1 范圍

      本標準規定了五個安全等級操作系統的安全技術要求。

      本標準適用于操作系統安全性的研發、測試、維護和評價。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB 17859-1999 計算機信息系統 安全保護等級劃分準則

      GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障組件

      GB/T 20271-2006 信息安全技術 信息系統通用安全技術要求

      GB/T 29240-2012 信息安全技術 終端計算機通用安全技術要求與測試評價方法

3 術語和定義

      GB 17859-1999、GB/T 18336.3-2015、GB/T 20271-2006和GB/T 29240-2012界定的以及下列術語和定義適用于本文件。

3.1

      操作系統安全 security of operating system

      操作系統自身以及其所存儲、傳輸和處理的信息的保密性、完整性和可用性。

3.2

      操作系統安全子系統 security subsystem of operating system

      操作系統中安全保護裝置的總稱，包括硬件、固件、軟件和負責執行安全策略的組合體。

4 縮略語

      下列縮略語適用于本文件。

      SSF：SSOOS安全功能（SSOOS Security Function）

      SSOOS：操作系統安全子系統（Security Subsystem of Operating System）

      UID：用戶標識符（User Identifier）

5 產品描述

      資源管理（包括設備硬件資源和數據資源）是操作系統最為基本的功能，操作系統中對資源的安全保護由SSOOS來實現。

      SSOOS是操作系統中所有安全保護裝置的組合體。SSOOS一般包含多個SSF，每個安全功能模塊是一個或多個安全功能策略的具體實現。SSOOS中的所有安全功能策略構成了一個安全域，以保護整個操作系統的安全。

      為清晰表示每一個安全等級比較低一級安全等級的安全技術要求的增加和增強，每一級的新增部分用“黑體”表示。附錄A中的操作系統安全技術要求分級表，以表格形式列舉了操作系統五個安全等級的安全功能要求、自身安全要求和安全保障要求。

6 安全技術要求

6.1 第一級：用戶自主保護級

6.1.1 安全功能要求

6.1.1.1 身份鑒別

      SSOOS的身份鑒別功能如下：

      a）用戶標識功能：

      1）用戶進入操作系統前，應先進行標識；

      2）操作系統用戶標識宜使用用戶名和UID。

      b）用戶鑒別功能：

      1）采用口令進行鑒別，并在每次用戶登錄系統時和系統重新連接時進行鑒別；

      2）口令應是不可見的，在存儲和傳輸時進行安全保護，確保其不被非授權的訪問、修改和刪除；

      3）通過對不成功的鑒別嘗試的值（包括嘗試次數和時間的閾值）進行預先定義，并明確規定達到該值時采取的措施來實現鑒別失敗的處理。

      c）對注冊到操作系統的用戶，應將用戶進程與其所有者用戶相關聯，使用戶進程的行為可以追溯到進程的所有者用戶。

6.1.1.2 自主訪問控制

      SSOOS的自主訪問控制功能如下：

      a) 客體的擁有者對其擁有的全部客體應有權修改其訪問權限；

      b）客體的擁有者應能對其擁有的客體設置其他用戶的訪問控制屬性，訪問控制屬性至少包括：讀、寫、執行等；

      c）主體對客體的訪問應遵循該客體的自主訪問控制權限屬性；

      d）將訪問控制客體的顆粒度控制在文件和目錄。

6.1.1.3 數據完整性

      對操作系統內部傳輸的用戶數據（如進程間的通信），應具備保證用戶數據完整性的功能。

6.1.1.4 網絡安全保護

      支持基于IP地址、端口、物理接口的雙向網絡訪問控制，將不符合預先設定策略的數據包丟棄。

6.1.2 自身安全要求

6.1.2.1 運行安全保護

      SSF運行安全保護功能如下：

      a）應提供一個設置和升級配置參數的安裝機制。在初始化和對與安全有關的數據結構進行保護之前，應對用戶和管理員的安全策略屬性進行定義。

      b）應區分普通操作模式和系統維護模式。

      c）在SSOOS出現故障或中斷后，應使其以最小的損害得到恢復，并按GB/T 20271-2006中5.1.2.2失敗保護所描述的內容，處理SSF故障。

      d）操作系統的開發者應針對發現的漏洞及時發布補丁。操作系統的管理者應及時運用補丁對操作系統的漏洞進行修補。

6.1.2.2 資源利用

6.1.2.2.1 容錯

      應通過一定措施確保當系統出現某些確定的故障情況時，SSF也能維持正常運行。

6.1.2.2.2 服務優先級

      應采取服務優先級策略，設置主體使用SSF控制范圍內某個資源子集的優先級，進行操作系統資源的管理和分配。

6.1.2.2.3 資源分配

      應按GB/T 20271-2006中5.1.4.2a）最大限額資源分配的要求，進行操作系統資源的管理和分配。配額機制確保用戶和主體將不會獨占某種受控的資源。

6.1.2.3 用戶登錄訪問控制

      SSOOS的用戶登錄訪問控制功能如下：

      a）應按GB/T 20271-2006中5.1.5a）會話建立機制的要求，根據訪問地址或端口，允許或拒絕用戶的登錄；

      b）應按GB/T 20271-2006中5.1.5c）多重并發會話限定的要求，限制系統并發會話的最大數量，并利用默認值作為會話次數的限定數。

6.1.2.4 安全策略配置

      應對身份鑒別、網絡安全保護、資源利用、用戶登錄訪問控制提供安全策略配置功能。

6.1.3 安全保障要求

6.1.3.1 開發

6.1.3.1.1 安全架構

      開發者應提供SSOOS的安全架構描述文檔，安全架構描述文檔應符合以下要求：

      a）與SSOOS設計文檔中對安全功能要求和自身安全保護要求的描述一致；

      b）描述SSOOS的安全域；

      c）描述SSOOS初始化過程為何是安全的；

      d）證實SSOOS能夠防止被破壞；

      e）證實 SSOOS能夠防止被旁路。

6.1.3.1.2 功能規范說明

      開發者應提供功能規范說明，功能規范說明應符合以下要求：

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。