操作系统安全技术要求.pdf

20272-2006 次 前言 IV 范围 规范性引用文件 术语、定义和缩略语. 术语和定义 缩略语. 安全等级保护分等级技术要求 第一级:用户自主保护级 安全功能 自身安全保护 11112222335 设计和实现 安全管坦 第二级:系统审计保护级. 安全功能 自身安全保护 7 设计和实现 8 安全管理 10 第三纵:安全标记保护级, 安全功能 自身安全保扩 设计和实现 安全管理. 19 第四级:结构化保护级 安全功能 19 自身安全保护 设计和实现 安全管理 第五级:访问验证保护级 安全功能. 自身安全保护 31 设计和实现 安全管理 附录(资料性附录)标准概念说明 组成与相互关系 关于安全保护等级划分的说明 关于主体、客体的进一步说明... 关于 及其相互关系 20272-2006 关于密码技术的说明 参考文献 20272-2006 前 (略) 20272-2006 木标准是信息安全技术要求系列标准的重要组成部分,用以指导设计者如何设计和实现具有所需 要的安全保护等级的操作系统,主要说明为实现 中每一个安全保护等级的要求,操作 系统应采取的安全技术措施,以及各安全技术要求在不同安全保护等级中具体实现上的差异。 计算杋操作系统是信息系统的重要绢成部分。计算杋操作系统的主要功能是进行计算杋资源管理 和提供用户使用计算杋的界面ε操作系统所管理的资源包括各种用户资源和计算机的系统资源。用户 资源可以归结为以文件形式表小的数据信息资源。系统资源包括系统程序和系统数据以及为管理计算 机硬件资源而设置的各种表格,其在操作系统中也都是以文件的形式表现,分别称为可执行文件、数 据文件、配置文件等。可见,对操作系统中资源的保护,实际上是对操作系统中文件的保护。由于操 作系统在计算机系统中有着十分重要的地位和作用,所以对计算机系统的攻击和威胁(包括人为的和 自然的),操作系统往往成为主要的目标。也正因为如此,操作系统的安全就变得十分重要。操作系统 安仝既要考虑操作系统的安全运行,也要考虑对操作系统中资源的保护(主要是以文件形式表示的数 据信息资源的保护)由于攻击和威胁既可能是针对系统运行的,也可能是针对信息的保密性、完整性 和可用性的,所以对操作系统的安全保护的功能要求,需要从操作系统的安全运行和操作系统数据的 安全保护两方面综合进行考虑。根据 所列安全要素及 关于信息系统 安仝功能要素的描述,本标准从身份鉴别、自主访问控制、标记和强制访问控制、数据流控制、审计、 数据完整性、数据保密性、可信路径等方面对捰作系统的安全功能要求进行更加具体的描述。为了确 保安全功能要素达到所确定的安全性要求,需要通过一定的安全保证机制来实现,根据 关于信息系统安仝保证要素的描述,本标准从操作系统安全子系统( )自身安全保 护、操作系统安全子系统( )的设计和实现以及操作系统安全子系统( )的安全管理等 方面,对操作系统的安全保证要求进行更加具体的描述。操作系统的安全还需要有相应的安全硬件系 统(即物理安全)方面的支持,这显然已经超出本标准的范围。 综合以上说明,本标准以 五个安全保护等级的划分为基础,对操作系统的每 个安全保护等级的安全功能技术要求和安全保证技术要求做详细的描述。为清晰表示每一个安全等级 北较低一级安仝等级的安仝技术要求的增加和増强,在第章的描述中,每一级新増部分用“宋体加 粗”表小。 20272-2006 信息安全技术操作系统安全技术要求 1范围 本标准依据GB17859-1999的五个安全保护等级的划分,根据操作系统在信息系统中的作用,规定 了操作系统安仝所需要的安全技术的各个安全等级的要求。 本标准适用于按等级化要求进行的安全操作系统的设计和实现,对按等级化要求进行的操作系统 安全的测试和管理可参照使用 2规范性引用文件 下列文件中的有关条款通过引用而成为本标准的条款。凡注日期或版次的引用文件,其后的任何 修改单(不包括勘误的内容)或修订版本都不适用于本标准,但提倡使用本标准的各方探讨使用其最 新版本的可能性。凡不注日期或版次的引用文件,其最新版本适用于本标准。 GB17859-1999计算机信息系统安全保护等级划分准则 B/'20271-2006信息安全技术信息安全等级保护信息系统安全通用技术要求 3术语、定义和缩略语 3.1术语和定义 GB17859—1999和GBT20271-2006确立的以及下列术语和定义适用于本标准 3.1.1 操作系统安全securityofoperatingsystem 操作系统所存储、传输和处理的信息的保密性、完整性和可用性的表祉ε 3.1.2 操作系统安全技术securitytechnologyofoperatingsystem 实现各种类的架作系统安全需要的所有安全技术 3.1.3 操作系统安全子系统securtysubsystemofoperatingsystem 操作系统中安全保护装置的总称,包括馊件、固件、软件和负责执行安全策略的组合体。它建立 ∫一个基本的操作系统安仝保护环境,并提供安全操作系统要求的附加用户服务。按照GB17859-1999 对可信计算基(TCB)的定义,SS0OS就是操作系统的TCB。 3.1.4 ss00s安全策略SS00Ssecuritypolicy 对SS00S中的资源进行管理、保护和分配的一组规则。一个SS00S中可以有一个或多个安全策略。 3.1.5 安全功能策略securityfunctionpolicy 为实现SSOOS安全要素要求的功能所采用的安全策咯。 3.1.6 安全要素securityelement 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。 20272-2006 3.1.7 SS00S安全功能Ss00ssecurityfunction 正确实施SSωs安全策略的全部硬件、固件、软件所提供的功能。每·个安全策略的实现,组成 一^sso0s安全功能模块。一个SsO0s的所有安全功能模块共同组成该SSO0S的安全功能。 3.1.8 SSF控制范围SSFscopeofcontro Ss00S的操作所涉及的主体和客体的范围 3.2缩略语 下列缩咯语适用于本标准: 安全功能策略 控制范围 安全功能 操作系统安全子系统 安全策略 4安全等级保护分等级技术要求 4.1第一级:用户自主保护级 4.1.1安全功能 4.1.1.1身份鉴别 身份鉴别包括对用户的身份进行标识和鉴别。可按 中 的要求,从以下方 面设计和实现操作系统的身份鉴别功能: a)按GB/T20271-2006中6.1.3.1.1和以下要求设计和实现用户标识功能: 凡需进入操作系统的用户,应先进行标识(建立账号); 操作系统用户标识一般使用用户名和用户标识符(UID)。 b)按 中 和以下要求设计和实现用户鉴别功能 采用口令进行鉴别,并在每次用户登录系统时进行鉴别; 口令应是不可见的,并在存储时有安全保护 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规 定达到该值时应采取的措施来实现鉴别失败的处理。 )对注册到操作系统的用户,应按以下要求设计和实现用户主体绑定功能: 一一将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户 将注系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前 服务的要求者用户 4.1.1.2自主访问控制 可按 中 的要求,从以下方面设计和实现操作系统的自主访问控制功能 允许命名用户以用户和/或用户组的身份规定并控制对客体的访问,并阻止非授权用户对客 体访问; 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地应具有该主体 设置的默认值 4.1.1.3用户数据完整性 可按 中 的要求,对操作系统内部传输的用户数据完整性保护,如进程通 信数据的完整性保护,设计和实现操作系统的用户数据完整性保护功能。 20272-2006 4.1.2SS00s自身安全保护 4.1.2.1SsF物理安全保护 可按 中 的要求,实现的物理安全保护,通过对物理安全的检查,发 现以物理方式的攻击对造成的威胁和破坏。 4.1.2.2SSF运行安全保护 可按 中 的要求,从以下方面实现的运行安全保护: a)系统在设计时不应留有“后门”,即不应以维护、支持或操作需要为借口,设计有违反或绕 过安全规则的任何类型的入口和文档中未说明的任何模式的入口; b)安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如 修改其代码或数据结构; c)操作系统程序与用户程序要进行隔离。一个进程的虚地址空间至少应被分为两个段:用户空 间和系统空间,两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户 进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作,而在系统 模式下运行时,应允许进程对所有的虚存空间进行读、写操作; d)提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之 前,应对用户和管理员的安全策略属性进行定义 e)区分普通操作模式和系统维护模式; f)补丁的发布和运用:补丁是对操作系统安全漏洞进行修补的程序的总称。操作系统的开发者 应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操作系统的漏洞进行 修补; g)在SS00S失败或中断后,应保护其以最小的损害得到恢复,并按照失败保护中所描述的内容, 实现对SF出现失败时的处理 4.1.2.3SSF数据安全保护 可按 中的要求,对在S9008内传输的数据,实现SS00s内SSF数据 传输的基本保护。 4.1.2.4资源利用 可按 中 的要求,从以下方面实现SS00s的资源利用: a)通过一定措施确保当系统出现某些确定的故障情况时,SF也能维持正常运行; b)采取适当的策略,按有限服务优先级,提供主体使用TSC内某个资源子集的优先级,进行S00s 资源的管理和分配; c)按资源分配中最大限额的要求,进行Ss00S资源的管理和分配,要求配额机制确保用户和主 体将不会独占某种受控的资源。 4.1.2.5S500s访问控制 可按 中的要求,从以下方面实现SS00s的访问控制: a)按会话建立机制的要求,对会话建立的管理进行设计; b)按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上, SSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数; c)按可选属性范围限定的要求,选择某种会话安全属性的所有失败的尝试,对用来建立会话的 安全属性的范围进行限制。 4.1.3SS00S设计和实现 4.1.3.1配置管理 可按 中 的要求,从以下方面实现SSO0s的配置管理: 20272-2006 具有基本的配置管理能力,即要求开发者所使用的版本号与所应表示的Ss00样本完全对应。 4.1.3.2分发和操作 可按 中 的要求,从以下方面实现SS00s的分发和操作: a)以文档形式提供对SSOS安全地进行分发的过程,并对安装、生成和启动的过程进行说明, 最终生成安全的配置。文档中所描述的内容应包括: 提供分发的过程 安全启动和操作的过程; 对系统的未授权修改的风险,应在交付时控制到最低限度。在包装及安全分送和安装过程中 这种控制应采取软件控制系统的方式,确认安全性会由最终用户考虑,所有安全机制都应以 功能状态交付; 所有软件应提供安全安装默认值,在客户不做选择时,默认值应使安全机制有效地发挥作用; 随同系统交付的全部默认用户标识码,应在交付时处于非激活状态,并在使用前由管理员激 活 用户文档应同交付的软件一起包装,并应有一套规程确保当前送给用户的系统软件是严格按 最新的系统版本来制作的。 4.1.3.3开发 可按 中 的要求,从以下方面进行SS00s的开发 a)按非形式化功能说明、描述性高层设计、SSF子集实现、SSF内部结构模块化、描述性低层设 计和非形式化对应性说明的要求,进行SS00s的设计 b)系统的设计和开发应保护数据的完整性,例如,检查数据更新的规则,二重/多重输入的正确 处理,返回状态的检查,中间结果的检查,合理值输入检查,事务处理更新的正确性检查等; 在内部代码检查时,应解决潜在的安全缺陷,关闭或取消所有的后门; 所有交付的软件和文档,应进行关于安全缺陷的定期的和书面的检查,并将检查结果告知用 户 由系统控制的敏感数据,如口令和密钥等,不应在未受保护的程序或文档中以明文形式储存; 应以书面形式向用户提供关于软件所有权法律保护的指南 4.1.3.4文档要求 可按 中 的要求,从以下方面编制SS00s的文档: a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息,并解释它们的用 途和提供有关它们使用的指南; b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导,包括当运行一个安 全设备时,需要控制的有关功能和特权的警告,以及与安全有关的管理员功能的详细描述, 包括增加和删除一个用户、改变用户的安全特征等; 文档中不应提供任何一旦泄露将会危及系统安全的信息;有关安全的指令和文档应划分等级 分别提供给用户、系统管理员和系统安全员。 4.1.3.5生存周期支持 可按 中 的要求,从以下方面实现S00s的生存周期支持: a)按开发者定义生存周期模型进行开发; b)提供安全安装默认值;在未做特殊选择时,应按默认值安装安全机制 c)随同系统交付的全部默认用户标识号,在刚安装完时应处于非激活状态,并由系统管理员加 以激活; d)操作文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是