犐犆犛犔犌犅犜犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿犌犅犜目次前言范围规范性引用文件术语和定义缩略语产品描述安全技术要求第一级用户自主保护级安全功能要求自身安全要求安全保障要求第二级系统审计保护级安全功能要求自身安全要求安全保障要求第三级安全标记保护级安全功能要求自身安全要求安全保障要求第四级结构化保护级安全功能要求自身安全要求安全保障要求第五级访问验证保护级安全功能要求自身安全要求安全保障要求附录资料性附录操作系统安全技术要求分级表参考文献犌犅犜前言本标准按照给出的规则起草本标准代替信息安全技术操作系统安全技术要求与相比除编辑性修改外主要技术变化如下删除了操作系统安全技术安全策略安全功能策略安全要素安全功能控制范围的术语和定义见年版的删除了安全功能策略控制范围安全策略的缩略语见年版的增加了用户标识符的缩略语见第章增加了网络安全保护安全功能要求见增加了数据加密安全功能要求见增加了可信信道安全功能要求见在安全功能中将标记强制访问控制合并为标记和强制访问控制见删除了数据流控制安全功能要求见年版的增加了可信度量自身安全要求见增加了可信恢复自身安全要求见增加了安全策略配置自身安全要求见删除了物理安全保护见年版的将访问控制修改为用户登录访问控制见将数据安全保护中的相关内容整合到数据完整性数据保密性可信路径等安全功能中见将设计和实现修改为安全保障要求并根据的要求进行了相应的修改见年版的删除了安全管理要求见年版的请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位公安部第三研究所北京江南天安科技有限公司中科方德软件有限公司中标软件有限公司天津麒麟信息技术有限公司普华基础软件股份有限公司北京凝思软件股份有限公司本标准主要起草人邱梓华宋好好陈妍胡亚兰顾健陈冠直徐宁魏立峰吴永成朱健伟王戍靖吉增瑞丁丽萍董军平龚文郎金刚谭一鸣胡丹妮杨诏钧戴华东王玉成孟健宫敏彭志航本标准所代替标准的历次版本发布情况为犌犅犜信息安全技术操作系统安全技术要求范围本标准规定了五个安全等级操作系统的安全技术要求本标准适用于操作系统安全性的研发测试维护和评价规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件计算机信息系统安全保护等级划分准则信息技术安全技术信息技术安全评估准则第部分安全保障组件信息安全技术信息系统通用安全技术要求信息安全技术终端计算机通用安全技术要求与测试评价方法术语和定义和界定的以及下列术语和定义适用于本文件操作系统安全狊犲犮狌狉犻狋狔狅犳狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿操作系统自身以及其所存储传输和处理的信息的保密性完整性和可用性操作系统安全子系统狊犲犮狌狉犻狋狔狊狌犫狊狔狊狋犲犿狅犳狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿操作系统中安全保护装置的总称包括硬件固件软件和负责执行安全策略的组合体缩略语下列缩略语适用于本文件安全功能操作系统安全子系统用户标识符产品描述资源管理包括设备硬件资源和数据资源是操作系统最为基本的功能操作系统中对资源的安全保护由来实现是操作系统中所有安全保护装置的组合体一般包含多个每个安全功能模块是一个或多个安全功能策略的具体实现中的所有安全功能策略构成了一个安全域以保护犌犅犜整个操作系统的安全为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强每一级的新增部分用黑体表示附录中的操作系统安全技术要求分级表以表格形式列举了操作系统五个安全等级的安全功能要求自身安全要求和安全保障要求安全技术要求第一级用户自主保护级安全功能要求身份鉴别的身份鉴别功能如下用户标识功能用户进入操作系统前应先进行标识操作系统用户标识宜使用用户名和用户鉴别功能采用口令进行鉴别并在每次用户登录系统时和系统重新连接时进行鉴别口令应是不可见的在存储和传输时进行安全保护确保其不被非授权的访问修改和删除通过对不成功的鉴别尝试的值包括尝试次数和时间的阈值进行预先定义并明确规定达到该值时采取的措施来实现鉴别失败的处理对注册到操作系统的用户应将用户进程与其所有者用户相关联使用户进程的行为可以追溯到进程的所有者用户自主访问控制的自主访问控制功能如下客体的拥有者对其拥有的全部客体应有权修改其访问权限客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性访问控制属性至少包括读写执行等主体对客体的访问应遵循该客体的自主访问控制权限属性将访问控制客体的颗粒度控制在文件和目录数据完整性对操作系统内部传输的用户数据如进程间的通信应具备保证用户数据完整性的功能网络安全保护支持基于地址端口物理接口的双向网络访问控制将不符合预先设定策略的数据包丢弃自身安全要求运行安全保护运行安全保护功能如下应提供一个设置和升级配置参数的安装机制在初始化和对与安全有关的数据结构进行保护犌犅犜之前应对用户和管理员的安全策略属性进行定义应区分普通操作模式和系统维护模式在出现故障或中断后应使其以最小的损害得到恢复并按中失败保护所描述的内容处理故障操作系统的开发者应针对发现的漏洞及时发布补丁操作系统的管理者应及时运用补丁对操作系统的漏洞进行修补资源利用容错应通过一定措施确保当系统出现某些确定的故障情况时也能维持正常运行服务优先级应采取服务优先级策略设置主体使用控制范围内某个资源子集的优先级进行操作系统资源的管理和分配资源分配应按中最大限额资源分配的要求进行操作系统资源的管理和分配配额机制确保用户和主体将不会独占某种受控的资源用户登录访问控制的用户登录访问控制功能如下应按中会话建立机制的要求根据访问地址或端口允许或拒绝用户的登录应按中多重并发会话限定的要求限制系统并发会话的最大数量并利用默认值作为会话次数的限定数安全策略配置应对身份鉴别网络安全保护资源利用用户登录访问控制提供安全策略配置功能安全保障要求开发安全架构开发者应提供的安全架构描述文档安全架构描述文档应符合以下要求与设计文档中对安全功能要求和自身安全保护要求的描述一致描述的安全域描述初始化过程为何是安全的证实能够防止被破坏证实能够防止被旁路功能规范说明开发者应提供功能规范说明功能规范说明应符合以下要求犌犅犜完全描述和自身安全保护描述所有接口的目的与使用方法标识和描述每个接口相关的全部参数描述实施过程中与接口相关的行为证实安全功能要求和自身安全保护要求到接口的追溯犛犛犗犗犛设计开发者应提供设计文档设计文档应符合以下要求描述的结构描述所有安全功能和自身安全保护模块包括其目的及与其他模块间的相互作用提供每一个安全功能和自身安全保护的描述描述安全功能和自身安全保护间的相互作用根据模块描述安全功能和自身安全保护指导性文档操作用户指南开发者应提供明确和合理的操作用户指南操作用户指南与为评估而提供的其他所有文档保持一致对每一种用户角色的描述应符合以下要求描述在安全处理环境中用户可访问的功能和特权并包含可能造成危害的警示信息描述如何以安全的方式使用提供的安全功能和自身安全保护描述安全功能和自身安全保护及接口尤其是受用户控制的所有安全参数适当时指明安全值明确说明安全功能和自身安全保护有关的每一种安全相关事件包括改变所控制实体的安全特性标识运行的所有可能状态包括操作导致的失败或者操作性错误以及它们与维持安全运行之间的因果关系和联系描述为确保安全运行应执行的安全策略准备程序开发者应提供操作系统及其准备程序准备程序描述应符合以下要求描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤描述安全安装操作系统及其运行环境必需的所有步骤生存周期支持配置管理能力开发者的配置管理能力应符合以下要求为操作系统的不同版本提供唯一的标识提供配置管理文档配置管理文档描述用于唯一标识配置项的方法配置管理系统唯一标识所有配置项配置管理范围开发者应提供配置项列表并简要说明配置项的开发者配置项列表应包含以下内容犌犅犜安全保障要求的评估证据和的组成部分唯一标识配置项对于每一个安全功能相关的配置项配置项列表简要说明该配置项的开发者交付程序开发者应使用一定的交付程序交付操作系统并将交付过程文档化在给用户方交付指定版本操作系统时交付文档应描述为维护安全所必需的所有程序测试覆盖开发者应提供测试覆盖文档测试覆盖的证据应表明测试文档中的测试与功能规范说明中接口之间的对应性功能测试开发者应测试和自身安全保护功能测试文档应包括以下内容测试计划标识要执行的测试并描述执行每个测试的方案这些方案包括对于其他测试结果的任何顺序依赖性预期的测试结果表明测试完成后的预期输出实际测试结果和预期的测试结果一致证实已知的漏洞被改正消除或使其无效并在消除漏洞后重新测试以证实它们已被消除且没有引出新的漏洞独立测试开发者应提供一组与其自测时使用的同等资源以用于的测试密码测试开发者应对所使用的对称非对称和杂凑密码算法进行正确性和符合性测试确保实际运算结果与预期的正确结果相符开发者应确保使用符合国家密码相关规定的对称非对称和杂凑密码算法脆弱性评定基于已标识的潜在脆弱性操作系统应抵抗具有基本攻击潜力的攻击者的攻击注抵抗基本攻击潜力的攻击者的攻击需要根据以下个具体因素综合考虑攻击时间攻击者能力对操作系统的了解程度访问操作系统时间或攻击样品数量使用的攻击设备见附录中的第二级系统审计保护级安全功能要求身份鉴别的身份鉴别功能如下用户标识功能用户进入操作系统前应先进行标识操作系统用户标识应使用用户名和并在操作系统的整个生存周期实现用户的唯一犌犅犜性标识以及用户名或别名等之间的一致性用户鉴别功能采用强化管理的口令鉴别基于令牌的动态口令鉴别等机制并在每次用户登录系统时和系统重新连接时进行鉴别鉴别信息应是不可见的在存储和传输时进行安全保护确保其不被非授权的访问修改和删除通过对不成功的鉴别尝试的值包括尝试次数和时间的阈值进行预先定义并明确规定达到该值时采取的措施来实现鉴别失败的处理对注册到操作系统的用户应将用户进程与其所有者用户相关联使用户进程的行为可以追溯到进程的所有者用户自主访问控制的自主访问控制功能如下客体的拥有者对其拥有的全部客体应有权修改其访问权限客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性访问控制属性至少包括读写执行等主体对客体的访问应遵循该客体的自主访问控制权限属性将访问控制客体的颗粒度控制在文件和目录当主体生成一个客体时该客体应具有该主体设置的自主访问控制权限属性的默认值自主访问控制应能与身份鉴别和审计相结合通过确认用户身份的真实性和记录用户的各种访问使用户对自己的行为承担明确的责任安全审计犛犛犗犗犛的安全审计功能如下应能对以下事件生成审计日志身份鉴别自主访问控制等安全功能的使用创建删除客体的操作网络会话所有管理员的操作审计记录要求如下每条审计记录应包括