[PDF] GB/T 20272-2006 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 20272-2006 | 150 | GB/T 20272-2006 | 9秒内发货PDF | 信息安全技术 操作系统安全技术要求 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 20272-2006 (GB/T20272-2006) |
| 中文名称 | 信息安全技术 操作系统安全技术要求 |
| 英文名称 | Information security technology -- Security techniques requirement for operating system |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 85,834 |
| 发布日期 | 2006-05-31 |
| 实施日期 | 2006-12-01 |
| 引用标准 | GB 17859-1999; GB/T 20271-2006 |
| 标准依据 | 中国国家标准批准发布公告 2006年第7号(总第94号) |
| 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 |
| 范围 | 本标准依据GB 17859-1999的五个安全保护等级的划分, 根据操作系统在信息系统中的作用, 规定了各个安全等级的操作系统所需要的安全技术要求。本标准适用于按等级化要求进行的操作系统安全的设计和实现, 对按等级化要求进行的操作系统安全的测试和管理可参照使用。 |
GB/T 20272-2006: 信息安全技术 操作系统安全技术要求
GB/T 20272-2006 英文名称: Information security technology -- Security techniques requirement for operating system
中华人民共和国国家标准
GB/T 20272-2006
信息安全技术
操作系统安全技术要求
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准依据GB 17859-1999的五个安全保护等级的划分,根据操作系统在信息系统中的作用,规
定了各个安全等级的操作系统所需要的安全技术要求。
本标准适用于按等级化要求进行的操作系统安全的设计和实现,对按等级化要求进行的操作系统
安全的测试和管理可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
4 安全等级保护分等级技术要求
4.1 第一级:用户自主保护级
4.1.1 安全功能
4.1.1.1 身份鉴别
身份鉴别包括对用户的身份进行标识和鉴别。可按GB/T 20271-2006中6.1.3.1的要求,从以
下方面设计和实现操作系统的身份鉴别功能:
a) 按GB/T 20271-2006中6.1.3.1.1和以下要求设计和实现用户标识功能:
---凡需进入操作系统的用户,应先进行标识(建立账号);
---操作系统用户标识一般使用用户名和用户标识符(UID)。
b) 按GB/T 20271-2006中6.1.3.1.2和以下要求设计和实现用户鉴别功能:
---采用口令进行鉴别,并在每次用户登录系统时进行鉴别;
---口令应是不可见的,并在存储时有安全保护;
---通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定
达到该值时应采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:
---将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;
---将注系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前
服务的要求者用户。
4.1.1.2 自主访问控制
可按GB/T 20271-2006中6.1.3.2的要求,从以下方面设计和实现操作系统的自主访问控制
功能:
a) 允许命名用户以用户和/或用户组的身份规定并控制对客体的访问,并阻止非授权用户对客体
访问;
b) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地应具有该主体
设置的默认值。
4.1.1.3 用户数据完整性
可按GB/T 20271-2006中6.1.3.3的要求,对操作系统内部传输的用户数据完整性保护,如进程
间通信数据的完整性保护,设计和实现操作系统的用户数据完整性保护功能。
4.1.2 SSOOS自身安全保护
4.1.2.1 SSF物理安全保护
可按GB/T 20271-2006中6.1.4.1的要求,实现SSF的物理安全保护,通过对物理安全的检查,
发现以物理方式的攻击对SSF造成的威胁和破坏。
4.1.2.2 SSF运行安全保护
可按GB/T 20271-2006中6.1.4.2的要求,从以下方面实现SSF的运行安全保护:
a) 系统在设计时不应留有“后门”,即不应以维护、支持或操作需要为借口,设计有违反或绕过安
全规则的任何类型的入口和文档中未说明的任何模式的入口。
b) 安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修
改其代码或数据结构。
c) 操作系统程序与用户程序要进行隔离。一个进程的虚地址空间至少应被分为两个段:用户空
间和系统空间,两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户
进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作,而在系统
模式下运行时,应允许进程对所有的虚存空间进行读、写操作。
d) 提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护
之前,应对用户和管理员的安全策略属性进行定义。
e) 区分普通操作模式和系统维护模式。
f) 补丁的发布和运用:补丁是对操作系统安全漏洞进行修补的程序的总称。操作系统的开发者
应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操作系统的漏洞进行
修补。
g) 在SSOOS失败或中断后,应保护其以最小的损害得到恢复,并按照失败保护中所描述的内
容,实现对SSF出现失败时的处理。
4.1.2.3 SSF数据安全保护
可按GB/T 20271-2006中6.1.4.3的要求,对在SSOOS内传输的SSF数据,实现SSOOS内
SSF数据传输的基本保护。
4.1.2.4 资源利用
可按GB/T 20271-2006中6.1.4.4的要求,从以下方面实现SSOOS的资源利用:
a) 通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行;
b) 采取适当的策略,按有限服务优先级,提供主体使用 TSC内某个资源子集的优先级,进行
SSOOS资源的管理和分配;
c) 按资源分配中最大限额的要求,进行SSOOS资源的管理和分配,要求配额机制确保用户和主
体将不会独占某种受控的资源。
4.1.2.5 SSOOS访问控制
可按GB/T 20271-2006中6.1.4.5的要求,从以下方面实现SSOOS的访问控制:
a) 按会话建立机制的要求,对会话建立的管理进行设计。
b) 按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上,
SSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数。
c) 按可选属性范围限定的要求,选择某种会话安全属性的所有失败的尝试 ,对用来建立会话的
安全属性的范围进行限制。
4.1.3 SSOOS设计和实现
4.1.3.1 配置管理
可按GB/T 20271-2006中6.1.5.1的要求,实现具有基本配置管理能力的SSOOS的配置管理,
即要求开发者所使用的版本号与所应表示的SSOOS样本完全对应。
4.1.3.2 分发和操作
可按GB/T 20271-2006中6.1.5.2的要求,从以下方面实现SSOOS的分发和操作:
a) 以文档形式提供对SSOOS安全地进行分发的过程,并对安装、生成和启动的过程进行说明,
最终生成安全的配置。文档中所描述的内容应包括:
---提供分发的过程;
---安全启动和操作的过程。
b) 对系统的未授权修改的风险,应在交付时控制到最低限度。在包装及安全分送和安装过程
中,这种控制应采取软件控制系统的方式,确认安全性会由最终用户考虑,所有安全机制都应
以功能状态交付。
c) 所有软件应提供安全安装默认值,在客户不做选择时,默认值应使安全机制有效地发挥作用。
d) 随同系统交付的全部默认用户标识码,应在交付时处于非激活状态,并在使用前由管理员
激活。
e) 用户文档应同交付的软件一起包装,并应有一套规程确保当前送给用户的系统软件是严格按
最新的系统版本来制作的。
4.1.3.3 开发
可按GB/T 20271-2006中6.1.5.3的要求,从以下方面进行SSOOS的开发:
a) 按非形式化功能说明、描述性高层设计、SSF子集实现、SSF内部结构模块化、描述性低层设计
和非形式化对应性说明的要求,进行SSOOS的设计;
b) 系统的设计和开发应保护数据的完整性,例如,检查数据更新的规则、二重或多重输入的正确
处理、返回状态的检查、中间结果的检查、合理值输入检查、事务处理更新的正确性检查等;
c) 在内部代码检查时,应解决潜在的安全缺陷,关闭或取消所有的后门;
d) 所有交付的软件和文档,应进行关于安全缺陷的定期的和书面的检查,并将检查结果告知
用户;
e) 由系统控制的敏感数据,如口令和密钥等,不应在未受保护的程序或文档中以明文形式储存;
f) 应以书面形式向用户提供关于软件所有权法律保护的指南。
4.1.3.4 文档要求
可按GB/T 20271-2006中6.1.5.4的要求,从以下方面编制SSOOS的文档:
a) 用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息,并解释它们的用
途和提供有关它们使用的指南;
b) 安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导,包括当运行一个安
全设备时,需要控制的有关功能和特权的警告,以及与安全有关的管理员功能的详细描述,包
括增加和删除一个用户、改变用户的安全特征等;
c) 文档中不应提供任何一旦泄露将会危及系统安全的信息,有关安全的指令和文档应划分等级
分别提供给用户、系统管理员和系统安全员。
4.1.3.5 生存周期支持
可按GB/T 20271-2006中6.1.5.5的要求,从以下方面实现SSOOS的生存周期支持:
a) 按开发者定义生存周期模型进行开发;
b) 提供安全安装默认值;在未做特殊选择时,应按默认值安装安全机制;
c) 随同系统交付的全部默认用户标识号,在刚安装完时应处于非激活状态,并由系统管理员加以
激活;
d) 操作文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是
否能被撤消或修改,说明在故障或系统出错时如何恢复系统至安全状态。
4.1.3.6 测试
可按GB/T 20271-2006中6.1.5.6的要求,从以下方面对SSOOS进行测试:
a) 通过一般功能测试和相符独立性测试,确认SSOOS的功能与所要求的功能相一致;
b) 所有系统的安全特性,应被全面测试;
c) 所有发现的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,
且没有引出新的漏洞;
d) 提供测试文档,详细描述测试计划、测试过程、测试结果。
4.1.4 SSOOS安全管理
可按GB/T 20271-2006中6.1.6的要求,实现SSOOS的安全管理,对相应的SSOOS的访问控
制、鉴别控制、安全属性管理等相关的功能,以及与一般的安装、配置等有关的功能,制定相应的操作、运
行规程和行为规章制度。
4.2 第二级:系统审计保护级
4.2.1 安全功能
4.2.1.1 身份鉴别
身份鉴别包括对用户的身份进行标识和鉴别。应按GB/T 20271-2006中6.2.3.1的要求,从以
下方面设计和实现操作系统的身份鉴别功能:
a) 按GB/T 20271-2006中6.2.3.1.1和以下要求设计和实现用户标识功能:
---凡需进入操作系统的用户,应先进行标识(建立账号);
---操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现
用户的唯一性标识,以及用户名或别名、UID等之间的一致性。
b) 按GB/T 20271-2006中6.2.3.1.2和以下要求设计和实现用户鉴别功能:
---采用强化管理的口令鉴别/基于令牌的动态口令鉴别等机制进行身份鉴别,并在每次用
户登录系统时进行鉴别;
---鉴别信息应是不可见的,并在存储和传输时进行安全保护;
---通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定
达到该值时应采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:
---将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;
---将注系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前
服务的要求者用户。
4.2.1.2 自主访问控制
按GB/T 20271-2006中6.2.3.2的要求,从以下方面设计和实现操作系统的自主访问控制功能:
a) 允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。
b) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体设
置的默认值。
c) 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户;对系统中的每一个客体,都
能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限,而别的同组用户或非
同组的用户和用户组对该客体的访问权则由创建者用户授予。
d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成
功的或不成功的访问,使用户对自己的行为承担明确的责任。
e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控
制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体。
f) 定义访问控制属性,并保护这些属性;主体的访问控制属性至少应有:读、写、执行等;客体的访
问控制属性应包含可分配给主体的读、写和执行等权限。
g) 定义分配和修改主体和客体的访问控制属性的规则,并执行对主体和客体的访问控制属性的
分配和修改,规则的结果应达到只有被授权的用户才允许访问一个客体。
h) 定义主体对客体的访问授权规则;该规则应基于主体对客体的访问控制属性,同时应指出主
体和客体对这些规则应用的类型。
4.2.1.3 安全审计
按GB/T 20271-2006中6.2.2.3的要求,从以下方面设计和实现操作系统的安全审计功能:
a) 安全审计功能应与身份鉴别、自主访问控制等安全功能紧密结合。
b) 提供审计日志,潜在侵害分析,基本审计查阅和有限审计查阅,安全审计事件选择,以及受保
护的审计踪迹存储等功能。
c) 能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严
格限制未经授权的用户访问。
d) 能够创建并维护一个对受保护客体访问的审计踪踪,保护审计记录不被未授权的访问、修改
和破坏。
e) 指出可记录的审计事件的最少类型,包括建立会话登录成功和......
英文网页English: GB/T 20272-2006
相关标准: GB/T 20274.1|GB/T 20279|GB/T 20278|GB/T 20274.1|GB/T 20272-2006|GB/T 20272|