GAT388-2002计算机信息系统安全等级保护操作系统技术要求.pdf 39页

'ics35020L09r.1中华人民共和国公共安全行业标准GA/T388-2002计算机信息系统安全等级保护操作系统技术要求Operatingsystemtechnologyrequirementincomputerinformationsystemclassifiedsecurityprotectionwww.bzfxw.com2002一07一15发布2002一07门5实施中华人民共和国公安部发布 GA/T388-2002目次n}uIA1范围··············································································································⋯⋯12规范性引用文件································································································⋯⋯13术语和定义······································································································⋯⋯14安全保护等级划分技术要求···································································⋯⋯”“·””二”’14.1第一级:用户自主保护级·......................................................................................14.1.1安全功能···································································································⋯⋯14.1.2TCB自身安全保护·······················································································⋯⋯14.1.3TCB设计和实现·...............................................................................................24.1.4TCB安全管理·····························································································⋯⋯34.2第二级:系统审计保护级·······························································⋯⋯“‘’二‘二“‘’二“‘44.2.1安全功能···································································································⋯⋯44.2.2TCB自身安全保护··········。·············..····························································⋯⋯54.2.3TCB设计和实现·························································································⋯⋯‘74.2.4TCB安全管理·····························································································⋯⋯94.3第三级:安全标记保护级·················································································⋯⋯94.3.1安全功能··································································································⋯⋯94.3.2TCB自身安全保护····················································································⋯⋯114.3.3TCB设计和实现·······················································································⋯⋯134.3.4TCB安全管理··························································································⋯⋯164.4第四级:结构化保护级······························································，··················⋯⋯‘二164.4.1安全功能···································································································⋯⋯164.4.2TCB自身安全保护···················································································⋯⋯194.4.3TCB设计和实现·······················································································⋯⋯214.4.4TCB安全管理············································································。····。········⋯⋯244.5第五级:访问验证保护级·················································································⋯⋯244.5.1安全功能····································································。。·····························⋯⋯244.5.2TCB自身安全保护····················································································⋯⋯274.5.3TCB设计和实现·······················································································⋯⋯294.5.4TCB安全管理··························································································⋯⋯32附录A(资料性附录)标准概念说明········································································⋯⋯33A.1组成与相互关系··························································································⋯⋯33Awww.bzfxw.com.2关于安全等级划分的说明·············································································⋯⋯33A.3关于主体、客体的进一步说明········································································⋯⋯‘二34A.4关于TCB的进一步说明··················································，······························⋯⋯34A.5关于密码技术的说明··········································································⋯⋯”’·””二34参考文献·············································································································。⋯35 GA/T388-2002前言GB17859-1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全等级管理的重要标准，已于1999年9月13日发布。为促进安全等级管理工作的正常有序开展，特制定一系列相关的标准，包括:—计算机信息系统安全等级保护技术要求系列标准;—计算机信息系统安全等级保护管理要求;—计算机信息系统安全等级保护工程实施要求;—计算机信息系统安全等级保护评测系列标准。其中，计算机信息系统安全等级保护技术要求系列标准由以下标准和其他相关标准组成:GA/T390-2002计算机信息系统安全等级保护通用技术要求;GA/T387-2002计算机信息系统安全等级保护网络技术要求;GA/T388-2002计算机信息系统安全等级保护操作系统技术要求;GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求本标准是计算机信息系统安全等级保护技术要求系列标准中的第3项。本标准的附录A是资料性附录。本标准由中华人民共和国公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:江南计算技术研究所。本标准主要起草人:汪晓茵、吉增瑞、徐良华、袁志平。www.bzfxw.com GA/T388-2002引言本标准是计算机信息系统安全等级保护技术要求系列标准的重要组成部分，用以指导设计者如何设计和实现具有所需要的安全等级的操作系统，主要从对操作系统的安全保护等级进行划分的角度来说明其技术要求，即主要说明为实现GB17859-1999中每一个保护等级的安全要求对操作系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现上的差异。本标准按GB17859-1999五个安全等级的划分，对每一个安全等级的安全功能技术要求和安全保证技术要求做了详细描述。本标准中有关概念的说明见附录A。本标准参考的主要文件已列在参考文献中。www.bzfxw.com GA/T388-2002计算机信息系统安全等级保护操作系统技术要求范围本标准规定了按照GB17859-1999对操作系统进行安全保护等级划分所需要的详细技术要求。本标准适用于按照GB17859-1999的安全等级保护要求所进行的操作系统的设计和实现。对于按照GB17859-1999安全等级保护要求对操作系统进行的测试、管理也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本‘凡是不注日期的引用文件，其最新版本适用于本标准。GB17859-1999计算机信息系统安全等级划分准则GA/T390-2002计算机信息系统安全等级保护通用技术要求术语和定义GB17859-1999和GA/T390-2002确立的术语和定义适用于本标准。4安全保护等级划分技术要求4.1第一级:用户自主保护级4.1门安全功能4.1门.1身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应按GA广I"390-2002中6.3.1.1.6.1.3.的要求，设计操作系统的身份鉴别功能。本安全等级要求:a)应提供用户进人操作系统时的身份标识，并按以下要求进行设计:凡需进人操作系统的用户，应先进行标识(建立账号)操作系统用户标识一般使用用户名和用户标识符(U工D),b)采用口令进行鉴别，并在每次用户登录系统时进行鉴别。口令应是不可见的，并在存储时有安全保护4.1.1.2自主访问控制应按GA/T390--2002中6.1.3.2的要求，设计操作系统的自主访问控制功能。本安全等级要求:a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户对客体共享。b)设置默认功能。当一个主体生成一个客体时，在该客体的访问控制表中相应地应具有该主体www.bzfxw.com设置的默认值4.1.1.3数据完整性应按GA/T390-2002中6.1.3.3的要求，设计操作系统的数据完整性功能，防止数据遭受非授权用户的修改、破坏或删除。本安全等级要求:对操作系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能4.1.2TCB自身安全保护 GA/T388-20024.1.2.1TSF保护应按GA/T390-2002中6.1.4.1的要求，设计操作系统的TSF保护。本安全等级要求:a)系统在设计时不应留有“后门”即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构c)操作系统应进行分层设计，对操作系统程序和用户程序要进行隔离。d)一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间，两者的隔离应是静态的驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的应禁止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所有的虚存空间进行读、写操作。e)应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。f)应区分普通操作模式和系统维护模式4门2.2资源利用应按GA/T390-2002中6.1.4.2的要求，设计操作系统的资源利用。本安全等级要求:a)应通过一定措施确保当系统出现某些确定的故障情况时，TSF也能维持正常运行。b)应采取适当的策略，有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配c)应按资源分配中最大限额的要求，进行TCB资源的管理和分配，要求配额机制确保用户和主体将不会独占某种受控的资源4.1.2.3TCB访问控制应按GA/T390-2002中6.1.4.3的要求，设计操作系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制，对会话建立的管理进行设计。4.1.3TCB设计和实现4.1.3.1配置管理应按GA/T390-2002中6.1.5.1的要求，设计操作系统TCB的配置管理。本安全等级要求:应具有基本的配置管理能力，即要求开发者所使用的版本号与所应表示的TCB样本完全对应4门.3.2分发和操作应按GA/T390-2002中6.1.5.2的要求，设计操作系统的TCB分发和操作。本安全等级要求:a)以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;www.bzfxw.com—安全启动和操作的过程。b)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，这种控制应采取软件控制系统的方式，确认安全性会由最终用户考虑，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥作用。d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激 GA/T388-2002活e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的系统软件是严格按最新的系统版本来制作的。3.3开发应按GA/T390-2002中6.1.5.3的要求，进行操作系统TCB的开发。本安全等级要求a)按非形式化功能说明、描述性高层设计、TSF子集实现、TSF内部结构模块化、描述性低层设计和非形式化对应性说明的要求，进行TCB的开发。b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，二重/多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门d)所有交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。e)系统控制数据，如口令和密钥，不应在未受保护的程序或文档中以明文形式储存，并以书面形式向用户提供关于软件所有权法律保护的指南。3.4指导性文档应按GA/T390-2002中6.1.5.4的要求，编制TCB的指导性文档本安全等级要求:a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南。b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告，以及与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变用户的安全特征等。。)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、系统管理员和系统安全员。3.5生命周期支持应按GA/T390-2002中6.1.5.5的要求，设计操作系统的TCB。本安全等级要求:a)按开发者定义生命周期模型进行开发b)提供安全安装默认值。在未做特殊选择时，应按默认值安装安全机制c)随同系统交付的全部默认用户标识号，在刚安装完时应处于非激活状态，并由系统管理员加以激活。d)操作文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。3.6测试应按GA/T390-2002中6.1.5.6的要求，对操作系统的TCB进行测试。本安全等级要求:a)应通过一般功能测试和相符性独立测试，确认TCB的功能与所要求的功能相一致。b)所有系统的安全特性，应被全面测试。所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。c)应提供测试文档，详细描述测试计划、测试过程、测试结果。www.bzfxw.com4TCB安全管理应按GA/T390-2002中6.1.6的要求，实现TCB的安全管理。本安全等级要求:。)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置等有关的功能，制定相应的操作、运行规程和行为规章制度b)根据本级中安全功能技术要求所涉及的自主访问控制、身份鉴别、数据完整性和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试等所涉及的有 GA/"r388-2002关内容设计TCB安全管理。4.2第二级;系统审计保护级4.2.1安全功能42.1.1身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应按GA/T390-2002中6.2.3.1.1和6.2.3.1.2的要求，设计操作系统的身份鉴别功能。本安全等级要求:a)应提供用户进人操作系统时的身份标识，并按以下要求进行设计:—凡需进人操作系统的用户，应先进行标识(建立账号)。—操作系统用户标识应使用用户名和用户标识(UID)，并在操作系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、U工D等之间的一致性，b)采用口令进行鉴别，并要求在每次用户登录系统时进行鉴别口令应是不可见的，并在存储和传输时有安全保护4.2.12自主访问控制应按GA/T390-2002中6.2.3.3的要求，设计操作系统的自主访问控制功能。在本安全等级要求a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户对客体的共享。b)设置默认功能。当一个主体生成一个客体时，在该客体的访问控制表中相应地具有该主体设置的默认值c)有更细粒度的自主访问控制。对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授子d)自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。e)客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不允许客体拥有者把该客体的控制权分配给其他主体。f)定义访问控制属性‘并保护这些属性主体的访问控制属性至少应有:读、写、执行等;客体的访问控制属性应包含可分配给主体的读、写和执行等权限9)定义分配和修改主体和客体的访问控制属性的规则，并执行对主体和客体的访问控制属性的分配和修改，规则的结果应达到只有被授权的用户才允许访问一个客体。h)定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性，同时应指出主体和客体对这些规则应用的类型。4.2.1.3客体重用应按GA/T390-2002中6.2.3.4的要求设计操作系统的客体重用功能。本安全等级要求:a)应确保动态分配与管理的资源，在保持信息安全的情况下被再利用，主要包括:—确保非授权用户不能查找使用后返还系统的记录介质中的信息内容;一一确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容。b)在单用户系统中，存储器保护应防止用户进程影响系统的运行www.bzfxw.comc)在多用户系统中，存储器保护应保证系统内各个用户之间互不干扰。d)存储器保护应包括—对存储单元的地址的保护，使非法用户不能访问那些受到保护的存储单元;—对被保护的存储单元的操作提供各种类型的保护。最基本的保护类型是“读/写”和“只读”。不能读/写的存储单元，若被用户读/写时，系统应及时发出警报或中断程序执行 GA/T388-2002—可采用逻辑隔离的方法进行存储器保护，具体有:界限地址寄存器保护法、内存标志法、锁保护法和特征位保护法等。4.2门.4审计应按GA/T390-2002中6.2.2.3的要求设计操作系统的审计功能。本安全等级要求:a)审计功能应与身份鉴别、自主访问控制等安全功能紧密结合。b)能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问。c)能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。d)指出可记录的审计事件的最少类型，包括建立会话登录成功和失败，使用的系统接口，系统数据库管理的改变(改变用户账户属性、审计跟踪设置和分析、为程序分配设置用户ID、附加或改变系统程序或进程、改变日期和时间等)，超级用户命令改变用户身份、将某个客体引人某个用户的地址空间(如打开文件)、删除客体、系统管理员及系统安全管理员进行的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户。e)每个事件的数据记录，应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份识别和认证事件，应记录请求的源(如末端号或网络地址);对于创建和删除客体的事件，应记录客体的名字和客体的安全属性。f)应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件，并在系统工作时处于默认状态;该机制的使用应受到系统管理员的授权限制，系统管理员应能够选择一个或多个基于身份识别或客体属性的用户的审计活动;审计工具应能够授权个人使用、修改和删除审计;应提供对审计跟踪管理功能的保护，使之可以完成审计跟踪的创建、破坏、腾空和存档;系统管理员应能够定义超过审计跟踪极限的闽值;当存储空间被耗尽时，应能按管理员的指定决定采取的措施，包括:报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。4.2.15数据完整性应按GA/T390-2002中6.2.3.5的要求，设计操作系统的数据完整性功能。本安全等级要求:a)在对数据进行访问操作时，检查存储在存储介质上的用户数据是否出现完整性错误。操作系统对磁盘设备中存储的数据，可通过增加磁盘扫描程序实现以下功能:—自动检查文件与磁盘表面是否完好;—将磁盘表面的问题自动记录下来;—随时检查、诊断磁盘上的错误。b)对操作系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。c)对操作系统中处理的数据，应按回退的要求设计相应的TCB安全功能模块，进行异常情况的操作序列回退，以确保数据的完整性。4.2.2TCB自身安全保护4.2.2.1TSF保护应按GA/T390-2002中6.2.4.1的要求，设计操作系统的TSF保护。本安全等级要求:www.bzfxw.coma)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构c)操作系统应进行分层设计，对操作系统程序和用户程序要进行隔离d)一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间，两者的隔离应是静态的。 GA/T388-2002驻留在内存中的操作系统应由所有进程共享用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所有的虚存空间进行读、写操作e)提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。f)应区分普通操作模式和系统维护模式。9)应防止一个普通用户从未经允许的系统进人维护模式，并应防止一个普通用户与系统内维护模式交互。从而保证在普通用户访问系统之前，系统能以一个安全的方式进行安装和配置。h)对备份或不影响TCB的常规的系统维护，不要求所有的系统维护都在维护模式中执行。i)当操作系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、根目录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。J)执行系统所提供的实用程序，应(默认地)限定于对系统的有效使用，只允许系统管理员修改或替换系统提供的实用程序。k)操作环境应为用户提供一个机制，来控制命令的目录/路径的查找顺序。l)在TCB失败或中断后，进程应保证保护文本以最小的损害得到恢复。并按失败保护中所描述的内容，实现对TSF出现失败时的处理。m)操作系统环境应控制和审计系统控制台的使用情况。n)系统应能识别由通信渠道接收的信息的来源者，所有待确认的数据应能从进人点被安全地传送到确认系统，如口令不应由公共的或共享的网络以明文发送，可使用数据加密设备或通过加密信道用加密模式传送。4.2-2.2资源利用应按GA/T390-2002中6.2.4.2的要求，设计操作系统的资源利用。本安全等级要求:a)应通过一定措施确保当系统出现某些确定的故障情况时，TSF也能维持正常运行，如系统应检测和报告系统的服务水平已降低到预先规定的最小值。b)应采取适当的策略，有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配。c)应按资源分配中最大限额的要求，进行TCB资源的管理和分配，要求配额机制确保用户和主体将不会独占某种受控的资源。d)系统应确保在被授权的主体发出请求时，资源能被访问和利用。e)当系统的服务水平降低到预先规定的最小值时，应能检测和发出报告。f)系统应提供维护状态中运行的能力，在维护状态下各种安全性能全部失效，系统只允许由系统管理员使用。B)系统应以每个用户或每个用户组为基础，提供一种机制，控制他们对磁盘的消耗和对CPU的使用。4.2.2.3TCB访问控制应按GA/T390-2002中6.2.4.3的要求，设计操作系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立www.bzfxw.com会话的安全属性的范围进行限制。b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制，对会话建立的管理进行设计。d)在建立TCB会话之前，应认证用户的身份。登录机制不允许认证机制本身被旁路。e)成功登录系统后，TCB应向用户显示以下数据: GA/T388-2002—日期、时间、来源和上次成功登录系统的情况;—上次成功访问系统以来身份识别失败的情况;—应显示口令到期的天数;—成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法4.2.3TCB设计和实现4.2.3门配置管理应按GA/T39。一2002中6.2.5.1的要求设计配置管理。本安全等级要求:a)在配置管理能力方面应实现对版本号、配置项、授权控制等方面的要求。b)在TCB的配置管理范围方面，应将TCB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下c)在系统的整个生存期，即在它的开发、测试和维护期间，应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分。所有改变应被记载和检查，以确保未危及系统的安全。在软件配置管理系统中，应包含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具和规程。通过技术、物理和保安规章三方面的结合，可充分保护生成系统所用到的源码免遭未授权的修改和毁坏。4.2-3.2分发和操作应按GA/T390-2002中6.2.5.2的要求，设计操作系统的TCB分发和操作。本安全等级要求:a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。b)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;—安全启动和操作的过程;—建立日志的过程。c)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，这种控制应采取软件控制系统的方式，确认安全性会由最终用户考虑，所有安全机制都应以功能状态交付。d)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能。e)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活f)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的系统软件是严格按最新的系统版本来制作的4.2-3.3开发应按GA/T390-2002中6.2.5.3的要求，进行操作系统TCB的开发。本安全等级要求:a)要求按非形式化功能说明、完全定义的外部接口、描述性高层设计、TSF子集实现、TSF内部www.bzfxw.com结构模块化和层次化、描述性低层设计、非形式化对应性说明以及非形式化安全策略模型的要求，进行TCB的开发。b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，二重/多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。d)所右夺付的软件和亨档.府讲行羊千守个缺陷fit宁期的和书而的f{3杏并将拾杏结奥告知 GA/T388-2002用户。e)系统控制数据，如口令和密钥，不应在未受保护的程序或文档中以明文形式储存，并以书面形式向用户提供关于软件所有权法律保护的指南。42.3.4指导性文档应按GA/T390-2002中6.2.5.4的要求，编制TCB的指导性文档。本安全等级要求:a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南，不应包括那些如果公开将会危及系统安全的任何信息。b)系统管理员文档应提供:—关于系统的安全开机、操作和重新启动的信息，包括启动系统的过程(如引导系统进入安全方式)、在系统操作失误时恢复安全系统操作的过程、运行软件和数据备份及转储的方法和过程;—一个单独的安装指南，详细说明设置系统的配置和初始化过程，提供一个新系统版本的安全设置和安装文档，包括对所有用户可见的安全相关过程、软件和数据文档的描述。C)安全管理员文档应提供:—有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告;—与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变用户的安全特征等;—提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程、为检查能被目录文件所利用的磁盘剩余空间所推荐的过程;—关于设置所有文件和目录的最低访问许可的建议;—运行文件系统或磁盘完整性检测所做的建议;一如何进行系统自我id估的章节滞有网络管理、口令要求、拨号访问控制、意外事故计划的安全报告)，为灾害恢复计划所做的建议;—描述普通侵人技术和其他威胁，并查出和阻止它们的内容d)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。4.2.3.5生命周期支持应按GA/T390-2002中6.2.5.5的要求，设计操作系统TCB生命周期支持。本安全等级要求:a)应按开发者定义生命周期模型进行开发，并提供开发过程中的安全措施说明。b)所有安全软件应提供安全安装默认值。在未做特殊选择时，应按默认值安装安全机制。C)随同系统交付的全部默认用户标识号，在安装完时应处于非激活状态，并由系统管理员加以激活。www.bzfxw.comd)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。e)如果系统含有加强安全性的硬件，那么管理员、最终用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程。4.2-3.6测试应按GA/T390-2002中6.2.5.6的要求，对操作系统的TCB进行测试。本安全等级要求: GA/T388-2002a)应通过一般功能测试和相符性独立测试、测试的范围分析、高层设计的测试，确认TCB的功能与所要求的功能相一致。b)所有系统的安全特性，应被全面测试，包括查找漏洞，如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有被发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。c)应提供测试文档，详细描述测试计划、测试过程、测试结果。4.2-3.7脆弱性评定应按GA/T390-2002中6.2.5.7的要求，对所开发的TCB进行脆弱性评定。本安全等级要求:a)从指南检查、TCB安全功能强度评估和开发者脆弱性分析等方面进行脆弱性评定。4.2.4TCB安全管理应按GA/T390-2002中6.2.6的要求，实现TCB的安全管理。本安全等级要求:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度。b)根据本级中安全功能技术要求所涉及的自主访问控制、身份鉴别、客体重用、审计、数据完整性和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理。4.3第三级:安全标记保护级4.3门‘安全功能4.3门.1身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应按GA/T390-2002中6.3.3.1.1和6.3.3.1.2的要求，设计操作系统的身份鉴别功能。本安全等级要求:a)应提供用户进人操作系统时的身份标识，并按以下要求进行设计:—凡需进人操作系统的用户，应先进行标识(建立账号)。—操作系统用户标识应使用用户名和用户标识(U工D)，并在操作系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性。b)采用口令、智能IC卡、指纹、视网膜等进行鉴别，并要求在每次用户登录系统时进行鉴别。鉴别信息应在存储和传输时应按GA/T390-2002中6.3.3.8的要求进行安全保护。4.3.1.2自主访问控制应按GA/T390-2002中6.3.3.3的要求，设计操作系统的自主访问控制功能。本安全等级要求:a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户读取敏感信息b)设置默认功能。当一个主体生成一个客体时，在该客体的访问控制表中相应地具有该主体的默认值。c)有更细粒度的自主访问控制，将访问控制的粒度控制在单个用户。对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予。www.bzfxw.comd)自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。e)客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不允许客体拥有者把该客体的控制权分配给其他主体。f)定义访问控制属性，并保护这些属性。主体的访问控制属性至少应有:读、写、执行等;客体的访问控制属性应包含可分配给主体的读、写和执行等权限。 GA/T388-20029)定义分配和修改主体和客体的访问控制属性的规则，并执行对主体和客体的访问控制属性的分配和修改，规则的结果应达到只有被授权的用户才允许访问一个客体h)定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性，授权的范围应包括主体和客体及相关的访问控制属性，同时应指出主体和客体对这些规则应用的类型4.3.1.3标记应按GA/T390-2002中6.3.3.4的要求，设计标记功能。本安全等级要求:a)应采用标记的方法为操作系统TCB安全功能控制范围内的主体和客体设置敏感标记。这些敏感标记构成多级安全模型的属性库。操作系统主、客体的敏感标记应以默认方式生成或由安全员进行建立、维护和管理。b)当信息从TCB控制范围之内向TCB控制范围之外输出时，可带有或不带有敏感标记;当信息从TCB控制范围之外向TCB控制范围之内输人时，应通过标记标明其敏感标记。4.3.14强制访问控制应按GA/T390-2002中6.3.3.5的要求，设计强制访问控制功能。本安全等级要求:a)应由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息，并将系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、系统安全员和系统审计员来承担，按职能分割原则分别授予它们各自为完成自己所承担任务所需的权限，并形成相互制约关系。b)强制访问控制应与用户身份鉴别、标记等安全功能密切配合，使系统对用户的安全控制包含从用户进人系统到退出系统的全过程，对客体的控制范围涉及操作系统内部的存储、处理和传输过程。c)运行于网络环境的分布式操作系统，应统一实现强制访问控制功能d)运行于网络环境的多台计算机系统上的网络操作系统，在需要进行统一管理时，应考虑各台计算机操作系统的主、客体安全属性设置的一致性，并实现跨网络的TCB间用户数据保密性和完整性保护。4.3.1.5客体重用应按GA/T390-2002中6.3.3.6的要求，设计操作系统的客体重用功能。本安全等级要求:a)应确保动态分配与管理的资源，在保持信息安全的情况下被再利用，主要包括:—确保非授权用户不能查找使用后返还系统的记录介质中的信息内容;一确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容;b)在单用户系统中，存储器保护脸防止用户进程影响系统的运行。c)在多用户系统中，存储器保护应保证系统内各个用户之间互不干扰。d)存储器保护应包括:一一对存储单元的地址的保护，使非法用户不能访问那些受到保护的存储单元;—对被保护的存储单元的操作提供各种类型的保护。最基本的保护类型是“读/写”和“只读”。不能读/写的存储单元，若被用户读/写时，系统应及时发出警报或中断程序执行;—可采用逻辑隔离的方法进行存储器保护，具体有界限地址寄存器保护法、内存标志法、锁保护法和特征位保护法等4.3www.bzfxw.com门.6审计应按GA/T390-2002中6.3.2.4的要求，设计操作系统的审计功能。本安全等级要求:a)审计功能应与身份鉴别、自主访问控制、标记、强制访问控制及完整性控制等安全功能紧密结合b)能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问。 GA/T388-2002e)能够创建并维护一个对受保护客体访间的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。d)指出可记录的审计事件的最少类型，包括建立会话登录成功和失败，使用的系统接口，系统数据库管理的改变(改变用户账户属性、审计跟踪设置和分析、为程序分配设置用户ID、附加或改变系统程序或进程、改变日期和时间等)，超级用户命令改变用户身份、将某个客体引人某个用户的地址空间(如打开文件)、删除客体及计算机操作员系统管理员与系统安全管理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户。e)每个事件的数据记录，应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等对于身份识别和认证事件应记录请求的源(如末端号或网络地址);对于创建和删除客体的事件，应记录客体的名字和客体的安全属性f)应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件，并在系统工作时处于默认状态;该机制的使用应受到系统管理员的授权限制，系统管理员应能够选择一个或多个基于身份识别或客体属性的用户的审计活动;审计工具应能够授权个人监察和浏览审计数据，同时数据应得到授权的使用、修改和删除;应提供对审计跟踪管理功能的保护，使之可以完成审计跟踪的创建、破坏、腾空和存档;系统管理员应能够定义超过审计跟踪极限的闭值;当存储空间被耗尽时，应能按管理员的指定决定采取的措施，包括:报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。4.3门.7数据完整性应按GA/T390-2002中6.3.3.7的要求，设计操作系统的数据完整性功能。本安全等级要求:a)应为操作系统TCB安全功能控制范围内的主体和客体设置完整性标签(GL)，并建立完整性保护策略模型，来保护信息在存储、传输和处理过程中的完整性。b)在对数据进行访问操作时，检查存储在存储介质上的用户数据是否出现完整性错误，并在检测到完整性错误时进行恢复。可通过密码支持系统所提供的完整性功能，对加密存储的数据进行完整性保护。操作系统对磁盘设备中存储的数据，可通过增加磁盘扫描程序实现以下功能—自动检查文件与磁盘表面是否完好;—将磁盘表面的问题自动记录下来;—随时检查、诊断和修复磁盘上的错误;—一修复扇区交错和扇区流失;—将数据移到好的扇区;—可增加硬盘数据备份和修复程序，将硬盘中的数据压缩、备份，并在必要时恢复。c)在操作系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。完整性标签应随数据一起流动，系统应保证低完整性的数据不能插人、覆盖到高完整性的数据。d)对操作系统中处理的数据，应按回退的要求设计相应的TCB安全功能模块，进行异常情况的操作序列回退，以确保数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。4.3.2TCB自身安全保护4.3.2.1TSF保护www.bzfxw.com应按GA/T390-2002中6.3.4.1的要求，设计操作系统的TSF保护。本安全等级要求:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构。c)操作系统应进行分层设计，对操作系统程序和用户程序要进行隔离。 GA/T388-2002d)一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间，两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所有的虚存空间进行读、写操作。e)提供设置和升级配置参数的安装机制在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。f)应区分普通操作模式和系统维护模式。9)应防止一个普通用户从未经允许的系统进人维护模式，并应防止一个普通用户与系统内维护模式交互。从而保证在普通用户访问系统之前，系统能以一个安全的方式进行安装和配置。h)对备份或不影响TCB的常规的系统维护，不要求所有的系统维护都在维护模式中执行。1)当操作系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、根目录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。1)执行系统所提供的实用程序，应(默认地)限定于对系统的有效使用，只允许系统管理员修改或替换系统提供的实用程序。k)操作环境应为用户提供一个机制，来控制命令的目录/路径的查找顺序。ll系统应提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动执行。m)系统应为系统管理员提供一种机制，来产生安全参数值的详细报告。n)在TCB失败或中断后，进程应保证保护文本以最小的损害得到恢复。并按失败保护中所描述的内容，实现对TSF出现失败时的处理。系统因故障或其他原因中断后，应有一种机制去恢复系统。系统应提供在管理维护状态中运行的能力，管理维护状态只能被系统管理员使用，各种安全功能全部失效。0)操作系统环境应控制和审计系统控制台的使用情况。P)系统应能识别由通信渠道接收的信息的来源者，所有待确认的数据应能从进人点被安全地传送到确认系统，如口令不应由公共的或共享的网络以明文发送，可使用数据加密设备或通过加密信道用加密模式传送。4.3.2.2资源利用应按GA/T390-2002中6.3.4.2的要求，设计操作系统的资源利用。本安全等级要求;a)应通过一定措施确保当系统出现某些确定的故障情况时，TSF也能维持正常运行，如系统应检测和报告系统的服务水平已降低到预先规定的最小值。b)应采取适当的策略，有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配。c)应按资源分配中最大限额的要求，进行TCB资源的管理和分配，要求配额机制确保用户和主体将不会独占某种受控的资源d)系统应确保在被授权的主体发出请求时，资源能被访问和利用。e)当系统的服务水平降低到预先规定的最小值时，应能检测和发出报告。f)系统应提供维护状态中运行的能力，在维护状态下各种安全性能全部失效，系统只允许由系统www.bzfxw.com管理员使用9)系统应以每个用户或每个用户组为基础，提供一种机制，控制他们对磁盘的消耗和对CPU的使用。h)系统应提供软件及数据备份和复原的过程，在系统中应加人再启动的同步点，以便于系统的复原。i)操作系统应能提供用户可访问的系统资源的修改历史记录。 GA/T388-2002j)系统应提供能用于定期确认系统正确操作的机制和过程，这些机制或过程应涉及系统资源的监督、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规定的门限的通讯差错的检测等内容4.3.2.3TCB访问控制应按GA/T390-2002中6.3.4.3的要求，设计操作系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制，对会话建立的管理进行设计。d)在建立TCB会话之前，应认证用户的身份，不允许认证机制被旁路。e)成功登录系统后，TCB应向用户显示以下数据:—日期、时间、来源和上次成功登录系统的情况;—上次成功访问系统以来身份识别失败的情况;—应显示口令到期的天数;—成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法。f)在规定的未使用时限后，系统应断开会话或重新认证用户，系统应提供时限的默认值。9)系统应提供锁定用户键盘的机制，键盘开锁过程应要求验证用户。h)当用户认证过程不正确的次数达到系统规定的次数时，系统应退出登录过程并终止与用户的交互。i)系统应提供一种机制，能按时间、进人方式、地点、网络地址或端口等条件规定哪些用户能进入系统。4.3.3TCB设计和实现4.3.3.1配置管理应按GA/T390-2002中6.3.5.1的要求，进行配置管理设计。本安全等级要求:a)在配置管理自动化方面要求部分的配置管理自动化。b)在配置管理能力方面应实现对版本号、配置项、授权控制等方面的要求。c)在TCB的配置管理范围方面，应将TCB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下，要求实现对配置管理范围内的问题，特别是安全缺陷问题进行跟踪。d)在系统的整个生存期，即在它的开发、测试和维护期间，应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分。所有改变应被记载和检查，以确保未危及系统的安全。在软件配置管理系统中，应包含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具和规程。通过技术、物理和保安规章三方面的结合，可充分保护生成系统所用到的源码免遭未授权的修改和毁坏。4.3-3.2分发和操作www.bzfxw.com应按GA/T390-2002中6.3:5.2的要求，设计操作系统的TCB分发和操作。本安全等级要求:a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;—安全启动和操作的过程;—建立日志的过程; GA/T388-2002—修改检测的内容;—对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述;—在故障或硬件、软件出错后恢复系统至安全状态的规程;—对含有加强安全性的硬件部件，应说明用户或自动的诊断测试的操作环境和使用方法;—所有诊断测试过程中，为加强安全性的硬件部件所提供例证的结果;—在启动和操作时产生审计踪迹输出的例证。b)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，这种控制应采取软件控制系统的方式，确认安全性会由最终用户考虑，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的系统软件是严格按最新的系统版本来制作的。f)以安全方式开发并交付系统后，仍应提供对产品的长期维护和评估的支持，包括产品中的安全漏洞和现场问题的解决。9)应采用书面说明的方式向客户通告新的安全问题。h)对可能受到威胁的所有的安全问题，均应描述其特点，并作为主要的问题对待，直到它被解决或在用户同意下降级使用。1)为了支持已交付的软件的每个版本，对所有已有的安全漏洞都应有文档书面说明，并且用户能在限制的基础上得到该文档。J)对安全漏洞的修改不必等到系统升级到下一个版本。安全功能的增加和改进应独立于系统版本的升级，也就是说，应存在适应性独立于系统其他功能的改进k)只有经过客户授权，才允许在生产性运行的系统上进行新特性和简易原型的开发、测试和安装峥新的版本应避免违反最初的安全策略和设想，也应避免在维护、增加或功能升级中引人安全漏洞，所有功能的改变和安全结构设置的默认值都应作记录。在新版本交付给用户使用前，用户应能得到相应的文档。4.13.3开发应按GA/T390-2002中6.3.5.3的要求，进行操作系统TCB的开发。本安全等级要求:a)应按非形式化功能说明、完全定义的外部接口、安全加强的高层设计、TSF完全实现、TSF内部结构模块化和层次化、描述性低层设计、非形式化对应性说明以及非形式化安全策略模型的要求，进行TCB的开发。b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，二重/多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。www.bzfxw.comd)所有交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。0系统控制数据，如口令和密钥，不应在未受保护的程序或文档中以明文形式储存，并以书面形式向用户提供关于软件所有权法律保护的指南f)在操作系统开发的敏感阶段，应保持一个安全环境，该安全环境要求:—描述操作系统开发所使用的计算机系统的安全使用和维护情况的安全策略和措施应有书 GA/T388-2002面记载，并可供检查;—系统开发过程中使用的所有计算机系统应接受定期的和有书面记载的内部安全审计，描述审计过程的文件和真实的审计报告应可供检查;—除授权的分发机构外，不应在开发环境外部复制或分发内部文档;一一开发环境的计算机系统使用的所有软件应当合法地从确定的渠道获得;—开发者个人独自开发的软件，应在被开发管理者审核后才能用于开发的系统。4.3-3.4指导性文档应按GA/T390-2002中6.3.5.4的要求，编制TCB的指导性文档。本安全等级要求:a)应为最终用户提供简单概要、分章节或手册形式的文档，保证用户拥有进行安全操作所需要的所有信息。与安全有关的信息应包含在一个特别的手册中或许多标准的文本集中，提供用户查阅所有的安全功能。这些信息可随系统发送，也可明确指出它包含在哪个文本当中。b)应通过提供指导性文档，将如何安全使用和维护操作系统的信息交付给系统的用户、系统管理员和系统安全员。对文档的总体要求是:—应对所有的安全访问和相关过程、特权、功能等适当的管理加以阐述;—应阐述安全管理和安全服务的交互，并提供新的TCB安全生成的指导;—应详细给出每种审计事件的审计记录的结构，以便考察和维护审计文件和进程;—应提供一个准则集用于保证附加的说明的一致性不受破坏。c)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南，不应包括那些如果公开将会危及系统安全的任何信息。d)系统管理员文档应提供:—关于系统的安全开机、操作和重新启动的信息，包括启动系统的过程(如引导系统进人安全方式)、在系统操作失误时恢复安全系统操作的过程、运行软件和数据备份及转储的方法和过程;—一个单独的安装指南，详细说明设置系统的配置和初始化过程，提供一个新系统版本的安全设置和安装文档，包括对所有用户可见的安全相关过程、软件和数据文档的描述e)安全管理员文档应提供:—有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告;—与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变用户的安全特征等;—一提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程、为检查能被目录文件所利用的磁盘剩余空间所推荐的过程;—关于设置所有文件和目录的最低访问许可的建议;—运行文件系统或磁盘完整性检测所做的建议;—如何进行系统自我评估的章节(带有网络管理、口令要求、拨号访问控制、意外事故计划的www.bzfxw.com安全报告)，为灾害恢复计划所做的建议;—描述普通侵入技术和其他威胁，并查出和阻止它们的内容。f)安全管理员文档应提供安全管理员了解如何用安全的方式管理系统，除了给出一般的安全忠告，还要明确:—在系统用安全的方法设置时，围绕用户、用户账户、用户组成员关系、主体和客体的属性等，应如何安装或终止安装; GA/T388-2002在系统的生命周期内如何用安全的方法维护系统，包括为了防止系统被破坏而进行的每天、每周、每月的安全常规备份等;—如何用安全的方法重建部分TCB(如内核)的方法(如果允许在系统上重建TCB);—说明审计跟踪机制，使授权用户可以有效地使用审计跟踪来执行本地的安全策略;—必要时，如何调整系统的安全默认配置。9)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。4.3-3.5生命周期支持应按GA/T390-2002中6.3.5.5的要求，设计操作系统的TCB。本安全等级要求:a)应按标准的生命周期模型进行开发，提供安全措施说明，并明确定义开发工具。b)所有安全软件应提供安全安装默认值。在未做特殊选择时，应按默认值安装安全机制c)随同系统交付的全部默认用户标识号，在安装完时应处于非激活状态，并由系统管理员加以激活。d)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。e)如果系统含有加强安全性的硬件，那么管理员、最终用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程。4.3.3.6测试应按GA/T390-2002中6.3.5.6的要求，对操作系统的TCB进行测试本安全等级要求:a)应通过一般功能测试和抽样性独立测试，测试的范围分析，高层设计测试、低层设计测试，顺序的功能测试等，确认TCB的功能与所要求的功能相一致。b)所有系统的安全特性，应被全面测试，包括查找漏洞，如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有被发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。c)应提供测试文档，详细描述测试计划、测试过程、测试结果。4.3-3.7脆弱性评定应按GA/T390-2002中6.3.5.7的要求，对所开发的TCB进行脆弱性评定。本安全等级要求:a)从指南检查、分析确认，TCB安全功能强度评估，开发者脆弱性分析、独立脆弱性分析等方面进行脆弱性评定。4.3.4TCB安全管理应按GA/T390-2002中6.3.6的要求，实现TCB的安全管理。本安全等级要求:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度。b)根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体www.bzfxw.com重用、审计、数据完整性和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理。c)应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任，并按“职能分离原则”分别授予他们各自为完成自身任务所需的权限，并形成相互制约的关系。4.4第四级:结构化保护级4.4.1安全功能I6 GA/"r388-20024.4-1.1身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应按GA/T390-2002中6.4.3.1.1和6.4.3.1.2的要求，设计操作系统的身份鉴别功能。本安全等级要求:a)应提供用户进人操作系统时的身份标识，并按以下要求进行设计:—凡需进人操作系统的用户，应先进行标识(建立账号)。—操作系统用户标识应使用用户名和用户标识(UID)，并在操作系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性。b)采用口令、智能IC卡、指纹、视网膜等进行鉴别，并要求在每次用户登录系统时进行鉴别。鉴别信息应在存储和传输时应按GA/T390-2002中6.4.3.10的要求进行安全保护。4.4.1.2自主访问控制应按GA/T390-2002中6.4.3.3的要求，设计操作系统的自主访问控制功能。本安全等级要求:a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户读取敏感信息。b)设置默认功能。当一个主体生成一个客体时，在该客体的访问控制表中相应地应具有该主体设置的默认值。c)有更细粒度的自主访问控制，将访问控制的粒度控制在单个用户。对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予。d)自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。e)客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不允许客体拥有者把该客体的控制权分配给其他主体。f)定义访问控制属性，并保护这些属性。主体的访问控制属性至少应有:读、写、执行等;客体的访问控制属性应包含可分配给主体的读、写和执行等权限。9)定义分配和修改主体和客体的访问控制属性的规则，并执行对主体和客体的访问控制属性的分配和修改，规则的结果应达到只有被授权的用户才允许访问一个客体。h)定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性，授权的范围应包括主体和客体及相关的访问控制属性，同时应指出主体和客体对这些规则应用的类型。4.4.1.3标记应按GA/T390-2002中6.4.3.4的要求，设计标记功能。本安全等级要求:a)应采用标记的方法为操作系统TCB安全功能控制范围内的主体和客体设置敏感标记。这些敏感标记构成多级安全模型的属性库。操作系统主、客体的敏感标记应以默认方式生成或由安全员进行建立、维护和管理。b)本级要求将标记扩展到操作系统中的所有主体与客体。当信息从TCB控制范围之内向TCB控制范围之外输出时，应带有敏感标记，如打印输出的数据等，应明显标示出该数据的敏感标记;当信息从TCB控制范围之外向TCB控制范围之内输入时，应通过标记标明其安全属性。4.www.bzfxw.com4.1.4强制访问控制应按GA/T390-2002中6.4.3.5的要求，设计强制访问控制功能。本安全等级要求:a)应由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息，并将系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、系统安全员和系统审计员来承担，按职能分割和最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，并形成相互制约关系b)强制访问控制应与用户身份鉴别、标记等安全功能密切配合，使系统对用户的安全控制包含17 GA/T388-2002从用户进人系统到退出系统的全过程，将强制访问控制扩展到计算机信息系统中的所有主体与客体，对客体的控制范围涉及操作系统内部的存储、处理和传输过程，及信息进行输人、输出操作的过程。c)运行于网络环境的分布式操作系统，应统一实现强制访问控制功能。d)运行于网络环境的多台计算机系统上的网络操作系统，在需要进行统一管理时，应考虑各台计算机操作系统的主、客体安全属性设置的一致性，并实现跨网络的TCB间用户数据保密性和完整性保护1.5客体重用应按GA/T390-2002中6.4.3.6的要求，设计操作系统的客体重用功能。本安全等级要求:a)应确保动态分配与管理的资源，在保持信息安全的情况下被再利用，主要包括:确保非授权用户不能查找使用后返还系统的记录介质中的信息内容;确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容。b)在单用户系统中，存储器保护应防止用户进程影响系统的运行。c)在多用户系统中，存储器保护应保证系统内各个用户之间互不干扰。d)存储器保护应包括:—对存储单元的地址的保护，使非法用户不能访问那些受到保护的存储单元;—对被保护的存储单元的操作提供各种类型的保护。最基本的保护类型是“读/写”和“只读”。不能读/写的存储单元，若被用户读/写时，系统应及时发出警报或中断程序执行。—可采用逻辑隔离的方法进行存储器保护，具体有:界限地址寄存器保护法、内存标志法、锁保护法和特征位保护法等。4.4.1.6审计应按GA/T390-2002中6.4.2.4的要求，设计操作系统的审计功能。本安全等级要求:a)审计功能应与身份鉴别、自主访问控制、标记、强制访问控制及完整性控制等安全功能紧密结合。b)能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问。c)能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。d)指出可记录的审计事件的最少类型，包括建立会话登录成功和失败，使用的系统接口，系统数据库管理的改变(改变用户账户属性、审计跟踪设置和分析、为程序分配设置用户1D、附加或改变系统程序或进程、改变日期和时间等)，超级用户命令改变用户身份、将某个客体引人某个用户的地址空间(如打开文件)、删除客体及计算机操作员、系统管理员与系统安全管理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户。e)每个事件的数据记录，应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份识别和认证事件，应记录请求的源(如末端号或网络地址);对于创建和删除客体的事件，应记录客体的名字、客体的安全属性和客体的完整性标签。www.bzfxw.comf)应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件，并在系统工作时处于默认状态;该机制的使用应受到系统管理员的授权限制，系统管理员应能够选择一个或多个基于身份识别或客体属性的用户的审计活动;审计工具应能够授权个人监察和浏览审计数据，同时数据应得到授权的使用、修改和删除;应提供对审计跟踪管理功能的保护，使之可以完成审计跟踪的创建、破坏、腾空和存档;系统管理员应能够定义超过审计跟踪极限的阂值;当存储空间被耗尽时，应能按管理员的指定决定采取的措施，包括:报警并丢弃未记录的 GA/T388-2002审计信息、暂停审计覆盖以前的审计记录等4.4门.7数据完整性应按GA/T390-2002中6.4.3.7的要求，设计操作系统的数据完整性功能。本安全等级要求:a)应为操作系统TCB安全功能控制范围内的主体和客体设置完整性标签((IL)，并建立半形式化的完整性安全策略模型，来保护信息在存储、传输和处理过程中的完整性b)在对数据进行访问操作时进行完整性检测和恢复，检查存储在存储介质上的用户数据是否出现完整性错误，并在检测到完整性错误时进行恢复。可通过密码支持系统所提供的完整性功能，对加密存储的数据进行完整性保护。操作系统对磁盘设备中存储的数据。可通过增加磁盘扫描程序实现以下功能:—自动检查文件与磁盘表面是否完好;—将磁盘表面的问题自动记录下来;—随时检查、诊断和修复磁盘上的错误。—修复扇区交错和扇区流失;—将数据移到好的扇区;—可增加硬盘数据备份和修复程序，将硬盘中的数据压缩、备份，并在必要时恢复。c)在操作系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。完整性标签应随数据一起流动，系统应保证低完整性的数据不能插人、覆盖到高完整性的数据。d)对操作系统中处理的数据，应按回退的要求设计相应的TCB安全功能模块，进行异常情况的操作序列回退，以确保数据的完整性。系统应保证在处理过程中不降低数据完整性的级别4.4.1.8隐蔽通道分析应按GA/T390-2002中6.4.3.8的要求，进行隐蔽信道分析。本安全等级要求:操作系统开发者应根据实际测量和工程计算，分析系统中存在的存储隐蔽信道，并采取相应措施进行限制和控制。4.4.1.9可信路径应按GA/T390-2002中6.4.3.9的要求，设计操作系统的可信路径。本安全等级要求:a)在用户进行初始登录和/或鉴别时，TCB应在它与用户之间建立一条安全的信息传输通路。4.4.2TCB自身安全保护4.4.2.1TSF保护应按GA/T390-2002中6.4.4.1的要求，设计操作系统的TSF保护。本安全等级要求:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构。c)操作系统应进行分层设计，对操作系统程序和用户程序要进行隔离。d)一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间，两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所有的虚存空间www.bzfxw.com进行读、写操作。e)提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。f)应区分普通操作模式和系统维护模式9)应防止一个普通用户从未经允许的系统进人维护模式，并应防止一个普通用户与系统内维护模式交互。从而保证在普通用户访问系统之前，系统能以一个安全的方式进行安装和配置。h)对备份或不影响TCB的常规的系统维护，不要求所有的系统维护都在维护模式中执行。19 GA/T388-2002，)当操作系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、根目录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。j)执行系统所提供的实用程序，应(默认地)限定于对系统的有效使用，只允许系统管理员修改或替换系统提供的实用程序。k)操作环境应为用户提供一个机制，来控制命令的目录/路径的查找顺序。l)系统应提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动执行。m)系统应为系统管理员提供一种机制，来产生安全参数值的详细报告。n)在TCB失败或中断后，进程应保证保护文本以最小的损害得到恢复。并按失败保护中所描述的内容，实现对TSF出现失败时的处理。系统因故障或其他原因中断后，应有一种机制去恢复系统。系统应提供在管理维护状态中运行的能力，管理维护状态只能被系统管理员使用，各种安全功能全部失效。0)操作系统环境应控制和审计系统控制台的使用情况。P)系统应能识别由通信渠道接收的信息的来源者，所有待确认的数据应能从进人点被安全地传送到确认系统，如口令不应由公共的或共享的网络以明文发送，可使用数据加密设备或通过加密信道用加密模式传送。4.4.2.2资源利用应按GA/T390-2002中6.4.4.2的要求，设计操作系统的资源利用。本安全等级要求:a)应通过一定措施确保当系统出现某些确定的故障情况时，TSF也能维持正常运行，如系统应检测和报告系统的服务水平已降低到预先规定的最小值。b)应采取适当的策略，有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配。c)应按资源分配中最大限额的要求，进行TCB资源的管理和分配，要求配额机制确保用户和主体将不会独占某种受控的资源。d)系统应确保在被授权的主体发出请求时，资源能被访问和利用。e)当系统的服务水平降低到预先规定的最小值时，应能检测和发出报告。f)系统应提供维护状态中运行的能力，在维护状态下各种安全性能全部失效，系统只允许由系统管理员使用。B)系统应以每个用户或每个用户组为基础，提供一种机制，控制他们对磁盘的消耗和对CPU的使用。h)系统应提供软件及数据备份和复原的过程，在系统中应加人再启动的同步点，以便于系统的复原。1)操作系统应能提供用户可访问的系统资源的修改历史记录。J)系统应提供能用于定期确认系统正确操作的机制和过程，这些机制或过程应涉及系统资源的监督、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规定的门限的通讯差错的检测等内容。4.4.2.3TCB访问控制www.bzfxw.com应按GA/T390-2002中6.4.4.3的要求，设计操作系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制。b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制，对会话建立的管理进行设计。 GA/T388-2002d)在建立TCB会话之前，应认证用户的身份，不允许认证机制被旁路。e)成功登录系统后，TCB应向用户显示以下数据:—日期、时间、来源和上次成功登录系统的情况;—上次成功访问系统以来身份识别失败的情况;—应显示口令到期的天数;—成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法。f)在规定的未使用时限后，系统应断开会话或重新认证用户，系统应提供时限的默认值。9)系统应提供锁定用户键盘的机制，键盘开锁过程应要求验证用户。h)当用户认证过程不正确的次数达到系统规定的次数时，系统应退出登录过程并终止与用户的交互i)系统应提供一种机制，能按时间、进人方式、地点、网络地址或端口等条件规定哪些用户能进人系统。4.4.3TCB设计和实现4.4.3门配置管理应按GA/T390-2002中6.4.5.1的要求，设计操作系统TCB的配置管理。本安全等级要求:a)在配置管理自动化方面要求部分的配置管理自动化。b)在配置管理能力方面应实现对版本号、配置项、授权控制、生成支持和验收过程及进一步的支持等方面的要求。c)在TCB的配置管理范围方面，应将TCB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下，要求实现对配置管理范围内的问题，特别是安全缺陷问题进行跟踪。还要求包括开发工具配置管理。d)在系统的整个生存期，即在它的开发、测试和维护期间，应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分。所有改变应被记载和检查，以确保未危及系统的安全。在软件配置管理系统中，应包含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具和规程。通过技术、物理和保安规章三方面的结合，可充分保护生成系统所用到的源码免遭未授权的修改和毁坏4.4-3.2分发和操作应按GA/T390-2002中6.4.5.2的要求，设计操作系统‘rCB分发和操作。本安全等级要求;a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;一一安全启动和操作的过程;一一建立日志的过程;—修改检测的内容;—对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述;—在故障或硬件、软件出错后恢复系统至安全状态的规程;www.bzfxw.com—对含有加强安全性的硬件部件，应说明用户或自动的诊断测试的操作环境和使用方法;—所有诊断测试过程中，为加强安全性的硬件部件所提供例证的结果;一在启动和操作时产生审计踪迹输出的例证。b)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，这种控制应采取软件控制系统的方式，确认安全性会由最终用户考虑，所有安全机制都应以功能状态交付。 GA/T388-2002c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能。d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的系统软件是严格按最新的系统版本来制作的f)以安全方式开发并交付系统后，仍应提供对产品的长期维护和评估的支持，包括产品中的安全漏洞和现场问题的解决。9)应采用书面说明的方式向客户通告新的安全问题。h)对可能受到威胁的所有的安全问题，均应描述其特点，并作为主要的问题对待，直到它被解决或在用户同意下降级使用。1)为了支持已交付的软件的每个版本，对所有已有的安全漏洞都应有文档书面说明，并且用户能在限制的基础上得到该文档。J)对安全漏洞的修改不必等到系统升级到下一个版本。安全功能的增加和改进应独立于系统版本的升级，也就是说，应存在适应性独立于系统其他功能的改进。k)只有经过客户授权，才允许在生产性运行的系统上进行新特性和简易原型的开发、测试和安装。I)新的版本应避免违反最初的安全策略和设想，也应避免在维护、增加或功能升级中引人安全漏洞，所有功能的改变和安全结构设置的默认值都应作记录。在新版本交付给用户使用前，用户应能得到相应的文档。4.4.3.3开发应按GA/T390-2002中6.4.5.3的要求，进行操作系统TCB的开发。本安全等级要求:a)应按半形式化功能说明，半形式化高层设计，TSF的结构化实现，TSF内部结构复杂度最小化，半形式化低层设计，半形式化一致性说明，以及半形式化的TCB安全策略模型的要求，进行TCB的开发b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，二重/多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。d)所有交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。e)系统控制数据，如口令和密钥，不应在未受保护的程序或文档中以明文形式存储，并以书面形式提供给用户关于软件所有权法律保护的指南f)在操作系统开发的敏感阶段，应保持一个安全环境，该安全环境要求:—描述操作系统开发所使用的计算机系统的安全使用和维护情况的安全策略和措施应有书面记载，并可供检查;—系统开发过程中使用的所有计算机系统应接受定期的和有书面记载的内部安全审计，描述审计过程的文件和真实的审计报告应可供检查;www.bzfxw.com—除授权的分发机构外，不应在开发环境外部复制或分发内部文档;—开发环境的计算机系统使用的所有软件应当合法地从确定的渠道获得;—开发者个人独自开发的软件，应在被开发管理者审核后才能用于开发的系统。4.4.3.4指导性文档应按GA/T390-2002中6.4.5.4的要求，编制TCB的指导性文档。本安全等级要求:a)应为最终用户提供简单概要、分章节或手册形式的文档，保证用户拥有进行安全操作所需要的22 GA/T388-2002所有信息。与安全有关的信息应包含在一个特别的手册中或许多标准的文本集中，提供用户查阅所有的安全功能。这些信息可随系统发送，也可明确指出它包含在哪个文本当中。b)应通过提供指导性文档，将如何安全使用和维护操作系统的信息交付给系统的用户、系统管理员和系统安全员。对文档的总体要求是:—应对所有的安全访问和相关过程、特权、功能等适当的管理加以阐述;—应阐述安全管理和安全服务的交互，并提供新的TCB安全生成的指导;-一应详细给出每种审计事件的审计记录的结构，以便考察和维护审计文件和进程;—应提供一个准则集用于保证附加的说明的一致性不受破坏c)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南，不应包括那些如果公开将会危及系统安全的任何信息d)系统管理员文档应提供:—关于系统的安全开机、操作和重新启动的信息，包括启动系统的过程(如引导系统进人安全方式)、在系统操作失误时恢复安全系统操作的过程、运行软件和数据备份及转储的方法和过程;—一个单独的安装指南，详细说明设置系统的配置和初始化过程，提供一个新系统版本的安全设置和安装文档，包括对所有用户可见的安全相关过程、软件和数据文档的描述e)安全管理员文档应提供;—有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告;—与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变用户的安全特征等;—提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程、为检查能被目录文件所利用的磁盘剩余空间所推荐的过程;—关于设置所有文件和目录的最低访问许可的建议;—运行文件系统或磁盘完整性检测所做的建议;—如何进行系统自我评估的章节(带有网络管理、口令要求、拨号访问控制、意外事故计划的安全报告)，为灾害恢复计划所做的建议;—描述普通侵人技术和其他威胁，并查出和阻止它们的内容。f)安全管理员文档应提供安全管理员了解如何用安全的方式管理系统，除了给出一般的安全忠告，还要明确:—在系统用安全的方法设置时，围绕用户、用户账户、用户组成员关系、主体和客体的属性等，应如何安装或终止安装;—在系统的生命周期内如何用安全的方法维护系统，包括为了防止系统被破坏而进行的每天、每周、每月的安全常规备份等;—如何用安全的方法重建部分TCB(如内核)的方法(如果允许在系统上重建TCB);www.bzfxw.com一一说明审计跟踪机制，使授权用户可以有效地使用审计跟踪来执行本地的安全策略;—必要时，如何调整系统的安全默认配置。9)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。 GA/T388-20024.4.3.5生命周期支持应按GA/T390-2002中6.4.5.5的要求，设计操作系统TCB的生命周期支持。本安全等级要求:a)应按标准的生命周期模型进行开发，提供充分的安全措施，应用部分的工具和技术应遵照实现标准。b)所有安全软件应提供安全安装默认值。在未做特殊选择时，应按默认值安装安全机制。c)随同系统交付的全部默认用户标识号，在安装完时应处于非激活状态，并由系统管理员加以激活。d)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。e)如果系统含有加强安全性的硬件，那么管理员、最终用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程。4.4.3.6测试应按GA/T390-2002中6.4.5.6的要求，对操作系统的TCB进行测试。本安全等级要求:a)应通过一般功能测试和抽样性独立测试，严格的测试范围分析，高层设计测试、低层设计测试、实现表示测试，顺序的功能测试等，确认TCB的功能与所要求的功能相一致。b)所有系统的安全特性，应被全面测试，包括查找漏洞，如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等所有被发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。c)应提供测试文档，详细描述测试计划、测试过程、测试结果。4.4-3.7脆弱性评定应按GA/T390-2002中6.4.5.7的要求，对所开发的TCB进行脆弱性评定。本安全等级要求:应从一般性的的隐蔽信道分析，指南检查、分析确认、对安全状态的检查和分析，TCB安全功能强度评估，开发者脆弱性分析、独立脆弱性分析、中级抵抗力分析等方面进行脆弱性评定4.4.4TCB安全管理应按GA/T390-2002中6.4.6的要求，实现TCB的安全管理。本安全等级要求:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度b)根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理。c)应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任，并按“最小授权原则”分别授予他们各自为完成自身任务所需的最小权限，并形成相互制约的关系。4.5第五级:访问验证保护级4.5.1安全功能4.5.1.1身份鉴别www.bzfxw.com身份鉴别应包括对用户的身份进行标识和鉴别。应按GA/T390-2002中6.5.3.1.1和6.5.3.1.2的要求，设计操作系统的身份鉴别功能。本安全等级要求:a)应提供用户进人操作系统时的身份标识，并按以下要求进行设计:—凡需进人操作系统的用户，应先进行标识(建立账号)。—操作系统用户标识应使用用户名和用户标识(UID)，并在操作系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、U工D等之间的一致性 GA/T388-2002b)采用口令、智能IC卡、指纹、视网膜等进行鉴别，并要求在每次用户登录系统时进行鉴别鉴别信息应在存储和传输时应按GA/T390-2002中6.5.3.10的要求进行安全保护。4.5.1.2自主访问控制应按GA/T390-2002中6.5.3.3的要求，设计操作系统的自主访问控制功能。本安全等级要求。)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户读取敏感信息。b)设置默认功能。当一个主体生成一个客体时，在该客体的访问控制表中相应地应具有该主体设置的默认值。c)有更细粒度的自主访问控制，将访问控制的粒度控制在单个用户。对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予。d)自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。e)客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不允许客体拥有者把该客体的控制权分配给其他主体。f)定义访问控制属性，并保护这些属性。主体的访问控制属性至少应有读、写、执行等;客体的访问控制属性应包含可分配给主体的读、写和执行等权限。B)定义分配和修改主体和客体的访问控制属性的规则，并执行对主体和客体的访问控制属性的分配和修改，规则的结果应达到只有被授权的用户才允许访问一个客体。h)定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性，授权的范围应包括主体和客体及相关的访问控制属性，同时应指出主体和客体对这些规则应用的类型。4.5门3标记应按GA/T390-2002中6.5.3.4的要求，设计标记功能。本安全等级要求:a)应采用标记的方法为操作系统TCB安全功能控制范围内的主体和客体设置敏感标记。这些敏感标记构成多级安全模型的属性库。操作系统主、客体的敏感标记应以默认方式生成或由安全员进行建立、维护和管理。b)本级要求将标记扩展到操作系统中的所有主体与客体。当信息从TCB控制范围之内向TCB控制范围之外输出时，应带有敏感标记，如打印输出的数据等，应明显标示出该数据的敏感标记;当信息从TCB控制范围之外向TCB控制范围之内输人时，应通过标记标明其安全属性。4.5.1.4强制访问控制应按GA/T390-2002中6.5.3.5的要求，设计强制访问控制功能。本安全等级要求:a)应由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信息，并将系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、系统安全员和系统审计员来承担，按职能分割和最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，并形成相互制约关系b)强制访问控制应与用户身份鉴别、标记等安全功能密切配合，使系统对用户的安全控制包含从用户进人系统到退出系统的全过程，将强制访问控制扩展到计算机信息系统中的所有主体www.bzfxw.com与客体，对客体的控制范围涉及操作系统内部的存储、处理和传输过程，及信息进行输人、输出操作的过程。。)运行于网络环境的分布式操作系统，应统一实现强制访问控制功能。d)运行于网络环境的多台计算机系统上的网络操作系统，在需要进行统一管理时，应考虑各台计算机操作系统的主、客体安全属性设置的一致性，并实现跨网络的TCB间用户数据保密性和完整性保护。 GA/T388-20024.5.1.5客体重用应按GA/T390-2002中6.5.3.6的要求，设计操作系统的客体重用功能本安全等级要求:a)应确保动态分配与管理的资源，在保持信息安全的情况下被再利用，主要包括:—确保非授权用户不能查找使用后返还系统的记录介质中的信息内容;一一确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容。b)存储器保护应包括:—对存储单元的地址的保护，使非法用户不能访问那些受到保护的存储单元;—对被保护的存储单元的操作提供各种类型的保护。最基本的保护类型是“读/写”和“只读”。不能读/写的存储单元，若被用户读/写时，系统应及时发出警报或中断程序执行。—可采用逻辑隔离的方法进行存储器保护，具体有:界限地址寄存器保护法、内存标志法、锁保护法和特征位保护法等。c)在单用户系统中，存储器保护应防止用户进程影响系统的运行。d)在多用户系统中，存储器保护应保证系统内各个用户之间互不干扰。4.5.1.6审计应按GA/T390-2002中6.5.2.4的要求，设计操作系统的审计功能。本安全等级要求:a)审计功能应与身份鉴别、自主访问控制、标记、强制访问控制及完整性控制等安全功能紧密结合。b)能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问。c)能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。d)指出可记录的审计事件的最少类型，包括建立会话登录成功和失败，使用的系统接口，系统数据库管理的改变(改变用户账户属性、审计跟踪设置和分析、为程序分配设置用户ID、附加或改变系统程序或进程、改变日期和时间等)，超级用户命令改变用户身份、将某个客体引人某个用户的地址空间(如打开文件)、删除客体及计算机操作员、系统管理员与系统安全管理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户。e)每个事件的数据记录，应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份识别和认证事件，应记录请求的源(如末端号或网络地址);对于创建和删除客体的事件，应记录客体的名字、客体的安全属性和客体的完整性标签。f)应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件，并在系统工作时处于默认状态;该机制的使用应受到系统管理员的授权限制，系统管理员应能够选择一个或多个基于身份识别或客体属性的用户的审计活动;审计工具应能够授权个人监察和浏览审计数据，同时数据应得到授权的使用、修改和删除;应提供对审计跟踪管理功能的保护，使之可以完成审计跟踪的创建、破坏、腾空和存档;系统管理员应能够定义超过审计跟踪极限的阑值;当存储空间被耗尽时，应能按管理员的指定决定采取的措施，包括:报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等4.5www.bzfxw.com.1.7数据完整性应按GA/T390-2002中6.5.3.7的要求，设计操作系统的数据完整性功能。本安全等级要求:a)应为操作系统TCB安全功能控制范围内的主体和客体设置完整性标签(I工)，并建立形式化的完整性安全策略模型，来保护信息在存储、传输和处理过程中的完整性b)在对数据进行访问操作时进行完整性检测和恢复，检查存储在存储介质上的用户数据是否出现完整性错误，并在检测到完整性错误时进行恢复。可通过密码支持系统所提供的完整性功 GA/T388-2002能，对加密存储的数据进行完整性保护。操作系统对磁盘设备中存储的数据，可通过增加磁盘扫描程序实现以下功能:—自动检查文件与磁盘表面是否完好;—将磁盘表面的问题自动记录下来;—随时检查、诊断和修复磁盘上的错误。—修复扇区交错和扇区流失;—将数据移到好的扇区;—可增加硬盘数据备份和修复程序，将硬盘中的数据压缩、备份，并在必要时恢复C)在操作系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。完整性标签应随数据一起流动，系统应保证低完整性的数据不能插人、覆盖到高完整性的数据。d)对操作系统中处理的数据，应按回退的要求设计相应的TCB安全功能模块，进行异常情况的操作序列回退，以确保数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。4.5.1.8隐蔽通道分析应按GA/T390-2002中6.5.3.8的要求，进行隐蔽信道分析。本安全等级要求:操作系统开发者应根据实际测量和工程计算，分析系统中存在的隐蔽信道，并采取相应措施进行限制和控制。4.5.1.9可信路径应按GA/T390-2002中6.5.3.9的要求，设计操作系统TCB的可信路径。本安全等级要求:在对用户进行初始登录和/或鉴别时，TCB应在它与用户之间建立一条安全的信息传输通路4.5门10可信恢复应按GA/T390-2002中6.5.2.6的要求，设计操作系统的可信恢复功能。本安全等级要求:按自我信息备份、增量备份、局部系统备份、热备份、全系统备份和主机系统远地备份的要求，设计备份功能，按手动恢复、自动恢复和灾难恢复的方法，设计恢复功能，以便在操作系统发生故障时进行必要的恢复工作。4.5.2TCB自身安全保护4.5.2.1TSF保护应按GA/T390-2002中6.5.4.1的要求，设计操作系统的TSF保护。本安全等级要求:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构。C)操作系统应进行分层设计，对操作系统程序和用户程序要进行隔离。d)一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间，两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作，而在系统模式下运行时，应允许进程对所有的虚存空间进行读、写操作。e)提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。www.bzfxw.comf)应区分普通操作模式和系统维护模式。9)应防止一个普通用户从未经允许的系统进人维护模式，并应防止一个普通用户与系统内维护模式交互。从而保证在普通用户访问系统之前，系统能以一个安全的方式进行安装和配置。h)对备份或不影响TCB的常规的系统维护，不要求所有的系统维护都在维护模式中执行。i)当操作系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、根目录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。27 GA/T388-2002))执行系统所提供的实用程序，应(默认地)限定于对系统的有效使用，只允许系统管理员修改或替换系统提供的实用程序。k)操作环境应为用户提供一个机制，来控制命令的目录/路径的查找顺序1)系统应提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动执行m)系统应为系统管理员提供一种机制，来产生安全参数值的详细报告n)在TCB失败或中断后，进程应保证保护文本以最小的损害得到恢复。并按失败保护中所描述的内容，实现对TSF出现失败时的处理。系统因故障或其他原因中断后，应有一种机制去恢复系统。系统应提供在管理维护状态中运行的能力，管理维护状态只能被系统管理员使用，各种安全功能全部失效。。)操作系统环境应控制和审计系统控制台的使用情况。P)系统应能识别由通信渠道接收的信息的来源者，所有待确认的数据应能从进人点被安全地传送到确认系统，如口令不应由公共的或共享的网络以明文发送可使用数据加密设备或通过加密信道用加密模式传送。4.5.2.2资源利用应按GA/T390-2002中6.5.4.2的要求，设计操作系统的资源利用。本安全等级要求:a)应通过一定措施确保当系统出现某些确定的故障情况时，TSF也能维持正常运行，如系统应检测和报告系统的服务水平已降低到预先规定的最小值;b)应采取适当的策略，有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配;c)应按资源分配中最大限额的要求，进行TCB资源的管理和分配，要求配额机制确保用户和主体将不会独占某种受控的资源。d)系统应确保在被授权的主体发出请求时，资源能被访问和利用。e)当系统的服务水平降低到预先规定的最小值时，应能检测和发出报告。f)系统应提供维护状态中运行的能力，在维护状态下各种安全性能全部失效，系统只允许由系统管理员使用。8)系统应以每个用户或每个用户组为基础，提供一种机制，控制他们对磁盘的消耗和对CPU的使用，h)系统应提供软件及数据备份和复原的过程，在系统中应加人再启动的同步点，以便于系统的复原。i)操作系统应能提供用户可访问的系统资源的修改历史记录。J)系统应提供能用于定期确认系统正确操作的机制和过程，这些机制或过程应涉及系统资源的监督、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规定的门限的通讯差错的检测等内容4.5.2.3TCB访问应按GA/T390-2002中6.5.4.3的要求，设计操作系统的，"CB访间控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立www.bzfxw.com会话的安全属性的范围进行限制;b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数;c)按最小级会话建立机制，对会话建立的管理进行设计。d)在建立TCB会话之前，应认证用户的身份，不允许认证机制被旁路。e)成功登录系统后，TCB应向用户显示以下数据: GA/T388-2002—日期、时间、来源和上次成功登录系统的情况;—上次成功访问系统以来身份识别失败的情况;—应显示口令到期的天数;-—成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法。f)在规定的未使用时限后，系统应断开会话或重新认证用户，系统应提供时限的默认值9)系统应提供锁定用户键盘的机制，键盘开锁过程应要求验证用户h)当用户认证过程不正确的次数达到系统规定的次数时，系统应退出登录过程并终止与用户的交互。i)系统应提供一种机制，能按时间、进人方式、地点、网络地址或端口等条件规定哪些用户能进人系统。4.5.3TCB设计和实现4.5.3.1配里管理应按GA/T390-2002中6.5.5.1的要求，设计操作系统TCB的配置管理。本安全等级要求:a)在配置管理自动化方面要求完全的配置管理自动化。b)在配置管理能力方面应对版本号、配置项、授权控制、生成支持和验收过程及进一步的支持等方面均达到要求c)在TCB的配置管理范围方面，应将TCB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下，要求实现对配置管理范围内的问题，特别是安全缺陷问题进行跟踪。还要求包括开发工具配置管理d)在系统的整个生存期，即在它的开发、测试和维护期间，应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分。所有改变应被记载和检查，以确保未危及系统的安全。在软件配置管理系统中，应包含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具和规程。通过技术、物理和保安规章三方面的结合，可充分保护生成系统所用到的源码免遭未授权的修改和毁坏4.5.3.2分发和操作应按GA/T390-2002中6.5.5.2的要求，设计操作系统的TCB分发和操作。本安全等级要求:a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;—安全启动和操作的过程;—建立日志的过程;—修改检测的内容;—对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述;—在故障或硬件、软件出错后恢复系统至安全状态的规程;—对含有加强安全性的硬件部件，应说明用户或自动的诊断测试的操作环境和使用方法;—所有诊断测试过程中，为加强安全性的硬件部件所提供例证的结果;www.bzfxw.com—在启动和操作时产生审计踪迹输出的例证。b)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，这种控制应采取软件控制系统的方式，确认安全性会由最终用户考虑，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能 GA/"r388-2002d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的系统软件是严格按最新的系统版本来制作的f)以安全方式开发并交付系统后，仍应提供对产品的长期维护和评估的支持，包括产品中的安全漏洞和现场问题的解决。9)应采用书面说明的方式向客户通告新的安全问题h)对可能受到威胁的所有的安全问题，均应描述其特点，并作为主要的问题对待，直到它被解决或在用户同意下降级使用i)为了支持已交付的软件的每个版本，对所有已有的安全漏洞都应有文档书面说明，并且用户能在限制的基础上得到该文档。i)对安全漏洞的修改不必等到系统升级到下一个版本安全功能的增加和改进应独立于系统版本的升级，也就是说，应存在适应性独立于系统其他功能的改进k)只有经过客户授权，才允许在生产性运行的系统上进行新特性和简易原型的开发、测试和安装l)新的版本应避免违反最初的安全策略和设想，也应避免在维护、增加或功能升级中引人安全漏洞，所有功能的改变和安全结构设置的默认值都应作记录。在新版本交付给用户使用前，用户应能得到相应的文档。4.5.3.3开发应按GA/T390-2002中6.5.5.3的要求，进行操作系统TCB的开发本安全等级要求:a)应按形式化功能说明，形式化高层设计，TSF的结构化实现，TSF内部结构复杂度最小化，形式化低层设计，形式化一致性说明，以及形式化的TCB安全策略模型的要求，进行TCB的开发。b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，二重/多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。d)所有交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。e)系统控制数据，如口令和密钥，不应在未受保护的程序或文档中以明文形式存储，并以书面形式提供给用户关于软件所有权法律保护的指南。f)在操作系统开发的敏感阶段应保持一个安全环境，该安全环境要求:—描述操作系统开发所使用的计算机系统的安全使用和维护情况的安全策略和措施应有书面记载，并可供检查;—系统开发过程中使用的所有计算机系统应接受定期的和有书面记载的内部安全审计，描述审计过程的文件和真实的审计报告应可供检查;—一除授权的分发机构外，不应在开发环境外部复制或分发内部文档;—开发环境的计算机系统使用的所有软件应当合法地从确定的渠道获得;www.bzfxw.com—开发者个人独自开发的软件，应在被开发管理者审核后才能用于开发的系统。4.5-3.4指导性文档应按GA/T390-2002中6.5.5.4的要求，编制TCB的指导性文档。本安全等级要求:a)应为最终用户提供简单概要、分章节或手册形式的文档，保证用户拥有进行安全操作所需要的所有信息。与安全有关的信息应包含在一个特别的手册中或许多标准的文本集中，提供用户查阅所有的安全功能这些信息可随系统发送，也可明确指出它包含在哪个文本当中30 GA/T388-2002b)应通过提供指导性文档，将如何安全使用和维护操作系统的信息交付给系统的用户、系统管理员和系统安全员。对文档的总体要求是:—应对所有的安全访问和相关过程、特权、功能等适当的管理加以阐述;-—应阐述安全管理和安全服务的交互，并提供新的TCB安全生成的指导;—应详细给出每种审计事件的审计记录的结构，以便考察和维护审计文件和进程;—应提供一个准则集用于保证附加的说明的一致性不受破坏c)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南，不应包括那些如果公开将会危及系统安全的任何信息。d)系统管理员文档应提供:—关于系统的安全开机、操作和重新启动的信息，包括启动系统的过程(如引导系统进人安全方式)、在系统操作失误时恢复安全系统操作的过程、运行软件和数据备份及转储的方法和过程;一-一个单独的安装指南，洋细说明设置系统的配置和初始化过程，提供一个新系统版本的安全设置和安装文档，包括对所有用户可见的安全相关过程、软件和数据文档的描述。e)安全管理员文档应提供:—有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告;—与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变用户的安全特征等;一一提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程、为检查能被目录文件所利用的磁盘剩余空间所推荐的过程;-—关于设置所有文件和目录的最低访问许可的建议:—运行文件系统或磁盘完整性检测所做的建议;—如何进行系统自我评估的章节(带有网络管理、口令要求、拨号访问控制、意外事故计划的安全报告)，为灾害恢复计划所做的建议;-一描述普通侵人技术和其他威胁，并查出和阻止它们的内容。f)安全管理员文档应提供安全管理员了解如何用安全的方式管理系统，除了给出一般的安全忠告，还要明确:-一在系统用安全的方法设置时，围绕用户、用户账户、用户组成员关系、主体和客体的属性等，应如何安装或终止安装;—在系统的生命周期内如何用安全的方法维护系统，包括为了防止系统被破坏而进行的每天、每周、每月的安全常规备份等;一一如何用安全的方法重建部分丁CB(如内核)的方法(如果允许在系统上重建TCB);—说明审计跟踪机制，使授权用户可以有效地使用审计跟踪来执行本地的安全策略;—必要时，如何调整系统的安全默认配置。www.bzfxw.com9)文档中不应提供任何一巨泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。4.5.3.5生命周期支持应按GA/T390-2002中6.5.5.5的要求，设计操作系统TCB的生命周期支持。本安全等级要求:31 GA/T388-2002a)应按可测量的生命周期模型进行开发，提供充分的安全措施，所有部分的工具和技术应遵照实现标准。b)所有安全软件应提供安全安装默认值。在未做特殊选择时，应按默认值安装安全机制。c)随同系统交付的全部默认用户标识号，在安装完时应处于非激活状态，并由系统管理员加以激活d)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。e)如果系统含有加强安全性的硬件，那么管理员、最终用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程。4.5.3.6测试应按GA/T390-2002中6.5.5.6的要求，对操作系统的TCB进行测试。本安全等级要求:a)应通过一般功能测试和完全性独立测试，严格的测试范围分析，高层设计测试、低层设计测试、实现表示测试，顺序的功能测试等，确认TCB的功能与所要求的功能相一致。b)所有系统的安全特性，应被全面测试，包括查找漏洞，如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访间等。所有被发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞c)应提供测试文档，详细描述测试计划、测试过程、测试结果。4.53.了脆弱性评定应按GA/T390-2002中6.5.5.7的要求，对所开发的TCB进行脆弱性评定。本安全等级要求:应从系统化的隐蔽信道分析，指南检查、分析确认、对安全状态的检查和分析，TCB安全功能强度评估，开发者脆弱性分析、独立脆弱性分析、高级抵抗力分析等方面进行脆弱性评定。4.5.4TCB安全管理应按GA/T390-2002中6.5.6的要求实现TCB的安全管理。本安全等级要求:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度。b)根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理。c)应将系统管理员、安全员和审计员等重要安全角色分别设置专人担任，并按“最小授权原则”分别授予他们各自为完成自身任务所需的最小权限，并形成相互制约的关系。www.bzfxw.com GA/T388-2002附录A〔资料性附录)标准概念说明A.1组成与相互关系一个安全的操作系统，无论其安全等级达到《准则》所规定的哪一个级，都应从安全功能和安全保证两方面考虑其安全性。本标准在GA/T390-2002(计算机信息系统安全等级保护通用技术要求)}(以下简称GA/T390-2002)对安全功能和安全保证所进行的详细说明的基础上，针对操作系统在安全性方面的特殊要求，各个安全等级的不同安全功能要求和不同安全保证要求分别进行详细说明。安全功能要求主要说明操作系统所实现的安全策略和安全机制符合《准则》中哪一级的功能要求;安全保证分别从TCB自身安全、TCB的设计和实现TCB安全管理三个方面进行描述。图A.1给出《操作系统技术要求》的主要组成成分与相互关系。访问脸证保护级安全标记保护搜系统审计保护级用户自主保护级图A.1《操作系统技术要求》的组成与相互关系A.2关于安全等级划分的说明计算机操作系统可以是单处理机环境的操作系统，也可以是多处理机环境的操作系统。后者又包括多处理机并行操作系统、分布式操作系统(含分布式计算环境)、网络操作系统等多种情况。对于单处理机环境的操作系统，安全等级的划分相对简单，而对于多处理机环境的操作系统，由于其一般都跨网络运行，安全等级的划分相对复杂。对于多处理机环境的操作系统，由于其操作系统的组成部分具有相对的独立性，并且，这些操作系统运行于网络环境，因而在考虑对其进行安全等级划分时，应首先考虑各组成部分的安全等级划分，并充分考虑网络传输中的安全因素，然后，综合考虑整个操作系统的安全等级。这里www.bzfxw.com应把握的基本原则是:各组成部分安全等级应不低于整体系统安全等级。操作系统的安全性与支持其运行的计算机硬件设备与环境条件密切相关。因此，支持操作系统运行的硬件设备及环境条件的安全等级应与该操作系统的安全等级相匹配。在设计一个多处理机环境的操作系统时，首先按安全需求确定整体安全应达到的安全保护等级，再进一步明确该安全保护等级所对应的安全要素所应具有的安全功能和安全保证条件。在具体进行设计时，这些安全要求和安全保证都应落实到组成操作系统的各部分之中，只有各部分都达到了相应的安全 GA/T388-2002要求，该操作系统在总体上才有可能达到所要求的安全保护等级。A.3关于主体、客体的进一步说明在《准则》中，对主体、客体已经进行了定义。为了更确切的地了解主体与客体在操作系统中的地位与作用，这里对其作进一步说明。在一个操作系统中，每一个实体成分都必须是主体或客体，或者既是主体又是客体。主体是一个主动的实体，它包括用户、用户组、进程等。系统中最基本的主体应该是用户(包括一般用户和系统管理员、系统安全员、系统审计员等特殊用户)。系统中的所有事件要求，几乎全是由用户激发的。进程是系统中最活跃的实体，用户的所有事件要求都要通过进程的运行来处理。在这里，进程作为用户的客体，同时又是其访问对象的主体。操作系统进程一般分为用户进程和系统进程。用户进程通常运行应用程序，实现用户所要求的运算处理;系统进程则是操作系统完成对用户所要求的事件进行处理的必不可少的组成部分。客体是一个被动的实体。在操作系统中，客体可以是按一定格式存储在一定记录介质上的数据信息(通常以文件系统格式存储数据)，也可以是操作系统中的进程，操作系统中的进程(包括用户进程和系统进程)一般有着双重身份。当一个进程运行时，它必定为某一用户服务—直接或间接的处理该用户的事件要求。于是，该进程成为该用户的客体，或为另一进程的客体，而这另一进程则是该用户的客体。依此类推，操作系统中运行的任一进程，总是直接或间接为某一用户服务。这种服务关系可以构成一个服务链服务者是要求者的客体，要求者是服务者的主体，而最原始的主体是用户，最终的客体是一定记录介质上的信息(数据)。用户进程是固定为某一用户服务的，它在运行中代表该用户对客体资源进行访问，其权限应与所代表的用户相同(通过用户一主体绑定实现)。系统进程是动态的为所有用户提供服务的，因而它的权限是随着服务对象的变化而变化的，通过用户一主体绑定将用户的权限与为其服务的进程的权限动态地相关联.当一个系统进程与一个特定的用户相关联时，这个系统进程在运行中就代表该用户对客体资源进行访问。A.q关于TCB的进一步说明TCB,TSF,TSP,SFP是((操作系统技术要求》中的重要的概念。在操作系统中，TCB〔可信计算基)是构成一个安全的操作系统的所有安全保护装置的组合体，一个TCB可以包含多个TSF(TCB安全功能模块)，每个TSF是一个或多个SFP(安全功能策略)的实现。TSP(TCB安全功能策略)是这些SFP的总称，构成一个安全域，以防止不可信主体的干扰和篡改。实现TSF有两种方法，一种是设置前端过滤器，另一种是设置访问监督器。两者都是在一定硬件基础上通过软件实现确定的安全策略，并提供所要求的附加服务。在网络环境下，一个TCB可能跨网络实现，构成一个物理上分散、逻辑上统一的分布式TCB,A.5关于密码技术的说明密码技术已成为当今操作系统安全保护的关键技术。在不同安全保护等级中所采用的不同安全策略，应选取不同配置的密码技术作为构成操作系统安全保护的重要机制，或将密码技术与系统安全技术相www.bzfxw.com结合，组成统一的安全机制。TSF可以利用密码功能来满足一些特定的安全要求。这里主要是指由密码系统提供的以下支持:标识与鉴别、抗抵赖、数据加密保护、数据的完整性保护等。各个安全等级密码技术的具体配置由国家密码主管部门决定。 ca/T388-2002参考文献ISO/IEC15408-1:1999Informationtechnology-Securitytechniques-EvaluationCriteriaforITSecurityParti:Introductionandgeneralmodel,Version2.OQSO/IEC15408-1:1999信息技术安全技术信息技术安全性评估准则第1部分:引言和一般模型,2.。版)ISO/IEC15408-2:1999Informationtechnology-Securitytechniques-EvaluationCriteriaforITSecurityPart2:Securityfunctionalrequirements,Version2.O(ISO/IEC15408-2:1999信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求，2.。版)ISO/IEC15408-3:1999Informationtechnology-Securitytechniques-EvaluationCriteriaforITSecurityPart3:Securityassurancerequirements,Version2.0(ISO/IEC15408-3:1999信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求,2.0版)www.bzfxw.com'