GB∕T 20272-2019 信
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准号:GB∕T 20272-2019
标准名称:信息安全技术 操作系统安全技术要求
英文名称:Information security technology-Security technical requirements for operating system
标准格式:PDF
发布时间:2019-08-30
实施时间:2020-03-01
标准大小:3.28M
标准介绍:本标准规定了五个安全等级操作系统的安全技术要求
本标准适用于操作系统安全性的研发、测试、维护和评价。
本标准按照GB/T1.1—2009给出的规则起草。
本标准代替GB/T20272-2006《信息安全技术操作系统安全技术要求》,与GB/T20272-2006相比,除编辑性修改外主要技术变化如下:
删除了“操作系统安全技术”“ SSOOS安全策略”“安全功能策略”“安全要素”“ SSOOS安全功能”“SSF控制范围”的术语和定义(见2006年版的3.1.2、3.1.4、3.1.5、3.1.6、3.1.7、3.1.8)
删除了¨SFP安全功能策略”“ SSC SSE控制范围”“ SSP SSOOS安全策略”的缩略语(见2006年版的3.2);
增加了“UID用户标识符”的缩略语(见第4章);
增加了“数据加密”安全功能要求(见6.2.1.5.1、6.,3.1.6.2、6.4.1.6.2、65,1.6.2;
增加了“网络安全保护”安全功能要求(见6.1.1.4、6.2.1.6、6.3.1.7、6.4.1.9、6.5.1.9
增加了“可信信道”安全功能要求(见6.4.1.8、6.5.1.8);
标准名称:信息安全技术 操作系统安全技术要求
英文名称:Information security technology-Security technical requirements for operating system
标准格式:PDF
发布时间:2019-08-30
实施时间:2020-03-01
标准大小:3.28M
标准介绍:本标准规定了五个安全等级操作系统的安全技术要求
本标准适用于操作系统安全性的研发、测试、维护和评价。
本标准按照GB/T1.1—2009给出的规则起草。
本标准代替GB/T20272-2006《信息安全技术操作系统安全技术要求》,与GB/T20272-2006相比,除编辑性修改外主要技术变化如下:
删除了“操作系统安全技术”“ SSOOS安全策略”“安全功能策略”“安全要素”“ SSOOS安全功能”“SSF控制范围”的术语和定义(见2006年版的3.1.2、3.1.4、3.1.5、3.1.6、3.1.7、3.1.8)
删除了¨SFP安全功能策略”“ SSC SSE控制范围”“ SSP SSOOS安全策略”的缩略语(见2006年版的3.2);
增加了“UID用户标识符”的缩略语(见第4章);
增加了“数据加密”安全功能要求(见6.2.1.5.1、6.,3.1.6.2、6.4.1.6.2、65,1.6.2;
增加了“网络安全保护”安全功能要求(见6.1.1.4、6.2.1.6、6.3.1.7、6.4.1.9、6.5.1.9
增加了“可信信道”安全功能要求(见6.4.1.8、6.5.1.8);
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T20272—2019
代替GB/T20272—2006
信息安全技术
操作系统安全技术要求
Information securitytechnologySecurity technical requirements for operating system2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
GB/T20272—2019
规范性引用文件
术语和定义
缩略语
产品描述
安全技术要求
第一级:用户自主保护级
安全功能要求
自身安全要求
安全保障要求
第二级:系统审计保护级
安全功能要求
自身安全要求
安全保障要求
第三级:安全标记保护级
安全功能要求
自身安全要求
安全保障要求
第四级:结构化保护级
安全功能要求….
自身安全要求
安全保障要求
6.5第五级:访问验证保护级
安全功能要求
自身安全要求
安全保障要求
附录A(资料性附录)操作系统安全技术要求分级表参考文献
本标准按照GB/T1.1—2009给出的规则起草。GB/T20272—2019
本标准代替GB/T20272—2006《信息安全技术操作系统安全技术要求》,与GB/T20272—2006相比.除编辑性修改外主要技术变化如下:一删除了“操作系统安全技术”“SSOOS安全策略”“安全功能策略”“安全要素”SSOOS安全功能”\SSF控制范围”的术语和定义(见2006年版的3.1.2、3.1.4、3.1.5、3.1.6、3.1.7、3.1.8);删除了“SFP安全功能策略”SSCSSF控制范围”“SSPSSOOS安全策略”的缩略语(见2O06年版的3.2);
一增加了“UID用户标识符”的缩略语(见第4章);—增加了\网络安全保护”安全功能要求(见6.1.1.4、6.2.1.6、6.3.1.7、6.4.1.9、6.5.1.9);增加了\数据加密”安全功能要求(见6.2.1.5.1、6.3.1.6.2、6.4.1.6.2、6.5.1.6.2);增加了“可信信道”安全功能要求(见6.4.1.8、6.5.1.8);一在“安全功能”中,将“标记”“强制访问控制”合并为“标记和强制访问控制”(见6.3.1.3、6.4.1.3、6.5.1.3);
一删除了“数据流控制”安全功能要求(见2006年版的4.3.1.5、4.4.1.5、4.5.1.5);增加了“可信度量”自身安全要求(见6.2.2.4、6.3.2.4、6.4.2.4、6.5.2.4);增加了“可信恢复”自身安全要求(见6.4.2.5、6.5.2.5);增加了“安全策略配置”自身安全要求(见6.1.2.4、6.2.2.5、6.3.2.5、6.4.2.6、6.5.2.6);一删除了“SSF物理安全保护”(见2006年版的4.1.2.1、4.2.2.1、4.3.2.1、4.4.2.1、4.5.2.1);将“SSOOS访问控制”修改为“用户登录访问控制”(见6.1.2.3、6.2.2.3、6.3.2.3、6.4.2.3、6.5.2.3);
将“SSF数据安全保护”中的相关内容,整合到“数据完整性”数据保密性”“可信路径”等安全功能中(见6.1.1.3、6.2.1.4、6.2.1.5、6.3.1.5、6.3.1.6、6.4.1.5、6.4.1.6、6.4.1.7、6.5.1.5、6.5.1.6、6.5.1.7);
一将“SSOOS设计和实现”修改为“安全保障要求”,并根据GB/T18336.3一2015的要求,进行了相应的修改(见6.1.3、6.2.3、6.3.3、6.4.3、6.5.3,2006年版的4.1.3、4.2.3,4.3.3、4.4.3、4.5.3);删除了“SSOOS安全管理”要求(见2006年版的4.1.4、4.2.4、4.3.4、4.4.4、4.5.4)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、北京江南天安科技有限公司、中科方德软件有限公司、中标软件有限公司、天津麒麟信息技术有限公司、普华基础软件股份有限公司、北京凝思软件股份有限公司本标准主要起草人:邱梓华、宋好好、陈妍、胡亚兰、顾健、陈冠直、徐宁、魏立峰、吴永成、朱健伟、王成靖、吉增瑞、门丽萍、董军平、龚文、郎金刚、谭一鸣、胡丹妮、杨诏钧、戴华东、王玉成、孟健、宫敏、彭志航。
本标准所代替标准的历次版本发布情况为:GB/T20272—2006。
1范围
信息安全技术操作系统安全技术要求本标准规定了五个安全等级操作系统的安全技术要求本标准适用于操作系统安全性的研发、测试、维护和评价。2规范性引用文件
GB/T20272—2019
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB178591999计算机信息系统安全保护等级划分准则GB/T18336.3—一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T20271一2006信息安全技术信息系统通用安全技术要求GB/T29240一2012信息安全技术终端计算机通用安全技术要求与测试评价方法3术语和定义
GB17859—1999.GB/T18336.3—2015、GB/T20271—2006和GB/T29240—2012界定的以及下列术语和定义适用于本文件。
操作系统安全securityof operatingsystem操作系统自身以及其所存储、传输和处理的信息的保密性、完整性和可用性。3.2
Esecuritysubsystemof operatingsystem操作系统安全子系统
操作系统中安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。4缩略语
下列缩略语适用于本文件。
SSF.SSOOS安全功能(SSOOSSecurityFunctionSSOOS:操作系统安全子系统(SecuritySubsystemofOperatingSystem)UID:用户标识符(UserIdentifier)5产品描述
资源管理(包括设备硬件资源和数据资源)是操作系统最为基本的功能,操作系统中对资源的安全保护由SSOOS来实现
SSOOS是操作系统中所有安全保护装置的组合体。SSOOS一般包含多个SSF,每个安全功能模块是个或多个安全功能策略的具体实现。SSOOS中的所有安全功能策略构成了一个安全域,以保护GB/T20272—2019
整个操作系统的安全。
为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,每一级的新增部分用“黑体”表示。附录A中的操作系统安全技术要求分级表,以表格形式列举了操作系统五个安全等级的安全功能要求、自身安全要求和安全保障要求。6安全技术要求
6.1第一级:用户自主保护级
6.1.1安全功能要求
6.1.1.1身份鉴别
SSOOS的身份鉴别功能如下:
用户标识功能:
1)用户进入操作系统前,应先进行标识;2)操作系统用户标识宜使用用户名和UIDb)用户鉴别功能:
1)采用口令进行鉴别,并在每次用户登录系统时和系统重新连接时进行鉴别;2)口令应是不可见的,在存储和传输时进行安全保护,确保其不被非授权的访问、修改和删除;
通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时采取的措施来实现鉴别失败的处理c)对注册到操作系统的用户,应将用户进程与其所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户。
自主访问控制
SSOOS的自主访问控制功能如下:a)
客体的拥有者对其拥有的全部客体应有权修改其访问权限:b)
客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性,访问控制属性至少包括:读、写、执行等;
主体对客体的访问应遵循该客体的自主访问控制权限属性:d)将访问控制客体的颗粒度控制在文件和目录6.1.1.3数据完整性
对操作系统内部传输的用户数据(如进程间的通信),应具备保证用户数据完整性的功能网络安全保护
支持基于IP地址、端口、物理接口的双向网络访问控制,将不符合预先设定策略的数据包丢弃。6.1.2自身安全要求
6.1.2.1运行安全保护
SSF运行安全保护功能如下:
a)应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护2
之前,应对用户和管理员的安全策略属性进行定义。b)应区分普通操作模式和系统维护模式。GB/T20272—2019
在SSOOS出现故障或中断后,应使其以最小的损害得到恢复,并按GB/T20271一2006中5.1.2.2失败保护所描述的内容,处理SSF故障,d)操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操作系统的漏洞进行修补。
资源利用
6.1.2.2.1容错
应通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行。6.1.2.2.2
2服务优先级
应采取服务优先级策略设置主体使用SSF控制范围内某个资源子集的优先级·进行操作系统资源的管理和分配。
6.1.2.2.3资源分配
应按GB/T20271一2006中5.1.4.2a)最大限额资源分配的要求,进行操作系统资源的管理和分配。配额机制确保用户和主体将不会独占某种受控的资源。6.1.2.3用户登录访问控制
SSOOS的用户登录访问控制功能如下:a)应按GB/T20271-2006中5.1.5a)会话建立机制的要求,根据访间地址或端口,允许或拒绝用户的登录;
b)应按GB/T20271一2006中5.1.5c)多重并发会话限定的要求,限制系统并发会话的最大数量,并利用默认值作为会话次数的限定数。6.1.2.4安全策略配置
应对身份鉴别、网络安全保护、资源利用、用户登录访问控制提供安全策略配置功能,6.1.3安全保障要求
6.1.3.1开发
6.1.3.1.1
安全架构
开发者应提供SSOOS的安全架构描述文档,安全架构描述文档应符合以下要求:a)与SSOOS设计文档中对安全功能要求和自身安全保护要求的描述一致;b)描述SSOOS的安全域;
描述SSOOS初始化过程为何是安全的;c)
d)证实SSOOS能够防止被破坏;e)证实SSOOS能够防止被旁路。6.1.3.1.2
2功能规范说明
开发者应提供功能规范说明,功能规范说明应符合以下要求:GB/T20272—2019
a)完全描述SSF和自身安全保护;b)描述所有SSOOS接口的目的与使用方法;标识和描述每个SSOOS接口相关的全部参数:c)
描述实施过程中,与SSOOS接口相关的行为;d
证实安全功能要求和自身安全保护要求到SSOOS接口的追溯。e
6.1.3.1.3SSOOS设计
开发者应提供SSOOS设计文档,SSOOS设计文档应符合以下要求:a)描述SsOOs的结构;www.bzxz.net
b)描述所有安全功能和自身安全保护模块,包括其目的及与其他模块间的相互作用c
提供每一个安全功能和自身安全保护的描述:描述安全功能和自身安全保护间的相互作用;d)
根据模块描述安全功能和自身安全保护。e)
指导性文档
6.1.3.2.1操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持致,对每一种用户角色的描述应符合以下要求:a)描述在安全处理环境中用户可访问的功能和特权,并包含可能造成危害的警示信息:描述如何以安全的方式使用SSOOS提供的安全功能和自身安全保护;b)
描述安全功能和自身安全保护及接口,尤其是受用户控制的所有安全参数,适当时指明安全值;
d)明确说明安全功能和自身安全保护有关的每一种安全相关事件,包括改变SSOOS所控制实体的安全特性;
标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持e)
安全运行之间的因果关系和联系;f)描述为确保SSOOS安全运行应执行的安全策略。6.1.3.2.2
2准备程序
开发者应提供操作系统及其准备程序,准备程序描述应符合以下要求a)描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤:b)描述安全安装操作系统及其运行环境必需的所有步骤。6.1.3.3
生存周期支持
6.1.3.3.1配置管理能力
开发者的配置管理能力应符合以下要求为操作系统的不同版本提供唯一的标识;a)
提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;b)
配置管理系统唯一标识所有配置项,c
6.1.3.3.2配置管理范围
开发者应提供SSOOS配置项列表,并简要说明配置项的开发者。配置项列表应包含以下内容:4
SSOOS、安全保障要求的评估证据和SSOOS的组成部分:a)
唯一标识配置项;
GB/T20272—2019
c)对于每一个安全功能相关的配置项,配置项列表简要说明该配置项的开发者。6.1.3.3.3交付程序
开发者应使用一定的交付程序交付操作系统,并将交付过程文档化。在给用户方交付指定版本操作系统时,交付文档应描述为维护安全所必需的所有程序。6.1.3.4测试
6.1.3.4.1覆盖
开发者应提供测试覆盖文档,测试覆盖的证据应表明测试文档中的测试与功能规范说明中SSOOS接口之间的对应性。
6.1.3.4.2功能测试
开发者应测试SSF和自身安全保护功能。测试文档应包括以下内容:a)测试计划:标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;
预期的测试结果:表明测试完成后的预期输出;b)
实际测试结果:和预期的测试结果一致;d)
证实已知的漏洞被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞。
6.1.3.4.3
独立测试
开发者应提供一组与其自测时使用的同等资源,以用于SSOOS的测试。6.1.3.4.4密码测试
开发者应对所使用的对称、非对称和杂凑密码算法进行正确性和符合性测试,确保实际运算结果与预期的正确结果相符。
开发者应确保使用符合国家密码相关规定的对称、非对称和杂密码算法。6.1.3.5脆弱性评定
基于已标识的潜在脆弱性,操作系统应抵抗具有基本攻击潜力的攻击者的攻击注:抵抗基本攻击潜力的攻击者的攻击,需要根据以下5个具体因素综合考虑:攻击时间、攻击者能力、对操作系统的了解程度、访间操作系统时间或攻击样品数量、使用的攻击设备,见GB/T30270—2013附录A中的A.8。6.2第二级:系统审计保护级
6.2.1安全功能要求
6.2.1.1身份鉴别
SSOOS的身份鉴别功能如下:
a)用户标识功能:
1)用户进入操作系统前,应先进行标识;2)操作系统用户标识应使用用户名和UID,并在操作系统的整个生存周期实现用户的唯一GB/T20272—2019
性标识,以及用户名或别名、UID等之间的一致性。b)用户鉴别功能:
1)采用强化管理的口令鉴别/基于令牌的动态口令鉴别等机制,并在每次用户登录系统时和系统重新连接时进行鉴别;
鉴别信息应是不可见的,在存储和传输时进行安全保护,确保其不被非授权的访问、修改和删除;
3)通过对不成功的鉴别尝试的值(包括尝试次数和时间的阅值)进行预先定义,并明确规定达到该值时采取的措施来实现鉴别失败的处理c)对注册到操作系统的用户,应将用户进程与其所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户。
自主访问控制
SSOOS的自主访问控制功能如下:客体的拥有者对其拥有的全部客体应有权修改其访问权限;a)
客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性,访问控制属性至少包括:b)
读、写、执行等;
c)主体对客体的访问应遵循该客体的自主访问控制权限属性;d)将访问控制客体的颗粒度控制在文件和目录;e)
当主体生成一个客体时,该客体应具有该主体设置的自主访问控制权限属性的默认值:自主访问控制应能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种访问,使用户对自己的行为承担明确的责任6.2.1.3安全审计
SSOOS的安全审计功能如下:
应能对以下事件生成审计日志:a)
1)身份鉴别、自主访问控制等安全功能的使用:创建、删除客体的操作;
网络会话;
所有管理员的操作。
b)审计记录要求如下:
每条审计记录应包括:事件类型、事件发生的日期和时间、触发事件的用户、事件成功或失败等字段;
身份标识和鉴别事件类审计记录还应包括请求的源(如末端号或网络地址):3)
创建和删除客体事件的审计记录还应包括客体的名字;4)
网络会话事件审计记录还应包括:网络程序名称、协议类型、源IP地址、目的IP地址、源端口、目的端口、会话总字节数等字段,应提供审计日志分析功能:
潜在侵害分析:设置审计日志累积或组合的规则,使用这些规则去监测已经生成的审计事件,并根据这些规则指示出对系统安全运行的潜在侵害d)应提供审计日志的可选择查询功能,支持按以下条件之一或逻辑组合进行选择和排序查阅,并能导出查询结果:
1)事件类型;
日期和/或时间;
3)月
用户身份;
4)客体名称;
成功或失败。
应提供审计日志的保护功能:
GB/T20272—2019
保证审计机制默认处于开启状态,且对审计日志的开启和关闭进行保护;保护审计日志不被未授权的访问;2)
3)保证审计日志不被篡改和删除f)
应以便于用户理解的方式提供审计日志查阅功能g)
审计日志应存储在掉电非遗失性存储媒体中。系统管理员应能定义超过审计跟踪存储极限的阅值,当超过阅值时将向管理员报警。当审计存储空间被耗尽时,覆盖所存储的最早的审计记录。
6.2.1.4数据完整性
SSOOS的数据完整性保护功能如下:a)在操作系统内部传输的用户数据(如进程间的通信),应具备保证用户数据完整性的功能;b)在对数据进行访问操作时,应检查存储在存储媒体上的用户数据是否完整,6.2.1.5
5数据保密性
6.2.1.5.1
数据加密
SSOOS的数据加密功能如下:
a)应提供文件加密功能,用户可对指定的文件和目录进行加密保护;b)支持采用硬件形式对密钥进行保护5网络安全保护
SSOOS的网络安全保护功能如下
支持基于IP地址、端口、物理接口的双向网络访问控制,将不符合预先设定策略的数据包a)
丢弃;
b)对网络传输数据应能进行加密与完整性保护6.2.2自身安全要求
6.2.2.1运行安全保护
SSF运行安全保护功能如下:
a)应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性进行定义b)应区分普通操作模式和系统维护模式。c
在普通用户访问系统之前,系统应以一个安全的方式进行安装和配置,d)对备份等不影响SSOOS的常规的系统维护,可在普通操作模式执行。当操作系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、根目录、e)
审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。f)
仅允许系统管理员修改或替换系统提供的可执行程序。在SSOOS出现故障或中断后,应使其以最小的损害得到恢复。并按GB/T20271一2006中g)
5.1.2.2失败保护所描述的内容,处理SSF故障7
GB/T20272—2019
h)应控制和审计系统控制台的使用i)操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时获取、统一管理并及时运用补丁对操作系统的漏洞进行修补。6.2.2.2
资源利用
6.2.2.2.1容错
SSOOS的容错功能如下:
a),应通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行,如系统检测和报告系统的服务水平已降低到预先规定的最小值;当系统资源的服务水平降低到预先规定的最小值时,应能检测和发出报告;b)
应提供维护模式中运行系统的能力,在维护模式下各种安全功能全部失效。系统仅充许系统管理员进入维护模式。
6.2.2.2.2服务优先级
SSOOS的服务优先级功能如下:
应采取服务优先级策略,设置主体使用SSF控制范围内某个资源子集的优先级,进行操作系a)
统资源的管理和分配;
b)应确保对所有操作系统资源的访问都基于主体所设置的优先级进行。6.2.2.2.3资源分配
SSOOS的资源分配功能如下:
应按GB/T20271—2006中5.1.4.2a)最大限额资源分配的要求,进行操作系统资源的管理和a
分配。配额机制确保用户和主体将不会独占某种受控的资源。b)
应确保在被授权的主体发出请求时,资源能被访问和利用应以每个用户或每个用户组为基础,提供一种机制,控制其对磁盘的消耗和对CPU等资源的使用。
6.2.2.3用户登录访问控制
SSOOS的用户登录访问控制功能如下:a)应按GB/T20271一2006中5.1.5a)会话建立机制的要求,根据访问地址或端口,允许或拒绝用户的登录。鉴别机制不准许被旁路b)应按GB/T20271—2006中5.1.5c)多重并发会话限定的要求,限制系统并发会话的最大数量,并利用默认值作为会话次数的限定数。c)成功登录系统后,操作系统应记录并向用户显示以下数据1)本次登录的日期、时间、来源和上次成功登录系统的情况;2)上次成功访问系统以来身份鉴别失败的情况;3)
口令到期的天数;
成功或不成功的事件次数可以用整数计数、时间戳列表等表述方法。4)
6.2.2.4可信度量
SSOOS的可信度量功能如下:
在操作系统启动时应对操作系统内核进行完整性度量:8
b)在可执行程序启动时应进行完整性度量;c)应对完整性度量基准值进行安全存储,防止其被算改。5安全策略配置
GB/T20272—2019
应对身份鉴别、安全审计、网络安全保护、资源利用、用户登录访问控制提供安全策略配置功能6.2.3安全保障要求
6.2.3.1开发
6.2.3.1.1安全架构
开发者应提供SSOOS的安全架构描述文档,安全架构描述文档应符合以下要求:a)与SSOOS设计文档中对安全功能要求和自身安全保护要求的描述一致;b)描述SSOOS的安全域;
c)描述SSOOS初始化过程为何是安全的;d)证实SSOOS能够防止被破坏;e)证实SSOOS能够防止被旁路。6.2.3.1.2功能规范说明
开发者应提供功能规范说明,功能规范说明应符合以下要求:a)完全描述SSF和自身安全保护:b)描述所有SSOOS接口的目的与使用方法;标识和描述每个SSOOS接口相关的全部参数;c
d)描述实施过程中,与SSOOS接口相关的行为:e)证实安全功能要求和自身安全保护要求到SSOOS接口的追溯。6.2.3.1.3SSOOS设计
开发者应提供SSOOS设计文档,SSOOS设计文档应符合以下要求:描述SSOOS的结构;
b)描述所有安全功能和自身安全保护模块,包括其目的及与其他模块间的相互作用;c
提供每一个安全功能和自身安全保护的描述;描述安全功能和自身安全保护间的相互作用;d)
根据模块描述安全功能和自身安全保护6.2.3.2指导性文档
6.2.3.2.1
操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应符合以下要求:a)描述在安全处理环境中用户可访问的功能和特权,并包含可能造成危害的警示信息:b)描述如何以安全的方式使用SSOOS提供的安全功能和自身安全保护;c)
描述安全功能和自身安全保护及接口,尤其是受用户控制的所有安全参数,适当时指明安全值;
d):明确说明安全功能和自身安全保护有关的每一种安全相关事件,包括改变SSOOS所控制实
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T20272—2019
代替GB/T20272—2006
信息安全技术
操作系统安全技术要求
Information securitytechnologySecurity technical requirements for operating system2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
GB/T20272—2019
规范性引用文件
术语和定义
缩略语
产品描述
安全技术要求
第一级:用户自主保护级
安全功能要求
自身安全要求
安全保障要求
第二级:系统审计保护级
安全功能要求
自身安全要求
安全保障要求
第三级:安全标记保护级
安全功能要求
自身安全要求
安全保障要求
第四级:结构化保护级
安全功能要求….
自身安全要求
安全保障要求
6.5第五级:访问验证保护级
安全功能要求
自身安全要求
安全保障要求
附录A(资料性附录)操作系统安全技术要求分级表参考文献
本标准按照GB/T1.1—2009给出的规则起草。GB/T20272—2019
本标准代替GB/T20272—2006《信息安全技术操作系统安全技术要求》,与GB/T20272—2006相比.除编辑性修改外主要技术变化如下:一删除了“操作系统安全技术”“SSOOS安全策略”“安全功能策略”“安全要素”SSOOS安全功能”\SSF控制范围”的术语和定义(见2006年版的3.1.2、3.1.4、3.1.5、3.1.6、3.1.7、3.1.8);删除了“SFP安全功能策略”SSCSSF控制范围”“SSPSSOOS安全策略”的缩略语(见2O06年版的3.2);
一增加了“UID用户标识符”的缩略语(见第4章);—增加了\网络安全保护”安全功能要求(见6.1.1.4、6.2.1.6、6.3.1.7、6.4.1.9、6.5.1.9);增加了\数据加密”安全功能要求(见6.2.1.5.1、6.3.1.6.2、6.4.1.6.2、6.5.1.6.2);增加了“可信信道”安全功能要求(见6.4.1.8、6.5.1.8);一在“安全功能”中,将“标记”“强制访问控制”合并为“标记和强制访问控制”(见6.3.1.3、6.4.1.3、6.5.1.3);
一删除了“数据流控制”安全功能要求(见2006年版的4.3.1.5、4.4.1.5、4.5.1.5);增加了“可信度量”自身安全要求(见6.2.2.4、6.3.2.4、6.4.2.4、6.5.2.4);增加了“可信恢复”自身安全要求(见6.4.2.5、6.5.2.5);增加了“安全策略配置”自身安全要求(见6.1.2.4、6.2.2.5、6.3.2.5、6.4.2.6、6.5.2.6);一删除了“SSF物理安全保护”(见2006年版的4.1.2.1、4.2.2.1、4.3.2.1、4.4.2.1、4.5.2.1);将“SSOOS访问控制”修改为“用户登录访问控制”(见6.1.2.3、6.2.2.3、6.3.2.3、6.4.2.3、6.5.2.3);
将“SSF数据安全保护”中的相关内容,整合到“数据完整性”数据保密性”“可信路径”等安全功能中(见6.1.1.3、6.2.1.4、6.2.1.5、6.3.1.5、6.3.1.6、6.4.1.5、6.4.1.6、6.4.1.7、6.5.1.5、6.5.1.6、6.5.1.7);
一将“SSOOS设计和实现”修改为“安全保障要求”,并根据GB/T18336.3一2015的要求,进行了相应的修改(见6.1.3、6.2.3、6.3.3、6.4.3、6.5.3,2006年版的4.1.3、4.2.3,4.3.3、4.4.3、4.5.3);删除了“SSOOS安全管理”要求(见2006年版的4.1.4、4.2.4、4.3.4、4.4.4、4.5.4)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、北京江南天安科技有限公司、中科方德软件有限公司、中标软件有限公司、天津麒麟信息技术有限公司、普华基础软件股份有限公司、北京凝思软件股份有限公司本标准主要起草人:邱梓华、宋好好、陈妍、胡亚兰、顾健、陈冠直、徐宁、魏立峰、吴永成、朱健伟、王成靖、吉增瑞、门丽萍、董军平、龚文、郎金刚、谭一鸣、胡丹妮、杨诏钧、戴华东、王玉成、孟健、宫敏、彭志航。
本标准所代替标准的历次版本发布情况为:GB/T20272—2006。
1范围
信息安全技术操作系统安全技术要求本标准规定了五个安全等级操作系统的安全技术要求本标准适用于操作系统安全性的研发、测试、维护和评价。2规范性引用文件
GB/T20272—2019
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB178591999计算机信息系统安全保护等级划分准则GB/T18336.3—一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T20271一2006信息安全技术信息系统通用安全技术要求GB/T29240一2012信息安全技术终端计算机通用安全技术要求与测试评价方法3术语和定义
GB17859—1999.GB/T18336.3—2015、GB/T20271—2006和GB/T29240—2012界定的以及下列术语和定义适用于本文件。
操作系统安全securityof operatingsystem操作系统自身以及其所存储、传输和处理的信息的保密性、完整性和可用性。3.2
Esecuritysubsystemof operatingsystem操作系统安全子系统
操作系统中安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。4缩略语
下列缩略语适用于本文件。
SSF.SSOOS安全功能(SSOOSSecurityFunctionSSOOS:操作系统安全子系统(SecuritySubsystemofOperatingSystem)UID:用户标识符(UserIdentifier)5产品描述
资源管理(包括设备硬件资源和数据资源)是操作系统最为基本的功能,操作系统中对资源的安全保护由SSOOS来实现
SSOOS是操作系统中所有安全保护装置的组合体。SSOOS一般包含多个SSF,每个安全功能模块是个或多个安全功能策略的具体实现。SSOOS中的所有安全功能策略构成了一个安全域,以保护GB/T20272—2019
整个操作系统的安全。
为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,每一级的新增部分用“黑体”表示。附录A中的操作系统安全技术要求分级表,以表格形式列举了操作系统五个安全等级的安全功能要求、自身安全要求和安全保障要求。6安全技术要求
6.1第一级:用户自主保护级
6.1.1安全功能要求
6.1.1.1身份鉴别
SSOOS的身份鉴别功能如下:
用户标识功能:
1)用户进入操作系统前,应先进行标识;2)操作系统用户标识宜使用用户名和UIDb)用户鉴别功能:
1)采用口令进行鉴别,并在每次用户登录系统时和系统重新连接时进行鉴别;2)口令应是不可见的,在存储和传输时进行安全保护,确保其不被非授权的访问、修改和删除;
通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时采取的措施来实现鉴别失败的处理c)对注册到操作系统的用户,应将用户进程与其所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户。
自主访问控制
SSOOS的自主访问控制功能如下:a)
客体的拥有者对其拥有的全部客体应有权修改其访问权限:b)
客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性,访问控制属性至少包括:读、写、执行等;
主体对客体的访问应遵循该客体的自主访问控制权限属性:d)将访问控制客体的颗粒度控制在文件和目录6.1.1.3数据完整性
对操作系统内部传输的用户数据(如进程间的通信),应具备保证用户数据完整性的功能网络安全保护
支持基于IP地址、端口、物理接口的双向网络访问控制,将不符合预先设定策略的数据包丢弃。6.1.2自身安全要求
6.1.2.1运行安全保护
SSF运行安全保护功能如下:
a)应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护2
之前,应对用户和管理员的安全策略属性进行定义。b)应区分普通操作模式和系统维护模式。GB/T20272—2019
在SSOOS出现故障或中断后,应使其以最小的损害得到恢复,并按GB/T20271一2006中5.1.2.2失败保护所描述的内容,处理SSF故障,d)操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时运用补丁对操作系统的漏洞进行修补。
资源利用
6.1.2.2.1容错
应通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行。6.1.2.2.2
2服务优先级
应采取服务优先级策略设置主体使用SSF控制范围内某个资源子集的优先级·进行操作系统资源的管理和分配。
6.1.2.2.3资源分配
应按GB/T20271一2006中5.1.4.2a)最大限额资源分配的要求,进行操作系统资源的管理和分配。配额机制确保用户和主体将不会独占某种受控的资源。6.1.2.3用户登录访问控制
SSOOS的用户登录访问控制功能如下:a)应按GB/T20271-2006中5.1.5a)会话建立机制的要求,根据访间地址或端口,允许或拒绝用户的登录;
b)应按GB/T20271一2006中5.1.5c)多重并发会话限定的要求,限制系统并发会话的最大数量,并利用默认值作为会话次数的限定数。6.1.2.4安全策略配置
应对身份鉴别、网络安全保护、资源利用、用户登录访问控制提供安全策略配置功能,6.1.3安全保障要求
6.1.3.1开发
6.1.3.1.1
安全架构
开发者应提供SSOOS的安全架构描述文档,安全架构描述文档应符合以下要求:a)与SSOOS设计文档中对安全功能要求和自身安全保护要求的描述一致;b)描述SSOOS的安全域;
描述SSOOS初始化过程为何是安全的;c)
d)证实SSOOS能够防止被破坏;e)证实SSOOS能够防止被旁路。6.1.3.1.2
2功能规范说明
开发者应提供功能规范说明,功能规范说明应符合以下要求:GB/T20272—2019
a)完全描述SSF和自身安全保护;b)描述所有SSOOS接口的目的与使用方法;标识和描述每个SSOOS接口相关的全部参数:c)
描述实施过程中,与SSOOS接口相关的行为;d
证实安全功能要求和自身安全保护要求到SSOOS接口的追溯。e
6.1.3.1.3SSOOS设计
开发者应提供SSOOS设计文档,SSOOS设计文档应符合以下要求:a)描述SsOOs的结构;www.bzxz.net
b)描述所有安全功能和自身安全保护模块,包括其目的及与其他模块间的相互作用c
提供每一个安全功能和自身安全保护的描述:描述安全功能和自身安全保护间的相互作用;d)
根据模块描述安全功能和自身安全保护。e)
指导性文档
6.1.3.2.1操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持致,对每一种用户角色的描述应符合以下要求:a)描述在安全处理环境中用户可访问的功能和特权,并包含可能造成危害的警示信息:描述如何以安全的方式使用SSOOS提供的安全功能和自身安全保护;b)
描述安全功能和自身安全保护及接口,尤其是受用户控制的所有安全参数,适当时指明安全值;
d)明确说明安全功能和自身安全保护有关的每一种安全相关事件,包括改变SSOOS所控制实体的安全特性;
标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持e)
安全运行之间的因果关系和联系;f)描述为确保SSOOS安全运行应执行的安全策略。6.1.3.2.2
2准备程序
开发者应提供操作系统及其准备程序,准备程序描述应符合以下要求a)描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤:b)描述安全安装操作系统及其运行环境必需的所有步骤。6.1.3.3
生存周期支持
6.1.3.3.1配置管理能力
开发者的配置管理能力应符合以下要求为操作系统的不同版本提供唯一的标识;a)
提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;b)
配置管理系统唯一标识所有配置项,c
6.1.3.3.2配置管理范围
开发者应提供SSOOS配置项列表,并简要说明配置项的开发者。配置项列表应包含以下内容:4
SSOOS、安全保障要求的评估证据和SSOOS的组成部分:a)
唯一标识配置项;
GB/T20272—2019
c)对于每一个安全功能相关的配置项,配置项列表简要说明该配置项的开发者。6.1.3.3.3交付程序
开发者应使用一定的交付程序交付操作系统,并将交付过程文档化。在给用户方交付指定版本操作系统时,交付文档应描述为维护安全所必需的所有程序。6.1.3.4测试
6.1.3.4.1覆盖
开发者应提供测试覆盖文档,测试覆盖的证据应表明测试文档中的测试与功能规范说明中SSOOS接口之间的对应性。
6.1.3.4.2功能测试
开发者应测试SSF和自身安全保护功能。测试文档应包括以下内容:a)测试计划:标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;
预期的测试结果:表明测试完成后的预期输出;b)
实际测试结果:和预期的测试结果一致;d)
证实已知的漏洞被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞。
6.1.3.4.3
独立测试
开发者应提供一组与其自测时使用的同等资源,以用于SSOOS的测试。6.1.3.4.4密码测试
开发者应对所使用的对称、非对称和杂凑密码算法进行正确性和符合性测试,确保实际运算结果与预期的正确结果相符。
开发者应确保使用符合国家密码相关规定的对称、非对称和杂密码算法。6.1.3.5脆弱性评定
基于已标识的潜在脆弱性,操作系统应抵抗具有基本攻击潜力的攻击者的攻击注:抵抗基本攻击潜力的攻击者的攻击,需要根据以下5个具体因素综合考虑:攻击时间、攻击者能力、对操作系统的了解程度、访间操作系统时间或攻击样品数量、使用的攻击设备,见GB/T30270—2013附录A中的A.8。6.2第二级:系统审计保护级
6.2.1安全功能要求
6.2.1.1身份鉴别
SSOOS的身份鉴别功能如下:
a)用户标识功能:
1)用户进入操作系统前,应先进行标识;2)操作系统用户标识应使用用户名和UID,并在操作系统的整个生存周期实现用户的唯一GB/T20272—2019
性标识,以及用户名或别名、UID等之间的一致性。b)用户鉴别功能:
1)采用强化管理的口令鉴别/基于令牌的动态口令鉴别等机制,并在每次用户登录系统时和系统重新连接时进行鉴别;
鉴别信息应是不可见的,在存储和传输时进行安全保护,确保其不被非授权的访问、修改和删除;
3)通过对不成功的鉴别尝试的值(包括尝试次数和时间的阅值)进行预先定义,并明确规定达到该值时采取的措施来实现鉴别失败的处理c)对注册到操作系统的用户,应将用户进程与其所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户。
自主访问控制
SSOOS的自主访问控制功能如下:客体的拥有者对其拥有的全部客体应有权修改其访问权限;a)
客体的拥有者应能对其拥有的客体设置其他用户的访问控制属性,访问控制属性至少包括:b)
读、写、执行等;
c)主体对客体的访问应遵循该客体的自主访问控制权限属性;d)将访问控制客体的颗粒度控制在文件和目录;e)
当主体生成一个客体时,该客体应具有该主体设置的自主访问控制权限属性的默认值:自主访问控制应能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种访问,使用户对自己的行为承担明确的责任6.2.1.3安全审计
SSOOS的安全审计功能如下:
应能对以下事件生成审计日志:a)
1)身份鉴别、自主访问控制等安全功能的使用:创建、删除客体的操作;
网络会话;
所有管理员的操作。
b)审计记录要求如下:
每条审计记录应包括:事件类型、事件发生的日期和时间、触发事件的用户、事件成功或失败等字段;
身份标识和鉴别事件类审计记录还应包括请求的源(如末端号或网络地址):3)
创建和删除客体事件的审计记录还应包括客体的名字;4)
网络会话事件审计记录还应包括:网络程序名称、协议类型、源IP地址、目的IP地址、源端口、目的端口、会话总字节数等字段,应提供审计日志分析功能:
潜在侵害分析:设置审计日志累积或组合的规则,使用这些规则去监测已经生成的审计事件,并根据这些规则指示出对系统安全运行的潜在侵害d)应提供审计日志的可选择查询功能,支持按以下条件之一或逻辑组合进行选择和排序查阅,并能导出查询结果:
1)事件类型;
日期和/或时间;
3)月
用户身份;
4)客体名称;
成功或失败。
应提供审计日志的保护功能:
GB/T20272—2019
保证审计机制默认处于开启状态,且对审计日志的开启和关闭进行保护;保护审计日志不被未授权的访问;2)
3)保证审计日志不被篡改和删除f)
应以便于用户理解的方式提供审计日志查阅功能g)
审计日志应存储在掉电非遗失性存储媒体中。系统管理员应能定义超过审计跟踪存储极限的阅值,当超过阅值时将向管理员报警。当审计存储空间被耗尽时,覆盖所存储的最早的审计记录。
6.2.1.4数据完整性
SSOOS的数据完整性保护功能如下:a)在操作系统内部传输的用户数据(如进程间的通信),应具备保证用户数据完整性的功能;b)在对数据进行访问操作时,应检查存储在存储媒体上的用户数据是否完整,6.2.1.5
5数据保密性
6.2.1.5.1
数据加密
SSOOS的数据加密功能如下:
a)应提供文件加密功能,用户可对指定的文件和目录进行加密保护;b)支持采用硬件形式对密钥进行保护5网络安全保护
SSOOS的网络安全保护功能如下
支持基于IP地址、端口、物理接口的双向网络访问控制,将不符合预先设定策略的数据包a)
丢弃;
b)对网络传输数据应能进行加密与完整性保护6.2.2自身安全要求
6.2.2.1运行安全保护
SSF运行安全保护功能如下:
a)应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性进行定义b)应区分普通操作模式和系统维护模式。c
在普通用户访问系统之前,系统应以一个安全的方式进行安装和配置,d)对备份等不影响SSOOS的常规的系统维护,可在普通操作模式执行。当操作系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、根目录、e)
审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。f)
仅允许系统管理员修改或替换系统提供的可执行程序。在SSOOS出现故障或中断后,应使其以最小的损害得到恢复。并按GB/T20271一2006中g)
5.1.2.2失败保护所描述的内容,处理SSF故障7
GB/T20272—2019
h)应控制和审计系统控制台的使用i)操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时获取、统一管理并及时运用补丁对操作系统的漏洞进行修补。6.2.2.2
资源利用
6.2.2.2.1容错
SSOOS的容错功能如下:
a),应通过一定措施确保当系统出现某些确定的故障情况时,SSF也能维持正常运行,如系统检测和报告系统的服务水平已降低到预先规定的最小值;当系统资源的服务水平降低到预先规定的最小值时,应能检测和发出报告;b)
应提供维护模式中运行系统的能力,在维护模式下各种安全功能全部失效。系统仅充许系统管理员进入维护模式。
6.2.2.2.2服务优先级
SSOOS的服务优先级功能如下:
应采取服务优先级策略,设置主体使用SSF控制范围内某个资源子集的优先级,进行操作系a)
统资源的管理和分配;
b)应确保对所有操作系统资源的访问都基于主体所设置的优先级进行。6.2.2.2.3资源分配
SSOOS的资源分配功能如下:
应按GB/T20271—2006中5.1.4.2a)最大限额资源分配的要求,进行操作系统资源的管理和a
分配。配额机制确保用户和主体将不会独占某种受控的资源。b)
应确保在被授权的主体发出请求时,资源能被访问和利用应以每个用户或每个用户组为基础,提供一种机制,控制其对磁盘的消耗和对CPU等资源的使用。
6.2.2.3用户登录访问控制
SSOOS的用户登录访问控制功能如下:a)应按GB/T20271一2006中5.1.5a)会话建立机制的要求,根据访问地址或端口,允许或拒绝用户的登录。鉴别机制不准许被旁路b)应按GB/T20271—2006中5.1.5c)多重并发会话限定的要求,限制系统并发会话的最大数量,并利用默认值作为会话次数的限定数。c)成功登录系统后,操作系统应记录并向用户显示以下数据1)本次登录的日期、时间、来源和上次成功登录系统的情况;2)上次成功访问系统以来身份鉴别失败的情况;3)
口令到期的天数;
成功或不成功的事件次数可以用整数计数、时间戳列表等表述方法。4)
6.2.2.4可信度量
SSOOS的可信度量功能如下:
在操作系统启动时应对操作系统内核进行完整性度量:8
b)在可执行程序启动时应进行完整性度量;c)应对完整性度量基准值进行安全存储,防止其被算改。5安全策略配置
GB/T20272—2019
应对身份鉴别、安全审计、网络安全保护、资源利用、用户登录访问控制提供安全策略配置功能6.2.3安全保障要求
6.2.3.1开发
6.2.3.1.1安全架构
开发者应提供SSOOS的安全架构描述文档,安全架构描述文档应符合以下要求:a)与SSOOS设计文档中对安全功能要求和自身安全保护要求的描述一致;b)描述SSOOS的安全域;
c)描述SSOOS初始化过程为何是安全的;d)证实SSOOS能够防止被破坏;e)证实SSOOS能够防止被旁路。6.2.3.1.2功能规范说明
开发者应提供功能规范说明,功能规范说明应符合以下要求:a)完全描述SSF和自身安全保护:b)描述所有SSOOS接口的目的与使用方法;标识和描述每个SSOOS接口相关的全部参数;c
d)描述实施过程中,与SSOOS接口相关的行为:e)证实安全功能要求和自身安全保护要求到SSOOS接口的追溯。6.2.3.1.3SSOOS设计
开发者应提供SSOOS设计文档,SSOOS设计文档应符合以下要求:描述SSOOS的结构;
b)描述所有安全功能和自身安全保护模块,包括其目的及与其他模块间的相互作用;c
提供每一个安全功能和自身安全保护的描述;描述安全功能和自身安全保护间的相互作用;d)
根据模块描述安全功能和自身安全保护6.2.3.2指导性文档
6.2.3.2.1
操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应符合以下要求:a)描述在安全处理环境中用户可访问的功能和特权,并包含可能造成危害的警示信息:b)描述如何以安全的方式使用SSOOS提供的安全功能和自身安全保护;c)
描述安全功能和自身安全保护及接口,尤其是受用户控制的所有安全参数,适当时指明安全值;
d):明确说明安全功能和自身安全保护有关的每一种安全相关事件,包括改变SSOOS所控制实
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。