GB/T20272-2019操作系統安全技術要求4.2 第二級:系統審計保護級
1.2 第二級:系統審計保護級
1.2.1 安全功能
1.2.1.1 身份鑒別
身份鑒別包括對用戶的身份進行標識和鑒別。應從以下方面設計和實現SSOOS的身份鑒別功能:
a) 按以下要求設計和實現用戶標識功能:
1) 用戶進入操作系統前,先進行標識(建立賬號);
2) 操作系統用戶標識使用用戶名和用戶標識(UID),并在操作系統的整個生存周期實現用戶的唯一性標識,以及用戶名或別名、UID等之間的一致性。
b) 按以下要求設計和實現用戶鑒別功能:
1) 采用強化管理的口令鑒別/**基于令牌的動態口令鑒別等機制進行身份鑒別,**并在每次用戶登錄系統時和系統重新連接時進行鑒別;
2) 鑒別信息是不可見的,在存儲和傳輸時使用加密方法進行安全保護,確保其不被非授權的訪問、修改和刪除。
c) 通過對不成功的鑒別嘗試的值(包括嘗試次數和時間的閾值)進行預先定義,并明確規定達到該值時采取的措施來實現鑒別失敗的處理;
d) 對注冊到操作系統的用戶,將用戶進程與所有者用戶相關聯,使用戶進程的行為可以追溯到進程的所有者用戶。
1.2.1.2 自主訪問控制
應從以下方面設計和實現SSOOS的自主訪問控制功能:
a) 客體的擁有者能對其擁有的客體定義其他用戶的訪問控制屬性,訪問控制屬性至少包括:讀、寫、執行等;
b) 主體對客體的訪問遵循該客體的自主訪問控制權限屬性;
c) 當主體生成一個客體時,該客體具有該主體設置的自主訪問控制權限屬性的默認值;
d) 將訪問控制客體的粒度控制在文件和目錄;
e) **自主訪問控制能與身份鑒別和審計相結合,通過確認用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問,使用戶對自己的行為承擔明確的責任。**
1.2.1.3 安全審計
應從以下方面設計和實現SSOOS的安全審計功能:
a) 能對以下事件生成審計日志:
1) **身份鑒別、自主訪問控制等安全功能的使用;**
2) **創建、刪除客體的操作;**
3) **網絡會話;**
4) **所有管理員的操作。**
b) 在每個審計記錄中至少記錄下列信息:
1) **事件類型、事件發生的日期和時間、觸發事件的用戶、事件成功或失敗等字段;**
2) **身份標識和鑒別事件類審計日志還包括請求的源(如末端號或網絡地址);**
3) **創建和刪除客體的事件審計日志還包括客體的名字;**
4) **網絡會話事件還包括:網絡程序名稱、協議類型、源IP地址、目的IP地址、源端口、目的端口、會話總字節數等字段。**
c) 提供以下審計日志分析功能:
1) **潛在侵害分析:設置審計日志累積或組合的規則,使用這些規則去監測已經生成的審計事件,并根據這些規則指示出對實施安全功能要求的潛在侵害。**
d) 提供審計日志的可選擇查詢功能,支持按以下條件之一或邏輯組合進行選擇和排序查閱,并能導出查詢結果:
1) **事件類型;**
2) **日期和/或時間;**
3) **用戶身份;**
4) **客體名稱;**
5) **成功或失敗。**
e) 提供審計日志的保護功能,主要包括:
1) **保證審計機制默認處于開啟狀態,且對審計日志的開啟和關閉進行保護;**
2) **保護審計日志不被未授權的訪問;**
3) **保證審計日志不被篡改和刪除。**
f) 以便于用戶理解的方式提供審計日志查閱;
g) 審計日志**存儲在掉電非遺失性存儲介質中。系統管理員能夠定義超過審計跟蹤存儲極限的閾值,當超過閾值時將向管理員報警。當審計存儲空間被耗盡時,覆蓋所存儲的最早的審計記錄。**
1.2.1.4 數據完整性
應從以下方面設計和實現SSOOS的數據完整性保護功能:
a) **在對數據進行訪問操作時,檢查存儲在存儲介質上的用戶數據是否出現完整性錯誤;**
b) 在操作系統內部傳輸的用戶數據,如進程間的通信,提供保證用戶數據完整性的功能。
1.2.1.5 數據保密性
1.2.1.5.1 數據加密
應從以下方面設計和實現SSOOS**的數據加密功能:**
a) **提供文件加密功能,用戶可對指定的文件和目錄進行加密保護;**
b) **支持采用硬件形式對密鑰進行保護。**
1.2.1.6 網絡安全保護
應從以下方面設計和實現SSOOS的網絡安全保護:
a) 支持基于IP地址、端口、物理接口的雙向網絡訪問控制,將不符合預先設定策略的數據包丟棄;
b) **對網絡傳輸數據進行加密與完整性保護。**
1.2.2 操作系統安全子系統自身安全保護
1.2.2.1 運行安全保護
應從以下方面實現SSF運行安全保護:
a) 提供設置和升級配置參數的安裝機制。在初始化和對與安全有關的數據結構進行保護之前,對用戶和管理員的安全策略屬性進行定義;
b) 區分普通操作模式和系統維護模式;
c) **只允許系統管理員進入維護模式。在普通用戶訪問系統之前,系統以一個安全的方式進行安裝和配置;**
d) **對備份或不影響SSOOS的常規的系統維護,不要求所有的系統維護都在維護模式中執行;**
e) **當操作系統安裝完成后,在普通用戶訪問之前,系統配置好初始用戶和管理員職責、根目錄、審計參數、系統審計跟蹤設置以及對文件和目錄的合適的訪問控制;**
f) **只允許系統管理員修改或替換系統提供的實用程序;**
g) 在SSOOS失敗或中斷后,確保其以最小的損害得到恢復。并按失敗保護中所描述的內容,實現對SSF出現失敗時的處理;
h) **控制和審計系統控制臺的使用情況;**
i) **補丁的發布、管理和使用:操作系統的開發者針對發現的漏洞及時發布補丁。操作系統的管理者及時獲取、統一管理并及時運用補丁對操作系統的漏洞進行修補。**
1.2.2.2 資源利用
1.2.2.2.1 容錯
應從以下方面實現SSOOS的容錯功能:
a) 通過一定措施確保當系統出現某些確定的故障情況時,SSF也能維持正常運行,如系統檢測和報告系統的服務水平已降低到預先規定的最小值;
b) 當系統資源的服務水平降低到預先規定的最小值時,能檢測和發出報告;
c) 提供維護狀態中運行的能力,在維護狀態下各種安全功能全部失效,系統只允許由系統管理員使用。
1.2.2.2.2 服務優先級
應從以下方面實現SSOOS的服務優先級功能:
a) 采取適當的策略,設置主體使用SSF控制范圍內某個資源子集的優先級,進行SSOOS資源的管理和分配;
b) 確保對所有SSOOS**資源的每次訪問都基于主體所配得的優先級進行協調。**
1.2.2.2.3 資源分配
應從以下方面實現SSOOS的資源分配功能:
a) 按GB/T 20271—2006資源分配中最大限額的要求,進行SSOOS資源的管理和分配。配額機制確保用戶和主體將不會獨占某種受控的資源;
b) 確保在被授權的主體發出請求時,資源能被訪問和利用;
c) 以每個用戶或每個用戶組為基礎,提供一種機制,控制他們對磁盤的消耗和對CPU**等資源的使用。**
1.2.2.3 用戶登錄訪問控制
應從以下方面實現操SSOOS的用戶登錄訪問控制:
a) **按GB/T 20271—2006中會話建立機制的要求,對會話建立的管理進行設計。登錄機制不允許鑒別機制本身被旁路;**
b) 按GB/T 20271—2006中多重并發會話限定中基本限定的要求,進行會話管理的設計。在基于基本標識的基礎上,SSF限制系統的并發會話的最大數量,并利用默認值作為會話次數的限定數;
c) 按GB/T 20271—2006中可選屬性范圍限定的要求,選擇某種會話安全屬性的所有失敗的嘗試 ,對用來建立會話的安全屬性的范圍進行限制;
d) **成功登錄系統后,SSOOS**記錄并向用戶顯示以下數據:
1) **日期、時間、來源和上次成功登錄系統的情況;**
2) **上次成功訪問系統以來身份鑒別失敗的情況;**
3) **顯示口令到期的天數;**
4) **成功或不成功的事件次數的顯示可以用整數計數、時間戳列表等表述方法。**
1.2.2.4 可信度量
應從以下方面實現SSOOS的可信度量:
a) **在操作系統啟動時進行完整性度量,確保操作系統內核的靜態完整性。**
b) **對可執行程序在啟動時進行完整性度量,確保可執行程序的真實性和完整性;**
c) **對完整性度量基準值進行安全存儲,防止其被篡改,確保完整性度量基準值的自身完整性。**
1.2.2.5 安全策略配置
應對身份鑒別、安全審計、網絡安全保護、資源利用、用戶登錄訪問控制提供安全策略配置功能。
1.2.3 安全保障要求
1.2.3.1 開發
1.2.3.1.1 安全架構
開發者應提供產品安全功能的安全架構描述,安全架構描述應滿足以下要求:
a) 與產品設計文檔中對安全功能要求執行的抽象描述的級別一致;
b) 描述與安全功能要求一致的產品安全功能的安全域;
c) 描述產品安全功能初始化過程為何是安全的;
d) 證實產品安全功能能夠防止被破壞;
e) 證實產品安全功能能夠防止安全功能要求執行的功能被旁路。
1.2.3.1.2 功能規范
開發者應提供完備的功能規范說明,功能規范說明應滿足以下要求:
a) 完全描述產品的安全功能;
b) 描述所有安全功能接口的目的與使用方法;
c) 標識和描述每個安全功能接口相關的所有參數;
d) 描述安全功能接口相關的安全功能要求執行行為;
e) 描述由安全功能接口調用相關的安全實施行為和異常而引起的直接錯誤消息;
f) 描述與安全功能接口相關的安全功能要求支撐和無關的行為;
g) 證實安全功能要求到安全功能接口的追溯。
1.2.3.1.3 產品設計
開發者應提供產品設計文檔,產品設計文檔應滿足以下要求:
a) 根據子系統描述產品結構;
b) 標識產品安全功能的所有子系統;
c) 對每一個安全功能要求無關子系統的行為進行足夠詳細的描述,以確定它是安全功能要求無關;
d) 概括安全功能要求執行子系統的安全功能要求**支撐和無關**行為;
e) 概括安全功能要求支撐子系統的行為;
f) 描述安全功能要求執行子系統的安全功能要求執行行為;
g) 描述安全功能所有子系統間的相互作用;
h) 提供的映射關系能夠證實設計中描述的所有行為能夠映射到調用它的安全功能接口。
1.2.3.2 指導性文檔
1.2.3.2.1 操作用戶指南
開發者應提供明確和合理的操作用戶指南,操作用戶指南與為評估而提供的其他所有文檔保持一致,對每一種用戶角色的描述應滿足以下要求:
a) 描述在安全處理環境中被控制的用戶可訪問的功能和特權,包含適當的警示信息;
b) 描述如何以安全的方式使用產品提供的可用接口;
c) 描述可用功能和接口,尤其是受用戶控制的所有安全參數,適當時指明安全值;
d) 明確說明與需要執行的用戶可訪問功能有關的每一種安全相關事件,包括改變安全功能所控制實體的安全特性;
e) 標識產品運行的所有可能狀態(包括操作導致的失敗或者操作性錯誤),以及它們與維持安全運行之間的因果關系和聯系;
f) 充分實現安全目的所必須執行的安全策略。
1.2.3.2.2 準備程序
開發者應提供產品及其準備程序,準備程序描述應滿足以下要求:
a) 描述與開發者交付程序相一致的安全接收所交付產品必需的所有步驟;
b) 描述安全安裝產品及其運行環境必需的所有步驟。
1.2.3.3 生命周期支持
1.2.3.3.1 配置管理能力
開發者的配置管理能力應滿足以下要求:
a) 為產品的不同版本提供唯一的標識;
b) 使用配置管理系統對組成產品的所有配置項進行維護,并唯一標識配置項;
c) 提供配置管理文檔,配置管理文檔描述用于唯一標識配置項的方法;
d) 配置管理系統提供措施使得只能對配置項**進行授權變更**;
e) 配置管理文檔包括一個配置管理計劃,配置管理計劃描述如何使用配置管理系統開發產品;
f) 實施的配置管理與配置管理計劃相一致。
1.2.3.3.2 配置管理范圍
開發者應提供產品配置項列表,并說明配置項的開發者。配置項列表應包含以下內容:
a) 產品、安全保障要求的評估證據和產品的組成部分和實現表示;
b) 唯一標識配置項;
c) 對于每一個安全功能相關的配置項,配置項列表簡要說明該配置項的開發者。
1.2.3.3.3 交付程序
開發者應使用一定的交付程序交付產品,并將交付過程文檔化。在給用戶方交付產品的各版本時,交付文檔應描述為維護安全所必需的所有程序。
1.2.3.3.4 開發安全
開發者應提供開發安全文檔。開發安全文檔應描述在產品的開發環境中,為保護產品設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。
1.2.3.3.5 生命周期定義
開發者應建立一個生命周期模型對產品的開發和維護進行的必要控制,并提供生命周期定義文檔描述用于開發和維護產品的模型。
1.2.3.4 測試
1.2.3.4.1 覆蓋
開發者應提供測試覆蓋文檔,測試覆蓋描述應滿足以下要求:
a) 證實測試文檔中的測試與功能規范中安全功能接口之間的對應性;
b) 證實已經對功能規范中的所有安全功能接口都進行了測試。
1.2.3.4.2 深度
開發者應提供測試深度的分析。測試深度分析描述**應滿足以下要求:**
a) 證實測試文檔中的測試與產品設計中的安全功能子系統之間的對應性;
b) 證實產品設計中的所有安全功能子系統都已經進行過測試。
1.2.3.4.3 功能測試
開發者應測試產品安全功能,將結果文檔化并提供測試文檔。測試文檔應包括以下內容:
a) 測試計劃:標識要執行的測試,并描述執行每個測試的方案,這些方案包括對于其它測試結果的任何順序依賴性;
b) 預期的測試結果:表明測試成功后的預期輸出;
c) 實際測試結果:和預期的測試結果一致。
d) 證實所有已知的漏洞被改正、消除或使其無效,并在消除漏洞后重新測試,以證實它們已被消除,且沒有引出新的漏洞。
1.2.3.4.4 獨立測試
開發者應提供一組與其自測安全功能時使用的同等資源,以用于安全功能的抽樣測試。
1.2.3.4.5 密碼測試
開發者應對所使用的對稱、非對稱和雜湊密碼算法進行正確性和一致性測試,確保實際運算結果與預期的正確結果相符。
開發者應確保使用符合國家密碼相關規定的對稱、非對稱和雜湊密碼算法。
1.2.3.5 脆弱性評定
基于已標識的潛在脆弱性,產品應抵抗具有基本攻擊潛力的攻擊者的攻擊。
推薦文章: