Monitor and Recovery)保护web服务器，对站点内容自动监测，当发现被篡改后能及时完成自动修复。4. 4.7 系统备份(P

27、. Backup)系统的主要设备、软件、数据等应有备份。5安全目的5.1系统安全目的5. 1. 1 安全角色(0. Secur ity_Roles)系统应划分安全角色并规定这些角色的权限。5. 1.2 安全功能管理行为(0. Secur i ty_Func_Mgt)系统必须提供对安全功能的管理机制。5. 1.3 安全相关配置管理(0. Secure_Conf i gurat i on)系统必须管理和更新系统的安全策略、强制执行安全功能，使之与安全策略相一致。5. 1.4 管理安全属性(0. Secur i ty_Attr_Mgt)系统应管理对安全属性的初始化、赋值及正常操作。5.1.5 管理安

28、全关键数据(0. Secur ity_Data_Mgt)系统应管理对安全关键数据的初始化、限制及正常操作。5.1.6远程可信系统的可信通道(0. Comm_Trusted_Channe I)为执行安全关键操作，系统应在系统和远程可信系统间提供可信通信信道。5.1.7用户标识和鉴别(0. I&A)系统必须能唯一标识授权用户，并在用户访问系统资源之前鉴别其声称身份的真实性。5. 1.8系统访问控制(0. RBAC)系统只允许明确授权的用户访问授权范围内的系统资源或执行相关操作。5. 1.9 保护系统安全功能(0. Sys_Self_Protection)系统应釆取技术措施保护系统安全功能。5.1.

29、10釆用补丁程序修改代码(O.Apply_Code_Fixes)系统应能釆用补丁程序修改代码，减少代码的脆弱性。5. 1. 11限定用户和服务的资源(0. Resource_Quotas)系统必须提供措施，防止用户和服务对系统资源的过度使用，导致系统性能降低或出 现拒绝服务。5. 1. 12保护和维护安全的系统状态(0. Secure_State)系统应确保在系统出现错误或其他操作中断后，能恢复到某种安全状态。5. 1. 13系统功能运行的完整性测试(0. Integr i ty_Pract ice)进行安全功能的自测试，以保证系统硬件和代码的完整性。5. 1. 14对已发现的攻击的响应(0.

30、 React_Di scovered_Atk)系统应实现对已发现的攻击的自动告警或其他响应。5.1.15主页的完整性监视与恢复(0. Website_Mnt_Recovery)系统应监视站点内容的完整性，发现修改及时修复。5. 1. 16控制系统数据的输入(0. Data_lmp_Control)应保护系统不致输入非法的数据或安全策略不允许的信息。5. 1. 17系统数据内部传递的完整性(0. lnteg_Sys_Data_lnt)系统必须保证系统数据内部传递的完整性。5.1. 18识别对接收信息的修改(0. Rcv_MsgMod_ID)系统能够识别信息在传输过程中是否出现插入、删除或替换。5

31、. 1. 19恢复对接收信息的修改(0. Rcv_MsgMod_Rcvr)检测到接收信息已被未授权修改时，系统能恢复出原来的正确信息，或釆取其他补救措施。5.1.20识别对发布信息的修改(0. Snt_MsgMod_ID)11系统的安全功能要求必须能够识别发布信息的修改，包括插入伪造信息以及删除或替 换合法信息。5.1.21支持在发布信息被修改后的恢复(0. Snt_MsgMod_Rcvr)系统安全功能要求支持对发布信息的检测。系统在检测到发布信息被修改时，要釆取 相应措施。5. 1.22关键组件失效时保持安全状态(0. Fail _Secure)系统要保证关键组件失效时保持系统的安全状态。5

32、. 1.23关键组件运行错误容限(0. Fault_Tol erance)系统必须为关键组件提供运行错误容限，当一个或多个系统组件失效时系统能继续运 行。5. 1.24出现恶意代码时能恢复对象和数据(0. Clean_Obj_Recovery)系统引入恶意代码和发生破坏时能恢复到安全状态，并能消除恶意代码。5.1.25 审计管理角色(0. Audi t_Admi n_Ro Ie)系统应能创建审计管理角色，避免修改或破坏审计数据的事件发生。5. 1.26 标识审计记录(0. Audit_Generation)系统审计记录中必须记录审计事件发生的日期和时间、地点以及对其负责的实体。5. 1.27对

33、可能丢失所保存的审计记录作出响应(0. Audit_Loss_Respond)当审计记录容量已满或快满时，系统对可能丢失审计记录作出响应。5. 1.28保护存储的审计记录(0. Audit_Protect)系统必须保护审计记录，防止未授权的访问、更改或删除。5. 1.29确保可用的审计存储空间(0. Guarantee_Aud i t_Stg)系统必须保持审计数据并确保相应的空间。5. 1.30审计系统访问减少误用(0. Aud i t_Deter_Mi suse)系统必须对系统访问进行审计，以发现系统误用，并提供潜在的威慑力量以示警告。5. 1.31 系统备份(0. Sys_Backup_P

34、rocs)系统必须提供确保系统可被重构的备份。系统能够及时发现备份硬件、固件、软件的修改。5. 1.33 网络隔离(0. Tec_Isolated)系统必须和其它业务系统物理隔离，与互联网和远程维护系统逻辑隔离。5.2环境安全目的环境安全目的是指除信息技术安全目的之外还需满足的要求，它们不需相应硬件和软 件的机制实现，而是通过釆用物理的、过程的或管理的方法来达到。以下为政务公开网站的环境安全目的：5. 2.1安装与操作控制(0E. Instal I)确保系统在安装、维护、操作中的系统安全。5. 2. 2 物理控制(0E. Ph_Access)控制对系统中相关设备的物理访问。5. 2. 3授权管

35、理员培训(0E. Train)加强对授权管理员的培训，使他们具有建立和维护一定的安全策略的实际能力。5. 2. 4 防自然灾害(0E. Di sas_Protect i on)系统的机房和设备能够抵抗一定自然灾害破坏。5. 2.5 电磁兼容(0E. EMC)系统关键设备应符合国家有关电磁兼容标准要求。6安全功能要求为保护政务公开网站的安全及网站信息的正常发布及基层信息的正确反馈，政务公开 网站系统应满足以下功能要求：6.1用户数据保护6.1.1访问控制策略(FDP_ACC)子集访问控制(FDP_ACC. 1)FDP_ACC. 1. 1政务公开网站系统安全功能(以下简称系统安全功能)应对安全功能

36、策略所覆 盖的主体、客体和它们之间的操作执行政务公开网站访问控制策略(以下简称 网站访问控制策略)。DB11/T 145-20026.1.2访问控制功能(FDP_ACF)基于安全属性的访问控制(FDP_ACF. 1)FDP_ACF. 1. 1系统安全功能应基于安全属性和确定的安全属性组，对已明确的客体执行系统 访问控制策略。FDP_ACF. 1. 2系统安全功能应执行网上访问控制策略，决定受控的主体与客体间的操作是否 被允许。6.1.3向安全功能控制之外输出(FDP_ETC)无安全属性的用户数据输出(FDP_ETC. 1)FDP.ETC. 1. 1在安全功能策略控制下输出数据到系统安全控制范围

37、之外时，系统安全功能应 执行网站访问控制策略和网站信息流控制策略(以下简称系统信息流控制策 略，详见 FDP_IFC. 1)。FDP .ETC. 1. 2系统应输出不带有相关安全属性的信息、数据。6.1.4信息流控制策略(FDP_IFC)子集信息流控制(FDP_IFC. 1)FDP_IFC. 1. 1对已确定的主体、信息流及导致受控信息流入流出安全功能策略覆盖的主体的 操作，系统安全功能应执行系统信息流控制策略。表1系统信息流控制策略举例远程授权用户一服务器服务器一普通用户完推性用户令、网站维护信息、上传网站发布信息网站信息下载、收集信息6. 1.5信息流控制功能(FDP_IFF)简单安全属性

38、(FDP.1FF. 1)FDPJFF. 1. 1系统安全功能应在主体和最小数目和类型的信息安全属性的基础上执行系统信息流控制策略。FDPJFF. 1.2对每-个操作，如果在主体和信息之间必须有基于安全属性的关系，系统安全功能应允许受控主体和受控信息之间存在经由受控操作的信息流。FDP_IFF. 1. 5系统安全功能应根据基于安全属性的规则，明确授权信息流。FDP_IFF. 1. 6系统安全功能应根据基于安全属性的规则，明确拒绝信息流。6.1.6从安全功能控制之外输入(FDP_ITC)没有安全属性的用户数据输入(FDP_ITC. 1)FDP_ITC. 1.1在系统安全功能策略控制下，从系统安全控

39、制范围之外输入用户数据时，应执 行系统信息流控制策略。FDP_ITC. 1. 2外部输入用户数据时，TSF应略去任何相关的安全属性。有安全属性的用户数据输入(FDP_ITC. 2)FDP_ITC. 2. 1 TSF在SFP控制下从TSC之外输入用户数据时，应执行系统信息流控制策略。FDP_ITC. 2. 2 TSF应使用与输入的数据相关的安全属性。FDP_ITC. 2. 3 TSF应确保使用的协议在安全属性和接收的用户数据之间提供了明确的联系。FDP_ITC. 2. 4 TSF应确保对输入的用户数据安全属性的解释与用户数据源的解释是一致的。FDP_ITC. 2. 5 TSF在SFP控制下从TS

40、C之外输入用户数据时应执行系统访问控制策略。6.1.7存储数据的完整性(FDP_SDI)存储数据完整性监视和动作(FDP_SDI. 2)FDP_SDI. 2. 1系统安全功能应基于用户数据属性，监视存储在系统内部的用户数据是否出现 完整性错误。FDP_SDI. 2. 2检测到完整性错误时，系统安全功能应采取相应的动作。6. 1.8安全功能间用户数据传输完整性保护(FDP_UIT)数据交换完整性此功能主要解决对被传输的用户数据的篡改、删除、插入和重用等的检测。FDP_UIT. 1. 1系统安全功能应执行系统信息流控制策略，能以谜免出现篡改、删除、插入等 的方式传送和接收用户数据。FDP_UIT.

41、 1. 2系统安全功能应能根据接收到的用户数据判断，是否出现了篡改、删除、插入 和重用。原发端数据交换恢复(FDP_UIT. 2)FDP_UIT. 2. 1 TSF应执行系统访问控制SFP及信息流控制SFP,在原发端可信IT产品的帮助下，恢复数据。6. 2标识和鉴别6. 2. 1 用户标识(FIA_UID)标识定时(FIA_UID. 1)FIA_UID. 1. 1系统应在用户被识别之前，允许代表用户实施关闭用户标识。FIA_UID. 1. 2系统允许任何代表用户启动安全功能之前，要求每个用户都被成功识别。6.2.2用户属性定义(FIA_ATD)用户属性定义(FIA_ATD. 1)a) FIA_

42、ATD. 1. 1系统应为每一个用户保存属于他的安全属性表：用户权限及属性。6. 2.3秘密的规范(FIA_S0S)秘密验证(FIA_S0S. 1)FIA_S0S. 1. 1系统应提供一种机制以证明秘密(如口令字长度及字符集)满足规定的强度。系统秘密产生(FIA_S0S. 2)FIA_S0S. 2. 1系统应提供一种机制以产生满足规定强度的秘密。FIA_S0S. 2. 2系统应能够为用户身份鉴别使用系统产生的秘密。6. 2.4 用户鉴别(FIA_UAU)鉴别定时(F1A_UAU. 1)FIA_UAU. 1. 1系统应在用户被鉴别之前允许用户访问网站的综合信息。F1AJJAU. 1.2系统在允许

43、任何代表用户启动安全功能之前，要求每个用户都被成功鉴别。不可伪造的鉴别(FIA_UAU. 3)FIA_UAU.3. 1系统应检测任何用户伪造的和正在系统中使用的鉴别数据。FIA_UAU. 3. 2系统应检测从任何其它用户复制的和正在系统中使用的鉴别数据。受保护的鉴别反馈(FIA_UAU. 7)FIA_UAU. 7. 1当鉴别在进行时，系统应仅仅将鉴别是否成功反馈给用户。6. 2.5 鉴别失败(FIA_AFL)鉴别失败处理(FIA_AFL. 1)FIA_AFL. 1. 1系统应检测何时不成功鉴别尝试达到门限值。FIA_AFL. 1. 2当达到或超过确定的不成功鉴别尝试的次数时，系统应拒绝用户访问

44、系统并记 录。6. 2.6用户-主体绑定(FIA_USB)用户-主体绑定(FIA_USB. 1)FIAJJSB. 1. 1系统应把合适的用户安全属性关联到代表用户活动的主体上。6. 3安全功能保护6. 3. 1 失效保护(FPT_FLS)带维持安全状态的失效(FPT_FLS. 1)当确定的失效出现时，要求系统维持一种安全状态。FPT_FLS. 1. 1系统在发生鉴别和通信失效时应维持一种安全状态。6. 3.2安全功能数据输出的保密性(FPT_ITC)传输过程中安全功能间的保密性(FPT_ITC. 1)要求系统安全功能确保安全功能数据在系统与远程可信IT产品间的传输不被泄露。FPT_ITC. 1

45、. 1系统应保护所有的安全功能数据在系统与远程可信IT产品的传输过程中不被 未经授权泄密。(口令、审计数据或TSF可执行的代码等)6. 3.3系统内部安全功能数据传输(FPT_ITT)系统内部安全功能数据传输的基本保护(FPT_ITT.l)要求对政务公开网站系统的分离部分间传输的安全功能数据进行保护。FPT_ITT. 1. 1在政务公开网站系统的各个部分间传输安全功能数据时，应保护其不被泄漏。6. 3.4 可信恢复(FPT_RCV)手工恢复(FPT_RCV. 1)允许政务公开网站系统只提供人工干预以返回安全状态的机制。FPT_RCV. 1. 1发生故障或服务中断后，系统安全功能应进入维护方式，该方式提供将系统返 回到一个安全状态的能力。6. 3.5 参照仲裁(FPT_RVM)安全策略的不可旁路性(FPT_RVM. 1)15DB11/T 145-2002要求安全功能控制范围内的每一项功能都不可旁路。FPT_RVM. 1. 1应确保继续执行在安全功能控制范围内的每一项功能前，安全策略的强制执 行功能都已成功激活。6. 3.