GB/T 40473.7-2021 银行业应用系统 非功能需求 第7部分：安全性

　　ICS 35 . 240 . 40 CCS A 1 1

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 40473 . 7—2021

　　银行业应用系统 非功能需求

　　第 7 部分：安全性

　　Bankingapplicationsystem—Nonfunctionalrequirement—

　　part7：Security

　　2021-07-20 发布 2022-02-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　发

　　布

　　GB/T 40473 . 7—202 1

　　GB/T 40473 . 7—202 1

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分：标准化文件的结构和起草规则》的规定起草。

　　本文件是 GB/T 40473《银行业应用系统 非功能需求》的第 7 部分。 GB/T 40473 已经发布了以下部分：

　　— 第 1 部分：描述框架;

　　— 第 2 部分：功能适宜性;

　　— 第 3 部分：性能效率;

　　— 第 4 部分：兼容性;

　　— 第 5 部分：易用性;

　　— 第 6 部分：可靠性;

　　— 第 7 部分：安全性;

　　— 第 8 部分：可维护性;

　　— 第 9 部分：可移植性。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件由中国人民银行提出。

　　本文件由全国金融标准化技术委员会(SAC/TC 180)归口 。

　　本文件起草单位：中国人民银行科技司、中国农业银行股份有限公司、中国外汇交易中心暨全国银行间同业拆借中心、中国人民银行清算总中心、中国建设银行股份有限公司、交通银行股份有限公司、农信银资金清算中心有限责任公司、中国金融电子化公司。

　　本文件主要起草人：李伟、杨富玉、曲维民、李宽、王鹏、马骏、王锋、杨明英、葛洪慧、崔婉昱、赵刘韬、叶昱、梁军、景芸、王灿雍、陆原鹏、杨倩、谢彦丽、刘书元、王思源。

　　GB/T 40473 . 7—202 1

　　引 言

　　GB/T 40473 给出了银行业应用系统非功能需求的描述框架和各类银行业应用系统非功能需求的模板，旨在提高银行业应用系统非功能需求的编制质量和效率，降低编制银行业应用系统非功能需求的门槛和成本，由九个部分组成。

　　— 第 1 部分：描述框架。 目的在于明确银行业应用系统的范畴，确立银行业应用系统非功能需求的描述框架，阐明银行业应用系统非功能需求的标识和描述，给出银行业应用系统非功能需求的定制包与定制轮廓，提出对银行业应用系统非功能需求的技术管理与评价，并给出银行业应用系统非功能需求的 XML描述的方法，是其余各部分阅读和应用的基础。

　　— 第 2 部分：功能适宜性。 目的在于给出包括功能完整性、功能正确性和功能适合性的功能适宜性需求，这些需求从严谨的需求分类看，可以看作是功能需求，但在银行业应用系统的研发中，往往被视作非功能需求。

　　— 第 3 部分：性能效率。 目的在于给出包括时间特性、资源利用和容量的性能效率需求。

　　— 第 4 部分：兼容性。 目的在于给出包括共存性和互操作性的兼容性。

　　— 第 5 部分：易用性。 目的在于给出包括可辨识性、易学性、易操作性、用户差错防御性、用户界面舒适性和易访问性的易用性。

　　— 第 6 部分：可靠性。 目的在于给出包括成熟性、可用性、容错性和易恢复性的可靠性。

　　— 第 7 部分：安全性。 目 的在于给出包括保密性、完整性、抗抵赖性、可核查性和真实性的安全性。

　　— 第 8 部分：可维护性。 目的在于给出包括模块性、可重用性、易分析性、易修改性和易测试性的可维护性。

　　— 第 9 部分：可移植性。 目的在于给出包括适应性、易安装性和易替换性的可移植性。

　　当不考虑缩写和编号含义时，本领域的技术人员基于本领域的专业知识，可基本正确地理解本文件的实质性内容。 但在如下典型的情况下，本文件的应用者宜先阅读并理解 GB/T 40473 . 1—2021 :

　　— 编制应用系统的非功能需求;

　　— 评审应用系统的非功能需求;

　　— 对应用系统按照非功能需求开发的系统进行验证和确认;

　　— 对应用系统按照非功能需求开发的系统进行静态和动态测试。

　　对按照本文件编制的非功能需求，若以 GB/T 40473 . 1—2021 给出的 XML 形式描述，会对非功能需求带来传输和处理上更大便利。

　　GB/T 40473 . 7—202 1

　　银行业应用系统 非功能需求

　　第 7 部分：安全性

　　1 范围

　　本文件界定了银行业应用系统安全性的概念，规定了安全性元素与组件层次及描述方式、安全性类保密性族、完整性族、抗抵赖性族、可核查性族和真实性族非功能需求模板。

　　本文件适用于银行业各类应用系统对安全性类非功能需求的描述。 与银行业应用系统进行信息交换的应用系统，根据需要可参照使用。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中，注 日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 40473 . 1—2021 银行业应用系统 非功能需求 第 1 部分：描述框架

　　3 术语和定义

　　GB/T 40473 . 1—2021 界定的以及下列术语和定义适用于本文件。

　　3.1

　　信息安全性 security

　　产品或系统保护信息和数据的程度，以使用户、其他产品或系统具有与其授权类型和授权级别一致的数据访问度。

　　注 1 ：信息安全性不仅适用于存储在产品或系统中的数据或者通过产品或系统存储的数据，也适用于传输中的数据。

　　注 2：存活性(在受到攻击时，产品或系统及时提供必要的服务，继续履行其任务的程度)包含在易恢复性中。

　　注 3：免疫性(产品或系统抗攻击的程度)包含在完整性中。

　　注 4：信息安全性有助于可靠性。

　　[来源：GB/T 25000 . 10—2016,4 . 3 . 2 . 6]

　　3.2

　　保密性 confidentiality

　　产品或系统确保数据只有在被授权时才能被访问的程度。

　　[来源：GB/T 25000 . 10—2016,4 . 3 . 2 . 6 . 1]

　　3.3

　　完整性 integrity

　　系统、产品或组件防止未授权访问、篡改计算机程序或数据的程度。

　　[来源：GB/T 25000 . 10—2016,4 . 3 . 2 . 6 . 2]

　　3.4

　　抗抵赖性 non-repudiation

　　活动或事件发生后可以被证实且不可被否认的程度。

　　GB/T 40473 . 7—202 1

　　[来源：GB/T 25000 . 10—2016,4 . 3 . 2 . 6 . 3]

　　3.5

　　可核查性 accountability

　　实体的活动可以被唯一地追溯到该实体的程度。

　　[来源：GB/T 25000 . 10—2016,4 . 3 . 2 . 6 . 4]

　　3.6

　　真实性 authenticity

　　对象或资源的身份标识能够被证实符合其声明的程度。

　　[来源：GB/T 25000 . 10—2016,4 . 3 . 2 . 6 . 2]

　　4 安全性元素与组件层次及描述方式

　　4 . 1 层次

　　安全性各族元素与组件层次按照 GB/T 40473 . 1—2021 中 5 . 1 规定的方式，在图 1~图 7 中给出。其中，类和族的概念在本文件的术语中给出。

　　图 1 安全性的族

　　GB/T 40473 . 7—202 1

　　图 2 安全性的保密性族的内部的非功能需求

　　GB/T 40473 . 7—202 1

　　图 3 安全性的保密性族的外部的非功能需求

　　GB/T 40473 . 7—202 1

　　图 4 安全性的完整性族

　　图 5 安全性的抗抵赖性族

　　GB/T 40473 . 7—202 1

　　图 6 安全性的可核查性族

　　GB/T 40473 . 7—202 1

　　图 7 安全性的真实性族

　　GB/T 40473 . 7—202 1

　　4 . 2 描述方式

　　非功能需求的描述按 GB/T 40473 . 1—2021 中第 7 章给出的方式组织。

　　5 保密性族(SE_CFD)

　　5 . 1 内部的非功能需求(NFIR)

　　5. 1 . 1 使用算法(ISE_CFD.1)

　　ISE_CFD. 1 . 1 应用系统支持的对称密钥加密算法包括【多选：国密 SM1 , 国密 SM4 , DES, 3DES,

　　AES, IDEA, FEAL, BLOWFISH, MISTY1, CAST-128, Camellia, SEED, RC4, RC5, RC6,【描述赋值：

　　其他对称密钥加密算法】/* 如在不同的场景应用了不同的算法，应采用细化操作说明 */】。

　　ISE_CFD.1.2 / * 仅当 ISE_CFD.1.1 给出时适用 */【重复：在应用系统中【枚举项：ISE_CFD.1.1

　　中选中的每个算法】密钥长度为【指标赋值：密钥长度/* 如同一算法在不同的加密中选择不同的密钥长度，应执行细化和重复操作说明 */】位。】

　　ISE_CFD. 1 . 3 应用系统支持的非对称密钥加密算法包括【多选：国密 SM2 , RSA, DSA, ECC,

　　Elgamal, Diffie-Hellman, Merkle-Hellman, Rabin,【描述赋值：其他非对称密钥加密算法】/* 如在不同

　　的场景应用了不同的算法，应采用细化操作说明 */】。

　　ISE_CFD.1.4 / * 仅当 ISE_CFD.1.3 给出时适用 */【重复：在应用系统中【枚举项：ISE_CFD.1.3

　　中选中的每个选项】密钥长度为【指标赋值：密钥长度/* 如同一算法在不同的加密中选择不同的密钥长度，应执行细化和重复操作说明 */】位。】

　　ISE_CFD. 1 . 5 应用系统支持的消息摘要算法包括【多选：国密 SM3 , SHA-1 , SHA-224 , SHA-256 , SHA-512, SHA-384, RIPEMD-160, RIPEMD-128, MD2, MD4, MD5,【描述赋值：其他消息摘要算法】 / * 如在不同的场景应用了不同的算法，应采用细化操作说明 */】。

　　5. 1 .2 访问控制(ISE_CFD.2)

　　ISE_CFD.2.1 应用系统针对不同分级信息的访问控制策略为【描述赋值：访问控制策略/* 对有多个访问控制策略的，应逐个说明 */】。

　　ISE_CFD. 2 . 2 【重复：应用系统的【枚举项：用户，角色，权限组】名称不少于【指标赋值：字符数量】个字符且不多于【指标赋值：字符数量】个字符，其命名的规则为【描述赋值：命名的规则】。】

　　ISE_CFD. 2 . 3 应 用 系 统 采 用【单 选：不 限 制 任 何 访 问，自 主 访 问 控 制 (DAC) , 强 制 访 问 控 制 (MAC),【描述赋值：其他访问控制类型】】的访问控制手段，访问控制的机制为【单选：不限制任何访问， 主客体视角的访问控制模型，基于角色的访问控制模型(RBAC),基于任务的访问控制模型(TBAC) , 【描述赋值：其他访问控制机制 /* 如果采用基于风险(Risk-based) 的访问控制模型，则应说明风险分析的方法，一个可行的模型见本文件附录 A */】】/* 如在不同的场景采用了不同的机制，应采用细化操作说明 */。

　　ISE_CFD.2.4 / * 仅当 ISE_CFD.2.3 给出时适用 */【重复：应用系统采用【枚举项：ISE_CFD.2.3

　　中每个选中的访问控制机制】提供针对【多选：文件，数据库表，【描述赋值：其他客体】】的访问控制，并可以实现针对【多选：基于客户端，基于服务器端，【描述赋值：其他选项】】的访问控制。 访问控制包括【多选：读，写，执行，增加，修改，删除，查询，调用，拒绝访问，【描述赋值：其他控制方式】/* 如对不同的内容有不同的访问控制，则执行细化和重复操作进行说明 */】。】

　　ISE_CFD. 2 . 5 应用系统基于角色的访问控制机制能够【多选：“明确用户角色分类，不同角色之间权限能相互制约”，“只能由授权用户创建和管理普通用户，并配置普通用户的访问控制策略”，“明确关

　　GB/T 40473 . 7—202 1

　　键操作，并在用户执行关键操作时再次进行身份认证”，“要求默认用户权限和新创建用户的默认权限为最小权限”，“根据用户权限显示用户菜单，实现用户界面个性化”，“设置审计员角色，且仅审计员可查看和管理审计日志”，“根据用户角色建立用户与权限的实际对应关系”，“明确不同权限的互斥关系，不准许互斥权限授予同一角色”，“对重要信息资源设置敏感标记，并依据安全策略控制用户对有敏感标记重要信息资源的操作”，【描述赋值：其他技术特点】/* 在有限制条件的情况下能够实现这些技术要求时，应采用细化操作进行说明 */】。

　　5 . 1 . 3 数据保密(ISE_CFD.3 )

　　ISE_CFD. 3 . 1 应用系统采用【多选：硬件加密，点对点的数据加解密网络，【描述赋值：其他有效措施】】实现【多选：系统管理数据，鉴别信息，重要业务数据，【描述赋值：其他数据】】的【多选：采集，传输，使用，存储】过程的保密性。/* 在不同的数据或处理环节涉及不同的方式时，应采用细化操作进行说明;在必要时可引用处理保密、存储保密以及通信保密的元素进行说明 */。

　　ISE_CFD. 3 . 2 应用系统对跨安全区域的重要通信【单选：“【多选：提供专用通信协议，安全通信协议】服务，避免来自基于通用协议的攻击破坏数据保密性”，“无避免来自基于通用协议的攻击破坏数据保密性的措施”】。

　　5 . 1 . 4 处理保密(ISE_CFD.4 )

　　ISE_CFD. 4 . 1 应用系统的客户端【单选：可能，不会】向临时文件中写入敏感信息。

　　ISE_CFD. 4 . 2 应用系统【单选：能，不能】对本应用系统【多选：存储，传输，处理】不同种类的信息区分敏感度级别，【单选：能，不能】对本应用系统【多选：存储，传输，处理】相同种类的信息区分敏感度级别，敏感度级别的划分方式是【描述赋值：敏感度级别的划分/* 如对不同种类和相同种类的划分方式不一致，应执行细化和重复操作说明 */】。

　　ISE_CFD. 4 . 3 【重复：应用系统在【枚举项：客户端，服务器，【描述赋值：其他选项】】端采取了【多选：介质级加密，嵌入式加密，文件级加密，数据库加密，主机应用加密，【描述赋值：其他存储加密手段】】;该敏感信息在内存中的空间被释放前【单选：会，不会】被重新擦写。】

　　5 . 1 . 5 存储保密(ISE_CFD.5 )

　　ISE_CFD. 5 . 1 应用系统的数据库访问具有【多选：身份认证，通信加密与完整性保护，数据库加密设置，多级密钥管理模式，安全备份，【描述赋值：其他安全机制】/* 如在不同的情况下应用不同的安全机制，则应对执行细化和重复操作进行说明 */】安全机制。

　　ISE_CFD. 5 . 2 应用系统的数据库具有【多选：数据库用户数据，数据库应用数据，配置文件中的数据库连接参数，【描述赋值：其他加密事项】】加密机制。

　　ISE_CFD. 5 . 3 应用系统的操作系统中的文件【单选：具有，没有】加密存储机制。

　　ISE_CFD. 5 . 4 应用系统的用户的鉴别信息所在的存储空间，包括存放在【多选：硬盘，内存，【描述赋值：其他存储设施】】中的，被释放或再分配给其他应用使用前【单选：能，不能，不确定是否】得到完全清除/* 若不同的用户鉴别信息存放在不同的设施中清除策略不一样的，应采用细化操作说明 */。

　　ISE_CFD. 5 . 5 应用系统的【多选：系统文件，系统目录，数据库记录，【描述赋值：其他逻辑存储单元】】等资源所在的存储空间，被释放或再分配给其他应用使用前【单选：能，不能 OSE_ CFD. 3 . 2,不确定是否】得到完全清除/* 若不同的用户鉴别信息存放在不同的设施中清除策略不一样的，应采用细化操作说明 */。

　　5 . 1 . 6 通信保密(ISE_CFD.6 )

　　ISE_CFD. 6 . 1 【重复：应用系统在【枚举项：服务器与客户端，服务器与另外的应用系统，【描述赋

　　GB/T 40473 . 7—202 1

　　值：其他通信场景】】之间通信采用【多选：网络认证协议 Kerberos,安全电子交易协议 SET,安全套接层协议 SSL,安全传输层协议 TLS,安全超文本传输协议 HTTPS,安全电子邮件协议 S/MIME,网络层安全协议 IPSec,【描述赋值：其他协议】】/* 如在不同实体之间通信采用不同的认证协议的，则应对执行细化和重复操作进行说明 */。】

　　ISE_CFD. 6 . 2 从消息的来源来考虑，应用系统的【多选：所有协议均不，内网服务器之间的通信协议，内网服务器与外部专线网络的通信协议，内部服务器与互联网服务器的通信协议，内部服务器与内网客户端之间的通信协议，内部服务器与外部专线网络客户端的通信协议，内部服务器与互联网客户端的通信协议，【描述赋值：其他选项】/* 如不同的协议可防止的攻击不同，应使用细化和重复操作说明*/】具有防止【多选：协议轮内攻击，协议轮外攻击，【描述赋值：其他选项】】报文重放攻击的机制。

　　ISE_CFD. 6 . 3 从消息的去向来考虑，应用系统的【多选：所有协议均不，内网服务器之间的通信协议，内网服务器与外部专线网络的通信协议，内部服务器与互联网服务器的通信协议，内部服务器与内网客户端之间的通信协议，内部服务器与外部专线网络客户端的通信协议，内部服务器与互联网客户端的通信协议，【描述赋值：其他选项】/* 如不同的协议可防止的攻击不同，应使用细化和重复操作说明*/】具有防止【多选：偏转攻击，直接攻击，【描述赋值：其他选项】】报文重放攻击的机制。

　　ISE_CFD. 6 . 4 应用系统的【多选：所有协议均不，内网服务器之间的通信协议，内网服务器与外部专线网络的通信协议，内部服务器与互联网服务器的通信协议，内部服务器与内网客户端之间的通信协议，内部服务器与外部专线网络客户端的通信协议，内部服务器与互联网客户端的通信协议，【描述赋值：其他选项】】具有【多选：防 SQL注入攻击，防跨站脚本攻击，防网络钓鱼网络诈骗攻击，防敏感信息泄露，【描述赋值：防止的其他攻击】/* 如通信实体之间以及不同的协议可防止的攻击不同，应使用细化和重复操作说明 */】的机制。

　　ISE_CFD.6.5 应用系统通信数据的数据加密方式为【多选：硬件加密，软件加密，硬件+软件混合加密，【描述赋值：其他加密方式】】。

　　ISE_CFD.6.6 / * 仅当 ISE_CFD.6.5 给出时适用 */如果应用系统通信数据加密方式为硬件加密，加密设备为【单选：加密机，加密卡，密钥盘，【描述赋值：其他加密设备】】。

　　5 . 2 外部的非功能需求(NFOR)

　　5 . 2 . 1 安全需求的确定(OSE_CFD.1 )

　　OSE_CFD. 1 . 1 应用系统【单选：定义，未定义】需由应用系统本身和应用系统的运行环境共同抵御的威胁。

　　OSE_CFD. 1 . 2 应用系统【单选：定义，未定义】需由应用系统本身和应用系统的运行环境联合执行的组织安全策略。

　　OSE_CFD. 1 . 3 应用系统【单选：确定，未确定】应用系统运行环境的假设。

　　OSE_CFD.1.4 / * 仅当 OSE_CFD.1.1、OSE_CFD.1.2 和 OSE_CFD.1.3 均给出时适用 */应用

　　系统【单选：确定，未确定】应用系统本身和应用系统运行环境的安全目的。

　　OSE_CFD.1.5 / * 仅当 OSE_CFD.1.4 给出时适用 */应用系统【单选：分析，未分析】应用系统

　　本身和应用系统运行环境的安全目的是否可以在上述假设和组织安全策略的支撑下，抵御全部定义的威胁。

　　5 . 2 . 2 运行环境保密(OSE_CFD.2 )

　　OSE_CFD.2.1 应用系统的运行环境具有【多选：病毒防范，跟踪 cookies 防范，恶意的移动代码防范，【描述赋值：其他防范措施】】措施。

　　OSE_CFD. 2 . 2 应用系统的运行环境具有监测【多选：端口扫描，强力攻击，木马后门攻击，拒绝服

　　GB/T 40473 . 7—202 1

　　务攻击，缓冲区溢出攻击，注入式攻击，IP碎片攻击，网络蠕虫攻击，【描述赋值：其他攻击】】的措施。

　　OSE_CFD. 2 . 3 【重复：应用系统运行环境监测到【枚举项：OSE_CFD. 2 . 2 提及的每种攻击】时，【单选：能够记录【多选：记录攻击源 IP,攻击类型，攻击目的，攻击时间】，无记录】，在发生严重入侵事件时， 【单选：能，不能】提供报警功能。】

　　OSE_CFD. 2 . 4 应用系统的运行环境【单选：能，不能】定期对恶意代码防护设备进行代码库升级和系统更新。

　　OSE_CFD. 2 . 5 应用系统的主机系统对与之相连的【多选：服务器，终端设备】【单选：进行，不进行】身份标识和鉴别/* 若对服务器与终端设备不同，或对不同的服务器以及不同的终端设备不同，应采用细化操作分别进行说明 */。

　　OSE_CFD. 2 . 6 应用系统的客户端建立了【多选：防键盘窃听，防恶意程序盗取敏感信息，防屏幕录像技术，【描述赋值：其他选项】】机制。

　　OSE_CFD. 2 . 7 应用系统的【多选：操作系统，数据库系统，【描述赋值：其他支撑系统】】用户的鉴别信息所在的存储空间，包括存放在【多选：硬盘，内存，【描述赋值：其他存储设施】】中的，被释放或再分配给其他使用人员前【单选：能，不能，不确定是否】得到完全清除/* 若不同的用户鉴别信息存放在不同的设施中清除策略不一样的，应采用细化操作说明 */。

　　OSE_CFD. 2 . 8 应用系统的【多选：系统文件，系统目录，数据库记录，【描述赋值：其他逻辑存储单元】】等资源所在的存储空间，被释放或再分配给其他使用人员前【单选：能，不能，不确定是否】得到完全清除/* 若不同的用户鉴别信息存放在不同的设施中清除策略不一样的，应采用细化操作说明 */。

　　OSE_CFD. 2 . 9 应用系统【单选：使用，不使用】敏感标记机制。

　　OSE_CFD. 2 . 10 在应用系统使用敏感标记机制时，访问人员控制的主体粒度为【单选：角色，用户，【描述赋值：其他粒度】】，访问软件控制的主体粒度为【单选：进程，线程，【描述赋值：其他粒度】】，客体粒度为【单选：文件，数据库，数据库表，数据库记录，数据库字段，【描述赋值：其他粒度】】/* 若不同的情况下主体和客体的访问控制粒度不一样，应采用细化操作说明 */。

　　5 . 2 . 3 运行网络保密(OSE_CFD.3 )

　　OSE_CFD. 3 . 1 应用系统的运行网络【单选：能，不能】对非授权设备私 自联到内部网络的行为进行检查，【单选：能，不能】准确定出位置，【单选：能，不能】对其进行有效阻断。

　　OSE_CFD. 3 . 2 应用系统的运行网络【单选：能，不能】对内部网络用户私 自联到外部网络的行为进行检查，【单选：能，不能】准确定出位置，【单选：能，不能】对其进行有效阻断。

　　OSE_CFD. 3 . 3 应用系统的运行环境【单选：能，不能】在与外单位和互联网连接的网络边界处对恶意代码进行检测和清除。

　　OSE_CFD. 3 . 4 应用系统的运行网络【单选：能，不能】控制数据带通用协议通过。

　　OSE_CFD. 3 . 5 应用系统的运行网络【单选：能，不能】控制带有敏感标记的数据通过。

　　OSE_CFD. 3 . 6 应用系统在【重复：【枚举项：【单选：生产网，准生产网，测试网，办公网，互联网， DMZ,【描述赋值：除前述外的其他网络】】和【单选：生产网，准生产网，测试网，办公网，互联网，DMZ, 【描述赋值：除前述外的其他网络】/* 除非两个同类网络连接有特殊意义，否则应为两个不同的网络的连接 */】之间，实现【单选：网络隔离，限制通信/* 在必要时应采用细化操作说明限制的内容 */】， 【单选：不定期，【指标赋值：评估期限】】进行安全问题评估并提供评估报告】。】

　　OSE_CFD. 3 . 7 【重复：应用系统在【枚举项：OSE_ CFD. 3 . 6 所列举的网络】之间，需要进行远程访问时，【单选：需由，不需】被访问单位开启远程访问服务，【单选：只能通过，无需通过】办公区/生产区堡垒机(服务器)后再连接，【单选：采取，无需】单列账户安全防护措施，【单选：采取，无需】最小权限分配安全防护措施，【单选：能，不能】建立可信信道，远程访问完毕后【单选：立即，不需】关闭远程访问服务。】

　　OSE_CFD. 3 . 8 应用系统的运行网络【单选：有，无】对网络设备系统自带的服务端 口 的控制机制，

　　GB/T 40473 . 7—202 1

　　该控制机制采用【单选：白名单，黑名单，【描述赋值：其他确定端口的模式】】进行管理。

　　6 完整性族(SE_ITG)

　　6 . 1 内部的非功能需求(NFIR)

　　6 . 1 . 1 网络协议完整性(ISE_ITG.1 )

　　ISE_ITG. 1 . 1 应用系统在【多选：所有协议均不，内网服务器之间的通信协议，内网服务器与外部专线网络的通信协议，内部服务器与互联网服务器的通信协议，内部服务器与内网客户端之间的通信协议，内部服务器与外部专线网络客户端的通信协议，内部服务器与互联网客户端的通信协议，【描述赋值：其他通信对象之间的协议】】具有防止信息被未经授权的【多选：生成，变更，删除】的机制。

　　ISE_ITG. 1 . 2 【重复：应用系统在【枚举项：ISE_ITG. 1 . 1 中每个选中的选项】的机制包括【多选：在通信过程中采用校验码，通信过程对【单选：全部，部分】数据加密，通信双方建立连接前利用密码技术进行会话初始化验证，使用安全协议【描述赋值：协议名称及版本】，通过可信信道传输，【描述赋值：其他安全机制】。】】

　　ISE_ITG. 1 . 3 在人机交互通信过程，应用系统通过【多选：手机短信，电话语音，电子邮件，【描述赋值：即时通信软件名称】，【描述赋值：其他交互方式】】对通信涉及的【描述赋值：相关内容】进行【多选：提醒，确认，【描述赋值：其他交互动作】】。

　　6 . 1 . 2 本地数据完整性(ISE_ITG.2 )

　　ISE_ITG. 2 . 1 应用系统【单选：能，不能】检测到【多选：系统管理数据，鉴别信息，重要业务数据， 【描述赋值：其他特定数据】】在【多选：采集，传输，使用，存储】过程中完整性受到破坏，并在检测到完整性错误时【单选：能，不能】进行恢复。/* 如对不同的数据或不同的过程情况不同，应使用细化和重复操作说明 */。

　　ISE_ITG. 2 . 2 【重复：应用系统防止存储的信息被未经授权的【枚举项：生成，变更，删除】机制包括【单选：无，对存储的内容建立摘要，对存储的内容加密，【描述赋值：其他安全机制】。/* 如对不同的存储内容采用不同的完整性控制机制，应使用细化和重复操作说明 */】】

　　ISE_ITG. 2 . 3 【重复：应用系统防止加工的信息被未经授权的【枚举项：生成，变更，删除】机制包括【单选：无，重新擦写方式清除数据的存储空间，【描述赋值：其他安全机制】。/* 如对不同的加工采用不同的完整性控制机制，应使用细化和重复操作说明 */】】

　　ISE_ITG. 2 . 4 应用系统防止自身被未经授权的变更的机制包括【描述赋值：防止自身被变更的技术措施】。

　　6 . 2 外部的非功能需求(NFOR)

　　OSE_ITG. 1 . 1 应用系统的运行环境【单选：能，不能】检测到对重要服务器进行入侵的行为，【单选：能，不能】记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间，【单选：能，不能】在发生严重入侵事件时提供报警。

　　OSE_ITG. 1 . 2 应用系统的运行环境【单选：能，不能】对重要程序的完整性进行检测，【单选：能，不能】在检测到完整性受到破坏后具有恢复的措施，【单选：能，不能】在检测到完整性即将受到破坏时进行事前阻断。

　　OSE_ITG. 1 . 3 应用系统的运行环境【单选：安装，未安装】国家安全部门认证的正版防恶意代码软件 。对于依附于病毒库进行恶意代码查杀的软件【单选：能，不能】及时更新【多选：防恶意代码软件版本，恶意代码库，【描述赋值：其他组件】】;对于【多选：主动防御类软件，【描述赋值：其他非依赖于病毒库

　　GB/T 40473 . 7—202 1

　　进行恶意代码防御的软件】】，【单选：能，不能】保证软件所采用的特征库有效性与实时性;对于某些不能安装相应软件的系统【单选：采取【描述赋值：安全措施描述】，未采取】安全防护措施来保证系统不被恶意代码攻击。

　　注：本条中的元素均属于完整性族中外部非功能需求的应用环境完整性(OSE_ITG. 1)组件。

　　7 抗抵赖性族(SE_NRP)

　　7 . 1 内部的非功能需求(NFIR)

　　7 . 1 . 1 原发和接收证据( ISE_NRP.1 )

　　ISE_NRP. 1 . 1 【重复：应用系统【单选：能，不能】作为数据【枚举项：发送者，接受者】提供不可否认的证据。】

　　ISE_NRP. 1 . 2 应用系统【单选：具有，没有】在请求的情况下为数据原发者或接收者提供数据原发证据的功能。 在具有功能的情况下，原发证据包括【多选：操作时间，操作人员，操作类型，操作内容，业务流水号，账户名，IP地址，交易指令，【描述赋值：其他证据相关内容】】。

　　ISE_NRP. 1 . 3 应用系统【单选：具有，没有】在请求的情况下为数据原发者或接收者提供数据接收证据的功能。 在具有功能的情况下，接收证据包括【多选：操作时间，操作人员，操作类型，操作内容，业务流水号，账户名，IP地址，交易指令，【描述赋值：其他证据相关内容】】。

　　7 . 1 . 2 支持数字签名( ISE_NRP.2 )

　　ISE_NRP. 2 . 1 【重复：应用系统在【枚举项：与客户端通信，与其他服务器通信，【描述赋值：其他情形】】时对【描述赋值：签名的对象】进行数字签名。】

　　7 . 2 外部的非功能需求(NFOR)

　　本文件未提供抗抵赖性族外部的非功能需求模板。

　　在新识别出抗抵赖性族外部的非功能需求时，应按照 GB/T 40473 . 1—2021 中第 7 章的要求扩展和编制。

　　8 可核查性族(SE_ACN)

　　8 . 1 内部的非功能需求(NFIR)

　　ISE_ACN . 1 . 1 应用系统记录的 日志的审计功能【单选：能，不能】被单独中断;该审计功能记录的日志【单选：能，不能】被未经授权的查看。

　　ISE_ACN . 1 . 2 应用系统记录的 日志【单选：能，不能】被未经授权的【多选：生成，变更，删除】而无法确认/* 如生成、变更和删除的控制不一样，应使用细化和重复操作说明 */。

　　ISE_ACN . 1 . 3 应用系统【单选：未设立，设立单级，设立多级】审计员角色。 在设立多级审计员角色时，级别的划分策略是【描述赋值：多级审计员的划分策略】。

　　ISE_ACN . 1 . 4 应用系统审计日志访问控制权限为【单选：只读不可拷贝，只读可拷贝，【描述赋值：其他选项】】。

　　ISE_ACN . 1 . 5 应用系统的安全审计功能能够记录的系统重要安全事件包括【多选：用户管理相关操作，用户在系统中的关键业务操作，应用系统关键数据更新，应用系统警告与错误信息，用户管理操作，用户关键业务操作，【描述赋值：其他安全事件】】。

　　ISE_ACN.1.6 / * 仅当 ISE_ACN.1.5 给出时适用 */【重复：应用系统针对【枚举项：ISE_ACN.

　　GB/T 40473 . 7—202 1

　　1 . 5 中每个选中的选项】，日志记录的内容包括事件的【多选：日期，时间，发起者信息，类型，描述，结果， 【描述赋值：其他选项】】。】

　　ISE_ACN.1.7 应用系统定期备份审计记录期限为【指标赋值：记录期限/* 带有时间单位 */】，备份保存周期为【指标赋值：备份保存时间/* 带有时间单位 */】，备份清理周期为【指标赋值：备份清理时间/* 带有时间单位 */】。

　　ISE_ACN . 1 . 8 应用系统【单选：有，没有】安全审计日志级别动态调整机制。

　　ISE_ACN . 1 . 9 应用系统审计日志的访问本身【单选：不记录，记录在本日志中，记录在另外的 日 志中，【描述赋值：其他记录方式】】。

　　ISE_ACN . 1 . 10 应用系统审计日志的访问与审核【单选：在本应用系统中进行，在另外【描述赋值：

　　其他可访问 日志的系统名称】中进行，【描述赋值：其他访问方式】】。

　　ISE_ACN . 1 . 11 对于从互联网客户端登录的应用系统，在每次用户登录时【单选：“能够提供用户上一次成功登录的【多选：日期，时间，方法，位置，【描述赋值：其他信息】】”，不能提供任何信息】。

　　注：本条中的元素均属于可核查性族中内部非功能需求的应用系统审计(ISE_ACN. 1)组件。

　　8 . 2 外部的非功能需求(NFOR)

　　8 . 2 . 1 运行环境审计(OSE_ACN.1 )

　　OSE_ACN . 1 . 1 应用系统的运行环境【单选：有，没有】审计机制。

　　OSE_ACN.1.2 / * 仅当 OSE_ACN. 1. 1 给出时适用 */在应用系统的运行环境具有审计机制时，审计范围覆盖到【多选：服务器，客户端】上的【多选：每个操作系统用户，每个数据库用户，【描述赋值：特定用户】】。

　　OSE_ACN.1.3 / * 仅当 OSE_ACN. 1. 1 给出时适用 */在应用系统的运行环境具有审计机制时，审计内容包括【多选：重要用户行为，系统资源异常使用，重要系统命令使用，账号分配、创建与变更，审计策略调整，审计系统功能的关闭与启动，【描述赋值：其他审计事项】】。

　　OSE_ACN.1.4 / * 仅当 OSE_ACN. 1. 1 给出时适用 */在应用系统的运行环境具有审计机制时，审计记录包括【多选：事件的 日期，事件时间、事件类型、主体标识、客体标识，结果，【描述赋值：包含的其他内容】】等，【单选：定期备份，不定期备份，不备份】审计记录，涉及敏感数据的记录保存时间不少于【指标赋值：保存的时间】。

　　OSE_ACN.1. 5 / * 仅当 OSE_ACN. 1. 1 给出时适用 */在应用系统的运行环境具有审计机制时，【单选：能，不能】根据记录数据进行分析，并生成审计报表。

　　OSE_ACN.1. 6 / * 仅当 OSE_ACN. 1. 1 给出时适用 */在应用系统的运行环境具有审计机制时，【单选：能，不能】保护审计进程，避免受到未预期的中断。

　　OSE_ACN.1. 7 / * 仅当 OSE_ACN. 1. 1 给出时适用 */在应用系统的运行环境具有审计机制时，【单选：“能够保护审计记录，避免受到未预期的【多选：删除，修改，覆盖，【描述赋值：其他对审计日志的破坏】】”，无审计记录保护机制】。

　　8 . 2 . 2 网络审计(OSE_ACN.2 )

　　OSE_ACN . 2 . 1 应用系统的运行网络【单选：有，没有】审计机制。

　　OSE_ACN.2.2 / * 仅当 OSE_ACN.2. 1 给出时适用 */在应用系统的运行网络具有审计机制时，对运行网络中的【多选：网络设备运行状况，网络流量，用户行为，【描述赋值：其他需记录事项】进行日志记录，记录的内容包括【多选：事件的 日期和时间，用户，事件类型，事件是否成功，【描述赋值：其他需要记录的内容】】】。

　　OSE_ACN.2.3 / * 仅当 OSE_ACN.2. 1 给出时适用 */在应用系统的运行网络具有审计机制

　　GB/T 40473 . 7—202 1

　　时，【单选：能，不能】根据记录数据进行分析，并生成审计报表。

　　OSE_ACN.2.4 / * 仅当 OSE_ACN.2. 1 给出时适用 */在应用系统的运行网络具有审计机制时，【单选：“能够保护审计记录，避免受到未预期的【多选：删除，修改，覆盖，【描述赋值：其他对审计日志的破坏】】”，无审计记录保护机制】。

　　OSE_ACN.2. 5 / * 仅当 OSE_ACN.2. 1 给出时适用 */在应用系统的运行网络具有审计机制时，【单选：能，不能】定义审计跟踪极限的阈值;当存储空间接近极限时，【单选：能，不能】采取必要的措施，防止审计数据丢失。

　　9 真实性族(SE_AUT)

　　9 . 1 内部的非功能需求(NFIR)

　　9. 1 . 1 用户划分与身份鉴别(ISE_AUT.1)

　　ISE_AUT. 1 . 1 应用系统用户角色包括【多选：超级管理员，专项管理员，技术运维操作员，业务运维操作员，审计员，应用操作员，普通用户，浏览用户，交易用户，匿名用户，【描述赋值：其他用户角色】】。

　　ISE_AUT.1.2 / * 仅当 ISE_AUT.1.1 给出时适用 */【重复：应用系统对【枚举项：ISE_AUT.1.1

　　选择的所有用户角色】【单选：“仅采用一种身份认证机制”，“采用两种以上的身份认证机制，且【单选：这些身份认证机制并行使用，这些身份认证机制串行使用】。】】

　　ISE_AUT.1.3 / * 仅当 ISE_AUT.1.1 给出时适用 */【重复：应用系统的【枚举项：ISE_AUT.1.1

　　选择的所有用户角色】口令长度不少于【指标赋值：口令长度最短位】位且不多于【指标赋值：口令长度最多位】。 口令文本仅能包括【多选：数字，小写字母，大写字母，标点符号，特殊英文半角符，汉字，【描述赋值：其他字符类型】/* 如对不同种类的用户口令范围不一样，应执行细化和重复操作进行说明 */】类型，且一个口令文本不应少于上述【指标赋值：类型的数量/* 如对不同种类的用户 口令允许的类型数量不一样，应执行细化和重复操作进行说明 */】种类型。 口令文本【单选：允许，不允许】以【描述赋值：特定范围的】单词、本人生 日 中的连续【指标赋值：位数，应不小于 3】数字、【指标赋值：连续的位数，应不小于 3】个【多选：相同，连续排列，身份证件号码中的连续排列，手机号码中的连续排列，固定电话中的连续排列，键盘上相邻按键对应字符，【描述赋值：其他运算规则】】数字作为口令，【单选：允许任何符号，不允许用【多选：数字，大写字母，小写字母，标点符号，特殊英文半角符】】开头。】

　　ISE_AUT.1.4 / * 仅当 ISE_AUT.1.1 给出时适用 */【重复：应用系统的【枚举项：ISE_AUT.1.1

　　选择的所有用户角色】的初始口令【单选：允许，不允许】执行业务功能，登录口令变更机制为【多选：首次使用修改，【描述赋值：规定周期】修改，【描述赋值：其他选项】】。】

　　ISE_AUT.1.5 / * 仅当 ISE_AUT.1.1 给出时适用 */【重复：在应用系统的【枚举项：ISE_AUT.

　　1 . 1 选择的所有用户角色】可同时拥有【多选：仅一个，登录，查询，动账，系统管理，【描述赋值：其他密码

　　类型】】口令。 这些口令【单选：允许，不允许】联动设置，【单选：允许，不允许】使用相同的口令。】 ISE_AUT. 1 . 6 应用系统的一个用户【单选：允许，不允许】承担多个用户角色。

　　ISE_AUT. 1 . 7 应用系统【单选：禁止，不禁止】同一用户同时多次登录系统。

　　ISE_AUT. 1 . 8 应用系统采用的身份认证机制方法包括【多选：口令，密码表，磁条卡，条码，二维条码，IC芯片，智能令牌，手机短信动态密码，数字证书，指纹，面部识别，虹膜，掌纹，掌动脉，声纹，【描述赋值：其他方法】/* 应对每一选择执行细化说明应用的场景 */】。

　　ISE_AUT. 1 . 9 应用系统的口令【单选：允许，不允许】显示明文。【单选：允许，不允许】浏览器或应用客户端在本地保存。

　　ISE_AUT. 1 . 10 【重复：用户登录应用系统时，允许的最大连续失败登录次数为【指标赋值：给定的数值】【枚举项：次/小时，次/天，【描述赋值：其他登录周期】】。 用户连续失败登录次数超过该次数时，系

　　GB/T 40473 . 7—202 1

　　统【多选：无操作，锁定用户，锁定客户端，向用户手机发送短信，向用户邮箱发送邮件，向用户即时通信软件发送信息，向管理员手机发送短信，向管理员邮箱发送邮件，向管理员即时通信软件发送信息，【描述赋值：其他操作】】。】

　　ISE_AUT. 1 . 11 应用系统【单选：不能检测重复使用历史口令，能检测【多选：【指标赋值：指定时间间隔】，【指标赋值：指定变更次数】，【描述赋值：其他指定内容】】重复使用的口令】。

　　9 . 1 . 2 登录保护(ISE_AUT.2 )

　　ISE_AUT. 2 . 1 应用系统用户口令输入方式支持【多选：键盘输入，软键盘输入，指纹替代输入，虹膜替代输入，脸部扫描替代输入，声纹替代输入，【描述赋值：其他输入方式】】方式。

　　ISE_AUT.2.2 / * 仅当 ISE_AUT.2.1 给出时适用 */应用系统使用软键盘方式输入口令时，【单选：对，不对】整体键盘布局进行随机干扰。

　　ISE_AUT. 2 . 3 应用系统用户密码登录机制【单选：不具有，具有【多选：图形认证码，密码存储介质，密码的更新机制，【描述赋值：其他措施】】】防范暴力破解静态密码的保护措施。

　　ISE_AUT.2.4 / * 仅当 ISE_AUT.2.3 给出时适用 */应用系统在使用图形认证码防范暴力破解静态密码时，图形验证码的保护措施包括【多选：由数字和字母组成，随机产生，包含足够的噪音干扰信息，不能自动识别图片上的信息，具有使用时间限制并仅能使用一次，具有计算或推理含义，【描述赋值：其他措施】】。

　　ISE_AUT. 2 . 5 应用系统在使用密码存储介质防范暴力破解静态密码时，对允许密码存取的保护措施包括【多选：通过计算机键盘输入口令，通过密码存储介质上输入口令，通过短信随机口令，通过邮件随机口令，通过及时通信软件随机口令，通过令牌产生的口令，【描述赋值：其他方式】】。

　　ISE_AUT. 2 . 6 【重复：应用系统使用的密码更新防范暴力破解静态密码的保护措施采用以下方式：在【枚举项：用户首次登录系统，用户密码持续使用时间超过【指标赋值：给定的时间，单位可为天、小时】，【描述赋值：其他需要强制客户修改的条件】】时，强制客户修改【多选：初始，当前，【描述赋值：其他密码类型】】密码。】

　　ISE_AUT. 2 . 7 应用系统客户端登录源采用【多选：无控制，通过 IP 地址绑定，通过 MAC 地址绑定，通过 IPSEC控制，通过客户端软件控制，通过堡垒机，【描述赋值：其他方法】】机制。

　　ISE_AUT. 2 . 8 应用系统在用户登录成功后，【单选：不提供上一次成功登录的任何信息，提供上 一次成功登录的【多选：日期，时间，方法，位置，【描述赋值：其他提示信息】】】。

　　ISE_AUT. 2 . 9 应用系统用户登录失败时，【单选：结束会话，返回登录的界面，提示密码错，提示用户名/密码不存在，【描述赋值：其他提示信息】】，【单选：限制，不限制】非法登录次数。

　　ISE_AUT. 2 . 10 应用系统【单选：只要登录后一直在线，在持续【指标赋值：空闲的时间间隔】无操作后退出登录状态，在持续【指标赋值：空闲的时间间隔】无操作后屏幕显示即将退出的信息且在【指标赋值：等待的时间间隔】仍无操作后退出登录状态】。

　　9 . 1 . 3 数字证书(ISE_AUT.3 )

　　ISE_AUT. 3 . 1 应用系统【单选：使用，不用】数字证书安全机制。

　　ISE_AUT.3.2 / * 仅当 ISE_AUT.3.1 给出时适用 */应用系统在使用数据证书安全机制时，数字证书存储在【单选：本计算机硬盘，USBKey,【描述赋值：专用存储介质】】中 。

　　ISE_AUT.3.3 / * 仅当 ISE_AUT.3.1 给出时适用 */应用系统的数字证书安全介质管控机制为【单选：无，退出登录时提示客户取下专用数字证书存储介质(如 USBKey),检测到数字证书存储介质取下后方允许退出，【描述赋值：其他机制】】。

　　ISE_AUT.3.4 / * 仅当 ISE_AUT.3.1 给出时适用 */在使用 USBKey存储证书时，采取的安全

　　措施包括【多选：USBKey 的个人化过程在安全环境下进行，采用具有密钥生成和数字签名运算能力的

　　GB/T 40473 . 7—202 1

　　智能卡芯片，USBKey 的签名等敏感操作前应经过客户身份鉴别，USBKey 的签名等敏感操作应具备操作提示功能(包括但不限于声音、指示灯、屏幕显示等)，【描述赋值：其他机制】】。

　　ISE_AUT.3.5 / * 仅当 ISE_AUT.3.1 给出时适用 */应用系统在使用证书进行用户鉴别时，提供证书的方式为【单选：只能在专用的计算机下载到专用介质后通过人工传递，生成授权号和鉴别码后在用户端下载到专用介质，生成授权号和鉴别码后下载到本地计算机，凭用户名和初始密码下载到本地计算机，【描述赋值：其他机制】】。

　　ISE_AUT.3.6 / * 仅当 ISE_AUT.3.1 给出时适用 */应用系统在 USBKey存储数字证书时，有

　　效使用保证机制包括【多选：防远程挟持，签名 自动识别，USBKey 功能细化控制，【描述赋值：其他机制】】。

　　ISE_AUT.3.7 / * 仅当 ISE_AUT.3.1 给出时适用 */应用系统存储数字证书的 USBKey【单选：

　　无，有】生物特征验证。 有生物特征验证的，可验证的生物特征包括【多选：指纹，虹膜，【描述赋值：其他生物特征】】。

　　ISE_AUT.3.8 / * 仅当 ISE_AUT.3.1 给出时适用 */应用系统存储数字证书的 USBKey【单选：

　　带有，没有】按键。 有按键的，未经按键确认，USBKey【单选：能，不能】进行签名，【单选：能，不能】产生输出。

　　9. 1 .4 数字令牌(ISE_AUT.4)

　　ISE_AUT. 4 . 1 应用系统【单选：使用，不用】数字令牌安全机制。

　　ISE_AUT.4.2 / * 仅当 ISE_AUT.4.1 给出时适用 */应用系统在使用数据令牌安全机制时，数字令牌应用位于【单选：专用令牌设备，USB令牌设备，手机，本地计算机，【描述赋值：其他设备】】中。

　　ISE_AUT.4.3 / * 仅当 ISE_AUT.4.1 给出时适用 */应用系统使用的数字令牌为【单选：动态密码，挑战应答，【描述赋值：其他方式】】。

　　ISE_AUT.4.4 / * 仅当 ISE_AUT.4.1 给出时适用 */应用系统使用的数字令牌【单选：无，有】生

　　物特征验证。 有生物特征验证的，可验证的生物特征包括【多选：指纹，虹膜，【描述赋值：其他生物特征】】。

　　9. 1 .5 系统连接(ISE_AUT.5)

　　ISE_AUT. 5 . 1 【重复：应用系统与【枚举项：数据库，【描述赋值：另外的应用系统名称】，【描述赋值：其他具有用户的底层支撑软件】】连接时，【单选：“采用另外的用户鉴别机制”，“采用用户名与口令机制的，用户名与口令【单选：明文固定在程序中，密文固定在程序中，明文存放于配置文件中，密文存放于配置文件中，明文存放于数据库中，密文存放于数据库中，【描述赋值：其他存储方式】】”】。】

　　9 . 2 外部的非功能需求(NFOR)

　　本文件未提供真实性族外部的非功能需求模板。

　　在新识别出真实性族外部的非功能需求时，应按照 GB/T 40473 . 1—2021 中第 7 章的要求扩展和编制。

　　GB/T 40473 . 7—202 1

　　附 录 A

　　(资料性)

　　访问控制的类型

　　A.1 访问控制的概念和基本类型

　　A.1 . 1 访问控制的概念

　　访问控制指按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用。 访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

　　A.1 . 2 访问控制的基本类型

　　访问控制可分为自主访问控制和强制访问控制两大类。

　　a) 自主访问控制，是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问，并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。

　　b ) 强制访问控制，是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制，由预先设定的规则决定哪些用户可以对哪些对象进行什么操作类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象。

　　A.2 访问控制的机制

　　A.2 . 1 主客体视角的访问控制模型

　　主客体视角的访问控制模型(Subject-object View of Access Control Model)从受控主体的角度出

　　发，将访问客体的访问权限直接与受控主体相关联，这种访问控制大多以访问控制矩阵、访问能力表或者访问控制列表等方式来实现。

　　主客体视角的访问控制模型是最早得以大规模应用，也是最容易实现的访问控制模型。 但面对需要进行访问控制的主客体数量都比较巨大时，用户权限的管理任务将变得十分繁重，并且用户权限难以维护，从而降低了系统的安全性和可靠性。

　　A.2 . 2 基于角色的访问控制模型

　　基于角色的访问控制模型(RBAC Model, Role-based Access Model) : RBAC模型的基本思想是将

　　访问许可权分配给一定的角色，用户通过饰演不同的角色获得角色所拥有的访问许可权。

　　RBAC从控制主体的角度出发，根据管理中相对稳定的职权和责任来划分角色，将访问权限与角色相联系，这点与传统的 MAC 和 DAC将权限直接授予用户的方式不同;通过给用户分配合适的角色，让用户与访问权限相联系。 角色成为访问控制中访问主体和受控对象之间的一座桥梁，即依据 RBAC 策略，系统定义了各种角色，每种角色可以完成一定的职能，不同的用户根据其职能和责任被赋予相应的角色，一旦某个用户成为某角色的成员，则此用户可以完成该角色所具有的职能。

　　A.2 . 3 基于任务的访问控制模型

　　基于任务的访问控制模型(TBAC Model, Task-based Access Control Model)是从应用和企业层角

　　度来解决安全问题，以面向任务的观点，从任务(活动)的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。

　　在 TBAC 中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化。

　　GB/T 40473 . 7—202 1

　　TBAC首要考虑的是在工作流的环境中对信息的保护问题：在工作流环境中，数据的处理与上一次的处理相关联，相应的访问控制也如此，因而 TBAC是一种上下文相关的访问控制模型。 其次，TBAC 不仅能对不同工作流实行不同的访问控制策略，而且还能对同一工作流的不同任务实例实行不同的访问控制策略。 从这个意义上说，TBAC是基于任务的，这也表明，TBAC是一种基于实例(instance-based)的访问控制模型。

　　GB/T 40473 . 7—202 1

　　参 考 文 献

　　[1] GB/T 25000.10—2016 系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第 10部分：系统与软件质量模型

　　[2] JR/T 0071—2020(所有部分) 金融行业网络安全等级保护实施指引

　　[3] ISO/TR 14742 : 2010 Financial services—Recommendations on cryptographic algorithms and their use