等級保護制度已經被列入國務院《關於加強信息安全保障工作的意見》之中。如何對信息系統實行分等級保護一直是社會各方關注的熱點。美國，作為一直走在信息安全研究前列的大國，近幾年來在計算機信息系統安全方面，突出體現了系統分類分級實施保護的發展思路，並根據有關的技術標準、指南，對國家一些重要的信息系統實現了安全分級、採用不同管理的工作模式，並形成了體系化的標準和指南性檔案。
一、美國信息系統分級的思路
從目前的資料上看，美國在計算機信息系統的分級存在多樣性，但基本的思路是一致的，只不過分級的方法不同而已，已在不同分級方法中出現的作為劃分信息系統安全等級的因素主要包括：
資產（包括有形資產和無形資產）（使用資產等級作為判斷系統等級重要因素的檔案如FIPS199，IATF，DITSCAP，NIST800-37等）；
威脅（使用威脅等級作為判斷系統等級重要因素的檔案如IATF等）；
破壞後對國家、社會公共利益和單位或個人的影響（使用影響等級作為判斷系統等級重要因素的檔案如FIPS199，IATF等）；
單位業務對信息系統的依賴程度（DITSCAP）；
根據對上述因素的不同合成方式，分別可以確定：
系統強健度等級（IATF）：由信息影響與威脅等級決定；
系統認證級（DITSCAP）：由接口模式、處理模式、業務依賴、三性、不可否認性等七個方面取權值決定；
系統影響等級（FIPS199）：根據信息三性的影響確定；
安全認證級（NIST800-37）：根據系統暴露程度與保密等級確定。
由於不同的信息系統所隸屬的機構不同，美國兩大類主要信息系統：聯邦政府機構的信息系統及國防部信息系統所參照的分級標準不盡相同，即：所有聯邦政府機構按照美國國家標準與技術研究所（NIST）有關標準和指南的分級方法和技術指標；而國防部考慮到本身信息系統及所處理信息的特殊性，則是按照DoD 8500.2的技術方法進行系統分級。下面重點介紹美國聯邦政府和國防部的有關標準和指南性檔案。
美國聯邦信息處理標準（FIPS）是（NIST）制定的一類安全出版物，多為強制性標準。FIPS 199 《聯邦信息和信息系統安全分類標準》（2003年12月最終版）描述了如何確定一個信息系統的安全類別。確定系統級別的落腳點在於系統中所處理、傳輸、存儲的所有信息類型的重要性。
信息和信息系統的“安全類別”是FIPS 199中提出的一種系統級別概念。該定義是建立在某些事件的發生會對機構產生潛在影響的基礎之上。具體以信息和信息系統的三類安全目標（保密性、完整性和可用性）來表現，即，喪失了保密性、完整性或可用性，對機構運行、機構資產和個人產生的影響。FIPS 199定義了三種影響級：低、中、高。
FIPS 199按照“確定信息類型——確定信息的安全類別——確定系統的安全類別”三個步驟進行系統最終的定級。
首先，確定系統內的所有信息類型。FIPS 199指出，一個信息系統內可能包含不止一種類型的信息（例如隱私信息、契約商敏感信息、專屬信息、系統安全信息等）。
其次，根據三類安全目標，確定不同信息類型的潛在影響級別（低、中、高）。
最後，整合系統內所有信息類型的潛在影響級，按照“取高”原則，即選擇較高影響級別作為系統的影響級（低、中、高）。最終，系統安全類別（SC）的通用表達式為：
SC需求系統＝{(保密性，影響級)，(完整性，影響級)，(可用性，影響級)}
為配合FIPS 199的實施，NIST分別於2004年6月推出了SP 800－60第一、二部分，《將信息和信息系統映射到安全類別的指南》及其附屬檔案。其中詳細的介紹了聯邦信息系統中可能運行的所有信息類型；並針對每一種信息類型，介紹了如何去選擇其影響級別，並給出了推薦採用的級別。這樣，系統在確定等級的第一步—確認信息類型，並確定其影響級別時，有了很好的參考意見。
而美國國防部對信息系統的分級與聯邦政府有所不同，主要把信息系統的信息分類為業務保障類和保密類，同時對這兩類進行了分級的要求，該分級要求發布在2003年2月的信息保障實施指導書（8500.2）中。
總的來講，8500.2也採用了三性：完整性、可用性和保密性對國防部的信息系統進行級別劃分。需要特別提出的是，考慮到完整性和可用性在很多時候是相互聯繫的，無法完全分出，故在8500.2中將二者合為一體，提出一個新概念“業務保障類”。同時考慮到國防部信息系統所處理的信息的特殊性，故其分級依據為系統其對業務保障類的要求及所處理信息的保密程度，分別分為三個等級。
保密類級別根據系統處理信息的保密類型：機密類、敏感類和公開類來確定級別（高、中、基本）。業務保障級別和保密級別是相互獨立的，也就是說業務保障類I可以處理公共信息，而業務保障類III可以處理機密信息。不同級別的業務保障類和保密類相互組合，形成九種組合，體現不同系統的等級要求。
綜上所述，無論是聯邦政府還是國防部，在考慮系統分級因素的時候，都給予了信息系統所處理、傳輸和存儲的信息以很大的權重。NIST的系統影響級是完全建立在信息影響級基礎之上的；而國防部考慮到其所處理的信息的密級，故將信息的保密性單獨作為一項指標。可見，系統所處理的信息的重要性可作為我們劃分等級時的重要依據。
二、安全措施的選擇
信息系統的保護等級確定後，有一整套的標準和指南規定如何為其選擇相應的安全措施。
NIST 的SP 800－53《聯邦信息系統推薦安全控制》為不同級別的系統推薦了不同強度的安全控制集（包括管理、技術和運行類）。為幫助機構對它們的信息系統選擇合適的安全控制集，該指南提出了基線這一概念。基線安全控制是基於FIPS 199中的系統安全分類方法的最小安全控制集。針對三類系統影響級，800－53列出三套基線安全控制集（基本、中、高），分別對應於系統的影響等級。
800－53中提出了三類安全控制：管理、技術和運行。每類又分若干個族（共18個），每個族又由不同的安全控制組成（共390個）。集合了美國各方面的控制措施的要求，來源包括:
FISCAM (聯邦信息系統控制審計手冊)；
DOD 8500 （信息保障實施指導書）；
SP 800-26(信息技術系統安全自評估指南)；
CMS （公共健康和服務部，醫療保障和公共醫療補助，核心安全需求）；
DCID 6/3 (保護信息系統的敏感隔離信息)；
ISO 17799 （信息系統安全管理實踐準則）。
來源的廣泛性，體現了安全控制措施的適用性和恰當性。需要指出的是，800－53隻是作為選擇最小安全控制的臨時性指南，NIST將於2005年12月推出FIPS 200 《聯邦信息系統最小安全控制》標準，以進一步完善信息系統的安全控制。
區別於SP 800-53中“類”的概念，國防部8500.2提出了“域”的概念，八個主題域分別為：安全設計與配置、標識與鑑別、飛地與計算環境、飛地邊界防禦、物理和環境、人員、連續性、脆弱性和事件管理。每個主題域包含若干個安全控制。對應系統的業務保障類級別和保密類級別，安全控制也分為業務保障類安全控制I、II、III級和保密類安全控制三級。機構可根據自身對業務保障類和保密類安全要求，選擇相應的安全控制。
由以上介紹可以看出，美國在推行系統分級實施不同安全措施方面，雖然只是近幾年才開展，但已經積累了一些成熟的經驗，並形成了一套完整的體系。尤其是聯邦政府的信息系統，根據2002年《聯邦信息安全管理法案》（FISMA）（公共法律107－347），賦予了NIST以法定責任開發一系列的標準和指南。因此，從系統信息類型定義，到如何確定影響級，到安全控制的選擇，直至最終的系統安全驗證和授權，NIST都給出了配套的指南或標準來支持。這些都為我國推行等級保護鋪墊了良好的基礎，提供了有效的經驗。
溫家寶總理在國家信息化領導小組第三次會議上曾經指出，信息安全的保障工作要堅持積極防禦、綜合方法的方針 重點保障基礎網路和重要系統的安全，並完善信息安全監控體系，建立信息安全的有效機制和應急處理機制。
因此，如何使計算機信息網路等級保護制度更為有效地保護重要領域的信息網路，建立安全保障的長效機制將是今後我國信息安全建設的重點。為此，公安部公共信息網路安全監察局局長李昭就等級保護制度進行了解釋。
計算機信息網路安全等級保護的主要內容和基本思路
答：1994年國務院頒布的《計算機信息系統安全保護條例》中已經規定：我國的“計算機信息系統實行安全等級保護。等級劃分標準和等級管理辦法由公安部會同有關部門制定”。
等級保護的主要內容可以從五個方面來概括。首先，公安、國家保密、國家密碼管理、技術監督、信息產業等國家有關信息網路安全的行政主管部門要在國家信息化領導小組的統一領導下，制定我國開展信息網路安全等級保護工作的發展政策，統一制定針對不同安全保護等級的管理規定和技術標準，對不同信息網路確定不同安全保護等級和實施不同的監督管理措施。公安機關作為計算機信息網路安全保護工作的主管部門，要代表國家依法履行對計算機信息網路安全等級保護工作的監督管理和服務保障職能，依據管理規定和技術標準的具體等級，對單位、企業、個人計算機信息網路的安全保護狀況進行監督和檢查，並為落實等級保護制度提供指導和服務保障。國家保密、密碼管理、技術監督、信息產業等部門也要根據各自職能，在等級保護中各自發揮重要作用。
其次，等級保護堅持“誰主管、誰負責，誰經營、誰負責，誰建設、誰負責，誰使用、誰負責”的原則。計算機信息網路的建設和使用單位要依照等級保護管理規定和香港技術標準，根據其單位在國民經濟和社會發展中的地位作用、信息網路依賴程度和重要程度、信息內容或數據的重要程度、系統遭到攻擊破壞後造成的危害程度等因素，科學、準確地設定其安全保護等級，開展安全等級波阿訇設施和制度建設，落實安全管理措施和相關責任。重要領域和重點要害信息網路的上級主管部門要對所屬信息網路的安全負起領導和管理責任，提高自主管理、自我保護能力。
第三，等級保護實行“國家主導、重點單位強制、一般單位自願；高保護級彆強制、低保護級別自願”的監管原則。計算機信息網路安全涉及國家安全、國家利益和社會穩定，信息網路安全等級保護是國家安全戰略的重要組成部分。國家根據信息網路的重要程度和保護價值實行分等級逐步加重的保護措施。涉及國家安全和利益的重要信息網路，必須按照管理規定設定相應的安全保護制度，並由國家主管部門予以核准；其他信息網路自行設定安全等級，報國家主管部門備案。重要信息網路要按照國家有關法規和技術標準建設安全保護設施和進行安全保護管理，國家主管部門依法對其進行監督和檢查；一般使用單位可以自願按照國家制度的標準，在國家主管部門的制度或幫助下，實施自我保護和共同保護。
第四，信息網路安全狀況等級的技術檢測是等級保護的重點。信息網路的技術安全等級是信息網路安全狀況等級的主要指標，由國家授權的技術檢測機構通過技術檢測來進行評定。技術檢測機構需取得國家主管部門的技術資質和授權後，方可從事信息網路安全等級保護的技術檢測。同時，鼓勵重點使用單位和主管部門自行建立評估機構，在取得國家主管部門的技術資質和授權後，對本單位、部門的信息網路自行檢測。技術檢測的結果應報送國家主管部門。國家主管部門根據技術檢測和其他安全檢查的結果對信息網路的安全保護進行監督管理，並對技術檢測機構進行監管。
第五，等級保護制度為信息網路安全產品的普及使用提供了廣闊的市場和發展空間。通過等級保護，引導國內外信息技術和信息安全產品研發企業根據國家有關法規和技術標準，積極研發和推廣使用適合不同安全保護等級的產品。由於國家強制採用符合安全等級的產品，特別是重要領域要求採用我國自主開發的安全產品，必將帶動和促進自主信息網路安全產品的開發、研製、生產和使用，使我國自主的信息安全產業化，儘快縮短與已開發國家的差距，既能推動我國民族信息產業的進一步發展，也為保障我國的信息網路安全打下更堅實的基礎。
等級保護制度對於我國國家信息安全的重要意義
答：實行等級保護是在借鑑國外先進經驗和結合我國國情的基礎上解決我國信息網路安全的必然選擇。
如何全面和整體解決各行各業在信息化建設中的安全問題，是國內外信息安全界多年來一直關注的問題。美國及西方已開發國家為了抵禦信息網路的脆弱性和安全威脅，制定了一系列強化信息網路安全建設的政策和標準，其中一個很重要思想就是將按照安全保護強度劃分不同的安全等級，以指導不同領域的信息安全工作。
近年來，在黨中央、國務院高度重視和全社會共同努力下，我國信息網路安全工作取得了很大發展。但是由於我國信息安全工作起步晚，基礎薄弱，信息網路安全面臨的形勢依然十分嚴峻。
首先，全社會對網路信息內容安全的認識普遍提高，但對網路自身的安全性卻認識不足。一些單位片面認為內部使用的信息網路就是安全的，因而缺乏網路安全保護的意識和能力。隨著信息化發展特別是電子政務的建設，互聯互通和信息共享已越來越廣泛，單位內部信息網路面臨的安全威脅越來越大，單位內部信息網路面臨的安全威脅越來越大。更令人擔心的是，這些信息網路大多集中在黨政機關，以及金融、電信、廣電、能源、交通運輸、重點工程建設、大型企業等重要經濟建設部門，這些關係國計民生的信息網路一旦遭到外部攻擊或內部破壞，後果將十分嚴重。
其次，網路安全建設和管理存在很大的盲目性。大多數單位既不清楚如何建設網路才是安全的，也不清楚如何檢查所使用的網路的安全狀況，也不知道如何有效改進和完善網路的安全性。有的人以為，安裝了防火牆、防病毒、入侵檢測等設備的網路就是安全的。這種低水平的安全建設和管理，不僅使建設投資缺乏針對性，而且難以保證網路的整體安全防範能力。
第三，對信息網路安全保護工作的監測管理薄弱。近年來，我國相繼出台了多部信息網路安全的法律法規和技術標準，賦予多個行政部門主管部門在信息網路領域行使監督執法職能，但隨著信息技術的迅猛發展和我國信息化進程的加快，傳統的管理方式越來越不適應。執法主體不集中，多重多頭管理，對重要程度不同的信息網路的管理要求沒有差異、沒有標準，缺乏針對性。對應該重點監督的單位和網路，無從入手實施監管。對信息網路的安全監督檢查，多數停留在對安全管理制度、人員及一般性地技術檢查，缺乏有效的技術檢查標準和檢測工具，工作難以深入。特別是監督和檢測的職能不分，不符合社會主義市場經濟條件下政府職能轉變的要求。
第四，規範化、高水平的信息網路安全服務市場還未形成。由於信息網路安全的專業性強，專門人才有限，而社會上專業化程度高、專門從事網路安全技術諮詢、風險分析、檢測評估等業務的網路安全服務機構極為缺乏，難以為全社會提供足夠的網路安全技術支持和服務。因此，我國絕大多數單位的信息網路基本上是自己建設、自行管理，安全防範和管理服務水平很低。
經過我信息安全領域有關部門和專家學者的多年研究，普遍認為應當針對計算機信息網路建設和使用單位根據其單位的重要程度、網路的重要程度、內容的重要程度、系統遭到攻擊破壞後造成的危害程度等因素，依據國家規定的等級劃分標準設定其保護等級，自主進行網路安全建設和安全管理，提高安全保護的科學性、整體性、實用性。因此，通過實施安全等級保護，轉變政府職能，強化國家監管和明確單位、企業、個人責任，推動信息網路安全服務機制和建立和完善，逐步探索一條適應社會主義市場經濟發展的信息安全發展模式，使有效解決我國信息網路安全問題的重要措施。
等級保護制度對於公安部門信息網路安全監察工作的意義
答：面對信息化發展帶來社會管理工作的新要求、新變化，公安機關多年來積累的在計畫經濟條件下的社會行政管理模式遇到了強烈的衝擊和挑戰。公關信息網路安全監察部門在對網路社會安全的監督方法已越來越不適應形勢的發展。安全等級保護模式要求國家主管部門必須依據法規和技術標準來進行監督和管理，必須根據不同等級的信息網路採取不同等級的管理措施，增強了執法的針對性，避免了執法中的隨意性，強化了立警為公、執法為民的服務和保證意識，使公安機關執法更加公開、公平、公正。這些工作措施是各級公安機關貫徹“三個代表”的重要思想，建立和完善社會主義市場經濟條件下信息網路安全監督管理機制的具體體現。
計算機信息系統安全保護GB17859-1999
中華人民共和國國家標準
計算機信息系統安全保護等級劃分準則 GB 17859-1999
Classified criteria for security
---------------------------------------------------------------------------
1 範圍
本標準規定了計算機系統安全保護能力的五個等級，即：
第一級：用戶自主保護級；
第二級：系統審計保護級；
第三級：安全標記保護級；
第四級：結構化保護級；
第五級：訪問驗證保護級。
本標準適用計算機信息系統安全保護技術能力等級的劃分。計算機信息系統安全保護能
力隨著安全保護等級的增高，逐漸增強。
2 引用標準
下列標準所包含的條文，通過在本標準中引用而構成本標準的條文。本標準出版時，所
示版本均為有效。所有標準都會被修訂，使用本標準的各方應探討使用下列標準最新版本的
可能性。
GB/T 5271 數據處理辭彙
3 定義
除本章定義外，其他未列出的定義見GB/T 5271。
3.1 計算機信息系統 computer information system
計算機信息系統是由計算機及其相關的和配套的設備、設施（含網路）構成的，按照一
定的套用目標和規則對信息進行採集、加工、存儲、傳輸、檢索等處理的人機系統。
3.2 計算機信息系統可信計算基 trusted computing base of computer information
system
計算機系統內保護裝置的總體，包括硬體、固件、軟體和負責執行安全策略的組合體。
它建立了一個基本的保護環境並提供一個可信計算系統所要求的附加用戶服務。
3.3 客體 object
信息的載體。
3.4 主體 subject
引起信息在客體之間流動的人、進程或設備等。
3.5 敏感標記 sensitivity label
表示客體安全級別並描述客體數據敏感性的一組信息，可信計算基中把敏感標記作為強制訪
問控制決策的依據。
3.6 安全策略 security policy
有關管理、保護和發布敏感信息的法律、規定和實施細則。 3.7 信道 channel
系統內的信息傳輸路徑。
3.8 隱蔽信道 covert channel
允許進程以危害系統安全策略的方式傳輸信息的通信信道。
3.9 訪問監控器 reference monitor
監控主體和客體之間授權訪問關係的部件。
4 等級劃分準則
4.1 第一級 用戶自主保護級
本級的計算機信息系統可信計算基通過隔離用戶與數據，使用戶具備自主安全保護的能
力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用
戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞。
4.1.1 自主訪問控制
計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制
（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規定並控制客體的共享；
阻止非授權用戶讀取敏感信息。
4.1.2 身份鑑別
計算機信息系統可信計算基初始執行時，首先要求用戶標識自己的身份，並使用保護機
制（例如：口令）來鑑別用戶的身份，阻止非授權用戶訪問用戶身份鑑別數據。
4.1.3 數據完整性
計算機信息系統可信計算基通過自主完整性策略，阻止非授權用戶修改或破壞敏感信
息。
4.2 第二級 系統審計保護級
與用戶自主保護級相比，本級的計算機信息系統可信計算基實施了粒度更細的自主訪問
控制，它通過登錄規程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。
4.2.1 自主訪問控制
計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制
（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規定並控制客體的共享；
阻止非授權用戶讀取敏感信息。並控制訪問許可權擴散。自主訪問控制機制根據用戶指定方式
或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只
允許由授權用戶指定對客體的訪問權。
4.2.2 身份鑑別
計算機信息系統可信計算基初始執行時，首先要求用戶標識自己的身份，並使用保護機
制（例如：口令）來鑑別用戶的身份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶
提供唯一標識、計算機信息系統可信計算基能夠使用戶對自己的行為負責。計算機信息系統
可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。
4.2.3 客體重用
在計算機信息系統可信計算基的空閒存儲客體空間中，對客體初始指定、分配或再分配
一個主體之前，撤銷該客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問
權時，當前主體不能獲得原主體活動所產生的任何信息。
4.2.4 審計
計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非
授權的用戶對它訪問或破壞。
計算機信息系統可信計算基能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址
空間（例如：打開檔案、程式初始化）；刪除客體；由操作員、系統管理員或（和）系統安
全管理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括：
事件的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含的
來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計記錄
包含客體名。
對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接
口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算基獨立分辨的審計記
錄。
4.2.5 數據完整性
計算機信息系統可信計算基通過自主完整性策略，阻止非授權用戶修改或破壞敏感信
息。
4.3 第三級 安全標記保護級
本級的計算機信息系統可信計算基具有系統審計保護級所有功能。此外，還提供有關安
全策略模型、數據標記以及主體對客體強制訪問控制的非形式化描述；具有準確地標記輸出
信息的能力；消除通過測試發現的任何錯誤。
4.3.1 自主訪問控制
計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制
（例如：訪問控制表）允許命名用戶以用戶和（或）用戶組的身份規定並控制客體的共享；
阻止非授權用戶讀取敏感信息。並控制訪問許可權擴散。自主訪問控制機制根據用戶指定方式
或默認方式，阻止非授權用戶訪問客體。訪問控制的粒度是單個用戶。沒有存取權的用戶只
允許由授權用戶指定對客體的訪問權。阻止非授權用戶讀取敏感信息。
4.3.2 強制訪問控制
計算機信息系統可信計算基對所有主體及其所控制的客體（例如：進程、檔案、段、設
備）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類
別的組合，它們是實施強制訪問控制的依據。計算機信息系統可信計算基支持兩種或兩種以
上成分組成的安全級。計算機信息系統可信計算基控制的所有主體對客體的訪問應滿足：僅
當主體安全級中的等級分類高於或等於客體安全級中的等級分類，且主體安全級中的非等級
類別包含了客體安全級中的全部非等級類別，主體才能讀客體；僅當主體安全級中的等級分
類低於或等於客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中
的非等級類別，主體才能寫一個客體。計算機信息系統可信計算基使用身份和鑑別數據，鑒
別用戶的身份，並保證用戶創建的計算機信息系統可信計算基外部主體的安全級和授權受該
用戶的安全級和授權的控制。
4.3.3 標記
計算機信息系統可信計算基應維護與主體及其控制的存儲客體（例如：進程、檔案、
段、設備）相關的敏感標記。這些標記是實施強制訪問的基礎。為了輸入未加安全標記的數
據，計算機信息系統可信計算基向授權用戶要求並接受這些數據的安全級別，且可由計算機
信息系統可信計算基審計。 4.3.4 身份鑑別
計算機信息系統可信計算基初始執行時，首先要求用戶標識自己的身份，而且，計算機
信息系統可信計算基維護用戶身份識別數據並確定用戶訪問權及授權數據。計算機信息系統
可信計算基使用這些數據鑑別用戶身份，並使用保護機制（例如：口令）來鑑別用戶的身
份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶提供唯一標識，計算機信息系統可
信計算基能夠使用用戶對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與
該用戶所有可審計行為相關聯的能力。
4.3.5 客體重用
在計算機信息系統可信計算基的空閒存儲客體空間中，對客體初始指定、分配或再分配
一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權
時，當前主體不能獲得原主體活動所產生的任何信息。
4.3.6 審計
計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非
授權的用戶對它訪問或破壞。
計算機信息系統可信計算基能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址
空間（例如：打開檔案、程式初始化）；刪除客體；由操作員、系統管理員或（和）系統安
全管理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括：
事件的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含請
求的來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計
記錄包含客體名及客體的安全級別。此外，計算機信息系統可信計算基具有審計更改可讀輸
出記號的能力。
對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接
口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算基獨立分辨的審計記
錄。
4.3.7 數據完整性
計算機信息系統可信計算基通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏
感信息。在網路環境中，使用完整性敏感標記來確信信息在傳送中未受損。
4.4 第四級 結構化保護級
本級的計算機信息系統可信計算基建立於一個明確定義的形式化安全策略模型之上，它
要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體。此外，還要考慮隱蔽通
道。本級的計算機信息系統可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。計算
機信息系統可信計算基的接口也必須明確定義，使其設計與實現能經受更充分的測試和更完
整的複審。加強了鑑別機制；支持系統管理員和操作員的職能；提供可信設施管理；增強了
配置管理控制。系統具有相當的抗滲透能力。
4.4.1 自主訪問控制
計算機信息系統可信計算基定義和控制系統中命名用戶對命名客體的訪問。實施機制
（例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規定並控制客體的共享；阻止
非授用戶讀取敏感信息。並控制訪問許可權擴散。
自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制的粒
度是單個用戶。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。
4.4.2 強制訪問控制
計算機信息系統可信計算基對外部主體能夠直接或間接訪問的所有資源（例如：主體、
存儲客體和輸入輸出資源）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記
是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。計算機信息系統可信計
算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基外部的所有主體對
客體的直接或間接的訪問應滿足：僅當主體安全級中的等級分類高於或等於客體安全級中的
等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能
讀客體；僅當主體安全級中的等級分類低於或等於客體安全級中的等級分類，且主體安全級
中的非等級類別包含於客體安全級中的非等級類別，主體才能寫一個客體。計算機信息系統
可信計算基使用身份和鑑別數據，鑑別用戶的身份，保護用戶創建的計算機信息系統可信計
算基外部主體的安全級和授權受該用戶的安全級和授權的控制。
4.4.3 標記
計算機信息系統可信計算基維護與可被外部主體直接或間接訪問到的計算機信息系統資
源（例如：主體、存儲客體、唯讀存儲器）相關的敏感標記。這些標記是實施強制訪問的基
礎。為了輸入未加安全標記的數據，計算機信息系統可信計算基向授權用戶要求並接受這些
數據的安全級別，且可由計算機信息系統可信計算基審計。
4.4.4 身份鑑別
計算機信息系統可信計算基初始執行時，首先要求用戶標識自己的身份，而且，計算機
信息系統可信計算基維護用戶身份識別數據並確定用戶訪問權及授權數據。計算機信息系統
可信計算基使用這些數據，鑑別用戶身份，並使用保護機制（例如：口令）來鑑別用戶的身
份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶提供唯一標識，計算機信息系統可
信計算基能夠使用戶對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該
用戶所有可審計行為相關聯的能力。
4.4.5 客體重用
在計算機信息系統可信計算基的空閒存儲客體空間中，對客體初始指定、分配或再分配
一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權
時，當前主體不能獲得原主體活動所產生的任何信息。
4.4.6 審計
計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非
授權的用戶對它訪問或破壞。
計算機信息系統可信計算基能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址
空間（例如：打開檔案、程式初始化）；刪除客體；由操作員、系統管理員或（和）系統安
全管理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括：
事件的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含請
求的來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計
記錄包含客體及客體的安全級別。此外，計算機信息系統可信計算基具有審計更改可讀輸出
記號的能力。
對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接
口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算基獨立分辨的審計記
錄。
計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。
4.4.7 數據完整性
計算機信息系統可信計算基通過自主和強制完整性策略。阻止非授權用戶修改或破壞敏
感信息。在網路環境中，使用完整性敏感標記來確信信息在傳送中未受損。
4.4.8 隱蔽信道分析
系統開發者應徹底搜尋隱蔽存儲信道，並根據實際測量或工程估算確定每一個被標識信
道的最大頻寬。
4.4.9 可信路徑
對用戶的初始登錄和鑑別，計算機信息系統可信計算基在它與用戶之間提供可信通信路
徑。該路徑上的通信只能由該用戶初始化。
4.5 第五級 訪問驗證保護級
本級的計算機信息系統可信計算基滿足訪問監控器需求。訪問監控器仲裁主體對客體的
全部訪問。訪問監控器本身是抗篡改的；必須足夠小，能夠分析和測試。為了滿足訪問監控
器需求，計算機信息系統可信計算基在其構造時，排除那些對實施安全策略來說並非必要的
代碼；在設計和實現時，從系統工程角度將其複雜性降低到最小程度。支持安全管理員職
能；擴充審計機制，當發生與安全相關的事件時發出信號；提供系統恢復機制。系統具有很
高的抗滲透能力。
4.5.1 自主訪問控制
計算機信息系統可信計算基定義並控制系統中命名用戶對命名客體的訪問。實施機制
（例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規定並控制客體的共享；阻止
非授權用戶讀取敏感信息。並控制訪問許可權擴散。
自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。訪問控制
的粒度是單個用戶。訪問控制能夠為每個命名客體指定命名用戶和用戶組，並規定他們對客
體的訪問模式。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。
4.5.2 強制訪問控制
計算機信息系統可信計算基對外部主體能夠直接或間接訪問的所有資源（例如：主體、
存儲客體和輸入輸出資源）實施強制訪問控制。為這些主體及客體指定敏感標記，這些標記
是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。計算機信息系統可信計
算基支持兩種或兩種以上成分組成的安全級。計算機信息系統可信計算基外部的所有主體對
客體的直接或間接的訪問應滿足：僅當主體安全級中的等級分類高於或等於客體安全級中的
等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能
讀客體；僅當主體安全級中的等級分類低於或等於客體安全級中的等級分類，且主體安全級
中的非等級類別包含了客體安全級中的非等級類別，主體才能寫一個客體。計算機信息系統
可信計算基使用身份和鑑別數據，鑑別用戶的身份，保證用戶創建的計算機信息系統可信計
算基外部主體的安全級和授權受該用戶的安全級和授權的控制。
4.5.3 標記
計算機信息系統可信計算基維護與可被外部主體直接或間接訪問到計算機信息系統資源
（例如：主體、存儲客體、唯讀存儲器）相關的敏感標記。這些標記是實施強制訪問的基
礎。為了輸入未加安全標記的數據，計算機信息系統可信計算基向授權用戶要求並接受這些
數據的安全級別，且可由計算機信息系統可信計算基審計。
4.5.4 身份鑑別 計算機信息系統可信計算基初始執行時，首先要求用戶標識自己的身份，而且，計算機
信息系統可信計算基維護用戶身份識別數據並確定用戶訪問權及授權數據。計算機信息系統
可信計算基使用這些數據，鑑別用戶身份，並使用保護機制（例如：口令）來鑑別用戶的身
份；阻止非授權用戶訪問用戶身份鑑別數據。通過為用戶提供唯一標識，計算機信息系統可
信計算基能夠使用戶對自己的行為負責。計算機信息系統可信計算基還具備將身份標識與該
用戶所有可審計行為相關聯的能力。
4.5.5 客體重用
在計算機信息系統可信計算基的空閒存儲客體空間中，對客體初始指定、分配或再分配
一個主體之前，撤銷客體所含信息的所有授權。當主體獲得對一個已被釋放的客體的訪問權
時，當前主體不能獲得原主體活動所產生的任何信息。
4.5.6 審計
計算機信息系統可信計算基能創建和維護受保護客體的訪問審計跟蹤記錄，並能阻止非
授權的用戶對它訪問或破壞。
計算機信息系統可信計算基能記錄下述事件：使用身份鑑別機制；將客體引入用戶地址空間
（例如：打開檔案、程式出始化）；刪除客體；由操作員、系統管理員或（和）系統安全管
理員實施的動作，以及其他與系統安全有關的事件。對於每一事件，其審計記錄包括：事件
的日期和時間、用戶、事件類型、事件是否成功。對於身份鑑別事件，審計記錄包含請求的
來源（例如：終端標識符）；對於客體引入用戶地址空間的事件及客體刪除事件，審計記錄
包含客體名及客體的安全級別。此外，計算機信息系統可信計算基具有審計更改可讀輸出記
號的能力。
對不能由計算機信息系統可信計算基獨立分辨的審計事件，審計機制提供審計記錄接
口，可由授權主體調用。這些審計記錄區別於計算機信息系統可信計算基獨立分辨的審計記
錄。計算機信息系統可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。 計算機信息系統可信計算基包含能夠監控可審計安全事件發生與積累的機制，當超過閾
值時，能夠立即向安全管理員發出報警。並且，如果這些與安全相關的事件繼續發生或積
累，系統應以最小的代價中止它們。
4.5.7 數據完整性
計算機信息系統可信計算基通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏感信
息。在網路環境中，使用完整性敏感標記來確信信息在傳送中未受損。
4.5.8 隱蔽信道分析
系統開發者應徹底搜尋隱蔽信道，並根據實際測量或工程估算確定每一個被標識信道的
最大頻寬。
4.5.9 可信路徑
當連線用戶時（如註冊、更改主體安全級），計算機信息系統可信計算基提供它與用戶
之間的可信通信路徑。可信路徑上的通信只能由該用戶或計算機信息系統可信計算基激活，
且在邏輯上與其他路徑上的通信相隔離，且能正確地加以區分。
4.5.10 可信恢復
計算機信息系統可信計算基提供過程和機制，保證計算機信息系統失效或中斷後，可以
進行不損害任何安全保護性能的恢復。