gat 388-2002 标准规范下载简介
gat 388-2002 计算机信息系统安全等级保护操作系统技术要求审计信息、暂停审计、覆盖以前的审计记录等。
4. 4. 17数据完整性
GA/T3882002
应按GA/T390一2002中6.4.3.7的要求,设计操作系统的数据完整性功能。本安全等级要求: a) 应为操作系统TCB安全功能控制范围内的主体和客体设置完整性标签(IL),并建立半形式化 的完整性安全策略模型,来保护信息在存储、传输和处理过程中的完整性。 b)在对数据进行访问操作时进行完整性检测和恢复福建省普通公路建设项目管理标准化指南,检查存储在存储介质上的用户数据是否出 现完整性错误,并在检测到完整性错误时进行恢复。可通过密码支持系统所提供的完整性功 能,对加密存储的数据进行完整性保护。操作系统对磁盘设备中存储的数据,可通过增加磁盘 扫描程序实现以下功能: 一自动检查文件与磁盘表面是否完好; 一将磁盘表面的问题自动记录下来; 一,随时检查、诊断和修复磁盘上的错误。 一修复扇区交错和扇区流失; 一一将数据移到好的扇区; 一可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复。 c)在操作系统内部进行的数据传输,如进程间的通信,应提供保证数据完整性的功能。完整性标 签应随数据一起流动,系统应保证低完整性的数据不能插人、覆盖到高完整性的数据。 d) 对操作系统中处理的数据,应按回退的要求设计相应的TCB安全功能模块,进行异常情况的 操作序列回退,以确保数据的完整性,系统应保证在处理过程中不降低数据完整性的级别。
1.4.1.8隐蔽通道分
应按GA/T390一2002中6.4.3.8的要求,进行隐蔽信道分析。本安全等级要求:操作系统开发者 应根据实际测量和工程计算,分析系统中存在的存储隐蔽信道,并采取相应措施进行限制和控制。
4.4.1.9可信路径
应按GA/T390一2002中6.4.3.9的要求 交,设计操作系统的可信路径。本安全等级要求: a)在用户进行初始登录和/或鉴别时,TCB应在它与用户之间建立一条安全的信息传输通
4.4.2TCB自身安全保护
GA/T 388—2002
i)当操作系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、根目录、 审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。 j) 执行系统所提供的实用程序,应(默认地)限定于对系统的有效使用,只允许系统管理员修改或 替换系统提供的实用程序。 k)操作环境应为用户提供一个机制,来控制命令的目录/路径的查找顺序。 1)秀 系统应提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动 执行。 m)系统应为系统管理员提供一种机制,来产生安全参数值的详细报告。 n) 在TCB失败或中断后,进程应保证保护文本以最小的损害得到恢复。并按失败保护中所描述 的内容,实现对TSF出现失败时的处理。系统因故障或其他原因中断后,应有一种机制去恢复 系统。系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用,各种 安全功能全部失效。 0) 操作系统环境应控制和审计系统控制台的使用情况。 p) 系统应能识别由通信渠道接收的信息的来源者,所有待确认的数据应能从进人点被安全地传 送到确认系统,如口令不应由公共的或共享的网络以明文发送,可使用数据加密设备或通过加 密信道用加密模式传送。
4.4.2.2资源利用
应按GA/T390一2002中6.4.4.2的要求,设计操作系统的资源利用。本安全等级要求: a) 应通过一定措施确保当系统出现某些确定的故障情况时,TSF也能维持正常运行,如系统应 检测和报告系统的服务水平已降低到预先规定的最小值。 6) 应采取适当的策略,有限服务优先级提供主体使用TSC内某个资源子集的优先级,进行TCB 资源的管理和分配。 c) 应按资源分配中最大限额的要求,进行TCB资源的管理和分配,要求配额机制确保用户和主 体将不会独占某种受控的资源。 d)美 系统应确保在被授权的主体发出请求时,资源能被访问和利用。 当系统的服务水平降低到预先规定的最小值时,应能检测和发出报告。 f) 系统应提供维护状态中运行的能力,在维护状态下各种安全性能全部失效,系统只允许由系统 管理员使用。 系统应以每个用户或每个用户组为基础,提供一种机制,控制他们对磁盘的消耗和对CPU的 使用。 h) 系统应提供软件及数据备份和复原的过程,在系统中应加人再启动的同步点,以便于系统的 复原。 i) 操作系统应能提供用户可访问的系统资源的修改历史记录。 j) 系统应提供能用于定期确认系统正确操作的机制和过程,这些机制或过程应涉及系统资源的 监督、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规 定的门限的通讯差错的检测等内容
4.4.2.3TCB访问控制
应按GA/T390一2002中6.4.4.3的要求,设计操作系统的TCB访问控制。本安全等级要求: a) 按可选属性范围限定最小级的要求,选择某种会话安全属性的所有失败的尝试,对用来建立 会话的安全属性的范围进行限制。 b) 按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上, TSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数。 C)按最小级会话建立机制对会话建立的管理进行设计
4.4.3TCB设计和实现
4. 4. 3. 1配置管理
应按GA/T390一2002中6.4.5.1的要求,设计操作系统TCB的配置管理。本安全等级要求: a)在配置管理自动化方面要求部分的配置管理自动化。 b)在配置管理能力方面应实现对版本号、配置项、授权控制、生成支持和验收过程及进一步的支 持等方面的要求。 在TCB的配置管理范围方面,应将TCB的实现表示、设计文档、测试文档、用户文档、管理员 文档以及配置管理文档等置于配置管理之下,要求实现对配置管理范围内的问题,特别是安全 缺陷问题进行跟踪。还要求包括开发工具配置管理。 d)在系统的整个生存期,即在它的开发、测试和维护期间,应有一个软件配置管理系统处于保持 对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的 基本部分。所有改变应被记载和检查,以确保未危及系统的安全。在软件配置管理系统中,应包 含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具和规 程。通过技术、物理和保安规章三方面的结合,可充分保护生成系统所用到的源码免遭未授权 的修改利毁坏
4. 4. 3.2分发和操作
应按GA/T390一2002中6.4.5.2的要求,设计操作系统TCB分发和操作。本安全等级要求: a)应以文档形式提供对TCB安全地进行分发的过程,以及安装、生成和启动的过程进行说明,并 最终生成安全的配置。文档中所描述的内容应包括: 提供分发的过程; 一安全启动和操作的过程; 一建立日志的过程; 一一修改检测的内容; 一对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述: 一在故障或硬件、软件出错后恢复系统至安全状态的规程; 一对含有加强安全性的硬件部件,应说明用户或自动的诊断测试的操作环境和使用方法; 一一所有诊断测试过程中,为加强安全性的硬件部件所提供例证的结果; 在启动和操作时产生审计踪迹输出的例证。 b)对系统的未授权修改的风险,应在交付时控制到最低限度。在包装及安全分送和安装过程中 这种控制应采取软件控制系统的方式,确认安全性会由最终用户考虑,所有安全机制都应以功 能状态交付,
功能。 d) 随同系统交付的全部默认用户标识码,应在交付时处于非激活状态,并在使用前由管理员 激活。 e) 用户文档应同交付的软件一起包装,并应有一套规程确保当前送给用户的系统软件是严格按 最新的系统版本来制作的。 ) 以安全方式开发并交付系统后,仍应提供对产品的长期维护和评估的支持,包括产品中的安全 漏洞和现场问题的解决。 g)应采用书面说明的方式向客户通告新的安全问题。 h)对可能受到威胁的所有的安全问题,均应描述其特点,并作为主要的问题对待,直到它被解决 或在用户同意下降级使用。 i) 为了支持已交付的软件的每个版本,对所有已有的安全漏洞都应有文档书面说明,并且用户能 在限制的基础上得到该文档。 j)对安全漏洞的修改不必等到系统升级到下一个版本。安全功能的增加和改进应独立于系统版 本的升级,也就是说,应存在适应性独立于系统其他功能的改进。 k),只有经过客户授权,才允许在生产性运行的系统上进行新特性和简易原型的开发、测试和 安装。 1) 新的版本应避免违反最初的安全策略和设想,也应避免在维护、增加或功能升级中引人安全漏 洞,所有功能的改变和安全结构设置的默认值都应作记录。在新版本交付给用户使用前,用户 应能得到相应的文档
4.4 3.4指导性文档
应按GA/T390一2002中6.4.5.4的要求,编制TCB的指导性文档。本安全等级要求: a)应为最终用户提供简单概要、分章节或手册形式的文档,保证用户拥有进行安全操作所需要的
GA/T 388=2002
4.4.3.5生命周期支持
应按GA/T390一2002中6.4.5.5的要求,设计操作系统TCB的生命周期支持。本安全等级要求: a)# 应按标准的生命周期模型进行开发,提供充分的安全措施,应用部分的工具和技术应遵照实现 标准。 b)所有安全软件应提供安全安装默认值。在未做特殊选择时,应按默认值安装安全机制。 随同系统交付的全部默认用户标识号,在安装完时应处于非激活状态,并由系统管理员加以 激活。 d)文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是否能被 撤消或修改,说明在故障或系统出错时如何恢复系统至安全状态。 如果系统含有加强安全性的硬件,那么管理员、最终用户或自动的诊断测试,应能在各自的操 作环境中运行它并详细说明操作过程
应按GA/T390一2002中6.4.5.6的要求,对操作系统的TCB进行测试。本安全等级要求: a)应通过一般功能测试和抽样性独立测试,严格的测试范围分析,高层设计测试、低层设计测试、 实现表示测试,顺序的功能测试等,确认TCB的功能与所要求的功能相一致。 b 所有系统的安全特性,应被全面测试,包括查找漏润,如允许违反系统访问控制要求、允许违 反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有被发现 的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引 出新的漏洞。 应据供测试文档,详细措述测试计划测试过程温试结用
4. 4. 3.7脆弱性评定
应按GA/T390一2002中6.4.5.7的要求,对所开发的TCB进行脆弱性评定。本安全等级要求:应 从一般性的的隐蔽信道分析,指南检查、分析确认、对安全状态的检查和分析,TCB安全功能强度评估, 开发者脆弱性分析、独立脆弱性分析、中级抵抗力分析等方面进行脆弱性评定
4.4.4TCB安全管理
应按GA/T390一2002中6.4.6的要求,实现TCB的安全管理。本安全等级要求: a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能,以及与一般的安 装、配置和维护有关的功能,制定相应的操作、运行规程和行为规章制度。 6) 根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体 重用、审计、数据完整性、隐蔽信道分析、可信路径和安全保证技术要求所涉及的配置管理、分 发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB 安全管理。 应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任,并按“最小授权原则”分 别授予他们各自为完成自身任务所需的最小权限,并形成相互制约的关系。
4.5第五级:访问验证保护级
身份鉴别应包括对用户的身份进行标识和鉴别。应按GA/T390一2002中6.5.3.1.1和6.5.3.1.2 的要求,设计操作系统的身份鉴别功能。本安全等级要求: a)应提供用户进人操作系统时的身份标识,并按以下要求进行设计: 凡需进人操作系统的用户,应先进行标识(建立账号)。 操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生命周期实现用户 的唯一性标识,以及用户名或别名、UID等之间的一致性
GA/T388—2002
4.5.1.2自主访问控制
应按GA/T390一2002中6.5.3.3的要求,设计操作系统的自主访问控制功能。本安全等级要求: a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享,并阻止非授权用户读取敏 感信息。 b) 设置默认功能。当一个主体生成一个客体时,在该客体的访问控制表中相应地应具有该主体 设置的默认值。 C 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户。对系统中的每一个客体,都 应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限,而别的同组用户或 非同组的用户和用户组对该客体的访问权则应由创建者用户授予。 d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成 功的或不成功的访问,使用户对自已的行为承担明确的责任。 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控 制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体。 f) 定义访问控制属性,并保护这些属性。主体的访问控制属性至少应有:读、写、执行等;客体的访 问控制属性应包含可分配给主体的读、写和执行等权限。 g) 定义分配和修改主体和客体的访问控制属性的规则,并执行对主体和客体的访问控制属性的 分配和修改,规则的结果应达到只有被授权的用户才允许访问一个客体。 h) 定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性,授权的范围应 包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规则应用的类型
4.5.1.4强制访问控制
GA/T 388=2002
4.5.1.5客体重用
应按GA/T390一2002中6.5.3.6的要求,设计操作系统的客体重用功能。本安全等级要求: a)应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括: 确保非授权用户不能查找使用后返还系统的记录介质中的信息内容; 确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容。 b)存储器保护应包括: 一对存储单元的地址的保护,使非法用户不能访问那些受到保护的存储单元; 对被保护的存储单元的操作提供各种类型的保护。最基本的保护类型是“读/写”和“只 读”。不能读/写的存储单元,若被用户读/写时,系统应及时发出警报或中断程序执行。 可采用逻辑隔离的方法进行存储器保护,具体有:界限地址寄存器保护法、内存标志法、锁 保护法和特征位保护法等。 c)在单用户系统中,存储器保护应防止用户进程影响系统的运行。 d)在多用户系统中,存储器保护应保证系统内各个用户之间互不干扰
4. 5. 1.7数据完整性
应按GA/T390一2002中6.5.3.7的要求,设计操作系统的数据完整性功能。本安全等级要求: a)应为操作系统TCB安全功能控制范围内的主体和客体设置完整性标签(II.),并建立形式化的 完整性安全策略模型,来保护信息在存储、传输和处理过程中的完整性。 b 在对数据进行访问操作时进行完整性检测和恢复,检查存储在存储介质上的用户数据是否出 现完整性错误,并在检测到完整性错误时进行恢复。可通过密码支持系统所提供的完整性功
能,对加密存储的数据进行完整性保护。操作系统对磁盘设备中存储的数据,可通过增加磁盘 扫描程序实现以下功能: 一 自动检查文件与磁盘表面是否完好; 将磁盘表面的问题自动记录下来; 一随时检查、诊断和修复磁盘上的错误。 一修复扇区交错和扇区流失; 将数据移到好的扇区; 一可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复。 在操作系统内部进行的数据传输,如进程间的通信,应提供保证数据完整性的功能。完整性标 签应随数据一起流动,系统应保证低完整性的数据不能插入、覆盖到高完整性的数据。 对操作系统中处理的数据,应按回退的要求设计相应的TCB安全功能模块,进行异常情况的 操作序列回退,以确保数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。
4.5.1.8隐蔽通道分析
应按GA/T390一2002中6.5.3.8的要求,进行隐蔽信道分析。本安全等级要求:操作系统开发者 应根据实际测量和工程计算,分析系统中存在的隐蔽信道,并采取相应措施进行限制和控制。
4.5.1.9可信路径
应按GA/T390一2002中6.5.3. 本安全等级要求:在对 用户进行初始登录和/或鉴别时,T 条安全的信息传输通路
4.5.1.10可信恢复
应按GA/T390一2002中6.5.2.6的要求,设计操作系统的可信恢复功能。本安全等级要求:按自 我信息备份、增量备份、局部系统备份、热备份、全系统备份和主机系统远地备份的要求,设计备份功能 按手动恢复、自动恢复和灾难恢复的方法,设计恢复功能,以便在操作系统发生故障时进行必要的恢复 工作,
4.5.2TCB自身安全保护
j)执行系统所提供的实用程序,应(默认地)限定于对系统的有效使用,只允许系统管理员修改或 替换系统提供的实用程序。 k) 操作环境应为用户提供一个机制,来控制命令的目录/路径的查找顺序。 1) 系统应提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动 执行。 m)系统应为系统管理员提供一种机制,来产生安全参数值的详细报告。 n)在TCB失败或中断后,进程应保证保护文本以最小的损害得到恢复。并按失败保护中所描述 的内容,实现对TSF出现失败时的处理。系统因故障或其他原因中断后,应有一种机制去恢复 系统。系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用,各种 安全功能全部失效。 0) 操作系统环境应控制和审计系统控制台的使用情况。 P)系统应能识别由通信渠道接收的信息的来源者,所有待确认的数据应能从进入点被安全地传 送到确认系统,如口令不应由公共的或共享的网络以明文发送,可使用数据加密设备或通过加 密信道用加密模式传送
4.5. 2. 2资源利用
应按GA/T390一2002中6.5.4.2的要求,设计操作系统的资源利用。本安全等级要求: a) 应通过一定措施确保当系统出现某些确定的故障情况时,TSF也能维持正常运行,如系统应 检测和报告系统的服务水平已降低到预先规定的最小值; b)) 应采取适当的策略,有限服务优先级提供主体使用TSC内某个资源子集的优先级,进行TCB 资源的管理和分配; c) 应按资源分配中最大限额的要求,进行TCB资源的管理和分配,要求配额机制确保用户和主 体将不会独占某种受控的资源。 d) 系统应确保在被授权的主体发出请求时,资源能被访问和利用。 e) 当系统的服务水平降低到预先规定的最小值时,应能检测和发出报告。 f)系统应提供维护状态中运行的能力,在维护状态下各种安全性能全部失效,系统只允许由系统 管理员使用。 g) 系统应以每个用户或每个用户组为基础,提供一种机制,控制他们对磁盘的消耗和对CPU的 使用。 系统应提供软件及数据备份和复原的过程,在系统中应加入再启动的同步点,以便于系统的 复原。 i) 操作系统应能提供用户可访问的系统资源的修改历史记录。 j) 系统应提供能用于定期确认系统正确操作的机制和过程,这些机制或过程应涉及系统资源的 监督、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规 定的门限的通讯差错的检测等内容
应按GA/T390一2002中6.5.4.2的要求,设计操作系统的资源利用。本安全等级要求: a) 应通过一定措施确保当系统出现某些确定的故障情况时,TSF也能维持正常运行,如系统应 检测和报告系统的服务水平已降低到预先规定的最小值; b) 应采取适当的策略,有限服务优先级提供主体使用TSC内某个资源子集的优先级,进行TCB 资源的管理和分配; c) 应按资源分配中最大限额的要求,进行TCB资源的管理和分配,要求配额机制确保用户和主 体将不会独占某种受控的资源。 d) 系统应确保在被授权的主体发出请求时,资源能被访问和利用。 e) 当系统的服务水平降低到预先规定的最小值时,应能检测和发出报告。 系统应提供维护状态中运行的能力,在维护状态下各种安全性能全部失效,系统只允许由系统 管理员使用。 8) 系统应以每个用户或每个用户组为基础,提供一种机制,控制他们对磁盘的消耗和对CPU的 使用。 h) 系统应提供软件及数据备份和复原的过程,在系统中应加入再启动的同步点,以便于系统的 复原。 i) 操作系统应能提供用户可访问的系统资源的修改历史记录。 j) 系统应提供能用于定期确认系统正确操作的机制和过程,这些机制或过程应涉及系统资源的 监督、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规 定的门限的通讯差错的检测等内容
4.5.2.3TCB 访间
应按GA/T390一2002中6.5.4.3的要求,设计操作系统的TCB访问控制。本安全等级要求: a) 按可选属性范围限定最小级的要求,选择某种会话安全属性的所有失败的尝试,对用来建立 会话的安全属性的范围进行限制; b 按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上: TSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数; c 按最小级会话建立机制,对会话建立的管理进行设计。 d)在建立TCB会话之前,应认证用户的身份,不允许认证机制被旁路。 e 成功登录系统后,TCB应向用户显示以下数据:
应按GA/T390一2002中6.5.4.3的要求,设计操作系统的TCB访间控制。本安全等级要求: a) 按可选属性范围限定最小级的要求,选择某种会话安全属性的所有失败的尝试,对用来建立 会话的安全属性的范围进行限制; b) 按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上: TSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数; c) 按最小级会话建立机制,对会话建立的管理进行设计。 d)在建立TCB会话之前,应认证用户的身份,不允许认证机制被旁路。 e) 成功登录系统后,TCB应向用户显示以下数据,
4.5.3TCB设计和实现
应按GA/T390一2002中6.5.5.1的要求,设计操作系统TCB的配置管理。本安全等级要求: a) 在配置管理自动化方面要求完全的配置管理自动化。 b)在配置管理能力方面应对版本号、配置项、授权控制、生成支持和验收过程及进一步的支持等 方面均达到要求。 c)在TCB的配置管理范围方面,应将TCB的实现表示、设计文档、测试文档、用户文档、管理员 文档以及配置管理文档等置于配置管理之下,要求实现对配置管理范围内的问题,特别是安全 缺陷问题进行跟踪。还要求包括开发工具配置管理。 d) 在系统的整个生存期,即在它的开发、测试和维护期间,应有一个软件配置管理系统处于保持 对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的 基本部分。所有改变应被记载和检查,以确保未危及系统的安全。在软件配置管理系统中,应包 含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具和规 程。通过技术,物理和保安规章三方面的结合,可充分保护生成系统所用到的源码免遭未授权 的修改和毁坏
4.5.3.2分发和操作
应按GA/T390一2002中6.5.5.2的要求,设计操作系统的TCB分发和操作。本安全等级要求; ) 应以文档形式提供对TCB安全地进行分发的过程,以及安装、生成和启动的过程进行说明,并 最终生成安全的配置。文档中所描述的内容应包括: 一提供分发的过程; 一安全启动和操作的过程; 一建立日志的过程; 一修改检测的内容; 一对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述; 一在故障或硬件、软件出错后恢复系统至安全状态的规程; 一对含有加强安全性的硬件部件,应说明用户或自动的诊断测试的操作环境和使用方法; 一所有诊断测试过程中,为加强安全性的硬件部件所提供例证的结果; 一在启动和操作时产生审计踪迹输出的例证。 b) 对系统的未授权修改的风险,应在交付时控制到最低限度。在包装及安全分送和安装过程中, 这种控制应采取软件控制系统的方式,确认安全性会由最终用户考虑,所有安全机制都应以功 能状态交付。 所有软件应提供安全安装默认值,在客户不做选择时,默认值应使安全机制有效地发挥安全 功能
d)随同系统交付的全部默认用户标识码,应在交付时处于非激活状态:并在使用前由管理员 激活。 e) 用户文档应同交付的软件一起包装,并应有一套规程确保当前送给用户的系统软件是严格按 最新的系统版本来制作的。 f) 以安全方式开发并交付系统后,仍应提供对产品的长期维护和评估的支持,包括产品中的安全 漏洞和现场问题的解决。 g) 应采用书面说明的方式向客户通告新的安全问题。 h)对可能受到威胁的所有的安全问题,均应描述其特点,并作为主要的问题对待,直到它被解决 或在用户同意下降级使用。 i) 为了支持已交付的软件的每个版本,对所有已有的安全漏洞都应有文档书面说明,并且用户能 在限制的基础上得到该文档。 J) 对安全漏洞的修改不必等到系统升级到下一个版本。安全功能的增加和改进应独立于系统版 本的升级,也就是说,应存在适应性独立于系统其他功能的改进。 k)只有经过客户授权,才允许在生产性运行的系统上进行新特性和简易原型的开发、测试和 安装。 1) 新的版本应避免违反最初的安全策略和设想,也应避免在维护、增加或功能升级中引人安全漏 洞,所有功能的改变和安全结构设置的默认值都应作记录。在新版本交付给用户使用前,用户 应能得到相应的文档。
4.5.3.4 指导性文档
应按GA/T390一2002中6.5.5.4的要求,编制TCB的指导性文档。本安全等级要求: a)应为最终用户提供简单概要、分章节或手册形式的文档,保证用户拥有进行安全操作所需要的 所有信息。与安全有关的信息应包含在一个特别的手册中或许多标准的文本集中,提供用户查 阅所有的安全功能。这些信息可随系统发送,也可明确指出它包含在哪个文本当中。
GA/T 3882002
4.5.3.5生命周期支持
应按GA/T390一2002中6.5.5.5的要求,设计操作系统TCB的生命周期支持。本安全等级要求:
a) 应按可测量的生命周期模型进行并发,提供充分的安全措施,所有部分的工具和技术应遵照实 现标准。 b) 所有安全软件应提供安全安装默认值。在未做特殊选择时,应按默认值安装安全机制。 cJ 随同系统交付的全部默认用户标识号,在安装完时应处于非激活状态,并由系统管理员加以 激活。 d) 文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是否能被 撤消或修改,说明在故障或系统出错时如何恢复系统至安全状态。 e) 如果系统含有加强安全性的硬件,那么管理员、最终用户或自动的诊断测试,应能在各自的操 作环境中运行它并详细说明操作过程。
4. 5. 37脆弱性评定
应按GA/T390一2002中6.5.5.7的要求,对所开发的TCB进行脆弱性评定。本安全会 从系统化的隐蔽信道分析,指南检查、分析确认、对安全状态的检查和分析,TCB安全功能弘 发者脆弱性分析、独立脆弱性分析、高级抵抗力分析等方面进行脆弱性评定
4.5.4TCB安全管理
应按GA/T390一2002中6.5.6的要求,实现TCB的安全管理。本安全等级要求: a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能,以及与一般的安 装、配置和维护有关的功能,制定相应的操作、运行规程和行为规章制度。 b) 根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体 重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复和安全保证技术要求所涉及的配 置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容 设计TCB安全管理。 C 应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任,并按“最小授权原则”分 别授予他们各自为完成自身任务所需的最小权限,并形成相互制约的关系
GB/T 50543-2019 建筑卫生陶瓷工厂节能设计标准 A.2关于安全等级划分的说明
图A.1《操作系统技术要求》的组成与相互关系
计算机操作系统可以是单处理机环境的操作系统,也可以是多处理机环境的操作系统。后者又包括 多处理机并行操作系统、分布式操作系统(含分布式计算环境)、网络操作系统等多种情况。对于单处理 机环境的操作系统,安全等级的划分相对简单,而对于多处理机环境的操作系统,由于其一般都跨网络 运行,安全等级的划分相对复杂。对于多处理机环境的操作系统,由于其操作系统的组成部分具有相对 的独立性,并且,这些操作系统运行于网络环境,因而在考虑对其进行安全等级划分时,应首先考虑各组 成部分的安全等级划分,并充分考患网络传输中的安全因素,然后,综合考虑整个操作系统的安全等级。 这里应把握的基本原则是:各组成部分安全等级应不低于整体系统安全等级。操作系统的安全性与支持 其运行的计算机硬件设备与环境条件密切相关。因此,支持操作系统运行的硬件设备及环境条件的安全 等级应与该操作系统的安全等级相匹配。 在设计一个多处理机环境的操作系统时,首先按安全需求确定整体安全应达到的安全保护等级,再 进一步明确该安全保护等级所对应的安全要素所应具有的安全功能和安全保证条件。在具体进行设计 时,这些安全要求和安全保证都应落实到组成操作系统的各部分之中,只有各部分都达到了相应的安全
该操作系统在总体上才有可能达到所要求的
A.3关于主体、客体的进一步说明
A.4 关于TCB的进一步说明
TCB、TSF、TSP、SFP是《操作系统技术要求》中的重要的概念。在操作系统中,TCB(可信计算基) 是构成一个安全的操作系统的所有安全保护装置的组合体。一个TCB可以包含多个TSF(TCB安全功 能模块),每个TSF是一个或多个SFP(安全功能策略)的实现。TSP(TCB安全功能策略)是这些SFF 的总称,构成一个安全域,以防止不可信主体的干扰和篡改。实现TSF有两种方法,一种是设置前端过 滤器,另一种是设置访问监督器。两者都是在一定硬件基础上通过软件实现确定的安全策略,并提供所 要求的附加服务。在网络环境下,一个TCB可能跨网络实现,构成一个物理上分散、逻辑上统一的分布 式TCB。
A.5关于密码技术的说明
密码技术已成为当今操作系统安全保护的关键技术。在不同安全保护等级中所采用的不同安全策 略,应选取不同配置的密码技术作为构成操作系统安全保护的重要机制CECS 94-2019-T 建筑排水内螺旋管道工程技术规程,或将密码技术与系统安全技术 相结合,组成统一的安全机制。TSF可以利用密码功能来满足一些特定的安全要求。这里主要是指由密 码系统提供的以下支持:标识与鉴别、抗抵赖、数据加密保护、数据的完整性保护等。各个安全等级密码 技术的具体配置由国家密码主管部门决定,