1 范圍

      本標準規(guī)定了五個安全等級操作系統(tǒng)的安全技術(shù)要求。

      本標準適用于操作系統(tǒng)安全性的研發(fā)、測試、維護和評價。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859-1999 計算機信息系統(tǒng) 安全保護等級劃分準則

      GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準則 第3部分：安全保障組件

      GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求

      GB/T 29240-2012 信息安全技術(shù) 終端計算機通用安全技術(shù)要求與測試評價方法

3 術(shù)語和定義

      GB 17859-1999、GB/T 18336.3-2015、GB/T 20271-2006和GB/T 29240-2012界定的以及下列術(shù)語和定義適用于本文件。

3.1

      操作系統(tǒng)安全 security of operating system

      操作系統(tǒng)自身以及其所存儲、傳輸和處理的信息的保密性、完整性和可用性。

3.2

      操作系統(tǒng)安全子系統(tǒng) security subsystem of operating system

      操作系統(tǒng)中安全保護裝置的總稱，包括硬件、固件、軟件和負責(zé)執(zhí)行安全策略的組合體。

4 縮略語

      下列縮略語適用于本文件。

      SSF：SSOOS安全功能（SSOOS Security Function）

      SSOOS：操作系統(tǒng)安全子系統(tǒng)（Security Subsystem of Operating System）

      UID：用戶標識符（User Identifier）

5 產(chǎn)品描述

      資源管理（包括設(shè)備硬件資源和數(shù)據(jù)資源）是操作系統(tǒng)最為基本的功能，操作系統(tǒng)中對資源的安全保護由SSOOS來實現(xiàn)。

      SSOOS是操作系統(tǒng)中所有安全保護裝置的組合體。SSOOS一般包含多個SSF，每個安全功能模塊是一個或多個安全功能策略的具體實現(xiàn)。SSOOS中的所有安全功能策略構(gòu)成了一個安全域，以保護整個操作系統(tǒng)的安全。

      為清晰表示每一個安全等級比較低一級安全等級的安全技術(shù)要求的增加和增強，每一級的新增部分用“黑體”表示。附錄A中的操作系統(tǒng)安全技術(shù)要求分級表，以表格形式列舉了操作系統(tǒng)五個安全等級的安全功能要求、自身安全要求和安全保障要求。

6 安全技術(shù)要求

6.1 第一級：用戶自主保護級

6.1.1 安全功能要求

6.1.1.1 身份鑒別

      SSOOS的身份鑒別功能如下：

      a）用戶標識功能：

      1）用戶進入操作系統(tǒng)前，應(yīng)先進行標識；

      2）操作系統(tǒng)用戶標識宜使用用戶名和UID。

      b）用戶鑒別功能：

      1）采用口令進行鑒別，并在每次用戶登錄系統(tǒng)時和系統(tǒng)重新連接時進行鑒別；

      2）口令應(yīng)是不可見的，在存儲和傳輸時進行安全保護，確保其不被非授權(quán)的訪問、修改和刪除；

      3）通過對不成功的鑒別嘗試的值（包括嘗試次數(shù)和時間的閾值）進行預(yù)先定義，并明確規(guī)定達到該值時采取的措施來實現(xiàn)鑒別失敗的處理。

      c）對注冊到操作系統(tǒng)的用戶，應(yīng)將用戶進程與其所有者用戶相關(guān)聯(lián)，使用戶進程的行為可以追溯到進程的所有者用戶。

6.1.1.2 自主訪問控制

      SSOOS的自主訪問控制功能如下：

      a) 客體的擁有者對其擁有的全部客體應(yīng)有權(quán)修改其訪問權(quán)限；

      b）客體的擁有者應(yīng)能對其擁有的客體設(shè)置其他用戶的訪問控制屬性，訪問控制屬性至少包括：讀、寫、執(zhí)行等；

      c）主體對客體的訪問應(yīng)遵循該客體的自主訪問控制權(quán)限屬性；

      d）將訪問控制客體的顆粒度控制在文件和目錄。

6.1.1.3 數(shù)據(jù)完整性

      對操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)（如進程間的通信），應(yīng)具備保證用戶數(shù)據(jù)完整性的功能。

6.1.1.4 網(wǎng)絡(luò)安全保護

      支持基于IP地址、端口、物理接口的雙向網(wǎng)絡(luò)訪問控制，將不符合預(yù)先設(shè)定策略的數(shù)據(jù)包丟棄。

6.1.2 自身安全要求

6.1.2.1 運行安全保護

      SSF運行安全保護功能如下：

      a）應(yīng)提供一個設(shè)置和升級配置參數(shù)的安裝機制。在初始化和對與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進行保護之前，應(yīng)對用戶和管理員的安全策略屬性進行定義。

      b）應(yīng)區(qū)分普通操作模式和系統(tǒng)維護模式。

      c）在SSOOS出現(xiàn)故障或中斷后，應(yīng)使其以最小的損害得到恢復(fù)，并按GB/T 20271-2006中5.1.2.2失敗保護所描述的內(nèi)容，處理SSF故障。

      d）操作系統(tǒng)的開發(fā)者應(yīng)針對發(fā)現(xiàn)的漏洞及時發(fā)布補丁。操作系統(tǒng)的管理者應(yīng)及時運用補丁對操作系統(tǒng)的漏洞進行修補。

6.1.2.2 資源利用

6.1.2.2.1 容錯

      應(yīng)通過一定措施確保當系統(tǒng)出現(xiàn)某些確定的故障情況時，SSF也能維持正常運行。

6.1.2.2.2 服務(wù)優(yōu)先級

      應(yīng)采取服務(wù)優(yōu)先級策略，設(shè)置主體使用SSF控制范圍內(nèi)某個資源子集的優(yōu)先級，進行操作系統(tǒng)資源的管理和分配。

6.1.2.2.3 資源分配

      應(yīng)按GB/T 20271-2006中5.1.4.2a）最大限額資源分配的要求，進行操作系統(tǒng)資源的管理和分配。配額機制確保用戶和主體將不會獨占某種受控的資源。

6.1.2.3 用戶登錄訪問控制

      SSOOS的用戶登錄訪問控制功能如下：

      a）應(yīng)按GB/T 20271-2006中5.1.5a）會話建立機制的要求，根據(jù)訪問地址或端口，允許或拒絕用戶的登錄；

      b）應(yīng)按GB/T 20271-2006中5.1.5c）多重并發(fā)會話限定的要求，限制系統(tǒng)并發(fā)會話的最大數(shù)量，并利用默認值作為會話次數(shù)的限定數(shù)。

6.1.2.4 安全策略配置

      應(yīng)對身份鑒別、網(wǎng)絡(luò)安全保護、資源利用、用戶登錄訪問控制提供安全策略配置功能。

6.1.3 安全保障要求

6.1.3.1 開發(fā)

6.1.3.1.1 安全架構(gòu)

      開發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔，安全架構(gòu)描述文檔應(yīng)符合以下要求：

      a）與SSOOS設(shè)計文檔中對安全功能要求和自身安全保護要求的描述一致；

      b）描述SSOOS的安全域；

      c）描述SSOOS初始化過程為何是安全的；

      d）證實SSOOS能夠防止被破壞；

      e）證實 SSOOS能夠防止被旁路。

6.1.3.1.2 功能規(guī)范說明

      開發(fā)者應(yīng)提供功能規(guī)范說明，功能規(guī)范說明應(yīng)符合以下要求：

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。