[PDF] GB/T 20272-2019 - 自动发货. 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| GB/T 20272-2019 | 350 | GB/T 20272-2019 | 9秒内发货PDF | 信息安全技术 操作系统安全技术要求 |
| 基本信息 | |
|---|---|
| 标准编号 | GB/T 20272-2019 (GB/T20272-2019) |
| 中文名称 | 信息安全技术 操作系统安全技术要求 |
| 英文名称 | Information security technology - Security technical requirements for operating system |
| 行业 | 国家标准 (推荐) |
| 中标分类 | L80 |
| 国际标准分类 | 35.040 |
| 字数估计 | 42,482 |
| 发布日期 | 2019-08-30 |
| 实施日期 | 2020-03-01 |
| 旧标准 (被替代) | GB/T 20272-2006 |
| 引用标准 | GB 17859-1999; GB/T 18336.3-2015; GB/T 20271-2006; GB/T 29240-2012 |
| 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
| 范围 | 本标准规定了五个安全等级操作系统的安全技术要求。本标准适用于操作系统安全性的研发、测试、维护和评价。 |
GB/T 20272-2019
Information security technology - Security technical requirements for operating system
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 20272-2006
信息安全技术 操作系统安全技术要求
2019-08-30发布
2020-03-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅰ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 1
5 产品描述 1
6 安全技术要求 2
6.1 第一级:用户自主保护级 2
6.1.1 安全功能要求 2
6.1.2 自身安全要求 2
6.1.3 安全保障要求 3
6.2 第二级:系统审计保护级 5
6.2.1 安全功能要求 5
6.2.2 自身安全要求 7
6.2.3 安全保障要求 9
6.3 第三级:安全标记保护级 11
6.3.1 安全功能要求 11
6.3.2 自身安全要求 14
6.3.3 安全保障要求 16
6.4 第四级:结构化保护级 19
6.4.1 安全功能要求 19
6.4.2 自身安全要求 22
6.4.3 安全保障要求 24
6.5 第五级:访问验证保护级 27
6.5.1 安全功能要求 27
6.5.2 自身安全要求 30
6.5.3 安全保障要求 32
附录A(资料性附录)操作系统安全技术要求分级表 37
参考文献 38
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 20272-2006《信息安全技术 操作系统安全技术要求》,与GB/T 20272-2006
相比,除编辑性修改外主要技术变化如下:
---删除了“操作系统安全技术”“SSOOS安全策略”“安全功能策略”“安全要素”“SSOOS安全功
能”“SSF控制范围”的术语和定义(见2006年版的3.1.2、3.1.4、3.1.5、3.1.6、3.1.7、3.1.8);
---删除了“SFP安全功能策略”“SSCSSF控制范围”“SSPSSOOS安全策略”的缩略语(见2006
年版的3.2);
---增加了“UID用户标识符”的缩略语(见第4章);
---增加了“网络安全保护”安全功能要求(见6.1.1.4、6.2.1.6、6.3.1.7、6.4.1.9、6.5.1.9);
---增加了“数据加密”安全功能要求(见6.2.1.5.1、6.3.1.6.2、6.4.1.6.2、6.5.1.6.2);
---增加了“可信信道”安全功能要求(见6.4.1.8、6.5.1.8);
---在“安全功能”中,将“标记”“强制访问控制”合并为“标记和强制访问控制”(见6.3.1.3、
6.4.1.3、6.5.1.3);
---删除了“数据流控制”安全功能要求(见2006年版的4.3.1.5、4.4.1.5、4.5.1.5);
---增加了 “可信度量”自身安全要求(见6.2.2.4、6.3.2.4、6.4.2.4、6.5.2.4);
---增加了 “可信恢复”自身安全要求(见6.4.2.5、6.5.2.5);
---增加了“安全策略配置”自身安全要求(见6.1.2.4、6.2.2.5、6.3.2.5、6.4.2.6、6.5.2.6);
---删除了 “SSF物理安全保护”(见2006年版的4.1.2.1、4.2.2.1、4.3.2.1、4.4.2.1、4.5.2.1);
---将“SSOOS访问控制”修改为“用户登录访问控制”(见6.1.2.3、6.2.2.3、6.3.2.3、6.4.2.3、
6.5.2.3);
---将“SSF数据安全保护”中的相关内容,整合到“数据完整性”“数据保密性”“可信路径”等安全
功能中(见6.1.1.3、6.2.1.4、6.2.1.5、6.3.1.5、6.3.1.6、6.4.1.5、6.4.1.6、6.4.1.7、6.5.1.5、6.5.1.6、
6.5.1.7);
---将“SSOOS设计和实现”修改为“安全保障要求”,并根据GB/T 18336.3-2015的要求,进行
了相应的修改(见6.1.3、6.2.3、6.3.3、6.4.3、6.5.3,2006年版的4.1.3、4.2.3、4.3.3、4.4.3、4.5.3);
---删除了“SSOOS安全管理”要求(见2006年版的4.1.4、4.2.4、4.3.4、4.4.4、4.5.4)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:公安部第三研究所、北京江南天安科技有限公司、中科方德软件有限公司、中标软
件有限公司、天津麒麟信息技术有限公司、普华基础软件股份有限公司、北京凝思软件股份有限公司。
本标准主要起草人:邱梓华、宋好好、陈妍、胡亚兰、顾健、陈冠直、徐宁、魏立峰、吴永成、朱健伟、
王戍靖、吉增瑞、丁丽萍、董军平、龚文、郎金刚、谭一鸣、胡丹妮、杨诏钧、戴华东、王玉成、孟健、宫敏、
彭志航。
本标准所代替标准的历次版本发布情况为:
---GB/T 20272-2006。
信息安全技术 操作系统安全技术要求
1 范围
本标准规定了五个安全等级操作系统的安全技术要求。
本标准适用于操作系统安全性的研发、测试、维护和评价。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 29240-2012 信息安全技术 终端计算机通用安全技术要求与测试评价方法
3 术语和定义
GB 17859-1999、GB/T 18336.3-2015、GB/T 20271-2006和GB/T 29240-2012界定的以及下
列术语和定义适用于本文件。
3.1
操作系统自身以及其所存储、传输和处理的信息的保密性、完整性和可用性。
3.2
操作系统中安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。
4 缩略语
下列缩略语适用于本文件。
UID:用户标识符(UserIdentifier)
5 产品描述
资源管理(包括设备硬件资源和数据资源)是操作系统最为基本的功能,操作系统中对资源的安全
保护由SSOOS来实现。
SSOOS是操作系统中所有安全保护装置的组合体。SSOOS一般包含多个SSF,每个安全功能模
块是一个或多个安全功能策略的具体实现。SSOOS中的所有安全功能策略构成了一个安全域,以保护
整个操作系统的安全。
为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,每一级的新增部
分用“黑体”表示。附录A中的操作系统安全技术要求分级表,以表格形式列举了操作系统五个安全等
级的安全功能要求、自身安全要求和安全保障要求。
6 安全技术要求
6.1 第一级:用户自主保护级
6.1.1 安全功能要求
6.1.1.1 身份鉴别
SSOOS的身份鉴别功能如下:
a) 用户标识功能:
1) 用户进入操作系统前,应先进行标识;
2) 操作系统用户标识宜使用用户名和UID。
b) 用户鉴别功能:
1) 采用口令进行鉴别,并在每次用户登录系统时和系统重新连接时进行鉴别;
2) 口令应是不可见的,在存储和传输时进行安全保护,确保其不被非授权的访问、修改和
删除;
3) 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定
达到该值时采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应将用户进程与其所有者用户相关联,使用户进程的行为可以追溯
到进程的所有者用户。
6.1.1.2 自主访问控制
SSOOS的自主访问控制功能如下:
a) 客体的拥有者对其拥有的全部客体应有权修改其访问权限;
b) 客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性,访问控制属性至少包括:
读、写、执行等;
c) 主体对客体的访问应遵循该客体的自主访问控制权限属性;
d) 将访问控制客体的颗粒度控制在文件和目录。
6.1.1.3 数据完整性
对操作系统内部传输的用户数据(如进程间的通信),应具备保证用户数据完整性的功能。
6.1.1.4 网络安全保护
支持基于IP地址、端口、物理接口的双向网络访问控制,将不符合预先设定策略的数据包丢弃。
6.1.2 自身安全要求
6.1.2.1 运行安全保护
SSF运行安全保护功能如下:
a) 应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护
之前,应对用户和管理员的安全策略属性进行定义。
b) 应区分普通操作模式和系统维护模式。
c) 在SSOOS出现故障或中断后,应使其以最小的损害得到恢复,并按 GB/T 20271-2006中
5.1.2.2失败保护所描述的内容,处理SSF故障。
d) 操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操
作系统的漏洞进行修补。
6.1.2.2 资源利用
6.1.2.2.1 容错
应通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行。
6.1.2.2.2 服务优先级
应采取服务优先级策略,设置主体使用SSF控制范围内某个资源子集的优先级,进行操作系统资
源的管理和分配。
6.1.2.2.3 资源分配
应按GB/T 20271-2006中5.1.4.2a)最大限额资源分配的要求,进行操作系统资源的管理和分
配。配额机制确保用户和主体将不会独占某种受控的资源。
6.1.2.3 用户登录访问控制
SSOOS的用户登录访问控制功能如下:
a) 应按GB/T 20271-2006中5.1.5a)会话建立机制的要求,根据访问地址或端口,允许或拒绝
用户的登录;
b) 应按GB/T 20271-2006中5.1.5c)多重并发会话限定的要求,限制系统并发会话的最大数
量,并利用默认值作为会话次数的限定数。
6.1.2.4 安全策略配置
应对身份鉴别、网络安全保护、资源利用、用户登录访问控制提供安全策略配置功能。
6.1.3 安全保障要求
6.1.3.1 开发
6.1.3.1.1 安全架构
开发者应提供SSOOS的安全架构描述文档,安全架构描述文档应符合以下要求:
a) 与SSOOS设计文档中对安全功能要求和自身安全保护要求的描述一致;
b) 描述SSOOS的安全域;
c) 描述SSOOS初始化过程为何是安全的;
d) 证实SSOOS能够防止被破坏;
e) 证实SSOOS能够防止被旁路。
6.1.3.1.2 功能规范说明
开发者应提供功能规范说明,功能规范说明应符合以下要求:
a) 完全描述SSF和自身安全保护;
b) 描述所有SSOOS接口的目的与使用方法;
c) 标识和描述每个SSOOS接口相关的全部参数;
d) 描述实施过程中,与SSOOS接口相关的行为;
e) 证实安全功能要求和自身安全保护要求到SSOOS接口的追溯。
6.1.3.1.3 SSOOS设计
开发者应提供SSOOS设计文档,SSOOS设计文档应符合以下要求:
a) 描述SSOOS的结构;
b) 描述所有安全功能和自身安全保护模块,包括其目的及与其他模块间的相互作用;
c) 提供每一个安全功能和自身安全保护的描述;
d) 描述安全功能和自身安全保护间的相互作用;
e) 根据模块描述安全功能和自身安全保护。
6.1.3.2 指导性文档
6.1.3.2.1 操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一
致,对每一种用户角色的描述应符合以下要求:
a) 描述在安全处理环境中用户可访问的功能和特权,并包含可能造成危害的警示信息;
b) 描述如何以安全的方式使用SSOOS提供的安全功能和自身安全保护;
c) 描述安全功能和自身安全保护及接口,尤其是受用户控制的所有安全参数,适当时指明安
全值;
d) 明确说明安全功能和自身安全保护有关的每一种安全相关事件,包括改变SSOOS所控制实
体的安全特性;
e) 标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持
安全运行之间的因果关系和联系;
f) 描述为确保SSOOS安全运行应执行的安全策略。
6.1.3.2.2 准备程序
开发者应提供操作系统及其准备程序,准备程序描述应符合以下要求:
a) 描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤;
b) 描述安全安装操作系统及其运行环境必需的所有步骤。
6.1.3.3 生存周期支持
6.1.3.3.1 配置管理能力
开发者的配置管理能力应符合以下要求:
a) 为操作系统的不同版本提供唯一的标识;
b) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;
c) 配置管理系统唯一标识所有配置项。
6.1.3.3.2 配置管理范围
开发者应提供SSOOS配置项列表,并简要说明配置项的开发者。配置项列表应包含以下内容:
a) SSOOS、安全保障要求的评估证据和SSOOS的组成部分;
b) 唯一标识配置项;
c) 对于每一个安全功能相关的配置项,配置项列表简要说明该配置项的开发者。
6.1.3.3.3 交付程序
开发者应使用一定的交付程序交付操作系统,并将交付过程文档化。在给用户方交付指定版本操
作系统时,交付文档应描述为维护安全所必需的所有程序。
6.1.3.4 测试
6.1.3.4.1 覆盖
开发者应提供测试覆盖文档,测试覆盖的证据应表明测试文档中的测试与功能规范说明中SSOOS
接口之间的对应性。
6.1.3.4.2 功能测试
开发者应测试SSF和自身安全保护功能。测试文档应包括以下内容:
a) 测试计划:标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果
的任何顺序依赖性;
b) 预期的测试结果:表明测试完成后的预期输出;
c) 实际测试结果:和预期的测试结果一致;
d) 证实已知的漏洞被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且
没有引出新的漏洞。
6.1.3.4.3 独立测试
开发者应提供一组与其自测时使用的同等资源,以用于SSOOS的测试。
6.1.3.4.4 密码测试
开发者应对所使用的对称、非对称和杂凑密码算法进行正确性和符合性测试,确保实际运算结果与
预期的正确结果相符。
开发者应确保使用符合国家密码相关规定的对称、非对称和杂凑密码算法。
6.1.3.5 脆弱性评定
基于已标识的潜在脆弱性,操作系统应抵抗具有基本攻击潜力的攻击者的攻击。
注:抵抗基本攻击潜力的攻击者的攻击,需要根据以下5个具体因素综合考虑:攻击时间、攻击者能力、对操作系统
的了解程度、访问操作系统时间或攻击样品数量、使用的攻击设备,见GB/T 30270-2013附录A中的A.8。
6.2 第二级:系统审计保护级
6.2.1 安全功能要求
6.2.1.1 身份鉴别
SSOOS的身份鉴别功能如下:
a) 用户标识功能:
1) 用户进入操作系统前,应先进行标识;
2) 操作系统用户标识应使用用户名和UID,并在操作系统的整个生存周期实现用户的唯一
性标识,以及用户名或别名、UID等之间的一致性。
b) 用户鉴别功能:
1) 采用强化管理的口令鉴别/基于令牌的动态口令鉴别等机制,并在每次用户登录系统时和
系统重新连接时进行鉴别;
2) 鉴别信息应是不可见的,在存储和传输时进行安全保护,确保其不被非授权的访问、修改
和删除;
3) 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定
达到该值时采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应将用户进程与其所有者用户相关联,使用户进程的行为可以追溯
到进程的所有者用户。
6.2.1.2 自主访问控制
SSOOS的自主访问控制功能如下:
a) 客体的拥有者对其拥有的全部客体应有权修改其访问权限;
b) 客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性,访问控制属性至少包括:
读、写、执行等;
c) 主体对客体的访问应遵循该客体的自主访问控制权限属性;
d) 将访问控制客体的颗粒度控制在文件和目录;
e) 当主体生成一个客体时,该客体应具有该主体设置的自主访问控制权限属性的默认值;
f) 自主访问控制应能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种
访问,使用户对自己的行为承担明确的责任。
6.2.1.3 安全审计
SSOOS的安全审计功能如下:
a) 应能对以下事件生成审计日志:
1) 身份鉴别、自主访问控制等安全功能的使用;
2) 创建、删除客体的操作;
3) 网络会话;
4) 所有管理员的操作。
b) 审计记录要求如下:
1) 每条审计记录应包括:事件类型、事件发生的日期和时间、触发事件的用户、事件成功或失
败等字段;
2) 身份标识和鉴别事件类审计记录还应包括请求的源(如末端号或网络地址);
3) 创建和删除客体事件的审计记录还应包括客体的名字;
4) 网络会话事件审计记录还应包括:网络程序名称、协议类型、源IP地址、目的IP地址、源
端口、目的端口、会话总字节数等字段。
c) 应提供审计日志分析功能:
潜在侵害分析:设置审计日志累积或组合的规则,使用这些规则去监测已经生成的审计事件,
并根据这些规则指示出对系统安全运行的潜在侵害。
d) 应提供审计日志的可选择查询功能,支持按以下条件之一或逻辑组合进行选择和排序查阅,并
能导出查询结果:
1) 事件类型;
2) 日期和/或时间;
3) 用户身份;
4) 客体名称;
5) 成功或失败。
e) 应提供审计日志的保护功能:
1) 保证审计机制默认处于开启状态,且对审计日志的开启和关闭进行保护;
2) 保护审计日志不被未授权的访问;
3) 保证审计日志不被篡改和删除。
f) 应以便于用户理解的方式提供审计日志查阅功能。
g) 审计日志应存储在掉电非遗失性存储媒体中。系统管理员应能定义超过审计跟踪存储极限的
阈值,当超过阈值时将向管理员报警。当审计存储空间被耗尽时,覆盖所存储的最早的审计
记录。
6.2.1.4 数据完整性
SSOOS的数据完整性保护功能如下:
a) 在操作系统内部传输的用户数据(如进程间的通信),应具备保证用户数据完整性的功能;
b) 在对数据进行访问操作时,应检查存储在存储媒体上的用户数据是否完整。
6.2.1.5 数据保密性
6.2.1.5.1 数据加密
SSOOS的数据加密功能如下:
a) 应提供文件加密功能,用户可对指定的文件和目录进行加密保护;
b) 支持采用硬件形式对密钥进行保护。
6.2.1.6 网络安全保护
SSOOS的网络安全......
英文网页English: GB/T 20272-2019
相关标准: GB/T 20273|GB/T 20279|GB/T 20274.1|GB/T 20273|GB/T 20272-2019|GB/T 20272|