4.1 第一級：用戶自主保護級

1.1　第一級：用戶自主保護級

1.1.1　安全功能

1.1.1.1　身份鑒別

身份鑒別包括對用戶的身份進行標識和鑒別。應從以下方面設計和實現SSOOS的身份鑒別功能：

a) 按以下要求設計和實現用戶標識功能：

1) 用戶進入操作系統前，先進行標識（建立賬號）；

2) 操作系統用戶標識一般使用用戶名和用戶標識符（UID）。

b) 按以下要求設計和實現用戶鑒別功能：

1) 采用口令進行鑒別，并在每次用戶登錄系統時和系統重新連接時進行鑒別；

2) 口令是不可見的，在存儲和傳輸時使用加密方法進行安全保護，確保其不被非授權的訪問、修改和刪除。

c) 通過對不成功的鑒別嘗試的值（包括嘗試次數和時間的閾值）進行預先定義，并明確規定達到該值時采取的措施來實現鑒別失敗的處理；

d) 對注冊到操作系統的用戶，將用戶進程與所有者用戶相關聯，使用戶進程的行為可以追溯到進程的所有者用戶。

1.1.1.2　自主訪問控制

應從以下方面設計和實現SSOOS的自主訪問控制功能：

a) 客體的擁有者對其擁有的全部客體有權修改其訪問權限；

b) 客體的擁有者能對其擁有的客體定義其他用戶的訪問控制屬性，訪問控制屬性至少包括：讀、寫、執行等；

c) 主體對客體的訪問遵循該客體的自主訪問控制權限屬性；

d) 將訪問控制客體的粒度控制在文件和目錄。

1.1.1.3　數據完整性

對操作系統內部傳輸的用戶數據（如進程間的通信），應提供保證用戶數據完整性的功能。

1.1.1.4　網絡安全保護

支持基于IP地址、端口、物理接口的雙向網絡訪問控制，將不符合預先設定策略的數據包丟棄。

1.1.2　操作系統安全子系統自身安全保護

1.1.2.1　運行安全保護

應從以下方面實現SSF運行安全保護：

a) 提供一個設置和升級配置參數的安裝機制。在初始化和對與安全有關的數據結構進行保護之前，對用戶和管理員的安全策略屬性進行定義；

b) 區分普通操作模式和系統維護模式；

c) 補丁的發布和使用：操作系統的開發者針對發現的漏洞及時發布補丁。操作系統的管理者及時運用補丁對操作系統的漏洞進行修補；

d) 在SSOOS失敗或中斷后，保護其以最小的損害得到恢復，并按照失敗保護中所描述的內容，實現對SSF出現失敗時的處理。

1.1.2.2　資源利用

1.1.2.2.1　容錯

應通過一定措施確保當系統出現某些確定的故障情況時，SSF也能維持正常運行。

1.1.2.2.2　服務優先級

應采取適當的策略，設置主體使用SSF控制范圍內某個資源子集的優先級，進行SSOOS資源的管理和分配。

1.1.2.2.3　資源分配

應按GB/T 20271—2006資源分配中最大限額的要求，進行SSOOS資源的管理和分配。配額機制確保用戶和主體將不會獨占某種受控的資源。

1.1.2.3　用戶登錄訪問控制

應從以下方面實現SSOOS的用戶登錄訪問控制：

a) 按GB/T 20271—2006中會話建立機制的要求，對會話建立的管理進行設計；

b) 按GB/T 20271—2006中多重并發會話限定中基本限定的要求，進行會話管理的設計。在基于基本標識的基礎上，SSF限制系統的并發會話的最大數量，并利用默認值作為會話次數的限定數；

c) 按GB/T 20271—2006中可選屬性范圍限定的要求，選擇某種會話安全屬性的所有失敗的嘗試，對用來建立會話的安全屬性的范圍進行限制。

1.1.2.4　安全策略配置

應對身份鑒別、網絡安全保護、資源利用、用戶登錄訪問控制提供安全策略配置功能。

1.1.3　安全保障要求

1.1.3.1　開發

1.1.3.1.1　安全架構

開發者應提供產品安全功能的安全架構描述，安全架構描述應滿足以下要求：

a) 與產品設計文檔中對安全功能要求執行的抽象描述的級別一致；

b) 描述與安全功能要求一致的產品安全功能的安全域；

c) 描述產品安全功能初始化過程為何是安全的；

d) 證實產品安全功能能夠防止被破壞；

e) 證實產品安全功能能夠防止安全功能要求執行的功能被旁路。

1.1.3.1.2　功能規范

開發者應提供完備的功能規范說明，功能規范說明應滿足以下要求：

a) 完整描述產品的安全功能；

b) 描述所有安全功能接口的目的與使用方法；

c) 標識和描述每個安全功能接口相關的所有參數；

d) 描述安全功能接口相關的安全功能要求執行行為；

e) 描述由安全功能要求執行行為相關處理而引起的直接錯誤消息；

f) 證實安全功能要求到安全功能接口的追溯。

1.1.3.1.3　產品設計

開發者應提供產品設計文檔，產品設計文檔應滿足以下要求：

a) 根據子系統描述產品結構；

b) 標識產品安全功能的所有子系統；

c) 對每一個安全功能要求支撐或安全功能要求無關的安全功能子系統的行為進行足夠詳細的描述，以確定它不是安全功能要求執行；

d) 概括安全功能要求執行子系統的安全功能要求執行行為；

e) 描述安全功能要求執行子系統之間以及和其他安全功能子系統間的相互作用；

f) 提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口。

1.1.3.2　指導性文檔

1.1.3.2.1　操作用戶指南

開發者應提供明確和合理的操作用戶指南，操作用戶指南與為評估而提供的其他所有文檔保持一致，對每一種用戶角色的描述應滿足以下要求：

a) 描述在安全處理環境中被控制的用戶可訪問的功能和特權，包含適當的警示信息；

b) 描述如何以安全的方式使用產品提供的可用接口；

c) 描述可用功能和接口，尤其是受用戶控制的所有安全參數，適當時指明安全值；

d) 明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件，包括改變安全功能所控制實體的安全特性；

e) 標識產品運行的所有可能狀態（包括操作導致的失敗或者操作性錯誤），以及它們與維持安全運行之間的因果關系和聯系；

f) 充分實現安全目的所必須執行的安全策略。

1.1.3.2.2　準備程序

開發者應提供產品及其準備程序，準備程序描述應滿足以下要求：

a) 描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟；

b) 描述安全安裝產品及其運行環境必需的所有步驟。

1.1.3.3　生命周期支持

1.1.3.3.1　配置管理能力

開發者的配置管理能力應滿足以下要求：

a) 為產品的不同版本提供唯一的標識；

b) 提供配置管理文檔，配置管理文檔描述用于唯一標識配置項的方法；

c) 配置管理系統唯一標識所有配置項。

1.1.3.3.2　配置管理范圍

開發者應提供產品配置項列表，并簡要說明配置項的開發者。配置項列表應包含以下內容：

a) 產品、安全保障要求的評估證據和產品的組成部分；

b) 唯一標識配置項；

c) 對于每一個安全功能相關的配置項，配置項列表簡要說明該配置項的開發者。

1.1.3.3.3　交付程序

開發者應使用一定的交付程序交付產品，并將交付過程文檔化。在給用戶方交付產品的版本時，交付文檔應描述為維護安全所必需的所有程序。

1.1.3.4　測試

1.1.3.4.1　覆蓋

開發者應提供測試覆蓋文檔，測試覆蓋的證據應表明測試文檔中的測試與功能規范中安全功能接口之間的對應性。

1.1.3.4.2　功能測試

開發者應測試產品安全功能，將結果文檔化并提供測試文檔。測試文檔應包括以下內容：

a) 測試計劃：標識要執行的測試，并描述執行每個測試的方案，這些方案包括對于其它測試結果的任何順序依賴性；

b) 預期的測試結果：表明測試成功后的預期輸出；

c) 實際測試結果：和預期的測試結果一致；

d) 證實所有已知的漏洞被改正、消除或使其無效，并在消除漏洞后重新測試，以證實它們已被消除，且沒有引出新的漏洞。

1.1.3.4.3　獨立測試

開發者應提供一組與其自測安全功能時使用的同等資源，以用于安全功能的抽樣測試。

1.1.3.4.4　密碼測試

開發者應對所使用的對稱、非對稱和雜湊密碼算法進行正確性和一致性測試，確保實際運算結果與預期的正確結果相符。

開發者應確保使用符合國家密碼相關規定的對稱、非對稱和雜湊密碼算法。

1.1.3.5　脆弱性評定

基于已標識的潛在脆弱性，產品應抵抗具有基本攻擊潛力的攻擊者的攻擊。