技术要求项技术要求分项第一级第二级实现定级系统的自主访问控制,使系统用户对其所属客体具有自我保护的能力
在第一级基础上,增加系统安全审计、客体重用等安全功能,并实施以用户为基本粒度的自主访问控制,使系统具有更强的自主安全保护能力
以身份鉴别为基础,提供用户和(或)用户组对文件及数据表的自主访问控制,以实现用户与数据的隔离,使用户具备自主安全保护的能力;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段提供数据和系统的完整性保护
以身份鉴别为基础,提供单个用户和(或)用户组对共享文件、数据库表等的自主访问控制;以包过滤手段提供区域边界保护;以数据校验和恶意代码防范等手段,同时通过增加系统安全审计、客体安全重用等功能,使用户对自己的行为负责,提供用户数据保密性和完整性保护,以增强系统的安全保护能力
用户身份鉴别应支持用户标识和用户鉴别
在每一个用户注册到系统时,采用用户名和用户标识符标识用户身份;在每次用户登录系统时,采用口令鉴别机制进行用户身份鉴别,并对口令数据进行保护
应支持用户标识和用户鉴别
在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保系统整个生命周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护
自主访问控制应在安全策略控制范围内,使用户/用户组对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户/用户组
访问控制主体的粒度为用户/用户组级,客体的粒度为文件或数据库表级
访问操作包括对客体的创建、读、写、修改和删除等
应在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户
访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级
访问操作包括对客体的创建、读、写、修改和删除
