GBT202722019信息安全技术操作系统安全技术要求

书书书犐犆犛３５．０４０犔８０!#$%&’’()*犌犅／犜２０２７２—２０１９!ＧＢ／Ｔ２０２７２—２００６!#$%&　’()*#$%&+,犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿２０１９０８３０-.２０２００３０１/0’(+,-./012!’’()*3/0456-.目　　次前言Ⅰ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义１………………………………………………………………………………………………４　缩略语１……………………………………………………………………………………………………５　产品描述１…………………………………………………………………………………………………６　安全技术要求２……………………………………………………………………………………………　６．１　第一级：用户自主保护级２……………………………………………………………………………　　６．１．１　安全功能要求２…………………………………………………………………………………　　６．１．２　自身安全要求２…………………………………………………………………………………　　６．１．３　安全保障要求３…………………………………………………………………………………　６．２　第二级：系统审计保护级５……………………………………………………………………………　　６．２．１　安全功能要求５…………………………………………………………………………………　　６．２．２　自身安全要求７…………………………………………………………………………………　　６．２．３　安全保障要求９…………………………………………………………………………………　６．３　第三级：安全标记保护级１１…………………………………………………………………………　　６．３．１　安全功能要求１１…………………………………………………………………………………　　６．３．２　自身安全要求１４…………………………………………………………………………………　　６．３．３　安全保障要求１６…………………………………………………………………………………　６．４　第四级：结构化保护级１９……………………………………………………………………………　　６．４．１　安全功能要求１９…………………………………………………………………………………　　６．４．２　自身安全要求２２…………………………………………………………………………………　　６．４．３　安全保障要求２４…………………………………………………………………………………　６．５　第五级：访问验证保护级２７…………………………………………………………………………　　６．５．１　安全功能要求２７…………………………………………………………………………………　　６．５．２　自身安全要求３０…………………………………………………………………………………　　６．５．３　安全保障要求３２…………………………………………………………………………………附录Ａ（资料性附录）操作系统安全技术要求分级表３７……………………………………………………参考文献３８……………………………………………………………………………………………………犌犅／犜２０２７２—２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准代替ＧＢ／Ｔ２０２７２—２００６《信息安全技术　操作系统安全技术要求》，与ＧＢ／Ｔ２０２７２—２００６相比，除编辑性修改外主要技术变化如下：———删除了“操作系统安全技术”“ＳＳＯＯＳ安全策略”“安全功能策略”“安全要素”“ＳＳＯＯＳ安全功能”“ＳＳＦ控制范围”的术语和定义（见２００６年版的３．１．２、３．１．４、３．１．５、３．１．６、３．１．７、３．１．８）；———删除了“ＳＦＰ安全功能策略”“ＳＳＣＳＳＦ控制范围”“ＳＳＰＳＳＯＯＳ安全策略”的缩略语（见２００６年版的３．２）；———增加了“ＵＩＤ用户标识符”的缩略语（见第４章）；———增加了“网络安全保护”安全功能要求（见６．１．１．４、６．２．１．６、６．３．１．７、６．４．１．９、６．５．１．９）；———增加了“数据加密”安全功能要求（见６．２．１．５．１、６．３．１．６．２、６．４．１．６．２、６．５．１．６．２）；———增加了“可信信道”安全功能要求（见６．４．１．８、６．５．１．８）；———在“安全功能”中，将“标记”“强制访问控制”合并为“标记和强制访问控制”（见６．３．１．３、６．４．１．３、６．５．１．３）；———删除了“数据流控制”安全功能要求（见２００６年版的４．３．１．５、４．４．１．５、４．５．１．５）；———增加了“可信度量”自身安全要求（见６．２．２．４、６．３．２．４、６．４．２．４、６．５．２．４）；———增加了“可信恢复”自身安全要求（见６．４．２．５、６．５．２．５）；———增加了“安全策略配置”自身安全要求（见６．１．２．４、６．２．２．５、６．３．２．５、６．４．２．６、６．５．２．６）；———删除了“ＳＳＦ物理安全保护”（见２００６年版的４．１．２．１、４．２．２．１、４．３．２．１、４．４．２．１、４．５．２．１）；———将“ＳＳＯＯＳ访问控制”修改为“用户登录访问控制”（见６．１．２．３、６．２．２．３、６．３．２．３、６．４．２．３、６．５．２．３）；———将“ＳＳＦ数据安全保护”中的相关内容，整合到“数据完整性”“数据保密性”“可信路径”等安全功能中（见６．１．１．３、６．２．１．４、６．２．１．５、６．３．１．５、６．３．１．６、６．４．１．５、６．４．１．６、６．４．１．７、６．５．１．５、６．５．１．６、６．５．１．７）；———将“ＳＳＯＯＳ设计和实现”修改为“安全保障要求”，并根据ＧＢ／Ｔ１８３３６．３—２０１５的要求，进行了相应的修改（见６．１．３、６．２．３、６．３．３、６．４．３、６．５．３，２００６年版的４．１．３、４．２．３、４．３．３、４．４．３、４．５．３）；———删除了“ＳＳＯＯＳ安全管理”要求（见２００６年版的４．１．４、４．２．４、４．３．４、４．４．４、４．５．４）。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口。本标准起草单位：公安部第三研究所、北京江南天安科技有限公司、中科方德软件有限公司、中标软件有限公司、天津麒麟信息技术有限公司、普华基础软件股份有限公司、北京凝思软件股份有限公司。本标准主要起草人：邱梓华、宋好好、陈妍、胡亚兰、顾健、陈冠直、徐宁、魏立峰、吴永成、朱健伟、王戍靖、吉增瑞、丁丽萍、董军平、龚文、郎金刚、谭一鸣、胡丹妮、杨诏钧、戴华东、王玉成、孟健、宫敏、彭志航。本标准所代替标准的历次版本发布情况为：———ＧＢ／Ｔ２０２７２—２００６。Ⅰ犌犅／犜２０２７２—２０１９信息安全技术　操作系统安全技术要求１　范围本标准规定了五个安全等级操作系统的安全技术要求。本标准适用于操作系统安全性的研发、测试、维护和评价。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ＧＢ１７８５９—１９９９　计算机信息系统　安全保护等级划分准则ＧＢ／Ｔ１８３３６．３—２０１５　信息技术　安全技术信息技术安全评估准则　第３部分：安全保障组件ＧＢ／Ｔ２０２７１—２００６　信息安全技术　信息系统通用安全技术要求ＧＢ／Ｔ２９２４０—２０１２　信息安全技术　终端计算机通用安全技术要求与测试评价方法３　术语和定义ＧＢ１７８５９—１９９９、ＧＢ／Ｔ１８３３６．３—２０１５、ＧＢ／Ｔ２０２７１—２００６和ＧＢ／Ｔ２９２４０—２０１２界定的以及下列术语和定义适用于本文件。３．１操作系统安全　狊犲犮狌狉犻狋狔狅犳狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿操作系统自身以及其所存储、传输和处理的信息的保密性、完整性和可用性。３．２操作系统安全子系统　狊犲犮狌狉犻狋狔狊狌犫狊狔狊狋犲犿狅犳狅狆犲狉犪狋犻狀犵狊狔狊狋犲犿操作系统中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。４　缩略语下列缩略语适用于本文件。ＳＳＦ：ＳＳＯＯＳ安全功能（ＳＳＯＯＳＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎ）ＳＳＯＯＳ：操作系统安全子系统（ＳｅｃｕｒｉｔｙＳｕｂｓｙｓｔｅｍｏｆＯｐｅｒａｔｉｎｇＳｙｓｔｅｍ）ＵＩＤ：用户标识符（ＵｓｅｒＩｄｅｎｔｉｆｉｅｒ）５　产品描述资源管理（包括设备硬件资源和数据资源）是操作系统最为基本的功能，操作系统中对资源的安全保护由ＳＳＯＯＳ来实现。ＳＳＯＯＳ是操作系统中所有安全保护装置的组合体。ＳＳＯＯＳ一般包含多个ＳＳＦ，每个安全功能模块是一个或多个安全功能策略的具体实现。ＳＳＯＯＳ中的所有安全功能策略构成了一个安全域，以保护１犌犅／犜２０２７２—２０１９整个操作系统的安全。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，每一级的新增部分用“黑体”表示。附录Ａ中的操作系统安全技术要求分级表，以表格形式列举了操作系统五个安全等级的安全功能要求、自身安全要求和安全保障要求。６　安全技术要求６．１　第一级：用户自主保护级６．１．１　安全功能要求６．１．１．１　身份鉴别ＳＳＯＯＳ的身份鉴别功能如下：ａ）　用户标识功能：１）　用户进入操作系统前，应先进行标识；２）　操作系统用户标识宜使用用户名和ＵＩＤ。ｂ）　用户鉴别功能：１）　采用口令进行鉴别，并在每次用户登录系统时和系统重新连接时进行鉴别；２）　口令应是不可见的，在存储和传输时进行安全保护，确保其不被非授权的访问、修改和删除；３）　通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时采取的措施来实现鉴别失败的处理。ｃ）　对注册到操作系统的用户，应将用户进程与其所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户。６．１．１．２　自主访问控制ＳＳＯＯＳ的自主访问控制功能如下：ａ）　客体的拥有者对其拥有的全部客体应有权修改其访问权限；ｂ）　客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性，访问控制属性至少包括：读、写、执行等；ｃ）　主体对客体的访问应遵循该客体的自主访问控制权限属性；ｄ）　将访问控制客体的颗粒度控制在文件和目录。６．１．１．３　数据完整性对操作系统内部传输的用户数据（如进程间的通信），应具备保证用户数据完整性的功能。６．１．１．４　网络安全保护支持基于ＩＰ地址、端口、物理接口的双向网络访问控制，将不符合预先设定策略的数据包丢弃。６．１．２　自身安全要求６．１．２．１　运行安全保护ＳＳＦ运行安全保护功能如下：ａ）　应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护２犌犅／犜２０２７２—２０１９之前，应对用户和管理员的安全策略属性进行定义。ｂ）　应区分普通操作模式和系统维护模式。ｃ）　在ＳＳＯＯＳ出现故障或中断后，应使其以最小的损害得到恢复，并按ＧＢ／Ｔ２０２７１—２００６中５．１．２．２失败保护所描述的内容，处理ＳＳＦ故障。ｄ）　操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操作系统的漏洞进行修补。６．１．２．２　资源利用６．１．２．２．１　容错应通过一定措施确保当系统出现某些确定的故障情况时，ＳＳＦ也能维持正常运行。６．１．２．２．２　服务优先级应采取服务优先级策略，设置主体使用ＳＳＦ控制范围内某个资源子集的