信息安全等级保护之技术要求→主机安全→安全标记

一、要求内容 

应对所有主体和客体设置敏感标记; 

二、实施建议 

建立标记规则,在服务器等实体资产上粘贴属性标签,文档介质类粘贴或打印密级等标记,对于电子数据使用文件名或文件注释进行标记;人员通过帐户和ID进行标记。 

三、常见问题 

许多企业虽有硬件、文档等的标记要求,但实际的执行情况并不好;对于电子数据多数企业还没有进行标记。 

四、实施难点 

在原有数据的基础上重新开始进行标记工作量非常大。 

五、测评方法 

形式 访谈,检查。 对象 系统管理员,数据库管理员,服务器操作系统、数据库,服务器操作系统文档,数据库管理系统文档。 

实施 

a)询问管理员当前的标记原则是怎样的,具体的执行情况如何; 

b)检查标记规则策略文档; 

c)检查数据文件对应规则文档要求,看是否一致。 

六、参考资料 

《信息安全等级保护 操作系统安全技术要求》中对安全标记内容有要求: 

4.4.1.3 标记 应按照《通用技术要求》6.4.3.4 条标记的要求,设计和实现标记功能。

本安全级的具体要求为: 

a) 应采用标记的方法为操作系统TCB 安全功能控制范围内的主体和客体设置安全属性。这些安全属性构成采用多级安全模型的强制访问控制机制的属性库——强制访问控制的基础数据。操作系统用户的安全属性应在用户建立注册帐户后由系统安全员通过TCB 所提供的安全员界面进行标记;客体的安全属性应在数据输入到由TCB 安全功能所控制的范围内时以缺省方式生成或由安全员进行标记。 

b) 本级要求将标记扩展到信息系统中的所有主体与客体。当信息从TCB 控制范围之内向TCB 控制范围之外输出时,应带有安全属性,如打印输出的数据等,应明显标示出该数据的安全标记;当信息从TCB 控制范围之外向TCB 控制范围之内输入时,应通过标记标明其安全属性。

如若转载,请注明出处:http://www.codingwhy.com/view/203.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com