1 范圍

      本標(biāo)準(zhǔn)規(guī)定了五個(gè)安全等級(jí)操作系統(tǒng)的安全技術(shù)要求。

      本標(biāo)準(zhǔn)適用于操作系統(tǒng)安全性的研發(fā)、測(cè)試、維護(hù)和評(píng)價(jià)。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859-1999 計(jì)算機(jī)信息系統(tǒng) 安全保護(hù)等級(jí)劃分準(zhǔn)則

      GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第3部分：安全保障組件

      GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求

      GB/T 29240-2012 信息安全技術(shù) 終端計(jì)算機(jī)通用安全技術(shù)要求與測(cè)試評(píng)價(jià)方法

3 術(shù)語(yǔ)和定義

      GB 17859-1999、GB/T 18336.3-2015、GB/T 20271-2006和GB/T 29240-2012界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      操作系統(tǒng)安全 security of operating system

      操作系統(tǒng)自身以及其所存儲(chǔ)、傳輸和處理的信息的保密性、完整性和可用性。

3.2

      操作系統(tǒng)安全子系統(tǒng) security subsystem of operating system

      操作系統(tǒng)中安全保護(hù)裝置的總稱，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      SSF：SSOOS安全功能（SSOOS Security Function）

      SSOOS：操作系統(tǒng)安全子系統(tǒng)（Security Subsystem of Operating System）

      UID：用戶標(biāo)識(shí)符（User Identifier）

5 產(chǎn)品描述

      資源管理（包括設(shè)備硬件資源和數(shù)據(jù)資源）是操作系統(tǒng)最為基本的功能，操作系統(tǒng)中對(duì)資源的安全保護(hù)由SSOOS來(lái)實(shí)現(xiàn)。

      SSOOS是操作系統(tǒng)中所有安全保護(hù)裝置的組合體。SSOOS一般包含多個(gè)SSF，每個(gè)安全功能模塊是一個(gè)或多個(gè)安全功能策略的具體實(shí)現(xiàn)。SSOOS中的所有安全功能策略構(gòu)成了一個(gè)安全域，以保護(hù)整個(gè)操作系統(tǒng)的安全。

      為清晰表示每一個(gè)安全等級(jí)比較低一級(jí)安全等級(jí)的安全技術(shù)要求的增加和增強(qiáng)，每一級(jí)的新增部分用“黑體”表示。附錄A中的操作系統(tǒng)安全技術(shù)要求分級(jí)表，以表格形式列舉了操作系統(tǒng)五個(gè)安全等級(jí)的安全功能要求、自身安全要求和安全保障要求。

6 安全技術(shù)要求

6.1 第一級(jí)：用戶自主保護(hù)級(jí)

6.1.1 安全功能要求

6.1.1.1 身份鑒別

      SSOOS的身份鑒別功能如下：

      a）用戶標(biāo)識(shí)功能：

      1）用戶進(jìn)入操作系統(tǒng)前，應(yīng)先進(jìn)行標(biāo)識(shí)；

      2）操作系統(tǒng)用戶標(biāo)識(shí)宜使用用戶名和UID。

      b）用戶鑒別功能：

      1）采用口令進(jìn)行鑒別，并在每次用戶登錄系統(tǒng)時(shí)和系統(tǒng)重新連接時(shí)進(jìn)行鑒別；

      2）口令應(yīng)是不可見(jiàn)的，在存儲(chǔ)和傳輸時(shí)進(jìn)行安全保護(hù)，確保其不被非授權(quán)的訪問(wèn)、修改和刪除；

      3）通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)采取的措施來(lái)實(shí)現(xiàn)鑒別失敗的處理。

      c）對(duì)注冊(cè)到操作系統(tǒng)的用戶，應(yīng)將用戶進(jìn)程與其所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶。

6.1.1.2 自主訪問(wèn)控制

      SSOOS的自主訪問(wèn)控制功能如下：

      a) 客體的擁有者對(duì)其擁有的全部客體應(yīng)有權(quán)修改其訪問(wèn)權(quán)限；

      b）客體的擁有者應(yīng)能對(duì)其擁有的客體設(shè)置其他用戶的訪問(wèn)控制屬性，訪問(wèn)控制屬性至少包括：讀、寫(xiě)、執(zhí)行等；

      c）主體對(duì)客體的訪問(wèn)應(yīng)遵循該客體的自主訪問(wèn)控制權(quán)限屬性；

      d）將訪問(wèn)控制客體的顆粒度控制在文件和目錄。

6.1.1.3 數(shù)據(jù)完整性

      對(duì)操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)（如進(jìn)程間的通信），應(yīng)具備保證用戶數(shù)據(jù)完整性的功能。

6.1.1.4 網(wǎng)絡(luò)安全保護(hù)

      支持基于IP地址、端口、物理接口的雙向網(wǎng)絡(luò)訪問(wèn)控制，將不符合預(yù)先設(shè)定策略的數(shù)據(jù)包丟棄。

6.1.2 自身安全要求

6.1.2.1 運(yùn)行安全保護(hù)

      SSF運(yùn)行安全保護(hù)功能如下：

      a）應(yīng)提供一個(gè)設(shè)置和升級(jí)配置參數(shù)的安裝機(jī)制。在初始化和對(duì)與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進(jìn)行保護(hù)之前，應(yīng)對(duì)用戶和管理員的安全策略屬性進(jìn)行定義。

      b）應(yīng)區(qū)分普通操作模式和系統(tǒng)維護(hù)模式。

      c）在SSOOS出現(xiàn)故障或中斷后，應(yīng)使其以最小的損害得到恢復(fù)，并按GB/T 20271-2006中5.1.2.2失敗保護(hù)所描述的內(nèi)容，處理SSF故障。

      d）操作系統(tǒng)的開(kāi)發(fā)者應(yīng)針對(duì)發(fā)現(xiàn)的漏洞及時(shí)發(fā)布補(bǔ)丁。操作系統(tǒng)的管理者應(yīng)及時(shí)運(yùn)用補(bǔ)丁對(duì)操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。

6.1.2.2 資源利用

6.1.2.2.1 容錯(cuò)

      應(yīng)通過(guò)一定措施確保當(dāng)系統(tǒng)出現(xiàn)某些確定的故障情況時(shí)，SSF也能維持正常運(yùn)行。

6.1.2.2.2 服務(wù)優(yōu)先級(jí)

      應(yīng)采取服務(wù)優(yōu)先級(jí)策略，設(shè)置主體使用SSF控制范圍內(nèi)某個(gè)資源子集的優(yōu)先級(jí)，進(jìn)行操作系統(tǒng)資源的管理和分配。

6.1.2.2.3 資源分配

      應(yīng)按GB/T 20271-2006中5.1.4.2a）最大限額資源分配的要求，進(jìn)行操作系統(tǒng)資源的管理和分配。配額機(jī)制確保用戶和主體將不會(huì)獨(dú)占某種受控的資源。

6.1.2.3 用戶登錄訪問(wèn)控制

      SSOOS的用戶登錄訪問(wèn)控制功能如下：

      a）應(yīng)按GB/T 20271-2006中5.1.5a）會(huì)話建立機(jī)制的要求，根據(jù)訪問(wèn)地址或端口，允許或拒絕用戶的登錄；

      b）應(yīng)按GB/T 20271-2006中5.1.5c）多重并發(fā)會(huì)話限定的要求，限制系統(tǒng)并發(fā)會(huì)話的最大數(shù)量，并利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)。

6.1.2.4 安全策略配置

      應(yīng)對(duì)身份鑒別、網(wǎng)絡(luò)安全保護(hù)、資源利用、用戶登錄訪問(wèn)控制提供安全策略配置功能。

6.1.3 安全保障要求

6.1.3.1 開(kāi)發(fā)

6.1.3.1.1 安全架構(gòu)

      開(kāi)發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔，安全架構(gòu)描述文檔應(yīng)符合以下要求：

      a）與SSOOS設(shè)計(jì)文檔中對(duì)安全功能要求和自身安全保護(hù)要求的描述一致；

      b）描述SSOOS的安全域；

      c）描述SSOOS初始化過(guò)程為何是安全的；

      d）證實(shí)SSOOS能夠防止被破壞；

      e）證實(shí) SSOOS能夠防止被旁路。

6.1.3.1.2 功能規(guī)范說(shuō)明

      開(kāi)發(fā)者應(yīng)提供功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)符合以下要求：

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買(mǎi)標(biāo)準(zhǔn)正版。