GA/T 711-2007 信息安全技术 应用软件系统安全等级保护通用技术指南

ICS35.020

L09

GA

中华人民共和国公共安全行业标准

GA/T711-2007

信息安全技术

应用软件系统安全等级保护通用技术指南

Informationsecuritytechnology-

Commontechniqueguideofsecurityclassificationprotectionfor

applicationsoftwaresystem

2007-08-13发布2007-10-01实施

中华人民共和国公安部发布

GA/T711-2007

目次

前言III

引言IV

1范围1

2规范性引用文件1

3术语、定义和缩略语1

4应用软件系统基础安全技术要求3

4.1应用软件系统风险分析和安全需求3

4.2应用软件系统安全方案3

4.3应用软件系统环境安全3

4.4应用软件系统业务连续性4

4.5应用软件系统及相应信息系统安全等级划分4

5应用软件系统安全技术分等级要求4

5.1第一级用户自主保护级4

5.1.1基础安全技术要求4

5.1.2安全功能技术要求5

5.1.3SSOASS自身保护要求5

5.1.4SSOASS设计和实现6

5.1.5SSOASS安全管理7

5.2第二级系统审计保护级7

5.2.1基础安全技术要求7

5.2.2安全功能技术要求8

5.2.3SSOASS自身保护9

5.2.4SSOASS设计和实现10

5.2.5SSOASS安全管理11

5.3第三级安全标记保护级12

5.3.1基础安全技术要求12

5.3.2安全功能技术要求12

5.3.3SSOASS自身保护14

5.3.4SSOASS设计和实现15

5.3.5SSOASS安全管理17

5.4第四级结构化保护级18

5.4.1基础安全技术要求18

5.4.2安全功能技术要求18

5.4.3SSOASS自身保护20

5.4.4SSOASS设计和实现21

5.4.5SSOASS安全管理23

5.5第五级访问验证保护级24

5.5.1基础安全技术要求24

5.5.2安全功能技术要求24

5.5.3SSOASS自身保护26

5.5.4SSOASS设计和实现27

5.5.5SSOASS安全管理29

附录A（资料性附录）应用软件系统安全的有关概念说明31

A.1应用软件系统在信息系统中的位置31

I

GA/T711-2007

A.2应用软件系统安全在信息系统安全中的作用31

A.3关于应用软件系统的业务连续性31

II

GA/T711-2007

前言

（略）

III

GA/T711-2007

引言

本标准为按照信息系统安全等级保护的要求设计和实现所需要的安全等级的应用软件系统提供指

导，主要说明为实现GB17859—1999所规定的每一个安全保护等级，应用软件系统应达到的安全技术

要求。

应用软件系统是信息系统的重要组成部分，是信息系统中对应用业务进行处理的软件的总和。业

务应用的安全需求，是信息系统安全需求的出发点和归宿。信息系统安全所采取的一切技术和管理措

施，最终都是为确保业务应用的安全。这些安全措施，有的可以在应用软件系统中实现，有的需要在

信息系统的其它组成部分实现。

本标准是对各个应用领域的应用软件系统普遍适用的安全技术要素的概括描述。不同应用领域的

应用软件系统应根据需要选取不同的安全技术要素，以满足其各自业务应用的具体安全需求。

本标准第4章，应用软件系统基础安全技术要求，是对应用软件系统的每一个安全等级都适用的

基础性安全技术要求的描述，包括：应用软件系统风险分析和安全需求，应用软件系统安全方案，应

用软件系统环境安全，应用软件系统业务连续性，以及应用软件系统与相应信息系统安全等级划分等。

本标准第5章，应用软件系统安全技术分等级要求，以GB17859—1999的五个安全等级的划分为

基本依据，以GB/T20271-2006关于信息系统通用安全技术要求的等级划分为基础，对每一个安全等

级的应用软件系统的安全技术要求进行描述，包括：基础安全技术要求，安全功能技术要求，以及为

实现上述安全技术要求应用软件系统安全子系统的自身保护、设计和实现及安全管理要求。其中，“加

粗宋体”表示在较高等级中比上一级增加或增强的内容。

IV

GA/T711-2007

信息安全技术应用软件系统安全等级保护通用技术指南

1范围

本标准规定了按照GB17859-1999的五个安全保护等级的划分对应用软件系统进行安全等级保护

所涉及的通用技术要求。

本标准适用于按照GB17859-1999的五个安全保护等级的划分对应用软件系统进行的安全等级保

护的设计与实现。对于按照GB17859-1999的五个安全保护等级的划分对应用软件系统进行的安全等

级保护的测试、管理也可参照使用。

2规范性引用文件

下列文件中的有关条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后

所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的

各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T20270-2006信息安全技术网络基础安全技术要求

GB/T20271-2006信息安全技术信息系统通用安全技术要求

GB/T20272-2006信息安全技术操作系统安全技术要求

GB/T20273-2006信息安全技术数据库管理系统安全技术要求

3术语、定义和缩略语

GB/T20271—2006确立的以及下列术语和定义适用于本标准。

3.1术语和定义

3.1.1

应用软件系统applicationsoftwaresystem

信息系统的重要组成部分，是指信息系统中对特定业务进行处理的软件系统。

3.1.2

应用软件系统安全技术applicationsoftwaresystemsecuritytechnology

为确保应用软件系统达到确定的安全性目标所采取的安全技术措施。

3.1.3

应用软件系统安全子系统（SSOASS）securitysubsystemofapplicationsoftwaresystem

应用软件系统中安全保护装置的总称。它建立了应用软件系统的一个基本安全保护环境，并提供

安全应用软件系统要求的附加用户服务。按照GB17859-1999对可信计算基（TCB）的定义，SSOASS

属于应用软件系统的TCB。其中所需要的硬件和固件支持由低层的安全机制提供。

3.1.4

SSOASS安全策略（SSP）SSOASSsecuritypolicy

对SSOASS中的资源进行管理、保护和分配的规则。一个SSOASS中可以有一种或多种安全策略。

3.1.5

安全功能策略（SFP）securityfunctionpolicy

为实现SSOASS安全要素的功能所采用的安全策略。

3.1.6

安全要素securityelement

1

GA/T711-2007

本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。

3.1.7

SSOASS安全功能（SSF）SSOASSsecurityfunction

正确实施SSOASS安全策略的全部硬件、固件、软件所提供的功能。每一种安全策略的实现，体现

在SSOASS的某一个安全功能模块之中。一个SSOASS的所有安全功能模块共同组成该SSOASS的安全功

能。

3.1.8

SSF控制范围（SSC）SSFscopeofcontrol

SSOASS的操作所涉及的主体和客体的范围。

3.1.9

用户公开数据userpublisheddata

在应用软件系统中向所有用户公开的数据，该类数据的安全性受到破坏，将会对对公民、法人和

其他组织的权益有一定影响，但不会危害国家安全、社会秩序、经济建设和公共利益。

3.1.10

用户一般数据usergeneraldata

在应用软件系统中具有一般使用价值和保密程度，需要进行一定保护的单位内部的一般数据。该

类数据的安全性受到破坏，将会对国家安全、社会秩序、经济建设和公共利益造成一定的损害。

3.1.11

用户重要数据userimportantdata

在应用软件系统中具有重要使用价值或保密程度，需要进行重点保护的单位的重要数据。该类数

据的的安全性受到破坏，将会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

3.1.12

用户关键数据userchiefdata

在应用软件系统中具有很高使用价值或保密程度，需要进行特别保护的单位的关键数据。该类数

据的的安全性受到破坏，将会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

3.1.13

用户核心数据userkerneldata

在应用软件系统中具有最高使用价值或保密程度，需要进行绝对保护的单位的核心数据。该类数

据的的安全性受到破坏，将会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

3.2缩略语

下列缩略语适用于本标准：

SSOASS应用软件系统安全子系统securitysubsystemofapplicationsoftwaresystem

SSPSSOASS安全策略SSOASSsecuritypolicy

SFP安全功能策略securityfunctionpolicy

SSFSSOASS安全功能SSOASSsecurityfunction

SSCSSF控制范围SSFscopeofcontrol

2

GA/T711-2007

4应用软件系统基础安全技术要求

4.1应用软件系统风险分析和安全需求

4.1.1风险分析

应用软件系统的风险分析，包括系统设计前的风险分析和系统运行中的风险分析。风险分析应按

照以下要求进行：

a)从应用软件系统安全运行和信息安全保护出发，以应用软件系统相关的资产价值为基础,全面

分析由于人为的和自然的原因对应用软件系统所造成的安全风险；

b)通过对影响应用软件系统安全运行和信息安全保护的诸多因素的了解和分析，明确应用软件系

统存在的风险，找出克服这些风险的办法；

c)系统设计前和运行前应进行静态风险分析，以发现应用软件系统的潜在安全隐患；

d)系统运行过程中应进行动态风险分析，收集、记录并分析系统运行中来自各种安全检测、监控

机制的安全相关信息，以发现应用软件系统运行期的安全漏洞，并提供相应的系统脆弱性分析

报告；

e)采用基于模型的风险分析工具，通过收集数据、分析数据、输出数据，确定其面临威胁的严重

性等级和可能性等，完成风险分析与评估，并确定相应的安全对策；

f)按照不同用户数据的不同安全保护等级要求，在确定应用软件系统所存储、传输和处理的数据

类型的基础上，进一步确定应用软件系统应具有的安全保护等级。

4.1.2安全需求

应全面描述应用软件系统需要解决的全部安全问题。根据应用软件系统在信息系统中的地位和作

用（参见附录A），明确说明应用软件系统安全对整个信息系统安全的影响和作用。应根据风险分析所

确定的风险情况，从以下方面考虑应用软件系统的安全需求：

a)应用软件系统安全运行的环境条件需求；

b)应用软件系统的整体安全需求；

c)应用软件系统所实现的功能的安全需求；

d)应用软件系统所需要的安全服务支持的强度/等级的需求；

e)应用软件系统的其它安全需求。

4.2应用软件系统安全方案

应用软件系统安全方案，是实现安全需求的具体方法的描述。安全方案的设计应满足以下要求：

a)安全方案应对安全需求中的每一安全要求提供相应的安全策略和安全机制，并对其进行详细

描述；

b)安全方案应具有完备性，并以系统化方法进行安全设计,使所有安全策略和安全机制构成一个

有机的整体；

c)安全策略和安全机制的选择应充分考虑安全强度的一致性,尽量采用具有相同安全等级的安

全技术；

d)与密码支持相关的安全机制，无论是单独实现（如加密机）还是用综合的方法实现（如CA

系统），都应具有相应一致的安全强度/等级；

e)某一特定安全要求的安全策略和安全机制，可在应用软件系统中实现，也可在支持应用软件

系统安全运行的信息系统的其它各组成部分（比如物理、操作系统层、网络层、数据库管理

系统层等）的安全机制中实现,或者在系统各层分别实现。对此，安全方案应给出明确规定。

4.3应用软件系统环境安全

应用软件系统安全是建立在其运行环境安全的基础之上的。按照关联/互补的原则，应用软件系统

的安全要求可以在应用软件系统中实现，也可以在支持应用软件系统运行的低层环境中实现。应用软

件系统的运行环境应满足以下安全要求：

a)支持应用软件系统运行的网络系统应具有不低于应用软件系统的安全保护等级，具体要求见

GB/T20270-2006第7章；

3

GA/T711-2007

b)支持应用软件系统运行的操作系统应具有不低于应用软件系统的安全保护等级，具体要求见

GB/T20272-2006第4章；

c)支持应用软件系统运行的数据库管理系统应具有不低于应用软件系统的安全保护等级，具体

要求见GB/T20273-2006第5章；

d)支持应用软件系统运行的计算机和网络系统的物理安全应具有不低于应用软件系统的安全保

护等级，具体要求见GB/T20271-2006第6章。

4.4应用软件系统业务连续性

应用软件系统的业务连续性要求是信息系统可用性要求的重要组成部分。业务连续性要求是一种

相对独立的安全属性，需要通过对信息系统实行灾难备份与恢复来支持。实现不同的业务连续性要求

应考虑以下因素：

a)业务连续性要求通常以允许系统中断运行的时间间隔为依据进行等级划分；

b)业务连续性要求还应包括中断后的恢复程度要求和安全系统更新前后的连续性要求；

c)实现业务连续性的信息系统灾难备份与恢复是一种相对独立的信息系统安全机制；

d)实现不同等级的业务连续性要求需要有相应等级的灾难备份与恢复系统支持；

e)信息系统的安全保护等级与业务连续性等级具有相对的独立性；

f)灾难备份与恢复系统需要对所处理的信息进行与该信息在相应信息系统中相同的安全保护。

4.5应用软件系统及相应信息系统安全等级划分

应用软件系统的安全等级是相应信息系统安全等级划分的基本依据。一个应用软件系统可以是单

一安全等级的系统，也可以是包含多个安全等级的系统。对于一个支持复杂业务的应用软件系统，根

据其业务应用及数据信息所需要的不同的安全保护等级，应将应用软件系统及相应的信息系统划分为

不同的安全域/子系统，实现不同等级的安全保护。应用软件系统及相应信息系统的安全等级分为单一

安全等级和多安全等级，其安全等级的划分应满足以下要求：

a)单一安全等级应用软件系统：按照业务应用确定的安全等级的要求，应用软件系统及相应信

息系统划分为一个安全域，或者说整个信息系统具有相同的安全保护等级。在这种情况下，

应用软件系统实现确定安全等级的安全功能要求和安全保证要求。同时，支持应用软件系统

运行的计算机及网络的硬件系统、操作系统、数据库管理系统和网络软件等应提供相应安全

等级的安全支持。

b)多安全等级应用软件系统：按照不同业务应用的不同安全等级的要求，应用软件系统及相应

信息系统划分为多个安全域/子系统，或者说，整个信息系统具有多个不同的安全保护等级。

在这种情况下，各个安全域/子系统所属的应用软件系统实现其各自确定的安全功能要求和

安全保证要求。同时，各个安全域/子系统中支持应用软件系统运行的计算机及网络的硬件

系统、操作系统、数据库管理系统和网络软件系统等应提供相应安全等级的安全性支持。

5应用软件系统安全技术分等级要求

5.1第一级用户自主保护级

5.1.1基础安全技术要求

对第一级安全的应用软件系统应：

a)按4.1的要求，进行风险分析并确定安全需求；

b)按4.2的要求，设计应用软件系统安全方案；

c)按4.3的要求，设计和实现应用软件系统的环境安全；

d)按4.4的要求，确定应用软件系统的业务连续性要求及相应的灾难备份与恢复要求；

e)按4.5的要求，划分应用软件系统及相应信息系统的安全等级。

4

GA/T711-2007

5.1.2安全功能技术要求

5.1.2.1备份与故障恢复

应按GB/T20271-2006中6.1.2.4的要求，设计和实现应用软件系统的备份与故障恢复功能。

5.1.2.2用户身份鉴别

用户身份鉴别包括对用户的身份进行标识和鉴别。应按GB/T20271-2006中6.1.3.1的要求，从以

下方面设计和实现应用软件系统的身份鉴别功能：

a)对应用软件系统的注册用户，按以下要求设计和实现标识功能：

——凡需进入应用软件系统的用户，应先进行标识（建立注册账号）；

——应用软件系统的用户标识一般使用用户名和用户标识符（UID）；

b)对登录到应用软件系统的用户，应按以下要求进行身份的真实性鉴别：

——采用口令进行鉴别，并在每次用户登录系统时进行鉴别；

——口令应是不可见的，并在存储时有安全保护；

——通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规

定达到该值时所应采取的动作等措施来实现鉴别失败的处理；

c)对注册到应用软件系统的用户，应按以下要求设计和实现用户-主体绑定功能：

——将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户；

——将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服

务要求者用户。

5.1.2.3自主访问控制

应按GB/T20271-2006中6.1.3.2的要求，从以下方面设计和实现应用软件系统的自主访问控制

功能：

a)命名用户以用户/用户组的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问；

b)提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能，包括：

——客体创建者有权以各种操作方式访问自身所创建的客体；

——客体创建者有权对其它用户进行“访问授权”，使其可对客体拥有者创建的指定客体能按

授权的操作方式进行访问；

——客体创建者有权对其它用户进行“授权传播”，使其可以获得将该拥有者的指定客体的访

问权限授予其它用户的权限；

——客体创建者有权收回其所授予其它用户的“访问授权”和“授权传播”；

——未经授权的用户不得以任何操作方式访问客体；

——授权用户不得以未授权的操作方式访问客体；

c)以文件形式存储和操作的用户数据，在操作系统的支持下，按GB/T20272-2006中4.1.1.2

的要求，可实现文件级粒度的自主访问控制；

d)以数据库形式存储和操作的用户数据，在数据库管理系统的支持下，按GB/T20273-2006中

5.1.1.2的要求，可实现对表级粒度的自主访问控制；

e)在应用软件系统中，通过设置自主访问控制的安全机制，可实现文件级粒度的自主访问控制。

5.1.2.4用户数据完整性保护

应按GB/T20271-2006中6.1.3.3的要求，设计和实现用户公开数据的完整性保护功能。

5.1.3SSOASS自身保护要求

5.1.3.1SSF物理安全保护

应按GB/T20271-2006中6.1.4.1的要求，设计和实现应用软件系统SSF的物理安全保护，通过对

物理攻击的检测，发现以物理方式的攻击对SSF造成的威胁和破坏。

5

GA/T711-2007

5.1.3.2SSF运行安全保护

应按GB/T20271-2006中6.1.4.2的要求，从以下方面设计和实现应用软件系统SSF的运行安全保

护：

a）系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过

安全规则的任何类型的入口和文档中未说明的任何模式的入口；

b）安全结构应是一个独立的、严格定义的系统软件的子集，并应防止外部干扰和破坏，如修改其

代码或数据结构；

c）提供设置和升级配置参数的机制。在初始化和对与安全有关的数据结构进行保护之前，应对用

户和管理员的安全属性应进行定义；

d）在SSOASS失败或中断后，应保护其以最小的损害得到恢复，并按照失败保护中所描述的内容，

实现对SSF出现失败时的处理。

5.1.3.3SSF数据安全保护

应按GB/T20271-2006中6.1.4.3的要求，对在SSOASS内传输的SSF数据，实现SSOASS内SSF

数据传输的基本保护。

5.1.3.4SSOASS资源利用

应按GB/T20271-2006中6.1.4.4的要求，从以下方面实现SSOASS的资源利用：

a)通过一定措施确保当系统出现某些确定的故障时，SSF也能维持正常运行；

b)对主体使用SSC内某个资源子集，按有限服务优先级，进行SSOASS资源的管理和分配；

c)按资源分配中最大限额的要求，进行SSOASS资源的管理和分配，确保用户和主体不会独占某

种受控资源。

5.1.3.5SSOASS访问控制

应按GB/T20271-2006中6.1.4.5的要求，从以下方面实现SSOASS的访问控制：

a）按会话建立机制，对会话建立的管理进行设计；

b）按可选属性范围限定的要求，从访问方法、访问地址和访问时间等方面，对用来建立会话的

安全属性的范围进行限制；

c）按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，

SSF应限制系统的并发会话的最大次数，并就会话次数的限定数设置默认值。

5.1.4SSOASS设计和实现

5.1.4.1配置管理

应按GB/T20271-2006中6.1.5.1的要求，提供基本的配置管理能力，即要求开发者所使用的版本

号与所表示的SSOASS样本完全对应。

5.1.4.2分发和操作

应按GB/T20271-2006中6.1.5.2的要求，从以下方面实现SSOASS的分发和操作：

a)以文档形式提供对SSOASS安全地进行分发的过程，对安装、生成和启动并最终生成安全配置

的过程进行说明。文档中所描述的内容应包括：

——分发的过程；

——安全启动和操作的过程；

b)在交付过程中，应将系统的未授权修改风险控制到最低限度。包装及安全分送和安装过程中

的安全性应由最终用户确认；

c)所有软件应提供安全安装默认值，在客户不做选择时，使安全机制自动地发挥作用；

d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激

活；

e)用户文档应同交付的软件一起包装，并有相应的规程确保交付的软件是严格按照最新的版本

制作的。

6

GA/T711-2007

5.1.4.3开发

应按GB/T20271-2006中6.1.5.3的要求，从以下方面进行SSOASS的开发：

a)按非形式化功能说明、描述性高层设计、SSF子集实现、SSF内部结构模块化、描述性低层设

计和非形式化对应性说明的要求，进行SSOASS的设计；

b)开发过程应保护数据的完整性，例如，检查数据更新的规则，多重输入的正确处理，返回状

态的检查，中间结果的检查，合理值输入检查，事务处理更新的正确性检查等；

c)通过对内部代码的检查，解决潜在的安全缺陷，关闭或取消所有的后门；

d)对交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户；

e)由系统控制的敏感数据，如口令、密钥等，不应在未受保护的程序或文档中以明文形式存储；

f)应以书面形式提供给用户关于软件所有权法律保护的指南。

5.1.4.4文档

应按GB/T20271-2006中6.1.5.4的要求，从以下方面编制SSOASS的文档：

a)用户文档应提供关于不同类型用户的可见的安全机制，并说明它们的用途和提供有关它们使

用的指南；

b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细说明，以及与安全有关的

管理员功能的详细描述，包括增加和删除一个用户、改变主、客体的安全属性等；

c)文档中不应提供任何一旦泄露将会危及本安全级范围内的系统安全的信息；

d)有关安全的指令和文档根据权限应分别提供给用户、系统管理员和系统安全员；这些文档应

为独立的文档，或作为独立的章条插入到管理员指南和用户指南中。

5.1.4.5生存周期支持

应按GB/T20271-2006中6.1.5.5的要求，从以下方面实现SSOASS的生存周期支持：

a)按开发者定义生存周期模型进行SSOASS开发；

b)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能

被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。

5.1.4.6测试

应按GB/T20271-2006中6.1.5.6的要求，从以下方面对SSOASS进行测试：

a)通过一般功能测试，相符性独立测试，确认SSOASS的功能与所要求功能的一致性；

b)所有系统的安全特性，应被全面测试；

c)所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消

除，且没有引出新的漏洞；

d)应提供测试文档，详细描述测试计划、测试过程、测试结果。

5.1.5SSOASS安全管理

应根据本安全等级中安全功能技术要求所涉及的基础安全技术要求、安全功能技术要求和安全保

证技术要求所涉及的SSOASS自身保护、SSOASS设计和实现等有关内容，按GB/T20271-2006中6.1.6

的要求，从以下方面实现SSOASS的安全管理：

a)对安全保证措施所涉及的SSOASS自身保护、SSOASS设计和实现等有关内容，以及与一般的

安装、配置等有关的功能，制定相应的操作、运行规程和行为规章制度；

b)对SSOASS中的每个安全功能模块，根据安全功能技术和安全保证技术所实现的安全功能，实

现SSF安全功能的管理。

5.2第二级系统审计保护级

5.2.1基础安全技术要求

对第二级安全的应用软件系统应：

a)按4.1的要求，进行风险分析并确定安全需求；

b)按4.2的要求，设计应用软件系统安全方案；

7

GA/T711-2007

c)按4.3的要求，设计和实现应用软件系统的环境安全；

d)按4.4的要求，确定应用软件系统的业务连续性要求及相应的灾难备份与恢复要求；

e)按4.5的要求，划分应用软件系统及相应信息系统的安全等级。

5.2.2安全功能技术要求

5.2.2.1安全性检测分析

应按GB/T20271-2006中6.2.2.2的要求，检测分析应用软件系统的安全性，并结合计本级的的

安全性要求加以改进。

5.2.2.2安全审计

应按GB/T20271-2006中6.2.2.3的要求，从以下方面设计和实现应用软件系统的安全审计功能：

a)安全审计功能的设计应与用户标识与鉴别、自主访问控制等安全功能的设计紧密结合；

b)提供审计日志，潜在侵害分析，基本审计查阅和有限审计查阅，安全审计事件选择，以及受

保护的审计踪迹存储等功能。

5.2.2.3备份与故障恢复

应按GB/T20271-2006中6.2.2.5的要求，设计和实现应用软件系统的备份与故障恢复功能。

5.2.2.4用户身份鉴别

用户身份鉴别包括对用户的身份进行标识和鉴别。应按GB/T20271-2006中6.2.3.1的要求，从

以下方面设计和实现应用软件系统的用户身份鉴别功能：

a)对应用软件系统的注册用户，按以下要求设计和实现标识功能：

——凡需进入应用软件系统的用户，应先进行标识（建立注册账号）；

——应用软件系统的用户标识一般使用用户名和用户标识符（UID），并在应用软件系统的整

个生存周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性；

b)对登录到应用软件系统的用户，应按以下要求进行身份的真实性鉴别：

——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别机制进行用户身份鉴

别，并在每次用户登录系统时进行鉴别；

——鉴别信息应是不可见的，并在存储和传输时进行安全保护；

——通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规

定达到该值时所应采取的动作等措施来实现鉴别失败的处理；

c)对注册到应用软件系统的用户，应按以下要求设计和实现用户-主体绑定功能：

——将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户；

——将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服

务要求者用户。

5.2.2.5自主访问控制

应按GB/T20271-2006中6.2.3.2的要求，从以下方面设计和实现应用软件系统的自主访问控制

功能：

a)命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问；

b)提供用户按照确定的访问控制策略对自身创建的客体的访问进行控制的功能，包括：

——客体创建者有权以各种操作方式访问自身所创建的客体；

——客体创建者有权对其它用户进行“访问授权”，使其可对客体拥有者创建的指定客体能按

授权的操作方式进行访问；

——客体创建者有权对其它用户进行“授权传播”，使其可以获得将该拥有者的指定客体的访

问权限授予其它用户的权限；

——客体创建者有权收回其所授予其它用户的“访问授权”和“授权传播”；

——未经授权的用户不得以任何操作方式访问客体；

——授权用户不得以未授权的操作方式访问客体；

8

GA/T711-2007

c)以文件形式存储和操作的用户数据，在操作系统的支持下，按GB/T20272-2006中4.2.1.2

的要求，可实现文件级粒度的自主访问控制；

d)以数据库形式存储和操作的用户数据，在数据库管理系统的支持下，按GB/T20273-2006中

5.2.1.2的要求，可实现对表级/记录、字段级粒度的自主访问控制；

e)在应用软件系统中，通过设置自主访问控制的安全机制，可实现文件级粒度的自主访问控制。

5.2.2.5用户数据完整性保护

应按GB/T20271-2006中6.2.3.3的要求，设计和实现用户一般数据的完整性保护功能。

5.2.2.6用户数据保密性保护

应按GB/T20271-2006中6.2.3.4的要求，设计和实现用户一般数据的保密性保护功能。

5.2.3SSOASS自身保护

5.2.3.1SSF物理安全保护

应按GB/T20271-2006中6.2.4.1的要求，实现应用软件系统SSF的物理安全保护，通过对物理攻

击的检测，发现以物理方式的攻击对SSF造成的威胁和破坏。

5.2.3.2SSF运行安全保护

应按GB/T20271-2006中6.2.4.2的要求，从以下方面实现应用软件系统SSF的运行安全保护：

a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕

过安全规则的任何类型的入口和文档中未说明的任何模式的入口；

b)安全结构应是一个独立的、严格定义的系统软件的子集，并应防止外部干扰和破坏，如修改

其代码或数据结构；

c)提供设置和升级配置参数的机制。在初始化和对与安全有关的数据结构进行保护之前，应对

用户和管理员的安全属性应进行定义；

d)当应用软件系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、

审计参数、系统审计设置以及对客体的合适的访问控制；

e)在SSOASS失败或中断后，应保护其以最小的损害得到恢复，并按照失败保护中所描述的内容，