1 范圍
本標(biāo)準(zhǔn)規(guī)定了五個安全等級操作系統(tǒng)的安全技術(shù)要求。
本標(biāo)準(zhǔn)適用于操作系統(tǒng)安全性的研發(fā)�、測試�����、維護(hù)和評價�。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件����,僅注日期的版本適用于本文件。凡是不注日期的引用文件�����,其最新版本(包括所有的修改單)適用于本文件��。
GB 17859-1999 計算機(jī)信息系統(tǒng) 安全保護(hù)等級劃分準(zhǔn)則
GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準(zhǔn)則 第3部分:安全保障組件
GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求
GB/T 29240-2012 信息安全技術(shù) 終端計算機(jī)通用安全技術(shù)要求與測試評價方法
3 術(shù)語和定義
GB 17859-1999��、GB/T 18336.3-2015�、GB/T 20271-2006和GB/T 29240-2012界定的以及下列術(shù)語和定義適用于本文件。
3.1
操作系統(tǒng)安全 security of operating system
操作系統(tǒng)自身以及其所存儲����、傳輸和處理的信息的保密性�、完整性和可用性����。
3.2
操作系統(tǒng)安全子系統(tǒng) security subsystem of operating system
操作系統(tǒng)中安全保護(hù)裝置的總稱,包括硬件�����、固件����、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。
4 縮略語
下列縮略語適用于本文件�。
SSF:SSOOS安全功能(SSOOS Security Function)
SSOOS:操作系統(tǒng)安全子系統(tǒng)(Security Subsystem of Operating System)
UID:用戶標(biāo)識符(User Identifier)
5 產(chǎn)品描述
資源管理(包括設(shè)備硬件資源和數(shù)據(jù)資源)是操作系統(tǒng)最為基本的功能,操作系統(tǒng)中對資源的安全保護(hù)由SSOOS來實(shí)現(xiàn)����。
SSOOS是操作系統(tǒng)中所有安全保護(hù)裝置的組合體。SSOOS一般包含多個SSF���,每個安全功能模塊是一個或多個安全功能策略的具體實(shí)現(xiàn)���。SSOOS中的所有安全功能策略構(gòu)成了一個安全域,以保護(hù)整個操作系統(tǒng)的安全��。
為清晰表示每一個安全等級比較低一級安全等級的安全技術(shù)要求的增加和增強(qiáng),每一級的新增部分用“黑體”表示����。附錄A中的操作系統(tǒng)安全技術(shù)要求分級表,以表格形式列舉了操作系統(tǒng)五個安全等級的安全功能要求�����、自身安全要求和安全保障要求���。
6 安全技術(shù)要求
6.1 第一級:用戶自主保護(hù)級
6.1.1 安全功能要求
6.1.1.1 身份鑒別
SSOOS的身份鑒別功能如下:
a)用戶標(biāo)識功能:
1)用戶進(jìn)入操作系統(tǒng)前,應(yīng)先進(jìn)行標(biāo)識�;
2)操作系統(tǒng)用戶標(biāo)識宜使用用戶名和UID。
b)用戶鑒別功能:
1)采用口令進(jìn)行鑒別�,并在每次用戶登錄系統(tǒng)時和系統(tǒng)重新連接時進(jìn)行鑒別;
2)口令應(yīng)是不可見的���,在存儲和傳輸時進(jìn)行安全保護(hù)����,確保其不被非授權(quán)的訪問��、修改和刪除�����;
3)通過對不成功的鑒別嘗試的值(包括嘗試次數(shù)和時間的閾值)進(jìn)行預(yù)先定義,并明確規(guī)定達(dá)到該值時采取的措施來實(shí)現(xiàn)鑒別失敗的處理�。
c)對注冊到操作系統(tǒng)的用戶,應(yīng)將用戶進(jìn)程與其所有者用戶相關(guān)聯(lián)�,使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶。
6.1.1.2 自主訪問控制
SSOOS的自主訪問控制功能如下:
a) 客體的擁有者對其擁有的全部客體應(yīng)有權(quán)修改其訪問權(quán)限��;
b)客體的擁有者應(yīng)能對其擁有的客體設(shè)置其他用戶的訪問控制屬性�����,訪問控制屬性至少包括:讀����、寫、執(zhí)行等��;
c)主體對客體的訪問應(yīng)遵循該客體的自主訪問控制權(quán)限屬性��;
d)將訪問控制客體的顆粒度控制在文件和目錄��。
6.1.1.3 數(shù)據(jù)完整性
對操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)(如進(jìn)程間的通信)�����,應(yīng)具備保證用戶數(shù)據(jù)完整性的功能。
6.1.1.4 網(wǎng)絡(luò)安全保護(hù)
支持基于IP地址�����、端口���、物理接口的雙向網(wǎng)絡(luò)訪問控制���,將不符合預(yù)先設(shè)定策略的數(shù)據(jù)包丟棄��。
6.1.2 自身安全要求
6.1.2.1 運(yùn)行安全保護(hù)
SSF運(yùn)行安全保護(hù)功能如下:
a)應(yīng)提供一個設(shè)置和升級配置參數(shù)的安裝機(jī)制����。在初始化和對與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進(jìn)行保護(hù)之前,應(yīng)對用戶和管理員的安全策略屬性進(jìn)行定義�。
b)應(yīng)區(qū)分普通操作模式和系統(tǒng)維護(hù)模式。
c)在SSOOS出現(xiàn)故障或中斷后�����,應(yīng)使其以最小的損害得到恢復(fù)���,并按GB/T 20271-2006中5.1.2.2失敗保護(hù)所描述的內(nèi)容�,處理SSF故障。
d)操作系統(tǒng)的開發(fā)者應(yīng)針對發(fā)現(xiàn)的漏洞及時發(fā)布補(bǔ)丁����。操作系統(tǒng)的管理者應(yīng)及時運(yùn)用補(bǔ)丁對操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。
6.1.2.2 資源利用
6.1.2.2.1 容錯
應(yīng)通過一定措施確保當(dāng)系統(tǒng)出現(xiàn)某些確定的故障情況時���,SSF也能維持正常運(yùn)行��。
6.1.2.2.2 服務(wù)優(yōu)先級
應(yīng)采取服務(wù)優(yōu)先級策略�����,設(shè)置主體使用SSF控制范圍內(nèi)某個資源子集的優(yōu)先級���,進(jìn)行操作系統(tǒng)資源的管理和分配。
6.1.2.2.3 資源分配
應(yīng)按GB/T 20271-2006中5.1.4.2a)最大限額資源分配的要求����,進(jìn)行操作系統(tǒng)資源的管理和分配。配額機(jī)制確保用戶和主體將不會獨(dú)占某種受控的資源���。
6.1.2.3 用戶登錄訪問控制
SSOOS的用戶登錄訪問控制功能如下:
a)應(yīng)按GB/T 20271-2006中5.1.5a)會話建立機(jī)制的要求��,根據(jù)訪問地址或端口��,允許或拒絕用戶的登錄�����;
b)應(yīng)按GB/T 20271-2006中5.1.5c)多重并發(fā)會話限定的要求���,限制系統(tǒng)并發(fā)會話的最大數(shù)量��,并利用默認(rèn)值作為會話次數(shù)的限定數(shù)�����。
6.1.2.4 安全策略配置
應(yīng)對身份鑒別、網(wǎng)絡(luò)安全保護(hù)����、資源利用、用戶登錄訪問控制提供安全策略配置功能�。
6.1.3 安全保障要求
6.1.3.1 開發(fā)
6.1.3.1.1 安全架構(gòu)
開發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔,安全架構(gòu)描述文檔應(yīng)符合以下要求:
a)與SSOOS設(shè)計文檔中對安全功能要求和自身安全保護(hù)要求的描述一致�����;
b)描述SSOOS的安全域;
c)描述SSOOS初始化過程為何是安全的��;
d)證實(shí)SSOOS能夠防止被破壞�;
e)證實(shí) SSOOS能夠防止被旁路。
6.1.3.1.2 功能規(guī)范說明
開發(fā)者應(yīng)提供功能規(guī)范說明����,功能規(guī)范說明應(yīng)符合以下要求:
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文�����,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版��。
