1 范围

      本标准规定了五个安全等级操作系统的安全技术要求。

      本标准适用于操作系统安全性的研发、测试、维护和评价。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB 17859-1999 计算机信息系统 安全保护等级划分准则

      GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件

      GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求

      GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法

3 术语和定义

      GB 17859-1999、GB/T 18336.3-2015、GB/T 20271-2006和GB/T 29240-2012界定的以及下列术语和定义适用于本文件。

3.1

      操作系统安全 security of operating system

      操作系统自身以及其所存储、传输和处理的信息的保密性、完整性和可用性。

3.2

      操作系统安全子系统 security subsystem of operating system

      操作系统中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。

4 缩略语

      下列缩略语适用于本文件。

      SSF：SSOOS安全功能（SSOOS Security Function）

      SSOOS：操作系统安全子系统（Security Subsystem of Operating System）

      UID：用户标识符（User Identifier）

5 产品描述

      资源管理（包括设备硬件资源和数据资源）是操作系统最为基本的功能，操作系统中对资源的安全保护由SSOOS来实现。

      SSOOS是操作系统中所有安全保护装置的组合体。SSOOS一般包含多个SSF，每个安全功能模块是一个或多个安全功能策略的具体实现。SSOOS中的所有安全功能策略构成了一个安全域，以保护整个操作系统的安全。

      为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，每一级的新增部分用“黑体”表示。附录A中的操作系统安全技术要求分级表，以表格形式列举了操作系统五个安全等级的安全功能要求、自身安全要求和安全保障要求。

6 安全技术要求

6.1 第一级：用户自主保护级

6.1.1 安全功能要求

6.1.1.1 身份鉴别

      SSOOS的身份鉴别功能如下：

      a）用户标识功能：

      1）用户进入操作系统前，应先进行标识；

      2）操作系统用户标识宜使用用户名和UID。

      b）用户鉴别功能：

      1）采用口令进行鉴别，并在每次用户登录系统时和系统重新连接时进行鉴别；

      2）口令应是不可见的，在存储和传输时进行安全保护，确保其不被非授权的访问、修改和删除；

      3）通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时采取的措施来实现鉴别失败的处理。

      c）对注册到操作系统的用户，应将用户进程与其所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户。

6.1.1.2 自主访问控制

      SSOOS的自主访问控制功能如下：

      a) 客体的拥有者对其拥有的全部客体应有权修改其访问权限；

      b）客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性，访问控制属性至少包括：读、写、执行等；

      c）主体对客体的访问应遵循该客体的自主访问控制权限属性；

      d）将访问控制客体的颗粒度控制在文件和目录。

6.1.1.3 数据完整性

      对操作系统内部传输的用户数据（如进程间的通信），应具备保证用户数据完整性的功能。

6.1.1.4 网络安全保护

      支持基于IP地址、端口、物理接口的双向网络访问控制，将不符合预先设定策略的数据包丢弃。

6.1.2 自身安全要求

6.1.2.1 运行安全保护

      SSF运行安全保护功能如下：

      a）应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性进行定义。

      b）应区分普通操作模式和系统维护模式。

      c）在SSOOS出现故障或中断后，应使其以最小的损害得到恢复，并按GB/T 20271-2006中5.1.2.2失败保护所描述的内容，处理SSF故障。

      d）操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操作系统的漏洞进行修补。

6.1.2.2 资源利用

6.1.2.2.1 容错

      应通过一定措施确保当系统出现某些确定的故障情况时，SSF也能维持正常运行。

6.1.2.2.2 服务优先级

      应采取服务优先级策略，设置主体使用SSF控制范围内某个资源子集的优先级，进行操作系统资源的管理和分配。

6.1.2.2.3 资源分配

      应按GB/T 20271-2006中5.1.4.2a）最大限额资源分配的要求，进行操作系统资源的管理和分配。配额机制确保用户和主体将不会独占某种受控的资源。

6.1.2.3 用户登录访问控制

      SSOOS的用户登录访问控制功能如下：

      a）应按GB/T 20271-2006中5.1.5a）会话建立机制的要求，根据访问地址或端口，允许或拒绝用户的登录；

      b）应按GB/T 20271-2006中5.1.5c）多重并发会话限定的要求，限制系统并发会话的最大数量，并利用默认值作为会话次数的限定数。

6.1.2.4 安全策略配置

      应对身份鉴别、网络安全保护、资源利用、用户登录访问控制提供安全策略配置功能。

6.1.3 安全保障要求

6.1.3.1 开发

6.1.3.1.1 安全架构

      开发者应提供SSOOS的安全架构描述文档，安全架构描述文档应符合以下要求：

      a）与SSOOS设计文档中对安全功能要求和自身安全保护要求的描述一致；

      b）描述SSOOS的安全域；

      c）描述SSOOS初始化过程为何是安全的；

      d）证实SSOOS能够防止被破坏；

      e）证实 SSOOS能够防止被旁路。

6.1.3.1.2 功能规范说明

      开发者应提供功能规范说明，功能规范说明应符合以下要求：

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。