(高清版)GB∕T 20272-2019 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求

ICS35.040L80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)代替GB/T20272—2006信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求I—2019-08-30發(fā)布2020-03-01實(shí)施國(guó)家市場(chǎng)監(jiān)督管理總局GB／T20272—2019 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4縮略語(yǔ) 5產(chǎn)品描述 6安全技術(shù)要求 6.1第一級(jí)：用戶(hù)自主保護(hù)級(jí) 6.1.1安全功能要求 6.1.3安全保障要求 6.2第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí) 6.2.1安全功能要求 6.2.2自身安全要求 6.2.3安全保障要求 6.3第三級(jí)：安全標(biāo)記保護(hù)級(jí) 6.3.1安全功能要求 6.3.3安全保障要求 6.4第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí) 6.4.1安全功能要求 6.4.2自身安全要求 6.4.3安全保障要求 6.5第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí) 6.5.1安全功能要求 6.5.3安全保障要求 附錄A（資料性附錄）操作系統(tǒng)安全技術(shù)要求分級(jí)表 參考文獻(xiàn) GB／T20272—2019本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)代替GB/T20272—2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》，與GB/T20272—2006相比，除編輯性修改外主要技術(shù)變化如下：—?jiǎng)h除了“操作系統(tǒng)安全技術(shù)”“SSOOS安全策略”“安全功能策略”“安全要素”“SSOOS安全功—?jiǎng)h除了“SFP安全功能策略”“SSCSSF控制范圍”“SSPSSOOS安全策略”的縮略語(yǔ)（見(jiàn)2006年版的3.2);—增加了“UID用戶(hù)標(biāo)識(shí)符”的縮略語(yǔ)（見(jiàn)第4章—在“安全功能”中，將“標(biāo)記”“強(qiáng)制訪問(wèn)控制”合并為“標(biāo)記和強(qiáng)制訪問(wèn)控制”（見(jiàn)6.3.1.3、—將“SSF數(shù)據(jù)安全保護(hù)”中的相關(guān)內(nèi)容，整合到“數(shù)據(jù)完整性”“數(shù)據(jù)保密性”“可信路徑”等安全—將“SSOOS設(shè)計(jì)和實(shí)現(xiàn)”修改為“安全保障要求”，并根據(jù)GB/T18336.3—2015的要求，進(jìn)行請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。本標(biāo)準(zhǔn)起草單位：公安部第三研究所、北京江南天安科技有限公司、中科方德軟件有限公司、中標(biāo)軟件有限公司、天津麒麟信息技術(shù)有限公司、普華基礎(chǔ)軟件股份有限公司、北京凝思軟件股份有限公司。本標(biāo)準(zhǔn)主要起草人：邱梓華、宋好好、陳妍、胡亞蘭、顧健、陳冠直、徐寧、魏立峰、吳永成、朱健偉、王戍靖、吉增瑞、丁麗萍、董軍平、龔文、郎金剛、譚一鳴、胡丹妮、楊詔鈞、戴華東、王玉成、孟健、宮敏、彭志航。本標(biāo)準(zhǔn)所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為：—GB/T20272—2006。ⅠGB／T20272—2019信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求本標(biāo)準(zhǔn)規(guī)定了五個(gè)安全等級(jí)操作系統(tǒng)的安全技術(shù)要求。本標(biāo)準(zhǔn)適用于操作系統(tǒng)安全性的研發(fā)、測(cè)試、維護(hù)和評(píng)價(jià)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB17859—1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T18336.3—2015信息技術(shù)安全技術(shù)信息技術(shù)安全評(píng)估準(zhǔn)則第3部分：安全保障組件GB/T20271—2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T29240—2012信息安全技術(shù)終端計(jì)算機(jī)通用安全技術(shù)要求與測(cè)試評(píng)價(jià)方法3術(shù)語(yǔ)和定義GB17859—1999、GB/T18336.3—2015、GB/T20271—2006和GB/T29240—2012界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1操作系統(tǒng)自身以及其所存儲(chǔ)、傳輸和處理的信息的保密性、完整性和可用性。3.2操作系統(tǒng)中安全保護(hù)裝置的總稱(chēng)，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。4縮略語(yǔ)下列縮略語(yǔ)適用于本文件。UID：用戶(hù)標(biāo)識(shí)符(UserIdentifier)5產(chǎn)品描述資源管理（包括設(shè)備硬件資源和數(shù)據(jù)資源）是操作系統(tǒng)最為基本的功能，操作系統(tǒng)中對(duì)資源的安全保護(hù)由SSOOS來(lái)實(shí)現(xiàn)。SSOOS是操作系統(tǒng)中所有安全保護(hù)裝置的組合體。SSOOS一般包含多個(gè)SSF,每個(gè)安全功能模塊是一個(gè)或多個(gè)安全功能策略的具體實(shí)現(xiàn)。SSOOS中的所有安全功能策略構(gòu)成了一個(gè)安全域，以保護(hù)12GB／T20272—2019整個(gè)操作系統(tǒng)的安全。為清晰表示每一個(gè)安全等級(jí)比較低一級(jí)安全等級(jí)的安全技術(shù)要求的增加和增強(qiáng)，每一級(jí)的新增部分用“黑體”表示。附錄A中的操作系統(tǒng)安全技術(shù)要求分級(jí)表，以表格形式列舉了操作系統(tǒng)五個(gè)安全等級(jí)的安全功能要求、自身安全要求和安全保障要求。6安全技術(shù)要求SSOOS的身份鑒別功能如下：1)用戶(hù)進(jìn)入操作系統(tǒng)前，應(yīng)先進(jìn)行標(biāo)識(shí)；2)操作系統(tǒng)用戶(hù)標(biāo)識(shí)宜使用用戶(hù)名和UID。1)采用口令進(jìn)行鑒別，并在每次用戶(hù)登錄系統(tǒng)時(shí)和系統(tǒng)重新連接時(shí)進(jìn)行鑒別；2)口令應(yīng)是不可見(jiàn)的，在存儲(chǔ)和傳輸時(shí)進(jìn)行安全保護(hù)，確保其不被非授權(quán)的訪問(wèn)、修改和刪除；3)通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)采取的措施來(lái)實(shí)現(xiàn)鑒別失敗的處理。SSOOS的自主訪問(wèn)控制功能如下：對(duì)操作系統(tǒng)內(nèi)部傳輸?shù)挠脩?hù)數(shù)據(jù)（如進(jìn)程間的通信應(yīng)具備保證用戶(hù)數(shù)據(jù)完整性的功能。支持基于IP地址、端口、物理接口的雙向網(wǎng)絡(luò)訪問(wèn)控制，將不符合預(yù)先設(shè)定策略的數(shù)據(jù)包丟棄。SSF運(yùn)行安全保護(hù)功能如下：3GB／T20272—2019之前，應(yīng)對(duì)用戶(hù)和管理員的安全策略屬性進(jìn)行定義。5.1.2.2失敗保護(hù)所描述的內(nèi)容，處理SSF故障。作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。應(yīng)通過(guò)一定措施確保當(dāng)系統(tǒng)出現(xiàn)某些確定的故障情況時(shí)，SSF也能維持正常運(yùn)行。應(yīng)采取服務(wù)優(yōu)先級(jí)策略，設(shè)置主體使用SSF控制范圍內(nèi)某個(gè)資源子集的優(yōu)先級(jí)，進(jìn)行操作系統(tǒng)資源的管理和分配。配。配額機(jī)制確保用戶(hù)和主體將不會(huì)獨(dú)占某種受控的資源。SSOOS的用戶(hù)登錄訪問(wèn)控制功能如下：用戶(hù)的登錄；量，并利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)。應(yīng)對(duì)身份鑒別、網(wǎng)絡(luò)安全保護(hù)、資源利用、用戶(hù)登錄訪問(wèn)控制提供安全策略配置功能。開(kāi)發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔，安全架構(gòu)描述文檔應(yīng)符合以下要求：b)描述SSOOS的安全域；cSSOOSSSOOS開(kāi)發(fā)者應(yīng)提供功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)符合以下要求：4GB／T20272—2019cSSOOSSSOOS開(kāi)發(fā)者應(yīng)提供SSOOS設(shè)計(jì)文檔，SSOOS設(shè)計(jì)文檔應(yīng)符合以下要求：a)描述SSOOS的結(jié)構(gòu)；；開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶(hù)指南，操作用戶(hù)指南與為評(píng)估而提供的其他所有文檔保持一致，對(duì)每一種用戶(hù)角色的描述應(yīng)符合以下要求：全值；體的安全特性；安全運(yùn)行之間的因果關(guān)系和聯(lián)系；fSSOOS開(kāi)發(fā)者應(yīng)提供操作系統(tǒng)及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)符合以下要求：開(kāi)發(fā)者的配置管理能力應(yīng)符合以下要求：；c開(kāi)發(fā)者應(yīng)提供SSOOS配置項(xiàng)列表，并簡(jiǎn)要說(shuō)明配置項(xiàng)的開(kāi)發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：5GB／T20272—2019c開(kāi)發(fā)者應(yīng)使用一定的交付程序交付操作系統(tǒng)，并將交付過(guò)程文檔化。在給用戶(hù)方交付指定版本操作系統(tǒng)時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋的證據(jù)應(yīng)表明測(cè)試文檔中的測(cè)試與功能規(guī)范說(shuō)明中SSOOS接口之間的對(duì)應(yīng)性。開(kāi)發(fā)者應(yīng)測(cè)試SSF和自身安全保護(hù)功能。測(cè)試文檔應(yīng)包括以下內(nèi)容：的任何順序依賴(lài)性；c沒(méi)有引出新的漏洞。開(kāi)發(fā)者應(yīng)提供一組與其自測(cè)時(shí)使用的同等資源，以用于SSOOS的測(cè)試。開(kāi)發(fā)者應(yīng)對(duì)所使用的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法進(jìn)行正確性和符合性測(cè)試，確保實(shí)際運(yùn)算結(jié)果與預(yù)期的正確結(jié)果相符。開(kāi)發(fā)者應(yīng)確保使用符合國(guó)家密碼相關(guān)規(guī)定的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法?；谝褬?biāo)識(shí)的潛在脆弱性，操作系統(tǒng)應(yīng)抵抗具有基本攻擊潛力的攻擊者的攻擊。注：抵抗基本攻擊潛力的攻擊者的攻擊，需要根據(jù)以下5個(gè)具體因素綜合考慮：攻擊時(shí)間、攻擊者能力、對(duì)操作系統(tǒng)的了解程度、訪問(wèn)操作系統(tǒng)時(shí)間或攻擊樣品數(shù)量、使用的攻擊設(shè)備，見(jiàn)GB/T30270—2013附錄A中的A.8。6.2第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)SSOOS的身份鑒別功能如下：1)用戶(hù)進(jìn)入操作系統(tǒng)前，應(yīng)先進(jìn)行標(biāo)識(shí)；2)操作系統(tǒng)用戶(hù)標(biāo)識(shí)應(yīng)使用用戶(hù)名和UID,并在操作系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶(hù)的唯一6GB／T20272—2019性標(biāo)識(shí)，以及用戶(hù)名或別名、UID等之間的一致性。1)采用強(qiáng)化管理的口令鑒別／基于令牌的動(dòng)態(tài)口令鑒別等機(jī)制，并在每次用戶(hù)登錄系統(tǒng)時(shí)和系統(tǒng)重新連接時(shí)進(jìn)行鑒別；2)鑒別信息應(yīng)是不可見(jiàn)的，在存儲(chǔ)和傳輸時(shí)進(jìn)行安全保護(hù)，確保其不被非授權(quán)的訪問(wèn)、修改和刪除；3)通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)采取的措施來(lái)實(shí)現(xiàn)鑒別失敗的處理。到進(jìn)程的所有者用戶(hù)。SSOOS的自主訪問(wèn)控制功能如下：f訪問(wèn)，使用戶(hù)對(duì)自己的行為承擔(dān)明確的責(zé)任。1)身份鑒別、自主訪問(wèn)控制等安全功能的使用；2)創(chuàng)建、刪除客體的操作；3)網(wǎng)絡(luò)會(huì)話；4)所有管理員的操作。1)每條審計(jì)記錄應(yīng)包括：事件類(lèi)型、事件發(fā)生的日期和時(shí)間、觸發(fā)事件的用戶(hù)、事件成功或失敗等字段；2)身份標(biāo)識(shí)和鑒別事件類(lèi)審計(jì)記錄還應(yīng)包括請(qǐng)求的源（如末端號(hào)或網(wǎng)絡(luò)地址3)創(chuàng)建和刪除客體事件的審計(jì)記錄還應(yīng)包括客體的名字；IPIP端口、目的端口、會(huì)話總字節(jié)數(shù)等字段。c潛在侵害分析：設(shè)置審計(jì)日志累積或組合的規(guī)則，使用這些規(guī)則去監(jiān)測(cè)已經(jīng)生成的審計(jì)事件，并根據(jù)這些規(guī)則指示出對(duì)系統(tǒng)安全運(yùn)行的潛在侵害。能導(dǎo)出查詢(xún)結(jié)果：1)事件類(lèi)型；7GB／T20272—20193)用戶(hù)身份；4)客體名稱(chēng)；5)成功或失敗。1)保證審計(jì)機(jī)制默認(rèn)處于開(kāi)啟狀態(tài)，且對(duì)審計(jì)日志的開(kāi)啟和關(guān)閉進(jìn)行保護(hù)；2)保護(hù)審計(jì)日志不被未授權(quán)的訪問(wèn)；3)保證審計(jì)日志不被篡改和刪除。f閾值，當(dāng)超過(guò)閾值時(shí)將向管理員報(bào)警。當(dāng)審計(jì)存儲(chǔ)空間被耗盡時(shí)，覆蓋所存儲(chǔ)的最早的審計(jì)記錄。SSOOS的數(shù)據(jù)完整性保護(hù)功能如下：SSOOS的網(wǎng)絡(luò)安全保護(hù)功能如下：IP丟棄；SSF運(yùn)行安全保護(hù)功能如下：之前，應(yīng)對(duì)用戶(hù)和管理員的安全策略屬性進(jìn)行定義。c審計(jì)參數(shù)、系統(tǒng)審計(jì)跟蹤設(shè)置以及對(duì)文件和目錄的合適的訪問(wèn)控制。f5.1.2.2失敗保護(hù)所描述的內(nèi)容，處理SSF故障。GB／T20272—2019理并及時(shí)運(yùn)用補(bǔ)丁對(duì)操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。SSOOS的容錯(cuò)功能如下：和報(bào)告系統(tǒng)的服務(wù)水平已降低到預(yù)先規(guī)定的最小值；c管理員進(jìn)入維護(hù)模式。SSOOS的服務(wù)優(yōu)先級(jí)功能如下：統(tǒng)資源的管理和分配；SSOOS的資源分配功能如下：分配。配額機(jī)制確保用戶(hù)和主體將不會(huì)獨(dú)占某種受控的資源。cCPU使用。6.2.2.3用戶(hù)登錄訪問(wèn)控制SSOOS的用戶(hù)登錄訪問(wèn)控制功能如下：用戶(hù)的登錄。鑒別機(jī)制不準(zhǔn)許被旁路。量，并利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)。c1)本次登錄的日期、時(shí)間、來(lái)源和上次成功登錄系統(tǒng)的情況；2)上次成功訪問(wèn)系統(tǒng)以來(lái)身份鑒別失敗的情況；3)口令到期的天數(shù)；4)成功或不成功的事件次數(shù)可以用整數(shù)計(jì)數(shù)、時(shí)間戳列表等表述方法。89GB／T20272—2019c應(yīng)對(duì)身份鑒別、安全審計(jì)、網(wǎng)絡(luò)安全保護(hù)、資源利用、用戶(hù)登錄訪問(wèn)控制提供安全策略配置功能。6.2.3安全保障要求開(kāi)發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔，安全架構(gòu)描述文檔應(yīng)符合以下要求：b)描述SSOOS的安全域；SSOOS開(kāi)發(fā)者應(yīng)提供功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)符合以下要求：cSSOOSSSOOS開(kāi)發(fā)者應(yīng)提供SSOOS設(shè)計(jì)文檔，SSOOS設(shè)計(jì)文檔應(yīng)符合以下要求：a)描述SSOOS的結(jié)構(gòu)；；開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶(hù)指南，操作用戶(hù)指南與為評(píng)估而提供的其他所有文檔保持一致，對(duì)每一種用戶(hù)角色的描述應(yīng)符合以下要求：全值；GB／T20272—2019體的安全特性；安全運(yùn)行之間的因果關(guān)系和聯(lián)系；fSSOOS開(kāi)發(fā)者應(yīng)提供操作系統(tǒng)及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)符合以下要求：開(kāi)發(fā)者的配置管理能力應(yīng)符合以下要求：；；coosf開(kāi)發(fā)者應(yīng)提供SSOOS配置項(xiàng)列表，并說(shuō)明配置項(xiàng)的開(kāi)發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：c開(kāi)發(fā)者應(yīng)使用一定的交付程序交付操作系統(tǒng)，并將交付過(guò)程文檔化。在給用戶(hù)方交付指定版本操作系統(tǒng)時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。oosoos和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。ssoooos開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋文檔應(yīng)符合以下要求：GB／T20272—2019SSOOSoos開(kāi)發(fā)者應(yīng)提供測(cè)試深度的分析文檔。測(cè)試深度分析文檔應(yīng)符合以下要求：oos開(kāi)發(fā)者應(yīng)測(cè)試SSF和自身安全保護(hù)功能。測(cè)試文檔應(yīng)包括以下內(nèi)容：的任何順序依賴(lài)性；c沒(méi)有引出新的漏洞。開(kāi)發(fā)者應(yīng)提供一組與其自測(cè)時(shí)使用的同等資源，以用于SSOOS的測(cè)試。開(kāi)發(fā)者應(yīng)對(duì)所使用的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法進(jìn)行正確性和符合性測(cè)試，確保實(shí)際運(yùn)算結(jié)果與預(yù)期的正確結(jié)果相符。開(kāi)發(fā)者應(yīng)確保使用符合國(guó)家密碼相關(guān)規(guī)定的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法?；谝褬?biāo)識(shí)的潛在脆弱性，操作系統(tǒng)應(yīng)抵抗具有基本攻擊潛力的攻擊者的攻擊。注：抵抗基本攻擊潛力的攻擊者的攻擊，需要根據(jù)以下5個(gè)具體因素綜合考慮：攻擊時(shí)間、攻擊者能力、對(duì)操作系統(tǒng)的了解程度、訪問(wèn)操作系統(tǒng)時(shí)間或攻擊樣品數(shù)量、使用的攻擊設(shè)備，見(jiàn)GB/T30270—2013附錄A中的A.8。6.3第三級(jí)：安全標(biāo)記保護(hù)級(jí)SSOOS的身份鑒別功能如下：1)用戶(hù)進(jìn)入操作系統(tǒng)前，應(yīng)先進(jìn)行標(biāo)識(shí)；2)操作系統(tǒng)用戶(hù)標(biāo)識(shí)應(yīng)使用用戶(hù)名和UID,并在操作系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶(hù)的唯一性標(biāo)識(shí)，以及用戶(hù)名或別名、UID等之間的一致性。1)采用強(qiáng)化管理的口令鑒別／基于令牌的動(dòng)態(tài)口令鑒別／生物特征鑒別／數(shù)字證書(shū)鑒別等相結(jié)合的方式，使用多鑒別機(jī)制實(shí)現(xiàn)對(duì)用戶(hù)身份的真實(shí)性鑒別，并在每次用戶(hù)登錄系統(tǒng)時(shí)和系統(tǒng)重新連接時(shí)進(jìn)行鑒別；GB／T20272—20192)鑒別信息應(yīng)是不可見(jiàn)的，在存儲(chǔ)和傳輸時(shí)進(jìn)行安全保護(hù)，確保其不被非授權(quán)的訪問(wèn)、修改和刪除；3)通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)采取的措施來(lái)實(shí)現(xiàn)鑒別失敗的處理。到進(jìn)程的所有者用戶(hù)。SSOOS的自主訪問(wèn)控制功能如下：顆粒度控制在文件和目錄。。訪問(wèn)，使用戶(hù)對(duì)自己的行為承擔(dān)明確的責(zé)任。屬性。和安全策略模型，實(shí)現(xiàn)主體對(duì)客體讀、寫(xiě)和執(zhí)行等操作的訪問(wèn)控制。系統(tǒng)啟動(dòng)到退出系統(tǒng)的全過(guò)程，強(qiáng)制訪問(wèn)控制對(duì)客體的控制范圍涉及操作系統(tǒng)內(nèi)部的存儲(chǔ)、處理和傳輸過(guò)程。審計(jì)員來(lái)承擔(dān)，按職能分割分別授予它們各自為完成自己所承擔(dān)任務(wù)所需的權(quán)限，并形成相互制約關(guān)系。由系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中與強(qiáng)制訪問(wèn)控制等安全機(jī)制有關(guān)的事件和信息。f操作系統(tǒng)中主、客體安全屬性設(shè)置的一致性，并實(shí)現(xiàn)跨網(wǎng)絡(luò)的操作系統(tǒng)間用戶(hù)數(shù)據(jù)保密性和完整性保護(hù)。SSOOS的安全審計(jì)功能如下：1)身份鑒別、自主訪問(wèn)控制、標(biāo)記和強(qiáng)制訪問(wèn)控制等安全功能的使用；GB／T20272—20192)創(chuàng)建、刪除客體的操作；3)網(wǎng)絡(luò)會(huì)話；4)所有管理員的操作。1)每條審計(jì)記錄應(yīng)包括：事件類(lèi)型、事件發(fā)生的日期和時(shí)間、觸發(fā)事件的用戶(hù)、事件成功或失敗等字段；2)身份標(biāo)識(shí)和鑒別事件類(lèi)審計(jì)記錄還應(yīng)包括請(qǐng)求的源（如末端號(hào)或網(wǎng)絡(luò)地址3)創(chuàng)建和刪除客體的事件審計(jì)記錄還應(yīng)包括客體的名字、客體的安全屬性；4)網(wǎng)絡(luò)會(huì)話事件審計(jì)記錄還應(yīng)包括：網(wǎng)絡(luò)程序名稱(chēng)、協(xié)議類(lèi)型、源IP地址、目的IP地址、源端口、目的端口、會(huì)話總字節(jié)數(shù)等字段。1)潛在侵害分析：設(shè)置審計(jì)日志累積或組合的規(guī)則，使用這些規(guī)則去監(jiān)測(cè)已經(jīng)生成的審計(jì)事件，并根據(jù)這些規(guī)則指示出對(duì)系統(tǒng)安全運(yùn)行的潛在侵害；2)基于模板的異常檢測(cè)：根據(jù)用戶(hù)的歷史使用模式建立模板，用置疑等級(jí)表示用戶(hù)當(dāng)前活動(dòng)與模板中已建立的使用模式不一致的程度，當(dāng)用戶(hù)的置疑等級(jí)超過(guò)門(mén)限條件時(shí)，能指出對(duì)操作系統(tǒng)的可能侵害即將發(fā)生。能導(dǎo)出查詢(xún)結(jié)果：1)事件類(lèi)型；2)日期和／或時(shí)間；3)用戶(hù)身份；4)客體名稱(chēng)；5)成功或失敗。1)保證審計(jì)機(jī)制默認(rèn)處于開(kāi)啟狀態(tài)，且對(duì)審計(jì)日志的開(kāi)啟和關(guān)閉進(jìn)行保護(hù)；2)保護(hù)審計(jì)日志不被未授權(quán)的訪問(wèn)；3)保證審計(jì)日志不被篡改和刪除，并記錄嘗試篡改和刪除審計(jì)日志的行為。閾值，當(dāng)超過(guò)閾值時(shí)將向管理員報(bào)警。當(dāng)審計(jì)存儲(chǔ)空間被耗盡時(shí)，覆蓋所存儲(chǔ)的最早的審計(jì)記錄。SSOOS的數(shù)據(jù)完整性保護(hù)功能如下：cGB／T20272—2019信息。SSOOS的數(shù)據(jù)加密功能如下：cSSOOS的網(wǎng)絡(luò)安全保護(hù)功能如下：IP數(shù)據(jù)包丟棄；cSSF運(yùn)行安全保護(hù)功能如下：之前，對(duì)用戶(hù)和管理員的安全策略屬性進(jìn)行定義。c審計(jì)參數(shù)、系統(tǒng)審計(jì)跟蹤設(shè)置以及對(duì)文件和目錄的合適的訪問(wèn)控制。。5.1.2.2失敗保護(hù)所描述的內(nèi)容，處理SSF故障。系統(tǒng)因故障或其他原因中斷后，應(yīng)啟動(dòng)系統(tǒng)恢復(fù)機(jī)制。理并及時(shí)運(yùn)用補(bǔ)丁對(duì)操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。SSOOS的容錯(cuò)功能如下：和報(bào)告系統(tǒng)的服務(wù)水平已降低到預(yù)先規(guī)定的最小值。GB／T20272—2019管理員進(jìn)入維護(hù)模式?；謴?fù)。視、硬件和固件單元的正確操作、對(duì)可能在全系統(tǒng)內(nèi)傳播的錯(cuò)誤狀態(tài)的檢測(cè)以及超過(guò)用戶(hù)規(guī)定門(mén)限的通信差錯(cuò)的檢測(cè)等內(nèi)容。SSOOS的服務(wù)優(yōu)先級(jí)功能如下：統(tǒng)資源的管理和分配；SSOOS的資源分配功能如下：分配。配額機(jī)制確保用戶(hù)和主體將不會(huì)獨(dú)占某種受控的資源。使用。6.3.2.3用戶(hù)登錄訪問(wèn)控制SSOOS的用戶(hù)登錄訪問(wèn)控制功能如下：用戶(hù)的登錄。鑒別機(jī)制不準(zhǔn)許被旁路。量，并利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)。c1)本次登錄的日期、時(shí)間、來(lái)源和上次成功登錄系統(tǒng)的情況；2)上次成功訪問(wèn)系統(tǒng)以來(lái)身份鑒別失敗的情況；3)口令到期的天數(shù)；4)成功或不成功的事件次數(shù)可以用整數(shù)計(jì)數(shù)、時(shí)間戳列表等表述方法。f系統(tǒng)。SSOOS的可信度量功能如下：GB／T20272—2019應(yīng)對(duì)身份鑒別、標(biāo)記和強(qiáng)制訪問(wèn)控制、安全審計(jì)、網(wǎng)絡(luò)安全保護(hù)、資源利用、用戶(hù)登錄訪問(wèn)控制提供安全策略配置功能。開(kāi)發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔，安全架構(gòu)描述文檔應(yīng)符合以下要求：b)描述SSOOS的安全域；cSSOOSSSOOS開(kāi)發(fā)者應(yīng)提供功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)符合以下要求：cSSOOSSSOOSfoosoos明應(yīng)符合以下要求：aFooscoos開(kāi)發(fā)者應(yīng)提供SSOOS設(shè)計(jì)文檔，SSOOS設(shè)計(jì)文檔應(yīng)符合以下要求：a)描述SSOOS的結(jié)構(gòu)；；GB／T20272—2019開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶(hù)指南，操作用戶(hù)指南與為評(píng)估而提供的其他所有文檔保持一致，對(duì)每一種用戶(hù)角色的描述應(yīng)符合以下要求：全值；體的安全特性；安全運(yùn)行之間的因果關(guān)系和聯(lián)系；fSSOOS開(kāi)發(fā)者應(yīng)提供操作系統(tǒng)及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)符合以下要求：開(kāi)發(fā)者的配置管理能力應(yīng)符合以下要求：；；cSSOOSoosSSOOS;；開(kāi)發(fā)者應(yīng)提供SSOOS配置項(xiàng)列表，并說(shuō)明配置項(xiàng)的開(kāi)發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：狀態(tài)；cGB／T20272—2019開(kāi)發(fā)者應(yīng)使用一定的交付程序交付操作系統(tǒng)，并將交付過(guò)程文檔化。在給用戶(hù)方交付指定版本操作系統(tǒng)時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文檔。開(kāi)發(fā)安全文檔應(yīng)描述在SSOOS的開(kāi)發(fā)環(huán)境中，為保護(hù)SSOOS設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。開(kāi)發(fā)者應(yīng)建立一個(gè)生存周期模型對(duì)SSOOS的開(kāi)發(fā)和維護(hù)進(jìn)行的必要控制，并提供生存周期定義文檔描述用于開(kāi)發(fā)和維護(hù)SSOOS的模型。所有語(yǔ)句和實(shí)現(xiàn)用到的所有協(xié)定與命令的含義，應(yīng)無(wú)歧義地定義所有實(shí)現(xiàn)依賴(lài)選項(xiàng)的含義。開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋文檔應(yīng)符合以下要求：SSOOSSSOOS開(kāi)發(fā)者應(yīng)提供測(cè)試深度的分析文檔。測(cè)試深度分析文檔應(yīng)符合以下要求：開(kāi)發(fā)者應(yīng)測(cè)試SSF和自身安全保護(hù)功能。測(cè)試文檔應(yīng)包括以下內(nèi)容：的任何順序依賴(lài)性；c沒(méi)有引出新的漏洞。開(kāi)發(fā)者應(yīng)提供一組與其自測(cè)時(shí)使用的同等資源，以用于SSOOS的測(cè)試。開(kāi)發(fā)者應(yīng)對(duì)所使用的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法進(jìn)行正確性和符合性測(cè)試，確保實(shí)際運(yùn)算結(jié)果與GB／T20272—2019預(yù)期的正確結(jié)果相符。開(kāi)發(fā)者應(yīng)確保使用符合國(guó)家密碼相關(guān)規(guī)定的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法。oos后門(mén)?；谝褬?biāo)識(shí)的潛在脆弱性，操作系統(tǒng)應(yīng)抵抗具有增強(qiáng)型基本攻擊潛力的攻擊者的攻擊。注：抵抗增強(qiáng)型基本攻擊潛力的攻擊者的攻擊，需要根據(jù)以下5個(gè)具體因素綜合考慮：攻擊時(shí)間、攻擊者能力、對(duì)操作系統(tǒng)的了解程度、訪問(wèn)操作系統(tǒng)時(shí)間或攻擊樣品數(shù)量、使用的攻擊設(shè)備，見(jiàn)GB/T30270—2013附錄A中的6.4第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)SSOOS的身份鑒別功能如下：1)用戶(hù)進(jìn)入操作系統(tǒng)前，應(yīng)先進(jìn)行標(biāo)識(shí)；2)操作系統(tǒng)用戶(hù)標(biāo)識(shí)應(yīng)使用用戶(hù)名和UID,并在操作系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶(hù)的唯一性標(biāo)識(shí)，以及用戶(hù)名或別名、UID等之間的一致性。1)采用強(qiáng)化管理的口令鑒別和／或生物特征鑒別和／或數(shù)字證書(shū)等相結(jié)合的方式，使用多鑒別機(jī)制實(shí)現(xiàn)對(duì)用戶(hù)身份的真實(shí)性鑒別，并在每次用戶(hù)登錄系統(tǒng)時(shí)和系統(tǒng)重新連接時(shí)進(jìn)行鑒別；2)鑒別信息應(yīng)是不可見(jiàn)的，在存儲(chǔ)和傳輸時(shí)進(jìn)行安全保護(hù)，確保其不被非授權(quán)的訪問(wèn)、修改和刪除；3)通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)采取的措施來(lái)實(shí)現(xiàn)鑒別失敗的處理。到進(jìn)程的所有者用戶(hù)。SSOOS的自主訪問(wèn)控制功能如下：顆粒度控制在文件和目錄。。GB／T20272—2019訪問(wèn)，使用戶(hù)對(duì)自己的行為承擔(dān)明確的責(zé)任。SSOOS的標(biāo)記和強(qiáng)制訪問(wèn)控制功能如下：屬性。帶有安全標(biāo)記；當(dāng)信息從操作系統(tǒng)控制范圍之外向控制范圍之內(nèi)輸入時(shí)，通過(guò)標(biāo)記標(biāo)明其安全屬性。如打印輸出的數(shù)據(jù)，需明顯標(biāo)示出該數(shù)據(jù)的安全標(biāo)記。應(yīng)的半形式化證明。強(qiáng)制訪問(wèn)控制應(yīng)基于標(biāo)記和安全策略模型，實(shí)現(xiàn)主體對(duì)客體讀、寫(xiě)和執(zhí)行等操作的訪問(wèn)控制。理和傳輸過(guò)程及信息進(jìn)行輸入、輸出操作的過(guò)程。審計(jì)員來(lái)承擔(dān)，按職能分割和最小授權(quán)原則分別授予它們各自為完成自己所承擔(dān)任務(wù)所需的最小權(quán)限，并形成相互制約關(guān)系。由系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中與強(qiáng)制訪問(wèn)控制等安全機(jī)制有關(guān)的事件和信息。f操作系統(tǒng)中主、客體安全屬性設(shè)置的一致性，并實(shí)現(xiàn)跨網(wǎng)絡(luò)的操作系統(tǒng)間用戶(hù)數(shù)據(jù)保密性和完整性保護(hù)。SSOOS的安全審計(jì)功能如下：1)身份鑒別、自主訪問(wèn)控制、標(biāo)記和強(qiáng)制訪問(wèn)控制等安全功能的使用；2)創(chuàng)建、刪除客體的操作；3)網(wǎng)絡(luò)會(huì)話；4)所有管理員的操作。1)每條審計(jì)記錄應(yīng)包括：事件類(lèi)型、事件發(fā)生的日期和時(shí)間、觸發(fā)事件的用戶(hù)、事件成功或失敗等字段；2)身份標(biāo)識(shí)和鑒別事件類(lèi)審計(jì)記錄還應(yīng)包括請(qǐng)求的源（如末端號(hào)或網(wǎng)絡(luò)地址3)創(chuàng)建和刪除客體的事件審計(jì)記錄還應(yīng)包括客體的名字、客體的安全屬性；4)網(wǎng)絡(luò)會(huì)話事件審計(jì)記錄還應(yīng)包括：網(wǎng)絡(luò)程序名稱(chēng)、協(xié)議類(lèi)型、源IP地址、目的IP地址、源端口、目的端口、會(huì)話總字節(jié)數(shù)等字段。1)潛在侵害分析：設(shè)置審計(jì)日志累積或組合的規(guī)則，使用這些規(guī)則去監(jiān)測(cè)已經(jīng)生成的審計(jì)事件，并根據(jù)這些規(guī)則指示出對(duì)系統(tǒng)安全運(yùn)行的潛在侵害；2)基于模板的異常檢測(cè)：根據(jù)用戶(hù)的歷史使用模式建立模板，用置疑等級(jí)表示用戶(hù)當(dāng)前活動(dòng)GB／T20272—2019與模板中已建立的使用模式不一致的程度，當(dāng)用戶(hù)的置疑等級(jí)超過(guò)門(mén)限條件時(shí)，能指出對(duì)操作系統(tǒng)的可能侵害即將發(fā)生；3)簡(jiǎn)單攻擊探測(cè)：當(dāng)發(fā)現(xiàn)一個(gè)系統(tǒng)事件與一個(gè)潛在違反系統(tǒng)安全策略的特征事件匹配時(shí)，能指出潛在違反系統(tǒng)安全策略的事件即將發(fā)生。能導(dǎo)出查詢(xún)結(jié)果：1)事件類(lèi)型；2)日期和／或時(shí)間；3)用戶(hù)身份；4)客體名稱(chēng)；5)成功或失敗。1)保證審計(jì)機(jī)制默認(rèn)處于開(kāi)啟狀態(tài)，且對(duì)審計(jì)日志的開(kāi)啟和關(guān)閉進(jìn)行保護(hù)；2)保護(hù)審計(jì)日志不被未授權(quán)的訪問(wèn)；3)保證審計(jì)日志不被篡改和刪除，并記錄嘗試篡改和刪除審計(jì)日志的行為。閾值，當(dāng)超過(guò)閾值時(shí)將向管理員報(bào)警。當(dāng)審計(jì)存儲(chǔ)空間被耗盡時(shí)，覆蓋所存儲(chǔ)的最早的審計(jì)記錄。SSOOS的數(shù)據(jù)完整性保護(hù)功能如下：時(shí)進(jìn)行恢復(fù)。執(zhí)行。信息。SSOOS的數(shù)據(jù)加密功能如下：GB／T20272—2019在本地用戶(hù)和遠(yuǎn)程用戶(hù)進(jìn)行初始登錄和／或鑒別時(shí)，操作系統(tǒng)應(yīng)在它與用戶(hù)之間建立一條安全的通信路徑。此路徑對(duì)其端點(diǎn)進(jìn)行了可信標(biāo)識(shí)，并能保護(hù)鑒別通信數(shù)據(jù)免遭修改、泄露。應(yīng)在操作系統(tǒng)和另一個(gè)可信操作系統(tǒng)之間提供一條通信信道，此信道在邏輯上與其他通信信道隔離，對(duì)其端點(diǎn)進(jìn)行了可信標(biāo)識(shí)，并能保護(hù)通信數(shù)據(jù)免遭修改、泄露。SSOOS的網(wǎng)絡(luò)安全保護(hù)功能如下：數(shù)據(jù)包丟棄；SSF運(yùn)行安全保護(hù)功能如下：之前，對(duì)用戶(hù)和管理員的安全策略屬性進(jìn)行定義。c審計(jì)參數(shù)、系統(tǒng)審計(jì)跟蹤設(shè)置以及對(duì)文件和目錄的合適的訪問(wèn)控制。。5.1.2.2失敗保護(hù)所描述的內(nèi)容，處理SSF故障。系統(tǒng)因故障或其他原因中斷后，應(yīng)啟動(dòng)系統(tǒng)恢復(fù)機(jī)制。SSOOS的容錯(cuò)功能如下：和報(bào)告系統(tǒng)的服務(wù)水平已降低到預(yù)先規(guī)定的最小值。GB／T20272—2019管理員進(jìn)入維護(hù)模式?；謴?fù)。視、硬件和固件單元的正確操作、對(duì)可能在全系統(tǒng)內(nèi)傳播的錯(cuò)誤狀態(tài)的檢測(cè)以及超過(guò)用戶(hù)規(guī)定門(mén)限的通信差錯(cuò)的檢測(cè)等內(nèi)容。SSOOS的服務(wù)優(yōu)先級(jí)功能如下：統(tǒng)資源的管理和分配；SSOOS的資源分配功能如下：分配。配額機(jī)制確保用戶(hù)和主體將不會(huì)獨(dú)占某種受控的資源。使用。6.4.2.3用戶(hù)登錄訪問(wèn)控制SSOOS的用戶(hù)登錄訪問(wèn)控制功能如下：用戶(hù)的登錄。鑒別機(jī)制不準(zhǔn)許被旁路。量，并利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)。c1)本次登錄的日期、時(shí)間、來(lái)源和上次成功登錄系統(tǒng)的情況；2)上次成功訪問(wèn)系統(tǒng)以來(lái)身份鑒別失敗的情況；3)口令到期的天數(shù)；4)成功或不成功的事件次數(shù)可以用整數(shù)計(jì)數(shù)、時(shí)間戳列表等表述方法。系統(tǒng)。SSOOS的可信度量功能如下：GB／T20272—2019當(dāng)系統(tǒng)失效或服務(wù)中斷時(shí)，應(yīng)確保操作系統(tǒng)能夠自動(dòng)恢復(fù)到安全運(yùn)行狀態(tài)。應(yīng)對(duì)身份鑒別、標(biāo)記和強(qiáng)制訪問(wèn)控制、安全審計(jì)、可信路徑、可信信道、網(wǎng)絡(luò)安全保護(hù)、資源利用、用戶(hù)登錄訪問(wèn)控制提供安全策略配置功能。開(kāi)發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔，安全架構(gòu)描述文檔應(yīng)符合以下要求：b)描述SSOOS的安全域；cSSOOSSSOOS開(kāi)發(fā)者應(yīng)提供功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)符合以下要求：cSSOOSSSOOSfSSOOS開(kāi)發(fā)者應(yīng)提供實(shí)現(xiàn)表示說(shuō)明，并在自身選擇的場(chǎng)所內(nèi)提供SSOOS的全部實(shí)現(xiàn)表示。實(shí)現(xiàn)表示及說(shuō)明應(yīng)符合以下要求：;。開(kāi)發(fā)者應(yīng)提供SSOOS設(shè)計(jì)文檔，SSOOS設(shè)計(jì)文檔應(yīng)符合以下要求：a)描述SSOOS的結(jié)構(gòu)；GB／T20272—2019描述；oosoosoos開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶(hù)指南，操作用戶(hù)指南與為評(píng)估而提供的其他所有文檔保持一致，對(duì)每一種用戶(hù)角色的描述應(yīng)符合以下要求：全值；體的安全特性；安全運(yùn)行之間的因果關(guān)系和聯(lián)系；fSSOOS開(kāi)發(fā)者應(yīng)提供操作系統(tǒng)及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)符合以下要求：開(kāi)發(fā)者的配置管理能力應(yīng)符合以下要求：；；cSSOOS；SSOOS;；GB／T20272—2019開(kāi)發(fā)者應(yīng)提供SSOOS配置項(xiàng)列表，并說(shuō)明配置項(xiàng)的開(kāi)發(fā)者。配置項(xiàng)列表應(yīng)包含以下內(nèi)容：狀態(tài)、開(kāi)發(fā)工具及其相關(guān)信息；c開(kāi)發(fā)者應(yīng)使用一定的交付程序交付操作系統(tǒng)，并將交付過(guò)程文檔化。在給用戶(hù)方交付指定版本操作系統(tǒng)時(shí)，交付文檔應(yīng)描述為維護(hù)安全所必需的所有程序。開(kāi)發(fā)者應(yīng)提供開(kāi)發(fā)安全文檔。開(kāi)發(fā)安全文檔應(yīng)描述在SSOOS的開(kāi)發(fā)環(huán)境中，為保護(hù)SSOOS設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。開(kāi)發(fā)者應(yīng)建立一個(gè)生存周期模型對(duì)SSOOS的開(kāi)發(fā)和維護(hù)進(jìn)行的必要控制，并提供生存周期定義文檔描述用于開(kāi)發(fā)和維護(hù)SSOOS的模型。開(kāi)發(fā)者應(yīng)描述所使用的實(shí)現(xiàn)標(biāo)準(zhǔn)。開(kāi)發(fā)者應(yīng)明確定義用于開(kāi)發(fā)SSOOS的工具，并提供開(kāi)發(fā)工具文檔。開(kāi)發(fā)工具文檔應(yīng)無(wú)歧義地定義所有語(yǔ)句和實(shí)現(xiàn)用到的所有協(xié)定與命令的含義，應(yīng)無(wú)歧義地定義所有實(shí)現(xiàn)依賴(lài)選項(xiàng)的含義。開(kāi)發(fā)者應(yīng)提供測(cè)試覆蓋文檔，測(cè)試覆蓋文檔應(yīng)符合以下要求：SSOOSSSOOS開(kāi)發(fā)者應(yīng)提供測(cè)試深度的分析文檔。測(cè)試深度分析文檔應(yīng)符合以下要求：開(kāi)發(fā)者應(yīng)測(cè)試SSF和自身安全保護(hù)功能。測(cè)試文檔應(yīng)包括以下內(nèi)容：的任何順序依賴(lài)性；GB／T20272—2019c沒(méi)有引出新的漏洞。開(kāi)發(fā)者應(yīng)提供一組與其自測(cè)時(shí)使用的同等資源，以用于SSOOS的測(cè)試。開(kāi)發(fā)者應(yīng)對(duì)所使用的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法進(jìn)行正確性和符合性測(cè)試，確保實(shí)際運(yùn)算結(jié)果與預(yù)期的正確結(jié)果相符。開(kāi)發(fā)者應(yīng)確保使用符合國(guó)家密碼相關(guān)規(guī)定的對(duì)稱(chēng)、非對(duì)稱(chēng)和雜湊密碼算法。開(kāi)發(fā)者應(yīng)對(duì)SSOOS實(shí)現(xiàn)表示和操作系統(tǒng)內(nèi)核代碼進(jìn)行安全性測(cè)試，證實(shí)代碼中不存在安全缺陷或后門(mén)。開(kāi)發(fā)者應(yīng)從以下方面對(duì)操作系統(tǒng)進(jìn)行脆弱性評(píng)定：并以文檔形式描述：1)標(biāo)識(shí)隱蔽信道，并估算它們的帶寬；2)用于確定隱蔽信道存在的過(guò)程，以及進(jìn)行隱蔽信道分析所需要的信息；3)隱蔽信道分析期間所作的全部假設(shè)；4)最壞情況下對(duì)隱蔽信道帶寬進(jìn)行估算的方式；5)每個(gè)可標(biāo)識(shí)隱蔽信道的最大可利用情形；6)用封鎖、限制帶寬或?qū)徲?jì)等措施，對(duì)所標(biāo)識(shí)的隱蔽信道進(jìn)行處理，并證明處理措施的有效性。注：抵抗中等攻擊潛力的攻擊者的攻擊，需要根據(jù)以下5個(gè)具體因素綜合考慮：攻擊時(shí)間、攻擊者能力、對(duì)操作系統(tǒng)的了解程度、訪問(wèn)操作系統(tǒng)時(shí)間或攻擊樣品數(shù)量、使用的攻擊設(shè)備，見(jiàn)GB/T30270—2013附錄A中的A.8。6.5第五級(jí)：訪問(wèn)驗(yàn)證保護(hù)級(jí)SSOOS的身份鑒別功能如下：1)用戶(hù)進(jìn)入操作系統(tǒng)前，應(yīng)先進(jìn)行標(biāo)識(shí)；2)操作系統(tǒng)用戶(hù)標(biāo)識(shí)應(yīng)使用用戶(hù)名和UID,并在操作系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶(hù)的唯一性標(biāo)識(shí)，以及用戶(hù)名或別名、UID等之間的一致性。1)采用強(qiáng)化管理的口令鑒別和／或生物特征鑒別和／或數(shù)字證書(shū)鑒別和／或以協(xié)議形式化分析為基礎(chǔ)的鑒別等相結(jié)合的方式，使用多鑒別機(jī)制實(shí)現(xiàn)對(duì)用戶(hù)身份的真實(shí)性鑒別，并在每GB／T20272—2019次用戶(hù)登錄系統(tǒng)時(shí)和系統(tǒng)重新連接時(shí)進(jìn)行鑒別；2)鑒別信息應(yīng)是不可見(jiàn)的，在存儲(chǔ)和傳輸時(shí)進(jìn)行安全保護(hù)，確保其不被非授權(quán)的訪問(wèn)、修改和刪除；3)通過(guò)對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)采取的措施來(lái)實(shí)現(xiàn)鑒別失敗的處理。到進(jìn)程的所有者用戶(hù)。SSOOS的自主訪問(wèn)控制功能如下：顆粒度控制在文件和目錄；；訪問(wèn)，使用戶(hù)對(duì)自己的行為承擔(dān)明確的責(zé)任；SSOOS的標(biāo)記和強(qiáng)制訪問(wèn)控制功能如下：屬性。帶有安全標(biāo)記；當(dāng)信息從操作系統(tǒng)控制范圍之外向控制范圍之內(nèi)輸入時(shí)，通過(guò)標(biāo)記標(biāo)明其安全屬性。如打印輸出的數(shù)據(jù)，需明顯標(biāo)示出該數(shù)據(jù)的安全標(biāo)記。應(yīng)的形式化證明。強(qiáng)制訪問(wèn)控制應(yīng)基于標(biāo)記和安全策略模型，實(shí)現(xiàn)主體對(duì)客體讀、寫(xiě)和執(zhí)行等操作的訪問(wèn)控制。系統(tǒng)啟動(dòng)到退出系統(tǒng)的全過(guò)程，強(qiáng)制訪問(wèn)控制對(duì)客體的控制范圍涉及操作系統(tǒng)內(nèi)部的存儲(chǔ)、處理和傳輸過(guò)程及信息進(jìn)行輸入、輸出操作的過(guò)程。審計(jì)員來(lái)承擔(dān)，按職能分割和最小授權(quán)原則分別授予它們各自為完成自己所承擔(dān)任務(wù)所需的最小權(quán)限，并形成相互制約關(guān)系。由系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中與強(qiáng)制訪問(wèn)控制等安全機(jī)制有關(guān)的事件和信息。f操作系統(tǒng)中主、客體安全屬性設(shè)置的一致性，并實(shí)現(xiàn)跨網(wǎng)絡(luò)的操作系統(tǒng)間用戶(hù)數(shù)據(jù)保密性和完整性保護(hù)。GB／T20272—2019SSOOS的安全審計(jì)功能如下：1)身份鑒別、自主訪問(wèn)控制、標(biāo)記和強(qiáng)制訪問(wèn)控制等安全功能的使用；2)創(chuàng)建、刪除客體的操作；3)網(wǎng)絡(luò)會(huì)話；4)所有管理員的操作。1)每條審計(jì)記錄應(yīng)包括：事件類(lèi)型、事件發(fā)生的日期和時(shí)間、觸發(fā)事件的用戶(hù)、事件成功或失敗等字段；2)身份標(biāo)識(shí)和鑒別事件類(lèi)審計(jì)記錄還應(yīng)包括請(qǐng)求的源（如末端號(hào)或網(wǎng)絡(luò)地址3)創(chuàng)建和刪除客體的事件審計(jì)記錄還應(yīng)包括客體的名字、客體的安全屬性；4)網(wǎng)絡(luò)會(huì)話事件審計(jì)記錄還應(yīng)包括：網(wǎng)絡(luò)程序名稱(chēng)、協(xié)議類(lèi)型、源IP地址、目的IP地址、源端口、目的端口、會(huì)話總字節(jié)數(shù)等字段。1)潛在侵害分析：設(shè)置審計(jì)日志累積或組合的規(guī)則，使用這些規(guī)則去監(jiān)測(cè)已經(jīng)生成的審計(jì)事件，并根據(jù)這些規(guī)則指示出對(duì)系統(tǒng)安全運(yùn)行的潛在侵害；2)基于模板的異常檢測(cè)：根據(jù)用戶(hù)的歷史使用模式建立模板，用置疑等級(jí)表示用戶(hù)當(dāng)前活動(dòng)與模板中已建立的使用模式不一致的程度，當(dāng)用戶(hù)的置疑等級(jí)超過(guò)門(mén)限條件時(shí)，能指出對(duì)操作系統(tǒng)的可能侵害即將發(fā)生；3)簡(jiǎn)單攻擊探測(cè)：當(dāng)發(fā)現(xiàn)一個(gè)系統(tǒng)事件與一個(gè)潛在違反系統(tǒng)安全策略的特征事件匹配時(shí)，能指出潛在違反系統(tǒng)安全策略的事件即將發(fā)生；4)復(fù)雜攻擊探測(cè)：維持一個(gè)已知入侵情景的事件序列和潛在違反系統(tǒng)安全策略的特征事件的列表，并對(duì)照特征事件和事件序列比對(duì)系統(tǒng)活動(dòng)記錄。當(dāng)發(fā)現(xiàn)一個(gè)系統(tǒng)活動(dòng)與特征事件或事件序列匹配時(shí)，應(yīng)能指出潛在違反系統(tǒng)安全策略的事件即將發(fā)生。賬戶(hù)。能導(dǎo)出查詢(xún)結(jié)果：1)事件類(lèi)型；2)日期和／或時(shí)間；3)用戶(hù)身份；4)客體名稱(chēng)；5)成功或失敗。1)保證審計(jì)機(jī)制默認(rèn)處于開(kāi)啟狀態(tài)，且對(duì)審計(jì)日志的開(kāi)啟和關(guān)閉進(jìn)行保護(hù)；2)保護(hù)審計(jì)日志不被未授權(quán)的訪問(wèn)；3)保證審計(jì)日志不被篡改和刪除，并記錄嘗試篡改和刪除審計(jì)日志的行為。能恢復(fù)被篡改和刪除的審計(jì)日志。閾值，當(dāng)超過(guò)閾值時(shí)將向管理員報(bào)警。當(dāng)審計(jì)存儲(chǔ)空間被耗盡時(shí)，覆蓋所存儲(chǔ)的最早的審計(jì)GB／T20272—2019記錄。SSOOS的數(shù)據(jù)完整性保護(hù)功能如下：時(shí)進(jìn)行恢復(fù)；執(zhí)行。SSOOS的客體重用功能如下：信息。SSOOS的數(shù)據(jù)加密功能如下：在本地用戶(hù)和遠(yuǎn)程用戶(hù)進(jìn)行初始登錄和／或鑒別時(shí)，操作系統(tǒng)應(yīng)在它與用戶(hù)之間建立一條安全的通信路徑。此路徑對(duì)其端點(diǎn)進(jìn)行了可信標(biāo)識(shí)，并能保護(hù)鑒別通信數(shù)據(jù)免遭修改、泄露。應(yīng)在操作系統(tǒng)和另一個(gè)可信操作系統(tǒng)之間提供一條通信信道，此信道在邏輯上與其他通信信道隔離，對(duì)其端點(diǎn)進(jìn)行了可信標(biāo)識(shí)，并能保護(hù)通信數(shù)據(jù)免遭修改、泄露。SSOOS的網(wǎng)絡(luò)安全保護(hù)功能如下：數(shù)據(jù)包丟棄；SSF運(yùn)行安全保護(hù)功能如下：GB／T20272—2019之前，對(duì)用戶(hù)和管理員的安全策略屬性進(jìn)行定義。c審計(jì)參數(shù)、系統(tǒng)審計(jì)跟蹤設(shè)置以及對(duì)文件和目錄的合適的訪問(wèn)控制。。hoosFoos保護(hù)的情況下以手動(dòng)或自動(dòng)方式恢復(fù)運(yùn)行。在SSOOS出現(xiàn)故障或中斷后，應(yīng)使其以最小的損害得到恢復(fù)，并按GB/T20271—2006中5.1.2.2失敗保護(hù)所描述的內(nèi)容，處理SSF故障。系統(tǒng)因故障或其他原因中斷后，應(yīng)啟動(dòng)系統(tǒng)恢復(fù)機(jī)制。理并及時(shí)運(yùn)用補(bǔ)丁對(duì)操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。SSOOS的容錯(cuò)功能如下：和報(bào)告系統(tǒng)的服務(wù)水平已降低到預(yù)先規(guī)定的最小值。理員進(jìn)入維護(hù)模式?；謴?fù)。視、硬件和固件單元的正確操作、對(duì)可能在全系統(tǒng)內(nèi)傳播的錯(cuò)誤狀態(tài)的檢測(cè)以及超過(guò)用戶(hù)規(guī)定門(mén)限的通信差錯(cuò)的檢測(cè)等內(nèi)容。SSOOS的服務(wù)優(yōu)先級(jí)功能如下：統(tǒng)資源的管理和分配；SSOOS的資源分配功能如下：分配。配額機(jī)制確保用戶(hù)和主體將不會(huì)獨(dú)占某種受控的資源。GB／T20272—2019使用。6.5.2.3用戶(hù)登錄訪問(wèn)控制SSOOS的用戶(hù)登錄訪問(wèn)控制功能如下：用戶(hù)的登錄。鑒別機(jī)制不準(zhǔn)許被旁路。量，并利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)。c1)本次登錄的日期、時(shí)間、來(lái)源和上次成功登錄系統(tǒng)的情況；2)上次成功訪問(wèn)系統(tǒng)以來(lái)身份鑒別失敗的情況；3)口令到期的天數(shù)；4)成功或不成功的事件次數(shù)可以用整數(shù)計(jì)數(shù)、時(shí)間戳列表等表述方法。系統(tǒng)。SSOOS的可信度量功能如下：當(dāng)系統(tǒng)失效或服務(wù)中斷時(shí)，應(yīng)確保操作系統(tǒng)能夠在不丟失用戶(hù)數(shù)據(jù)的情況下自動(dòng)恢復(fù)到安全運(yùn)行狀態(tài)。應(yīng)對(duì)身份鑒別、標(biāo)記和強(qiáng)制訪問(wèn)控制、安全審計(jì)、可信路徑、可信信道、網(wǎng)絡(luò)安全保護(hù)、資源利用、用戶(hù)登錄訪問(wèn)控制提供安全策略配置功能。6.5.3安全保障要求開(kāi)發(fā)者應(yīng)提供SSOOS的安全架構(gòu)描述文檔，安全架構(gòu)描述文檔應(yīng)符合以下要求：b)描述SSOOS的安全域；GB／T20272—2019cSSOOSSSOOS開(kāi)發(fā)者應(yīng)提供功能規(guī)范說(shuō)明，功能規(guī)范說(shuō)明應(yīng)符合以下要求：SSOOSSSOOSfSSOOS開(kāi)發(fā)者應(yīng)提供實(shí)現(xiàn)表示說(shuō)明，并在自身選擇的場(chǎng)所內(nèi)提供SSOOS的全部實(shí)現(xiàn)表示，實(shí)現(xiàn)表示及說(shuō)明應(yīng)符合以下要求：;開(kāi)發(fā)者應(yīng)提供SSOOS設(shè)計(jì)文檔，SSOOS設(shè)計(jì)文檔應(yīng)符合以下要求：a)描述SSOOS的結(jié)構(gòu)；描述；其他模塊調(diào)用的接口，適當(dāng)時(shí)配以非形式化的、解釋性的描述。 SSOOS開(kāi)發(fā)者應(yīng)提供形式化的安全策略模型，至少包括：強(qiáng)制訪問(wèn)控制策略、完整性策略，安全策略模型應(yīng)符合以下要求：GB／T20272—2019式化證明；c的和完備的。開(kāi)發(fā)者應(yīng)提供明確和合理的操作用戶(hù)指南，操作用戶(hù)指南與為評(píng)估而提供的其他所有文檔保持一致，對(duì)每一種用戶(hù)角色的描述應(yīng)符合以下要求：全值；體的安全特性；安全運(yùn)行之間的因果關(guān)系和聯(lián)系；fSSOOS開(kāi)發(fā)者應(yīng)提供操作系統(tǒng)及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)符合以下要求：開(kāi)發(fā)者的配置管理能力應(yīng)符合以下要求：；；cSSOOS