1、ICS 35.040 L 80 GB 中华人民共和国国家标准GB/T 20272-2006 信息安全技术操作系统安全技术要求Information security technology一Security techniques requirement for operating system 2006-05-31发布中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员产2006-12-01实施GB/T 20272-2006 目次前言.田引言.N l 范围.2 规范性引用文件3 术语、定义和缩略语. 3. 1 术语和定义3. 2 缩略语24 安全等级保护分等级技术要求24. 1 第一级:
2、用户自主保护级24. 1. 1 安全功能24. 1. 2 SSOOS自身安全保护34. 1. 3 SSOOS设计和实现34. 1. 4 SSOOS安全管理54. 2 第二级:系统审计保护级54.2. 1 安全功能54.2.2 岱OOS自身安全保护74.2.3 SSOOS设计和实现84. 2. 4 SSOOS安全管理104. 3 第三级:安全标记保护级114.3.1 安全功能114.3.2 SSOOS自身安全保护144. 3. 3 SSOOS设计和实现154. 3. 4 SSOOS安全管理194.4 第四级:结构化保护级194.4. 1 安全功能194.4.2 SSOOS自身安全保护224.4.
3、3 SSOOS设计和实现244.4.4 SSOOS安全管理274. 5 第五级:访问验证保护级284.5. 1 安全功能284.5.2 SSOOS自身安全保护314.5.3 SSOOS设计和实现334.5.4 SSOOS安全管理36附录A(资料性附录)标准概念说明UA.1 组成与相互关系37A.2 关于安全保护等级划分的说明37A.3 关于主体、客体的进一步说明38GB/T 20272-2006 A.4 关于SSOOS、SSF、SSP、SFP及其相互关系MA.5 关于密码技术的说明38参考文献. . . . . . . . . . . . . . . . . . . . 39 H GB/T 2
4、0272-2006 前言本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:北京思源新创信息安全资讯有限公司,江南计算技术研究所技术服务中心。本标准主要起草人:吉增瑞、汪晓茵、王志强、陈冠直、景乾元、宋健平。川出G/T 20272-2006 百|本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的操作系统,主要说明为实现GB 178591999中每个安全保护等级的要求,操作系统应采取的安全技术措施,以及各安全技术要求在不同安全保护等级中具体实现t的差异。计算机操作系统是信息系统的重要组成部分。计算机操作系统的主要功能是进行计算机资源管理和提供用户
5、使用计算机的界面。操作系统所管理的资源包括各种用户资源和计算机的系统资摞。用户资源可以归结为以文件形式表示的数据信息资源。系统资源包括系统程序和系统数据以及为管理计算机硬件资掘而设置的各种表格,其在操作系统中也都是以文件的形式表现,分别称为可执行文件、数据文件、配置文件等。可见,对操作系统中资源的保护,实际上是对操作系统中文件的保护。由于操作系统在计算机系统中有着十分重要的地位和作用,所以对计算机系统的攻击和威胁(包括人为的和自然的),操作系统往往成为主要的目标。也正因为如此,操作系统的安全就变得十分重要。操作系统安全既要考虑操作系统的安全运行,也要考虑对操作系统中资源的保护(主要是以文件形式
6、表示的数据信息资源的保护)。由于攻击和威胁既可能是针对系统运行的,也可能是针对信息的保密性、完整性和可用性的,所以对操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数据的安全保护两方面综合进行考虑。根据GB178591999所列安全要素及GB/T202712006关于信息系统安全功能要素的描述,本标准从身份鉴别、自主访问控制、标记和强制访问控制、数据流控制、审计、数据完整性、数据保密性、可信路径等方面对操作系统的安全功能要求进行更加具体的描述。为了确保安全功能要素达到所确定的安全性要求,需要通过一定的安全保证机制来实现,根据GB/T202712006关于信息系统安全保证要素的描
7、述,本标准从操作系统安全子系统(SSOOS)自身安全保护、操作系统安全子系统(SSOOS)的设计和实现以及操作系统安全子系统(SSOO日的安全管理等方面,对操作系统的安全保证要求进行更加具体的描述。操作系统的安全还需要有相应的安全硬件系统(即物理安全)方面的支持,以及安全管理方面的支持,这已超出本标准的范围。综合以上说明,本标准以GB17859 1999五个安全保护等级的划分为基础,对操作系统的每一个安全保护等级的安全功能技术要求和安全保证技术雯求做详细的描述。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,在第4章的描述中,每一级新增部分用宋体加粗字表示。IV GB/
8、T 20272-2006 信息安全技术操作系统安全技术要求1 范围本标准依据GB17859-1999的五个安全保护等级的划分,根据操作系统在信息系统中的作用,规定了各个安全等级的操作系统所需要的安安全的测试和管理可参照使JJIIY。3. 1 术语和GB 178 5 3. 1. 1 操作系统操作系统且3. 1.2 操作系统安实现各种类型3.1.3 操作系统安全子市操作系统中安全保虫3. 1. 4 ssoos安全策略SSOOS security policy 对ssoos中的资源进行管理、保护和分配的一组规则。一个ssoos中可以有一个或多个安全策略。3. 1. 5 安全功能策略security
9、function policy 为实现ssoos安全要素要求的功能所采用的安全策略。3. 1. 6 安全要素security element 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成分。GB/T 20272-2006 3.1.7 SSOOS安全功能SSOOS security function 正确实施SSOOS安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现,组成一个SSOOS安全功能模块。一个SSOOS的所有安全功能模块共同组成该SSOOS的安全功能。3. 1. 8 SSF控制范围SSF scope of control SSOOS的操作所涉及的主体和客
10、体的范围。3.2 缩略语下列缩略语适用于本标准:SFP 安全功能策略security function policy SSC SSF控制范围SSF scope of control SSF SSOOS安全功能SSOOS security function SSOOS 操作系统安全子系统security subsystem of operating system SSP SSOOS安全策略SSOOS security policy 4 安全等级保护分等级技术要求4. 1 第一级:用户自主保护级4. 1. 1 安全功能4. 1. 1. 1 身份鉴别身份鉴别包括对用户的身份进行标识和鉴别。可按GB/
11、T20271-2006中6.1. 3. 1的要求,从以下方面设计和实现操作系统的身份鉴别功能:a) 按GB/T20271一2006中6.1.3. 1. 1和以下要求设计和实现用户标识功能:一一凡需进入操作系统的用户,应先进行标识(建立账号); 一一操作系统用户标识一般使用用户名和用户标识符(UID)。b) 按GB/T20271-2006中6.1.3. 1. 2和以下要求设计和实现用户鉴别功能:一一采用口令进行鉴别,并在每次用户登录系统时进行鉴别;一一口令应是不可见的,并在存储时有安全保护;一一通过对不成功的鉴别尝试的值(包括尝试次数和时间的阑值)进行预先定义,并明确规定达到该值时应采取的措施来
12、实现鉴别失败的处理。对注册到操作系统的用户,应按以下要求设计和实现用户一主体绑定功能z一一将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;一一将注系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。4. 1. 1.2 自主访问控制可按GB/T20271-2006中6.1. 3. 2的要求,从以下方面设计和实现操作系统的自主访问控制功能:a) 允许命名用户以用户和/或用户组的身份规定并控制对客体的访问,并阻止非授权用户对客体访问pb) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地应具有该主体设置的默认值。4.
13、 1. 1. 3 用户数据完整性可按GB/T20271-2006中6.1.3. 3的要求,对操作系统内部传输的用户数据完整性保护,如进程间通信数据的完整性保护,设计和实现操作系统的用户数据完整性保护功能。2 GB/T 20272-2006 4. 1. 2 SSOOS自身安全保护4. 1. 2. 1 SSF物理安全保护可按GB/T20271-2006中6.1.4.1的要求,实现SSF的物理安全保护,通过对物理安全的检查,发现以物理方式的攻击对SSF造成的威胁和破坏。4. 1. 2. 2 SSF运行安全保护可按GB/T20271-2006中6.1.4. 2的要求,从以下方面实现SSF的运行安全保护
14、:a) 系统在设计时不应留有后门,即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b) 安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构。c) 操作系统程序与用户程序要进行隔离。一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间,两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应允许进程对所有的虚存空间进行读、写操作。d) 提供一个设置和升级配置参数的安装机制。在初
15、始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性进行定义。e) 区分普通操作模式和系统维护模式。f) 补丁的发布和运用:补丁是对操作系统安全漏洞进行修补的程序的总称。操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操作系统的漏洞进行修补。g) 在SSOOS失败或中断后,应保护其以最小的损害得到恢复,并按照失败保护中所描述的内容,实现对SSF出现失败时的处理。4. 1.2.3 SSF数据安全保护可按GB/T20271-2006中6.1. 4. 3的要求,对在SSOOS内传输的SSF数据,实现SSOOS内SSF数据传输的基本保护。4. 1. 2
16、. 4 资源利用可按GB/T20271-2006中6.1.4. 4的要求,从以下方面实现SSOOS的资源利用za) 通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行;b) 采取适当的策略,按有限服务优先级,提供主体使用TSC内某个资源子集的优先级,进行SSOOS资源的管理和分配Fc) 按资源分配中最大限额的要求,进行SSOOS资源的管理和分配,要求配额机制确保用户和主体将不会独占某种受控的资源。4.1.2.5 SSOOS访问控制可按GB/T20271一2006中6.1.4.5的要求,从以下方面实现SSOOS的访问控制zu 按会话建立机制的要求,对会话建立的管理进行设计。b
17、) 按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上,SSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数。c) 按可选属性范围限定的要求,选择某种会话安全属性的所有失败的尝试,对用来建立会话的安全属性的范围进行限制。4.1.3 SSOOS设计和实现4.1.3.1 配置管理可按GB/T20271-2006中6.1.5. 1的要求,实现具有基本配置管理能力的SSOOS的配置管理,即要求开发者所使用的版本号与所应表示的SSOOS样本完全对应。3 GB/T 20272-2006 4. 1.3.2 分发和操作可按GB/T20271-2006中6.1.5
18、. 2的要求,从以下方面实现ssoos的分发和操作:a) 以文档形式提供对ssoos安全地进行分发的过程,并对安装、生成和启动的过程进行说明,最终生成安全的配置。文档中所描述的内容应包括:一-提供分发的过程;一一安全启动和操作的过程。b) 对系统的未授权修改的风险,应在交付时控制到最低限度。在包装及安全分送和安装过程中,这种控制应采取软件控制系统的方式,确认安全性会由最终用户考虑,所有安全机制都应以功能状态交付。c) 所有软件应提供安d) 随同系统交付的全部默激活。e) 用户文档应同交付户的系统软件是严格按4. 1. 3.3 开发可按GB/T2027 a) 按非形式b) 系统的d) 所有交用户
19、;e) 由系统f) 应以书多重输入的正确性检查等;文形式储存;4. 1. 3. 4 文挡要可按GB/T2 a) 用户文档应途和提供有b) 安全管理员文全设备时,需要括增加和删除一个c) 文档中不应提供任何分别提供给用户、系统管,包括当运行一个安功能的详细描述,包全的指令和文档应划分等级4. 1.3.5 .生存周期支持、4可按GB/T20271一2006中6.1.5. 5的要求,从以下方面实现ssoos的生存周期支持:a) 按开发者定义生存周期模型进行开发;b) 提供安全安装默认值;在未做特殊选择时,应按默认值安装安全机制;c) 随同系统交付的全部默认用户标识号,在刚安装完时应处于非激活状态,并
20、由系统管理员加以激活;d) 操作文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是否能被撤消或修改,说明在故障或系统出错时如何恢复系统至安全状态。GB/ T 20272-2006 4. 1. 3. 6 测试可按GB/T20271-2006中6.1.5. 6的要求,从以下方面对ssoos进行测试:a) 通过一般功能测试和相符独立性测试,确认ssoos的功能与所要求的功能相一致;b) 所有系统的安全特性,应被全面测试;c) 所有发现的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞;d) 提供测试文挡,详细描述测试计划、测试过程
21、、测试结果。4. 1. 4 SSOOS安全管理可按GB/T20271-2006中6.1.6的要求,实现ssoos的安全管理,对相应的ssoos的访问控制、鉴别控制、安全属性管理等相关的功确哺蝇飞配置等有关的功能,制定相应的操作、运行规程和行为规章制度。6. 2. 3. 1的要求,从以飞/-D 别,并在每次用户一一-鉴通达至1c) 对注册到一一将用义,并明确规定按GB/T20271 - 200 a) 允许命名用户以用b ) 置的默认值。咽-c) 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户;对系统中的每一个客体,都能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限,而别的同
22、组用户或非同组的用户和用户组对该客体的访问权则由创建者用户授予。d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任。e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体。f) 定义访问控制属性,并保护这些属性;主体的访问控制属性至少应有:读、写、执行等;客体的访GB/T 20272-2006 问控制属性应包含可分配给主体的读、写和执行等权限。g) 定义分配和修改主体和客体的访问控制属性的规则,并执行对主体和客体的访问
23、控制属性的分配和修改,规则的结果应达到只有被授权的用户才允许访问一个客体。h) 定义主体对客体的访问授权规则;该规则应基于主体对客体的访问控制属性,同时应指出主体和客体对这些规则应用的类型。4.2. 1. 3 安全审计按GB/T20271-2006中6.2.2.3的要求,从以下方面设计和实现操作系统的安全审计功能za) 安全审计功能应与身份鉴别、自主访问控制等安全功能紧密结合。b) 提供审计日志,潜在侵害分析,基本审计查阅和有限审计查阅,安全审计事件选择,以及受保护的审计踪迹存储等功能。c) 能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用
24、户访问。d) 能够创建并维护一个对受保护客体访问的审计踪踪,保护审计记录不被未授权的访问、修改和破坏。时指出可记录的审计事件的最少类型,包括建立会话登录成功和失败、使用的系统接口、系统数据库管理的改变(改变用户账户属性、审计跟踪设置和分析、为程序分配设置用户ID、附加或改变系统程序或进程、改变日期和时间等),超级用户命令改变用户身份、将某个客体引人某个用户的地址空间(如打开文件)、删除客体、系统管理员及系统安全管理员进行的操作等。当审计激活时应确保审计跟踪事件的完整性F应提供一个机制来显示当前选择的审计事件,这个机制的使用者应是有限的授权用户。f) 每个事件的数据记录,应包括的信息有z事件发生
25、的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份标识和鉴别事件,应记录请求的源(如末端号或网络地址); 对于创建和删除客体的事件,应记录客体的名字和客体的安全属性。g) 应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件,并在系统工作时处于默认状态;该机制的使用应受到系统管理员的授权限制,系统管理员应能够选择一个或多个基于身份鉴别或客体属性的用户的审计活动F审计工具应能够授权个人使用、修改和删除审计F应提供对审计跟踪管理功能的保护,使之可以完成审计眼踪的创建、破坏、腾空和存档p系统管理员应能够定义超过审计跟踪极限的阔值;当存储空间被耗尽时,应能按管理员的指定
26、决定采取的措施,包括z报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。4.2. 1. 4 用户数据完整性按GB/T20271-2006中6.2.3.3的要求,从以下方面设计和实现操作系统的用户数据完整性保护功能:a) 在对数据进行访问操作时,检查存储在存储介质上的用户数据是否出现完整性错误。操作系统对磁盘设备中存储的数据,可通过增加磁盘扫描程序实现以下功能:一一自动检查文件与磁盘表面是否完好;一一将磁盘表面的问题自动记录下来;一一随时检查、诊断磁盘上的错误。b) 对操作系统内部传输的用户数据,如进程间的通信,应提供保证数据完整性的功能。c) 对操作系统中处理的用户数据,应按回退的要
27、求设计相应的ssoos安全功能模块,进行异常情况的操作序列回退,以确保用户数据的完整性。4.2. 1. 5 用户数据保密性按GB/T20271-2006中6.2.3.4的要求,从以下方面设计和实现操作系统的用户数据保密性保护功能:6 GB/T 20272一2006a) 确保动态分配与管理的资惊,在保持信息安全的情况下被再利用,主要包括:确保非授权用户不能查找系统现巳分配给他的记录介质中以前的信息内容。b) 在单用户系统中,存储器保护应防止用户进程影响系统的运行。c) 在多用户系统中,存储器保护应保证系统内各个用户之间互不干扰。d) 存储器保护应包括:一一对存储单元的地址的保护,使非法用户不能访
28、问那些受到保护的存储单元;一一对被保护的存储单元的操作提供各种类型的保护,最基本的保护类型是读/写和只读,不能读/写的存储单元,若被读/写时,系统应及时发出警报或中断程序执行;一一可采用逻辑隔离的方法进行存储器保护,具体有z界限地址寄存器保护法、内存标志法、锁保护法和特征位保护法等。4.2.2 SSOOS自身安全保护4.2.2.1 SSF物理安全保护按GB/T20271-2006中6.2.4.1的要求,实现SSF的物理安全保护,通过对物理攻击的检查,发现以物理方式的攻击对SSF造成的威胁和破坏。4.2.2.2 SSF运行安全保护按GB/T20271一2006中6.2.4.2的要求,从以下方面实
29、现SSF的运行安全保护:a) 系统在设计时不应留有后门。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的人口。b) 安全结构应是一个独立的、严格定义的系统软件的-个子集,并应防止外部干扰和破坏,如修改其代码或数据结构。c) 操作系统程序与用户程序要进行隔离。一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间,两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应允许进程对所有的虚存空间进行读、写操作。d) 提供设置和升级配置参
30、数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性应进行定义。e) 应区分普通操作模式和系统维护模式。f) 应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统内维护模式交互。从而保证在普通用户访问系统之前,系统能以一个安全的方式进行安装和配置。g) 对备份或不影响ssoos的常规的系统维护,不要求所有的系统维护都在维护模式中执行。h) 当操作系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、根目录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。i) 执行系统所提供的实用程序,应(默认地)限定于对系
31、统的有效使用,只允许系统管理员修改或替换系统提供的实用程序。j) 操作环境应为用户提供一个机制,来控制命令的目录/路径的查找顺序。k) 在SSOOS失败或中断后,应确保其以最小的损害得到恢复。并按失败保护中所描述的内容,实现对SSF出现失败时的处理。1) 操作系统环境应控制和审计系统控制台的使用情况。m) 补丁的发布、管理和使用:补丁是对操作系统安全漏洞进行修补的程序的总称。操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时获取、统一管理并及时运用补丁对操作系统的漏洞进行修补。4.2.2.3 SSF数据安全保护按GB/T20271-2006中6.2.4.3的要求,对在SS()
32、OS内传输的SSF数据进行以下安全保护:7 GB/ T 20272-2006 a) 实现SSOOS内SSF数据传输的基本保护;b) SSOOS内SSF数据复制的一致性保护。4.2. 2.4 资源利用按GB/T20271-2006中6.2.4.4的要求,从以下方面实现SSOOS的资源利用:a) 应通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行,如系统应检测和报告系统的服务水平己降低到预先规定的最小值;b) 应采取适当的策略,有限服务优先级提供主体使用TSC内某个资源子集的优先级,进行SSOOS资源的管理和分配;c) 应按资源分配中最大限额的要主体将不会独占某种受d ) 系
33、统应确保在被授e) 当系统资源的f) 系统应提供维管理员使用;g ) 系统应以每使用。理和分配,要求配额机制确保用户和4. 2. 2. 5 SSOOS 按GB/T20 a) 按会话的身份b) 按多d ) 前,应鉴别用户标识的基础上,数。4. 2. 3 SSOOS !:i十和4. 2.3.1 配置管理按GB/T20271-2006 a) 在配置管理能力方面应b) 在SSOOS的配置管理范围高哗SSOOS的刷t(示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下。c) 在系统的整个生存期,即在它的开发、测试和维护期间,应有一个软件配置管理系统处于保持对改变源码和文件的控
34、制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分。所有改变应被记载和检查,以确保未危及系统的安全。在软件配置管理系统中,应包含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具和规程。通过技术、物理和保安规章三方面的结合,可充分保护生成系统所用到的源码免遭未授权的修改和毁坏。4.2.3.2 分发和操作按GB/T20271-2006中6.2.5.2的要求,从以下方面实现SSOOS的分发和操作:8 GB/ T 20272-2006 a) 应以文档形式提供对SSOOS安全地进行分发的过程,并对安装、生成和启动的过程进行说明,最终生成安全的配置。文档中所描述
35、的内容应包括:二一提供分发的过程;安全启动和操作的过程;一一建立日志的过程。b) 对系统的未授权修改的风险,应在交付时控制到最低限度。在包装及安全分送和安装过程中,这种控制应采取软件控制系统的方式,确认安全性会由最终用户考虑,所有安全机制都应以功能状态交付。c) 所有软件应提供安全安装骂功能。d) 随同系统交付的全激活。子集实现、SSF内的设计;、,LU 检查结果告知息,描述没有明示用b) 系统管理员文档灿关于系统的安主全方式)、在系统操法和过程;一个单独的安装指南,详细说明设置系统的配置和初始化过程,提供一个新系统版本的安全设置和安装文档,包括对所有用户可见的安全相关过程、软件和数据文档的描
36、述。c) 安全管理员文档应提供:有关如何设置、维护和分析系统安全的详细指导,包括当运行一个安全设备时,需要控制的有关功能和特权的警告;与安全有关的管理员功能的详细描述,包括增加和删除一个用户、改变用户的安全特征等;一一提供关于所有审计工具的文档,包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程、为检查能被目录9 GB/T 20272-2006 文件所利用的磁盘剩余空间所推荐的过程;一一关于设置所有文件和目录的最低访问许可的建议F一一运行文件系统或磁盘完整性检测所做的建议F一一如何进行系统自我评估的章节(带有网络管理、口令要求、拨号
37、访问控制、意外事故计划的安全报告),为灾害恢复计划所做的建议F一一描述普通人侵技术和其他威胁,及查出和阻止它们的方法。d) 文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、系统管理员和系统安全员。这些文档应为独立的文档,或作为独立的章节插入到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。4.2.3.5 生存周期支持按GB/T20271 2006中6.2.5.5的要求,从以下方面实现ssoos的生存周期支持:a) 应按开发者定义生存周期模型和明确定义开发工具的要求进行开发,并提供开发过程中的安全措施说
38、明。b) 所有安全软件应提供安全安装默认值。在未做特殊选择时,应按默认值安装安全机制。c) 随同系统交付的全部默认用户标识号,在安装完时应处于非激活状态,并由系统管理员加以激活。d) 文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是否能被撤消或修改,说明在故障或系统出错时如何恢复系统至安全状态。e) 如果系统含有加强安全性的硬件,那么管理员、最终用户或自动的诊断测试,应能在各自的操作环境中运行它并详细说明操作过程。4.2.3.6 测试按GB/T20271-2006中6.2.5.6的要求,从以下方面对ssoos进行测试:a) 应通过一般功能测试、相符独立性测试、范围证
39、据和范围分析、高层设计的测试,确认ssoos的功能与所要求的功能相一致。b) 所有系统的安全特性,应被全面测试,包括查找漏洞,如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有被发现的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞。c) 应提供测试文档,详细描述测试计划、测试过程、测试结果。4.2.3.7 脆弱性评定按GB/T20271-2006中6.2.5.7的要求,从以下方面对ssoos进行脆弱性评定:a) 对防止误用的评定,通过对文档的检查,查找ssoos以不安全的方式进行使用或配置
40、而不为人们所察觉的情况;b) 对ssoos安全功能强度评估,通过对安全机制的安全行为的合格性或统计结果的分析,证明其达到或超过安全目标要求所定义的最低强度;c) 开发者脆弱性分析,通过确定明显的安全脆弱性的存在,并确认在所期望的环境中所存在的脆弱性不会被利用。4.2.4 SSOOS安全管理10 按GB/T20271-2006中6.2.6的要求,从以下方面实现ssoos的安全管理:a) 对相应的ssoos的访问控制、鉴别控制、审计和安全属性管理等相关的功能,以及与一般的安装、配置和维护有关的功能,制定相应的操作、运行规程和行为规章制度;GB/T 20272-2006 b) 根据本级中安全功能技术
41、要求和安全保证技术要求所涉及四安全属性,设计ssoos安全属性管理;c) 根据本级中安全功能技术要求和安全保证技术要求所涉及的安全数据,设计ssoos安全数据管理。4.3 第三级:安全标记保护级4.3. 1 安全功能4.3. 1. 1 身份鉴别身份鉴别包括对用户的身份进行标识和鉴别。一般应按GB/T20271-2006中6.3.3.1的要求,从以下方面设计和实现操作系统的身份鉴别功能:a) 按GB/T20271-2006中6.3. 3. 1. 1和以下要求设计和实现用户标识功能:凡需进入操作系统的用户,应先进行标识(建立账号); 一一操作系统用户标识应使用用户名和用户标识(UID),并在操作系
42、统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID等之间的一致性。b) 按GB/T20271一一2006中6.3.3.1.2和以下要求设计和实现用户鉴别功能:采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别;鉴别信息应是不可见的,在存储和传输时应按GB/T20271-2006中6.3.3.8的要求,用加密方法进行安全保护p一通过对不成功的鉴别尝试的值(包括尝试次数和时间的阔值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。c) 对注册到操作系统的用户,应按以下要求设计和实现用户主体绑定
43、功能:将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。4.3. 1. 2 自主访问控制一般应按GB/T20271-2006中6.3.3.3的要求,从以下方面设计和实现操作系统的自主访问控制功能:a) 允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。b) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体的默认值。c) 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户。对系统中的每一个客体,都应能够实现由客体的创建
44、者以用户指定方式确定其对该客体的访问权限,而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予。d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任。e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体。f) 定义访问控制属性,并保护这些属性。主体的访问控制属性至少应有:读、写、执行等;客体的访问控制属性应包含可分配给主体的读、写和执行等权限。g) 定义分配和修改主体和客体的访问控制属性的规则,并执
45、行对主体和客体的访问控制属性的分配和修改,规则的结果应达到只有被授权的用户才允许访问一个客体。h) 定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性,授权的范围应包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规则应用的类型。11 GB/T 20272-2006 4.3. 1.3 标记一般应按GB/T20271一2006中6.3.3.4的要求,从以下方面设计和实现操作系统的标记功能:a) 采用标记的方法为操作系统ssoos安全功能控制范围内的主体和客体设置敏感标记。这些敏感标记构成多级安全模型的属性库。操作系统主、客体的敏感标记应以默认方式生成或由安全员进行建立、维护和管理。b) 当信息从ssoos控制范围之内向ssoos控制范围之外输出时,可带有或不带有敏感标记;当信息从ssoos控制范围之外向ssoos控制范围之内输入时,应通过标记标明其敏感标记。4.3. 1.4 强制访问控制一般应按GB/T20271-2006中6.3.制功能:a) 由专门设置的系统息,并将系统的常规系统审计员来承形成相互制约b) 强制访问控从用户进入输过程;c) d) 性和完4. 3. 1. 5 数据流对于以数据计