GA/T 388-2002
基本信息
标准号: GA/T 388-2002
中文名称:计算机信息系统安全等级保护操作系统技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2122321
相关标签: 计算机信息 系统 安全等级 保护 操作系统 技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 388-2002.Operating system technology requirement in computer information system classified security protection.
1范围
GA/T 388规定了按照GB17859-1999对操作系统进行安全保护等级划分所需要的详细技术要求。
GA/T 388适用于按照GB17859-1999的安全等级保护要求所进行的操作系统的设计和实现。对于按照GB17859-1999安全等级保护要求对操作系统进行的测试、管理也可参照使用。
2规范性引 用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本标准。
GB17859-1999计算机信息系统安全等级划分准则
GA/T390--2002计算机信息系统安全等级保护通用技术要求
3术语和定义
GB17859-1999和GA/T390--2002确立的术语和定义适用于本标准。
4安全保护等级划分技术要求
4.1 第一级:用户自主保护级
4.1.1安全功能
4.1.1.1身份鉴别
身份鉴别应包括对用户的身份进行标识和鉴别。应按GA/T 390-2002 中6. 1.3.1.1.6.1.3.1.2的要求,设计操作系统的身份鉴别功能。本安全等级要求:
a)应提供用户进人操作系统时的身份标识,并按以下要求进行设计:
凡需进人操作系统的用户,应先进行标识(建立账号)。
操作系统用户标识一般使用用户名和用户标识符(UID)。
b)采用口令进行鉴别,并在每次用户登录系统时进行鉴别。口令应是不可见的,并在存储时有安全保护。
4.1.1.2自主访问控制
应按GA/T 390--2002中6. 1.3.2的要求,设计操作系统的自主访问控制功能。本安全等级要求:
a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享,并阻止非授权用户对客体共享。
1范围
GA/T 388规定了按照GB17859-1999对操作系统进行安全保护等级划分所需要的详细技术要求。
GA/T 388适用于按照GB17859-1999的安全等级保护要求所进行的操作系统的设计和实现。对于按照GB17859-1999安全等级保护要求对操作系统进行的测试、管理也可参照使用。
2规范性引 用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本标准。
GB17859-1999计算机信息系统安全等级划分准则
GA/T390--2002计算机信息系统安全等级保护通用技术要求
3术语和定义
GB17859-1999和GA/T390--2002确立的术语和定义适用于本标准。
4安全保护等级划分技术要求
4.1 第一级:用户自主保护级
4.1.1安全功能
4.1.1.1身份鉴别
身份鉴别应包括对用户的身份进行标识和鉴别。应按GA/T 390-2002 中6. 1.3.1.1.6.1.3.1.2的要求,设计操作系统的身份鉴别功能。本安全等级要求:
a)应提供用户进人操作系统时的身份标识,并按以下要求进行设计:
凡需进人操作系统的用户,应先进行标识(建立账号)。
操作系统用户标识一般使用用户名和用户标识符(UID)。
b)采用口令进行鉴别,并在每次用户登录系统时进行鉴别。口令应是不可见的,并在存储时有安全保护。
4.1.1.2自主访问控制
应按GA/T 390--2002中6. 1.3.2的要求,设计操作系统的自主访问控制功能。本安全等级要求:
a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享,并阻止非授权用户对客体共享。
标准图片预览
标准内容
ICs35.020
中华人民共和国公共安全行业标准GA/T 388—2002
计算机信息系统安全等级保护
操作系统技术要求
Operating systcm technology requirementin compuler information system classificd sceurity protcction2002 - 07 - 15 发布
中华人民共和国公安部发布
2002-07-15实施
GA/T 388—2002
视范性引用变件
术治和定文
交个保护举级到分技要求
第-级:用产门±保护级
安金能
白友全保
TC设计和实
安全管理
第二级:率统估计保护绒
安企功能...
用安全保护.
CB设和实现.
TCB交全理.....
第三级:安全标保护载
安企动能…
TCB 自点安全保产
TCB设计和实现
TCB安全管理
第图数:钻构化保护级
安企动能-
TCR自身实全长护
\设计和实测
TH全智
带五级,访哲路证保护级
4. 3. 1 安全动能
TC身安全保
TCB设计利实
安全管圳
附资性)
组式上相百差系
探推资悦听
关安全等然到的齿叫
美于生件落体的进一感说所
A.=关于1C3的进一多说
A.5关」能码技术的说叫
参差交龄
KANKACa-
GA/T3862302
GB1785!-1655计开机营息系统实全保护等数划分准划3是我回计算机息承统表全等级咨理的要标准,已于15以年月18发布为促进安全等级各印工作的工带序特制定一系列关的标济·包据:
计算划信应系统安全等级保扩裁术要求系列标准;算机信息系统表全等额保扩管理要求:“算机信启系统安全等级探护工程实球要求!算机信忘系统安全等级保扩评测系列称准。其中,计算机信息乘统室个等级保护技不恶求系处标准小以下标准和其他相关弥准组成:GA门320—2(002计算信息系续安全等级保产准用技术要求G.A/T332m2计算机信息系统发全等缴保户网路技术要求:A/333—2002计算机信息系岁企等级课护操作系统技术要求:GA/3492002计律机信总系统安全学级保护微据军肾理察就发术费求:本标准是计弹机信息采施安个等级保济范术费求系列尔非中的第:项本标准的附录A只密料生附录
本标注由中华人尺上和国公安部公共信息网终安全点察局提出。本标准由公安部信息统安全保准化这术承点会问二,本标准制毕单位,江南计笋技术研究所。本标准土要起草人:廷晓齿吉增增、徐良华,点志平GAT 388—202
术标剂是计竞机信息系统安全等级保护技术要成系列标准的主零组成部分,用以指导没计者妇们设计和实我具有所需要的发全级的柔外系统,土费从对操作系统的安全保护等缴进行财分的单店来说明其技术要求,限1丰要说明为实现13178%一9R中能一个保扩等级的安全要求对据作系统应果取的安全技术措施,以支各安伞技术要求产不同安个缴中具位实既上的热开。太标按17859一1>五个安食等级均期分,对年个安全等缴的变全动能技要求和安保证技术要求做细推述,本标准中有关概念的说所比萨录。这标雕象考的丰费文件刻在号文
1范围
GA/T 388—2002
计算机息系统安全等级保护操作系统技术要求本标准规实了按照1774—1999对挥作系统进行发全详护等级划分所需要的详细放代要求。本标准适十报用175%999的案全举级保护要效听进行的操作系统的议计和实现,于控照1影一1!!安全等级架护要求对据作系统进行的初品,芭理出月参照使月:?规范性引用文件
下列文件中的添款通运本标准的而前成为本弥性的条款.凡是注日期的引月文作,其随后所有的修改单(不包括断误内容)或修汀版均人适月于本标注,然间.效刷根据车标准达感为没的内各方研究是管可使用总些文作的最新版车,凡是不注口期的引用文性,长缺新版长道用于太你准,175S19、计机借息系统安会等级划分准他心A门5!一2002算机信息系统安全等级保护通用支术案求3术语和定义
155—1\和—确的术和是义适用于本标满。4安全保护等级划分技术要求
1.1第一级:用广自生保护级
4.1.1安全动能
4. 1.1.1身份整则
公鉴别做包括日两份迎行标认别惠穿行A/划26.1.3.1,6.1.32的益求,设操作系染的点负鉴别动能。木安全等级要求:a!应提供月户进入慢作系统时的点份标识,产按以下要求进行段计;州案进人作系统的用,量先进可标认建文购号?,探作系统币户标识舰使用用户名和币户标识待U江))来用口令迹行鉴别,并在每次用户登孕系统听进整别:口令成是不可见的,在存储时有签企医护。
之,1.1.2国主访尚控制
成安GA3122中3.1.3.3的案求,设计频作系统的自主该问整制能,本安全举级系求:!计命名用户以用户和成月户组内身份项言儿控制签体的长享,准阻止非授权月客你共享:
)设胃默认功能当:一主体成个客本后,在该客体的访间整表中剂流地应具有该主体设置的跌以恒,
4.1.1. 3 数据完整性
应按GA/13S2002中6.1.3.3的变求,设计操作系统的嫩据充率性求,附止数据遇受变效亚户的整收脱坏或利阶本实全等级要求:对操性系统为排进行的款据传析,如进程间的证信,应提供保证数培完格性的功能。4.1.2TCD自身安全保护
GA/T 388—2002
4. 1.2. 1TSI 保护
充按元39202中6.1..1的费求,设计染个系统的1让保护,本表个等级要求:系统在设时不应留有“门」”即不应以继护,支长改慢作帝要为借口,设计有过反或资式安全现则的任可举禁的人和文挡中本说所的任何模式的人口。b)安全结构应是一个独立的,严格定义的系统软的一个了也-非应陷止外部1扰和被坏,如情收兵代妈或激据结构.
操作系统应过行分层谢·对潮作系统程序和用户程序要进行隔高。d)
,个进程的账地些闻至应被分为两个段.用产空间和系的空间,期者的两离应后静态的。出朗在内序中的控作系统应非所有过型卡享:月厂进程之间应是被此隔离的应禁正在月户学式下应行的非保划系统段进行引柔作,业在系统换式下运时,应许进和别所有来有空间进行该,导乘
)应提供个设骨和刊级配置参效的安装批,性树始化和死与安全有关的数据的构逆行保扩之前,应划用户村管理员的安全等收属座造行定义。F)应区分普通探作费式门系统理护根式4.1.2.2资源到用
应接(行A/T%02632中.1.4.的要求,设计损作系流的贸源利用。二安全等级系求.应通理-定措施研保与系统出现某当矿建的改障清沉时,T51出能维持正常运行:上)应采取适当书策吨,有限眼多优先级提供主体使日1以,内点个资源于策的优步般,进1资源的管理和分配。
C)应接资源分配中策大限额的要尔,进行C乃受源的管理和分配,两求配额制确保用户和主体将不会独占莱科受格的资端,4.1.2.3T心B访问控制
应按GA:13Sr.一22中6.1.4.3的要求,没计操作系就的TCB访问控制:本案全等级安求:核可属性范限定小级的要求,选择某仲会活安全后生的所有头做的尝试,对用来学立a
六话的安全属性的范市限制
放多市并发会活谢定小本限定的要求,声行会话售量性,在量」本却识的基陷上,\TSF应限制系统能井发公活的展大数且·并虚利用账认值作为会活次数的限处数:)该最小级会适建立优制,对会话建立的管理进行设计、4.1.3FL:B没计和实現
4. 1. 3. 1配置管理
应长A/3一2002中t.1.5.1的卖求.设1操作系统1CH的配互管理。本安企等级要求:应点有基小的配置竺厘能力·即要求开发者所使用版本号所应表示内C样本完全对应,4..3.2分发和操作
按A订一200,:.3.2的要求资计探作系统的1分发和柔单,本安会学级要求:)以支档形式提什:安全地迟行分发的过轻,以改安&,生成和头的程进灯说明:产地终牛成安全的配置。交性中所描述的内落应他拉:控供分发的这科:
一安会启动和探作的过强,
)对系统的术接权修改的文险,成(交付时控制到最低限度:在负表改安全分这和安装过望中,这控制底采取软件控制系统的式,确认安会性公出最终用户考感,所个安全机制部应以法能状态定付,
所在教计应提供安拿安装默从信,车率户不做选择时款认值应使安全机制有效地发挥作用)随同系统付的全证献认用产标识车,点在交付付处于非微状念,在议卫前由增理员盘TKNKCa-
GA/T 3882002
一)所户文档点可变付的款计足色装,开应有规科班保当前送给出的系统救件足严势技屈新的系统版车来制作药:
4.1.3.3开发
应按G4/1G一2062中8.1.5.5的整求,进拨作系统TCB的平发。本安全等载要求:按非形式化动能说、适速性离层设计,TSF子弟实斑,ISH内部结构快快化.指述下低辰设计和非形式化对应排说候书恶求,进行“H并开发。下)“系统的改计和开发底保护教抚关完整性,例如,检变效据更新的则,互/多中输人的工确处划,泌问状的致查,中站果的检查·合理值愉人控查,乎务处理更新的正弹性检否等。在内带代码检益时,度解决浩在的发全缺陷,关闭或取消所有均后「..:
d),所有交村的款件和文挡.应逆行关于安全缺陷范定期的和书而的检由,计将微查结果告妇用户,
心系统控制激据·令和带销,座在来受保护的程序或文档中以时文出成博存,以面形或向用!提供关于较件所校法件保护能指存4.1.3.4指导性文档
成控GAT3932002中h,1.5.1的要求,缩制TCH的指性实档,中安全等级要实:.)月户文挡应提供1不同用户的则的安全机制以及如何利用它们的信息·描速设有明小用户的架护结持·并解释它们的再途和提供台关们忽见的指南.b
安全曾理负文档应提供有关如何设置组产和分析系统安全的谁细脂与,包括当运行八安全设备时,需要制的有关以能和特权的普告,以及安全有关的曾理点功能的详妇描述,包括谢加和删除个月户改变用户的案个特征等)文挡中不量提优任付一立泄露会危及累统安余的信点:有关安会的指令和文挡啦别牙等组分州提供龄用户,系统誉洱点和系协安全员,4.1.3.5失命周期支持
应按G4/003.:,3.的要求:投计操作系统的H,安企等级求:a)接开发者定义生守周期模型逊行开发。!提供安全安赖献认值,在未做等标越择时,应按限认值卖表安全乱刷。随可系统交过的金弃款认用广标识号.在业安装完时应处于非激状态,并由系统普到风加以薇活:
损作文档应详细闹述安全冶动和联作的过程,详细说列安全功的在启动,止常搬*摊护尺产d
驱截概消销或解改,说明在障或系梳止错时如何恢支系镜孕安金就态:4.1.3.6溯试
应按GA/T39020021%.1.5.b的学求对频作案能的1CB进行测试。六安全等级要求:!应通过:般功能测试和相等性新必测试·境认[的动能与所要求的功能相,过b)总有系统的安全将巨,应载个面测试,所有发现的渐派应数改止、消除或使其无效,并在消降漏同治重新制试,以证实它们已被消源·且有引出影的需利::底提供测试文特,详细描测试计划测式过料、则试纺果:4.1.4TR安全管理
应报GA/T1502002中F.1.的要求,实现C的安全理。本安会等级费求:)相险的1的新问控务,整割控制、审计和全属件管瑞寻相关的功能,以及与一般药安疯,配胃等有关的功的,制定相应的操作,污规粒补行为规率制度。h)根据本缓中安全动能支术要求所涉及的白决问控制,身份鉴别.整概完整性利安企保证技术要求所涉皮能配片现、分发和操作、开发,指导土文当、生自用划支片、测试等所涉及的有3
GA/T 388 -72
关内客设计1心B发全管理,
4.2第二级:系统审计保护级
4.2.1安全功能
4.2.1.1身份些别
身份鉴别应包折对用广的身份选行标识利鉴券:.应按GA门30U2CC2十1.2.3.1.:和6.2.3.1.2的要求,议计媒作累统的评检鉴别边能。木安全等版要求:)应系供用户过人操作系统时的身份标认,并按以,要求选行效汁,一几需进人择作累统的用户,应先进行标供(偿文账号:操作系统制户标识应得用用产泛利用,标识(L1D),产在操作最统的需人生命周期实现问户的唯探识,以及用户各或茗、等之间的一效比。1,采用1、令逆行跨第,并要求在每次压户将录系抚则进行鉴别。口令应是不可见的,并在存估和专维时有发全保护。
4.2.1.2自主访问控制
i接GA/%一272e.2.3.)的要求、数一操作系统将凹主访向控制能。在本安全等级要求:
司)允片命名用户以用户和/成月户组约份规定次控制对客体的共室,并用止非投怪用对悼的共享:
改雷款认功能,当一个主休生成一个客达时,在恢客体的动可挖制表中扫应地具有该本没置的跌认臣。
在还细粒度然二十读闻制。对,系统中的再一个客率,部应佛等实税客体的划理者以消广指c
定方试确定其习版霜体的间权限而别的同组用户或主同组的开户和下户期不该准还均访问投则应出创法者月广投予,
自主访向格制能与身份婴别孙中计相结个,新过确认月广势的其实性机况本用户的各种成d
以的我不成功的情向,停用户自己的行为求托确的惠任()案沐的洲有者应总注一议些收客体终闪权限的土达.有者对其测有的案体应具有全部捐制议,但是,不允许客试洲有著把设客体的萨制分始其他主伴,+,实义访问格制展性,净保护这典牌性,主体的讨问控制调件全少应有读、写、数行等客件的剂控制属性应包含可分配拍主体的读、与利执行等权限.亲义分自和修改主体和客体的价同控划再证的规购.并执行对主体和咨体的访问控制厚性的分史和修收,规则的结果应巡划有被授权的用户才允诈访问人客体,1:定义主体剂客本的访问授效娩则,该知则此基于主依刘客体的访问控制回性,同时应措出当试邓本体对这些规则应用转类型。4.2.1.3客体用
成报GA/一C2中3.2.3.4的要求放让换作票统客本重用-次能。本安全等级要求确渠动念分留与管理的资源,在保持信息安全的情况下被再利用,主要包括:ai
一确保受吸用产不能查找使带后返还系流的治录介质守的信息内率:确保非投促用户不能查括系统我已分配结池的记总介质中以前的信息内弃.)在单用户系统心,产储器保机出防止用进程整的系统的行“)生多用户系统中,存情器保户应保证系统内各人用户之百不十代,d:住烤馨员护应他括:
对存储年1的地证的保护,德非法用户不能访可素述变到保护的存中元一一对缺标护的存储单元的操忙提供各种型的深非,放基之的保引美型无“读!写“列“只读”:不能减/了均4锯单元,若被出违/写时,系统应&时发出間报或中断程序执行。4
TTT KANt KA::
G4/T 3BB·2002
一一可采用逻扭隔商内力法批行疗谐器保护,具使有:界限地划奇行器保护法,内存标志活,锁保控法部特证空保产改等。
2.2.1.4审计
虚按GA,139(20F2中5.2.2.3的要求改频作系统的申计功部。本安全等级要求:!害计功能应了身份鉴则、口当动问控制等安牵功能紧密结合。)舶够成、维护改保扩窄过程,使其免更解改、非法防可效被坏.特别会保护审计敬据,要酒格限划未经受的用户访问
)能够创延并维护一对受保护容体访问审让跟除,保护中计记录不被末报权的访问、将收和碳坏:
指出可记录的开件约盘少类型,包活注立会话登成功和尖数·负出的系统接口,系统效d
据呼星的放金(收变历户账户属件,市计距踪设盟分机为积序分的设暨用产D、前阳或改变系统程序或进程、或变日期和时间等),超领几产命令收变卫户身份将某个案你引人某个月户的池址空间(如打开文件》除享体、累统普理员及系就安全理员进行的换许等。当中计适时应确保审计限踪李件的光整性度提供“个机制来示当前选择的审计争件,这个机制的使用者应是有限的授权用
)“每个乎的数据比最,应位括的息件生的期时间,链发中件的户,中件为类型,事件成功或头败等,对于身份识则和认证半件.应迎录请求的源如木辅号或落控;对于创连和谢除实体的事件,应记求客体的名字和客体款安全性,)应提供一个受保护陷打开和关闭市计为礼制.该机制能造样和改安审平样,来柔统“作时处于跌认状态;该机制的境用成变到系统管理员的授权限制,系统情均员而能够宽择一个或多个基下身份识别或客体质性的压户的审证措动:计工其应够够授权人人使用、改和扭阶站计:应提供对宵并拟踪咨理动能的保护,过之可以芜成市计医晚的创建、鼓坏,等空和存档券统管理员应整够定义制过中计段综极限的阅博:当存消空叫被程尽州,应能有管理点书指定决定买取的措超,包括,报营丢举未记录的山计信息.暂佛中计,更蓝以范的市计记录等。2.2.1.5效据究整性
应宽CA3902002中6.2.3.5的要应,改计染系统的效据完整能.本安全等级要求:1)在对数据进行访间操择时,格查存储在在确介懂上的用广数其是否出现完腾性错读。浸作系统对盘盘设各中疗储的数错,可通过增剂隧益扫描程序实现以下功兼:方动检变定件与题盘表面尽活完好:一将这盘表的的间迹自动记求下来;随时检者.诊断尴然上的错误
5)对操作系内带逆行的数带传拍,如进呈问的通信,应提供保证败带完整性的必能。对染性系统中处理的数据,应按回退转数求设剂相应的TCB安全功追模决,进行单常情况的操作库列国退,以确保数据的完性:4.2.2TCH自身安全保护
4.2.2.1TSF保护
应GA/T320一2002中e.2.4.1的安求,段操作系绝的7SF保沪,交安全等级要求:为?采统在设计时本虚累有“后门”。即不应以继护,文持换栏需需为相口·设计有违反或绕过案全期则比任间类单的人口和文挡中未说明的们和模式的人」安全结构应是个独立的、严书宗义的系统教牛的一个十余·并应功止外部1扰和坏,如敏收其代码或数据结构。
操作系统应进行分层设计,对作系统程序利用户程序要进行隔离。d:个评强的志册加空分少定被分为两投:用户产间和系统空洲,两者的离应是静态的,GA/T 388—2002
暂在内存中的挑作系统应山所有进望具学,压户达我之问应被此随高的。应禁上在用户楼式下运行的进程对系统段过行习柔作,在录就代下逐行对,应允许进程对所有的虚行宗间进行读,了柔件,
e)拉似设置和升级配置案数的安装制。在创龄化和对与安全有关范数据结构进保护之前·对用户和卵地员的安会策略满生应进行定义:F)应区分曾通搬作类式杆系统距护模式,只)应陷止一个普通压户从木经允许的系统进人维护模式,并应情止一个首通用广与系统内继护税式交互。从而保证在皆通用户认问系之前,系统能以--个安全的力式进行安装和配立,上)对备份或不影响IC的考规的系统维户,不要求所有的系统组扩部在维护模大中执行当柔作系统安装完成品,在普通币户访可之,系统应配置好初妇用户析合理职卖.根上录、审计参数、系统计跟踪设置以及对文件和日录的合近的访问控制小执行系统所提试的实出程序,应(款认地)限定于对系统的有效征正,只允许系统管理员修改或替换系统提供第实用种序。
操推环境流为用产提供个机制.来控制命令的日录/路的查找怕予。1)在TC3失收成十断后,进翌应保证保护文本以录小的模准得到复:并按失败护中所描述的内奔.实现刘TSI出现失收时的处均函作系统坏能应控制邦市计系统控制台的使用情况,tt.
n!系统迹能识别士倍呆溢接收的信府的来源者,所有待确认的教据应能从进人烈被安全地化送到确认系统,如今不应山公共的或共享的两路以期文发美,可使用数期加密备或准过加缔信过用点索模式专送,
4.2.2.2资源利用
2((2中6.\.4.2的要来,设计操系统的密谢利用。本安全等级要求:虚按4/T39)
a)应迪罩一定措随确保当系线出规某此定的故障清况听,1S能维持下常送行,如系统应检测和求告系懿的服等水半口降呕到预为熟定的展小值。应采取造当的策窃,有限服务沈先频走供土体快用丁SC内荣个资缺子集的优先级·进行TCE资源的管理和分已。
应密源分配中展人限额的要求,进行TCB资源的觉圳和分包·要求比额机制确保用广和土体将不会灿占莱种受控的资源:d)系统应确保在被授权的体发出请求时,资函整被计同和利用.e:当系统的蛋务水平降低到预光观定的最小伯时,啦脂检测和发出报凸,系统应提长继护状态中运行的能力,在维护状态下各种安全性能全存欠效,需境只定许由系轨合员使出。
系应以每个月户减个出广组为基础·提闪一种机制·控制他们对微盘的消耗和对CPU的R
使用。
4.2.2.3TC访间控制
按GA1302002..1.\的恶求.设计操作系统的TCB方同控制.本安全等缴要求:)安可洗属性范用限定量小短的要求,迹兰某外公安全属性的所有失败的尝式,对用米公后的安全性的范进行限制,
b)按多至计发公话限定户基本限定的要求,进宁会话管即的设计,车基十基本你训的基开上,TSI应限制票统的升发公话书展大激量·成礼H激认偿作为会证次数的限示数。按最小数公话建机判,对会话追立的雪通达行设计,1):建立TE会话之前,应认H产的身份:登录机制小允许似证机制本负旁路.e)成功签录系统后,C成向用户最示以下数堆,HTKNUK
一日期、时间,来源和上次成颈翌多率矫的清派:一上次成边许可系统以来身份识别失败的情况应显小口令孕期的天效
GA/T38B—2002
一成功或不成法的车牛次数的显六叫以出整数计数,时间数列表等表方法;4.2.3TCB设计和实现
4.2.3.1配管理
避按GAT39200小6.2.3.1的要求技计配置暨单,本安全等级要求)在!置邮步力方自应实我对木号配益项授权格制等方的要求,)在TCB的配互管理代方丽应将TCB的实现表示,设斗文挡,酬试文挡,用户文档,替理员文以及骨湿等骨配之。
年系统的整个生存期、即在它的开发、测试和维拍期间-应有一含数划死置管理系统处于保持c!
对改变源码相文件的控制以态:儿有费受效的代型利代码修改才允许该加进已交付的源的基本部分:所有改心应被记较征检吉,以幅保未危及系洗的安全,在软行配置管系统中应包含认函码产当系统薪瓶本鉴定款生成的系统版本和护源码免道本授权修收的工只和规称。通过技术、物理和保安规章三为面的结合:可充分保护生成系统所用到内源码免遇末受性的静改和躲外.
4.2.3-2分发和操作
底安GA1391一02中6.2.3.2的要录,设计操作系统的CR分发和换作。在安全等级要求:8)应以文尚形武走供对工C安全地进行分发关过程,以&安装,每成和启动的医避行说明,开最终牛股安全的配.
)应以文档形式提供对TCB安全地讲行分发的过情,以及安装、4成和启本的达程进行说叫,最终尘成安全的配置,中新描注的内穿应包括:长供分安的过型;
安全房动和操作的过科:
一企立且志的对理。
e)对系统的术授修改的函陷,应生付时控制到最低限度。在包装及安全分送和安装过程中,这种控制应来取软也控制系统的方出确认安全性会出最然用户考遇,所有安全机划都应以功能装杰交对.
)所有软件成差供安全安装献以值,在客户不做选开时,默认值应快安全机制有效地发拆发全功能
随同系势必约的全部获认用广标识码,应在交付时处于非做流代态,业在使用前由管理员微话:
「!用户文档赢同付的软件一起包装,计应-也规程保当前送给户的系统软作是严格安量新内系统版车来制作的,
4.2.3.3开发
应资A390202中6.2.5.3的宝求,进保作系统TCB的丹发。不安全等级要求11露求接非形式化功能说明完伞案义的别就接口.描述性尚层设计,1子单实现,.内龄结构模决化利层饮化、描述性低晨设计、非形式化对应烂说明以及非报式化妥全策略模型的需求,进行TCS的发,
)系统的设计利开然应殊产数期的完整性,倒如,检变数供更新的,规账,一重/追再物人的正确处理,成回收态的检本,问结果的检查,介抑信怖人检产,出务证印更新为山确性赖查等,)在内部代码检查时:应解决潜的安企炭陷,关闭或取消所有的后].d所有交付的软作和文挡,感进行关于专拿缺陷的定期的利节面药检查,并将查站果台知GA/I388202
月产。www.bzxz.net
系统空制教据,如门令和密朝,不独木受保产的程库或文培中以明文形式惰学,以与丽形式向用产提供关干数性新有投法律保产的据府.4.2.3.2指导性文档
应按A/390-2003中6.2.5.4的要求,编制TC1的指号文档本专全等效要求:a)来户当应是供关」不反用户的可见的安全机制以及如何利用定们的行,描选没有明示用户的保护结检,并游群们的带避和提非有关它们使用的指南,术应包括那些如果公开终公范及系综农全的托何信息。
1)系统性理员文性应提供
一关丁系统的安全开机、操作和重新动的件息,包招出动录统的过丧(如引导系统进入安企方),存系统模作失供时恢复安全系统操作的过释,运行致件和效据各份及转能益和过:
一个单独的安装指南,详约说明设系额的初始化过以提传个新系说版本的究全设胃新安装文当:包括对所有用广可况的安全相关过程、软件析数据交挡均描述C)安全营理品文培应提供:
一有关如何接骨,护和分析系统案企的谱明指导,包括当适行一个安全收咨引·需要控司的有关齿能和特权的苦告;
一与安全有关节贷理员功能的详细描递,包括治加删陷一个用户,改实厅户的安全扫独等:
一提供关小所有市计工具的文档,包新为价和偿持审(十文件所带荐的过程、针对每积审享件的详细单记录文件,为用期性条份和期障审计记录所推荐的主程,为险查能款日求件新利用的盘利余空间所准荐的过毯;关于这置所有文件和求的最低访问许可能硅设,一益行文件系统或隧盘整性检谢所像的独议;一:如何进行系统育录评估的章节(带有网络圳,二令典求轻号访问控制、意多故计划的安全报告为灾中恢复计划所做的建议:循述菩通侵人技本和其他威融,并变凹却阻止它的内穿。)文检不应提供位间H泄医将会您及采统安全的资息。有关实企的指令和文拍应如分等级分另提优给用户,系统管理员和系统安今员这此文档应为独可的文档,成作为沌的单节运人与百理品指南和用户指南中。文档也对为硬携!,再子文档或联机文档:如果是实机文挡应控制对其的坊间。
4.2.3.5生命周期支持
应接GA/T391201)2中.2.5.h的要求,阅计操作系统[CH生命周期火持,本安企等级安求)皮安开发者定义些而周期模型进行开发,并提供开发过程中的安全措放说明。b)所有安全软应提供公企安装款认值。在术做特辨选择时,应按默认值安装安全机制。骄同系统交付剪会款认册门标识号、在安系完时应处于激括软慈,北系统管理点加收c?
激活。
文当应增细测述安全引动和作的过超:详细说明安会功能在后动、正肾探作继护正足否能被撤汇或修改,说明在故陷或票范山错时如何恢发系就至去全状态。e)如果系统含有加绳安全性的独门,邮么管理品,最终乐广或口款的诊渐视试,应能在各口能操作环境中逐行它力详纠说期操作处独。4. 2. 3.6测试
应域GA/下50一2602中6.2.5.6的费求.别操法系统的T1进行期试。本安全等级买求:8
HTT KAoN KAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T 388—2002
计算机信息系统安全等级保护
操作系统技术要求
Operating systcm technology requirementin compuler information system classificd sceurity protcction2002 - 07 - 15 发布
中华人民共和国公安部发布
2002-07-15实施
GA/T 388—2002
视范性引用变件
术治和定文
交个保护举级到分技要求
第-级:用产门±保护级
安金能
白友全保
TC设计和实
安全管理
第二级:率统估计保护绒
安企功能...
用安全保护.
CB设和实现.
TCB交全理.....
第三级:安全标保护载
安企动能…
TCB 自点安全保产
TCB设计和实现
TCB安全管理
第图数:钻构化保护级
安企动能-
TCR自身实全长护
\设计和实测
TH全智
带五级,访哲路证保护级
4. 3. 1 安全动能
TC身安全保
TCB设计利实
安全管圳
附资性)
组式上相百差系
探推资悦听
关安全等然到的齿叫
美于生件落体的进一感说所
A.=关于1C3的进一多说
A.5关」能码技术的说叫
参差交龄
KANKACa-
GA/T3862302
GB1785!-1655计开机营息系统实全保护等数划分准划3是我回计算机息承统表全等级咨理的要标准,已于15以年月18发布为促进安全等级各印工作的工带序特制定一系列关的标济·包据:
计算划信应系统安全等级保扩裁术要求系列标准;算机信息系统表全等额保扩管理要求:“算机信启系统安全等级探护工程实球要求!算机信忘系统安全等级保扩评测系列称准。其中,计算机信息乘统室个等级保护技不恶求系处标准小以下标准和其他相关弥准组成:GA门320—2(002计算信息系续安全等级保产准用技术要求G.A/T332m2计算机信息系统发全等缴保户网路技术要求:A/333—2002计算机信息系岁企等级课护操作系统技术要求:GA/3492002计律机信总系统安全学级保护微据军肾理察就发术费求:本标准是计弹机信息采施安个等级保济范术费求系列尔非中的第:项本标准的附录A只密料生附录
本标注由中华人尺上和国公安部公共信息网终安全点察局提出。本标准由公安部信息统安全保准化这术承点会问二,本标准制毕单位,江南计笋技术研究所。本标准土要起草人:廷晓齿吉增增、徐良华,点志平GAT 388—202
术标剂是计竞机信息系统安全等级保护技术要成系列标准的主零组成部分,用以指导没计者妇们设计和实我具有所需要的发全级的柔外系统,土费从对操作系统的安全保护等缴进行财分的单店来说明其技术要求,限1丰要说明为实现13178%一9R中能一个保扩等级的安全要求对据作系统应果取的安全技术措施,以支各安伞技术要求产不同安个缴中具位实既上的热开。太标按17859一1>五个安食等级均期分,对年个安全等缴的变全动能技要求和安保证技术要求做细推述,本标准中有关概念的说所比萨录。这标雕象考的丰费文件刻在号文
1范围
GA/T 388—2002
计算机息系统安全等级保护操作系统技术要求本标准规实了按照1774—1999对挥作系统进行发全详护等级划分所需要的详细放代要求。本标准适十报用175%999的案全举级保护要效听进行的操作系统的议计和实现,于控照1影一1!!安全等级架护要求对据作系统进行的初品,芭理出月参照使月:?规范性引用文件
下列文件中的添款通运本标准的而前成为本弥性的条款.凡是注日期的引月文作,其随后所有的修改单(不包括断误内容)或修汀版均人适月于本标注,然间.效刷根据车标准达感为没的内各方研究是管可使用总些文作的最新版车,凡是不注口期的引用文性,长缺新版长道用于太你准,175S19、计机借息系统安会等级划分准他心A门5!一2002算机信息系统安全等级保护通用支术案求3术语和定义
155—1\和—确的术和是义适用于本标满。4安全保护等级划分技术要求
1.1第一级:用广自生保护级
4.1.1安全动能
4. 1.1.1身份整则
公鉴别做包括日两份迎行标认别惠穿行A/划26.1.3.1,6.1.32的益求,设操作系染的点负鉴别动能。木安全等级要求:a!应提供月户进入慢作系统时的点份标识,产按以下要求进行段计;州案进人作系统的用,量先进可标认建文购号?,探作系统币户标识舰使用用户名和币户标识待U江))来用口令迹行鉴别,并在每次用户登孕系统听进整别:口令成是不可见的,在存储时有签企医护。
之,1.1.2国主访尚控制
成安GA3122中3.1.3.3的案求,设计频作系统的自主该问整制能,本安全举级系求:!计命名用户以用户和成月户组内身份项言儿控制签体的长享,准阻止非授权月客你共享:
)设胃默认功能当:一主体成个客本后,在该客体的访间整表中剂流地应具有该主体设置的跌以恒,
4.1.1. 3 数据完整性
应按GA/13S2002中6.1.3.3的变求,设计操作系统的嫩据充率性求,附止数据遇受变效亚户的整收脱坏或利阶本实全等级要求:对操性系统为排进行的款据传析,如进程间的证信,应提供保证数培完格性的功能。4.1.2TCD自身安全保护
GA/T 388—2002
4. 1.2. 1TSI 保护
充按元39202中6.1..1的费求,设计染个系统的1让保护,本表个等级要求:系统在设时不应留有“门」”即不应以继护,支长改慢作帝要为借口,设计有过反或资式安全现则的任可举禁的人和文挡中本说所的任何模式的人口。b)安全结构应是一个独立的,严格定义的系统软的一个了也-非应陷止外部1扰和被坏,如情收兵代妈或激据结构.
操作系统应过行分层谢·对潮作系统程序和用户程序要进行隔高。d)
,个进程的账地些闻至应被分为两个段.用产空间和系的空间,期者的两离应后静态的。出朗在内序中的控作系统应非所有过型卡享:月厂进程之间应是被此隔离的应禁正在月户学式下应行的非保划系统段进行引柔作,业在系统换式下运时,应许进和别所有来有空间进行该,导乘
)应提供个设骨和刊级配置参效的安装批,性树始化和死与安全有关的数据的构逆行保扩之前,应划用户村管理员的安全等收属座造行定义。F)应区分普通探作费式门系统理护根式4.1.2.2资源到用
应接(行A/T%02632中.1.4.的要求,设计损作系流的贸源利用。二安全等级系求.应通理-定措施研保与系统出现某当矿建的改障清沉时,T51出能维持正常运行:上)应采取适当书策吨,有限眼多优先级提供主体使日1以,内点个资源于策的优步般,进1资源的管理和分配。
C)应接资源分配中策大限额的要尔,进行C乃受源的管理和分配,两求配额制确保用户和主体将不会独占莱科受格的资端,4.1.2.3T心B访问控制
应按GA:13Sr.一22中6.1.4.3的要求,没计操作系就的TCB访问控制:本案全等级安求:核可属性范限定小级的要求,选择某仲会活安全后生的所有头做的尝试,对用来学立a
六话的安全属性的范市限制
放多市并发会活谢定小本限定的要求,声行会话售量性,在量」本却识的基陷上,\TSF应限制系统能井发公活的展大数且·并虚利用账认值作为会活次数的限处数:)该最小级会适建立优制,对会话建立的管理进行设计、4.1.3FL:B没计和实現
4. 1. 3. 1配置管理
应长A/3一2002中t.1.5.1的卖求.设1操作系统1CH的配互管理。本安企等级要求:应点有基小的配置竺厘能力·即要求开发者所使用版本号所应表示内C样本完全对应,4..3.2分发和操作
按A订一200,:.3.2的要求资计探作系统的1分发和柔单,本安会学级要求:)以支档形式提什:安全地迟行分发的过轻,以改安&,生成和头的程进灯说明:产地终牛成安全的配置。交性中所描述的内落应他拉:控供分发的这科:
一安会启动和探作的过强,
)对系统的术接权修改的文险,成(交付时控制到最低限度:在负表改安全分这和安装过望中,这控制底采取软件控制系统的式,确认安会性公出最终用户考感,所个安全机制部应以法能状态定付,
所在教计应提供安拿安装默从信,车率户不做选择时款认值应使安全机制有效地发挥作用)随同系统付的全证献认用产标识车,点在交付付处于非微状念,在议卫前由增理员盘TKNKCa-
GA/T 3882002
一)所户文档点可变付的款计足色装,开应有规科班保当前送给出的系统救件足严势技屈新的系统版车来制作药:
4.1.3.3开发
应按G4/1G一2062中8.1.5.5的整求,进拨作系统TCB的平发。本安全等载要求:按非形式化动能说、适速性离层设计,TSF子弟实斑,ISH内部结构快快化.指述下低辰设计和非形式化对应排说候书恶求,进行“H并开发。下)“系统的改计和开发底保护教抚关完整性,例如,检变效据更新的则,互/多中输人的工确处划,泌问状的致查,中站果的检查·合理值愉人控查,乎务处理更新的正弹性检否等。在内带代码检益时,度解决浩在的发全缺陷,关闭或取消所有均后「..:
d),所有交村的款件和文挡.应逆行关于安全缺陷范定期的和书而的检由,计将微查结果告妇用户,
心系统控制激据·令和带销,座在来受保护的程序或文档中以时文出成博存,以面形或向用!提供关于较件所校法件保护能指存4.1.3.4指导性文档
成控GAT3932002中h,1.5.1的要求,缩制TCH的指性实档,中安全等级要实:.)月户文挡应提供1不同用户的则的安全机制以及如何利用它们的信息·描速设有明小用户的架护结持·并解释它们的再途和提供台关们忽见的指南.b
安全曾理负文档应提供有关如何设置组产和分析系统安全的谁细脂与,包括当运行八安全设备时,需要制的有关以能和特权的普告,以及安全有关的曾理点功能的详妇描述,包括谢加和删除个月户改变用户的案个特征等)文挡中不量提优任付一立泄露会危及累统安余的信点:有关安会的指令和文挡啦别牙等组分州提供龄用户,系统誉洱点和系协安全员,4.1.3.5失命周期支持
应按G4/003.:,3.的要求:投计操作系统的H,安企等级求:a)接开发者定义生守周期模型逊行开发。!提供安全安赖献认值,在未做等标越择时,应按限认值卖表安全乱刷。随可系统交过的金弃款认用广标识号.在业安装完时应处于非激状态,并由系统普到风加以薇活:
损作文档应详细闹述安全冶动和联作的过程,详细说列安全功的在启动,止常搬*摊护尺产d
驱截概消销或解改,说明在障或系梳止错时如何恢支系镜孕安金就态:4.1.3.6溯试
应按GA/T39020021%.1.5.b的学求对频作案能的1CB进行测试。六安全等级要求:!应通过:般功能测试和相等性新必测试·境认[的动能与所要求的功能相,过b)总有系统的安全将巨,应载个面测试,所有发现的渐派应数改止、消除或使其无效,并在消降漏同治重新制试,以证实它们已被消源·且有引出影的需利::底提供测试文特,详细描测试计划测式过料、则试纺果:4.1.4TR安全管理
应报GA/T1502002中F.1.的要求,实现C的安全理。本安会等级费求:)相险的1的新问控务,整割控制、审计和全属件管瑞寻相关的功能,以及与一般药安疯,配胃等有关的功的,制定相应的操作,污规粒补行为规率制度。h)根据本缓中安全动能支术要求所涉及的白决问控制,身份鉴别.整概完整性利安企保证技术要求所涉皮能配片现、分发和操作、开发,指导土文当、生自用划支片、测试等所涉及的有3
GA/T 388 -72
关内客设计1心B发全管理,
4.2第二级:系统审计保护级
4.2.1安全功能
4.2.1.1身份些别
身份鉴别应包折对用广的身份选行标识利鉴券:.应按GA门30U2CC2十1.2.3.1.:和6.2.3.1.2的要求,议计媒作累统的评检鉴别边能。木安全等版要求:)应系供用户过人操作系统时的身份标认,并按以,要求选行效汁,一几需进人择作累统的用户,应先进行标供(偿文账号:操作系统制户标识应得用用产泛利用,标识(L1D),产在操作最统的需人生命周期实现问户的唯探识,以及用户各或茗、等之间的一效比。1,采用1、令逆行跨第,并要求在每次压户将录系抚则进行鉴别。口令应是不可见的,并在存估和专维时有发全保护。
4.2.1.2自主访问控制
i接GA/%一272e.2.3.)的要求、数一操作系统将凹主访向控制能。在本安全等级要求:
司)允片命名用户以用户和/成月户组约份规定次控制对客体的共室,并用止非投怪用对悼的共享:
改雷款认功能,当一个主休生成一个客达时,在恢客体的动可挖制表中扫应地具有该本没置的跌认臣。
在还细粒度然二十读闻制。对,系统中的再一个客率,部应佛等实税客体的划理者以消广指c
定方试确定其习版霜体的间权限而别的同组用户或主同组的开户和下户期不该准还均访问投则应出创法者月广投予,
自主访向格制能与身份婴别孙中计相结个,新过确认月广势的其实性机况本用户的各种成d
以的我不成功的情向,停用户自己的行为求托确的惠任()案沐的洲有者应总注一议些收客体终闪权限的土达.有者对其测有的案体应具有全部捐制议,但是,不允许客试洲有著把设客体的萨制分始其他主伴,+,实义访问格制展性,净保护这典牌性,主体的讨问控制调件全少应有读、写、数行等客件的剂控制属性应包含可分配拍主体的读、与利执行等权限.亲义分自和修改主体和客体的价同控划再证的规购.并执行对主体和咨体的访问控制厚性的分史和修收,规则的结果应巡划有被授权的用户才允诈访问人客体,1:定义主体剂客本的访问授效娩则,该知则此基于主依刘客体的访问控制回性,同时应措出当试邓本体对这些规则应用转类型。4.2.1.3客体用
成报GA/一C2中3.2.3.4的要求放让换作票统客本重用-次能。本安全等级要求确渠动念分留与管理的资源,在保持信息安全的情况下被再利用,主要包括:ai
一确保受吸用产不能查找使带后返还系流的治录介质守的信息内率:确保非投促用户不能查括系统我已分配结池的记总介质中以前的信息内弃.)在单用户系统心,产储器保机出防止用进程整的系统的行“)生多用户系统中,存情器保户应保证系统内各人用户之百不十代,d:住烤馨员护应他括:
对存储年1的地证的保护,德非法用户不能访可素述变到保护的存中元一一对缺标护的存储单元的操忙提供各种型的深非,放基之的保引美型无“读!写“列“只读”:不能减/了均4锯单元,若被出违/写时,系统应&时发出間报或中断程序执行。4
TTT KANt KA::
G4/T 3BB·2002
一一可采用逻扭隔商内力法批行疗谐器保护,具使有:界限地划奇行器保护法,内存标志活,锁保控法部特证空保产改等。
2.2.1.4审计
虚按GA,139(20F2中5.2.2.3的要求改频作系统的申计功部。本安全等级要求:!害计功能应了身份鉴则、口当动问控制等安牵功能紧密结合。)舶够成、维护改保扩窄过程,使其免更解改、非法防可效被坏.特别会保护审计敬据,要酒格限划未经受的用户访问
)能够创延并维护一对受保护容体访问审让跟除,保护中计记录不被末报权的访问、将收和碳坏:
指出可记录的开件约盘少类型,包活注立会话登成功和尖数·负出的系统接口,系统效d
据呼星的放金(收变历户账户属件,市计距踪设盟分机为积序分的设暨用产D、前阳或改变系统程序或进程、或变日期和时间等),超领几产命令收变卫户身份将某个案你引人某个月户的池址空间(如打开文件》除享体、累统普理员及系就安全理员进行的换许等。当中计适时应确保审计限踪李件的光整性度提供“个机制来示当前选择的审计争件,这个机制的使用者应是有限的授权用
)“每个乎的数据比最,应位括的息件生的期时间,链发中件的户,中件为类型,事件成功或头败等,对于身份识则和认证半件.应迎录请求的源如木辅号或落控;对于创连和谢除实体的事件,应记求客体的名字和客体款安全性,)应提供一个受保护陷打开和关闭市计为礼制.该机制能造样和改安审平样,来柔统“作时处于跌认状态;该机制的境用成变到系统管理员的授权限制,系统情均员而能够宽择一个或多个基下身份识别或客体质性的压户的审证措动:计工其应够够授权人人使用、改和扭阶站计:应提供对宵并拟踪咨理动能的保护,过之可以芜成市计医晚的创建、鼓坏,等空和存档券统管理员应整够定义制过中计段综极限的阅博:当存消空叫被程尽州,应能有管理点书指定决定买取的措超,包括,报营丢举未记录的山计信息.暂佛中计,更蓝以范的市计记录等。2.2.1.5效据究整性
应宽CA3902002中6.2.3.5的要应,改计染系统的效据完整能.本安全等级要求:1)在对数据进行访间操择时,格查存储在在确介懂上的用广数其是否出现完腾性错读。浸作系统对盘盘设各中疗储的数错,可通过增剂隧益扫描程序实现以下功兼:方动检变定件与题盘表面尽活完好:一将这盘表的的间迹自动记求下来;随时检者.诊断尴然上的错误
5)对操作系内带逆行的数带传拍,如进呈问的通信,应提供保证败带完整性的必能。对染性系统中处理的数据,应按回退转数求设剂相应的TCB安全功追模决,进行单常情况的操作库列国退,以确保数据的完性:4.2.2TCH自身安全保护
4.2.2.1TSF保护
应GA/T320一2002中e.2.4.1的安求,段操作系绝的7SF保沪,交安全等级要求:为?采统在设计时本虚累有“后门”。即不应以继护,文持换栏需需为相口·设计有违反或绕过案全期则比任间类单的人口和文挡中未说明的们和模式的人」安全结构应是个独立的、严书宗义的系统教牛的一个十余·并应功止外部1扰和坏,如敏收其代码或数据结构。
操作系统应进行分层设计,对作系统程序利用户程序要进行隔离。d:个评强的志册加空分少定被分为两投:用户产间和系统空洲,两者的离应是静态的,GA/T 388—2002
暂在内存中的挑作系统应山所有进望具学,压户达我之问应被此随高的。应禁上在用户楼式下运行的进程对系统段过行习柔作,在录就代下逐行对,应允许进程对所有的虚行宗间进行读,了柔件,
e)拉似设置和升级配置案数的安装制。在创龄化和对与安全有关范数据结构进保护之前·对用户和卵地员的安会策略满生应进行定义:F)应区分曾通搬作类式杆系统距护模式,只)应陷止一个普通压户从木经允许的系统进人维护模式,并应情止一个首通用广与系统内继护税式交互。从而保证在皆通用户认问系之前,系统能以--个安全的力式进行安装和配立,上)对备份或不影响IC的考规的系统维户,不要求所有的系统组扩部在维护模大中执行当柔作系统安装完成品,在普通币户访可之,系统应配置好初妇用户析合理职卖.根上录、审计参数、系统计跟踪设置以及对文件和日录的合近的访问控制小执行系统所提试的实出程序,应(款认地)限定于对系统的有效征正,只允许系统管理员修改或替换系统提供第实用种序。
操推环境流为用产提供个机制.来控制命令的日录/路的查找怕予。1)在TC3失收成十断后,进翌应保证保护文本以录小的模准得到复:并按失败护中所描述的内奔.实现刘TSI出现失收时的处均函作系统坏能应控制邦市计系统控制台的使用情况,tt.
n!系统迹能识别士倍呆溢接收的信府的来源者,所有待确认的教据应能从进人烈被安全地化送到确认系统,如今不应山公共的或共享的两路以期文发美,可使用数期加密备或准过加缔信过用点索模式专送,
4.2.2.2资源利用
2((2中6.\.4.2的要来,设计操系统的密谢利用。本安全等级要求:虚按4/T39)
a)应迪罩一定措随确保当系线出规某此定的故障清况听,1S能维持下常送行,如系统应检测和求告系懿的服等水半口降呕到预为熟定的展小值。应采取造当的策窃,有限服务沈先频走供土体快用丁SC内荣个资缺子集的优先级·进行TCE资源的管理和分已。
应密源分配中展人限额的要求,进行TCB资源的觉圳和分包·要求比额机制确保用广和土体将不会灿占莱种受控的资源:d)系统应确保在被授权的体发出请求时,资函整被计同和利用.e:当系统的蛋务水平降低到预光观定的最小伯时,啦脂检测和发出报凸,系统应提长继护状态中运行的能力,在维护状态下各种安全性能全存欠效,需境只定许由系轨合员使出。
系应以每个月户减个出广组为基础·提闪一种机制·控制他们对微盘的消耗和对CPU的R
使用。
4.2.2.3TC访间控制
按GA1302002..1.\的恶求.设计操作系统的TCB方同控制.本安全等缴要求:)安可洗属性范用限定量小短的要求,迹兰某外公安全属性的所有失败的尝式,对用米公后的安全性的范进行限制,
b)按多至计发公话限定户基本限定的要求,进宁会话管即的设计,车基十基本你训的基开上,TSI应限制票统的升发公话书展大激量·成礼H激认偿作为会证次数的限示数。按最小数公话建机判,对会话追立的雪通达行设计,1):建立TE会话之前,应认H产的身份:登录机制小允许似证机制本负旁路.e)成功签录系统后,C成向用户最示以下数堆,HTKNUK
一日期、时间,来源和上次成颈翌多率矫的清派:一上次成边许可系统以来身份识别失败的情况应显小口令孕期的天效
GA/T38B—2002
一成功或不成法的车牛次数的显六叫以出整数计数,时间数列表等表方法;4.2.3TCB设计和实现
4.2.3.1配管理
避按GAT39200小6.2.3.1的要求技计配置暨单,本安全等级要求)在!置邮步力方自应实我对木号配益项授权格制等方的要求,)在TCB的配互管理代方丽应将TCB的实现表示,设斗文挡,酬试文挡,用户文档,替理员文以及骨湿等骨配之。
年系统的整个生存期、即在它的开发、测试和维拍期间-应有一含数划死置管理系统处于保持c!
对改变源码相文件的控制以态:儿有费受效的代型利代码修改才允许该加进已交付的源的基本部分:所有改心应被记较征检吉,以幅保未危及系洗的安全,在软行配置管系统中应包含认函码产当系统薪瓶本鉴定款生成的系统版本和护源码免道本授权修收的工只和规称。通过技术、物理和保安规章三为面的结合:可充分保护生成系统所用到内源码免遇末受性的静改和躲外.
4.2.3-2分发和操作
底安GA1391一02中6.2.3.2的要录,设计操作系统的CR分发和换作。在安全等级要求:8)应以文尚形武走供对工C安全地进行分发关过程,以&安装,每成和启动的医避行说明,开最终牛股安全的配.
)应以文档形式提供对TCB安全地讲行分发的过情,以及安装、4成和启本的达程进行说叫,最终尘成安全的配置,中新描注的内穿应包括:长供分安的过型;
安全房动和操作的过科:
一企立且志的对理。
e)对系统的术授修改的函陷,应生付时控制到最低限度。在包装及安全分送和安装过程中,这种控制应来取软也控制系统的方出确认安全性会出最然用户考遇,所有安全机划都应以功能装杰交对.
)所有软件成差供安全安装献以值,在客户不做选开时,默认值应快安全机制有效地发拆发全功能
随同系势必约的全部获认用广标识码,应在交付时处于非做流代态,业在使用前由管理员微话:
「!用户文档赢同付的软件一起包装,计应-也规程保当前送给户的系统软作是严格安量新内系统版车来制作的,
4.2.3.3开发
应资A390202中6.2.5.3的宝求,进保作系统TCB的丹发。不安全等级要求11露求接非形式化功能说明完伞案义的别就接口.描述性尚层设计,1子单实现,.内龄结构模决化利层饮化、描述性低晨设计、非形式化对应烂说明以及非报式化妥全策略模型的需求,进行TCS的发,
)系统的设计利开然应殊产数期的完整性,倒如,检变数供更新的,规账,一重/追再物人的正确处理,成回收态的检本,问结果的检查,介抑信怖人检产,出务证印更新为山确性赖查等,)在内部代码检查时:应解决潜的安企炭陷,关闭或取消所有的后].d所有交付的软作和文挡,感进行关于专拿缺陷的定期的利节面药检查,并将查站果台知GA/I388202
月产。www.bzxz.net
系统空制教据,如门令和密朝,不独木受保产的程库或文培中以明文形式惰学,以与丽形式向用产提供关干数性新有投法律保产的据府.4.2.3.2指导性文档
应按A/390-2003中6.2.5.4的要求,编制TC1的指号文档本专全等效要求:a)来户当应是供关」不反用户的可见的安全机制以及如何利用定们的行,描选没有明示用户的保护结检,并游群们的带避和提非有关它们使用的指南,术应包括那些如果公开终公范及系综农全的托何信息。
1)系统性理员文性应提供
一关丁系统的安全开机、操作和重新动的件息,包招出动录统的过丧(如引导系统进入安企方),存系统模作失供时恢复安全系统操作的过释,运行致件和效据各份及转能益和过:
一个单独的安装指南,详约说明设系额的初始化过以提传个新系说版本的究全设胃新安装文当:包括对所有用广可况的安全相关过程、软件析数据交挡均描述C)安全营理品文培应提供:
一有关如何接骨,护和分析系统案企的谱明指导,包括当适行一个安全收咨引·需要控司的有关齿能和特权的苦告;
一与安全有关节贷理员功能的详细描递,包括治加删陷一个用户,改实厅户的安全扫独等:
一提供关小所有市计工具的文档,包新为价和偿持审(十文件所带荐的过程、针对每积审享件的详细单记录文件,为用期性条份和期障审计记录所推荐的主程,为险查能款日求件新利用的盘利余空间所准荐的过毯;关于这置所有文件和求的最低访问许可能硅设,一益行文件系统或隧盘整性检谢所像的独议;一:如何进行系统育录评估的章节(带有网络圳,二令典求轻号访问控制、意多故计划的安全报告为灾中恢复计划所做的建议:循述菩通侵人技本和其他威融,并变凹却阻止它的内穿。)文检不应提供位间H泄医将会您及采统安全的资息。有关实企的指令和文拍应如分等级分另提优给用户,系统管理员和系统安今员这此文档应为独可的文档,成作为沌的单节运人与百理品指南和用户指南中。文档也对为硬携!,再子文档或联机文档:如果是实机文挡应控制对其的坊间。
4.2.3.5生命周期支持
应接GA/T391201)2中.2.5.h的要求,阅计操作系统[CH生命周期火持,本安企等级安求)皮安开发者定义些而周期模型进行开发,并提供开发过程中的安全措放说明。b)所有安全软应提供公企安装款认值。在术做特辨选择时,应按默认值安装安全机制。骄同系统交付剪会款认册门标识号、在安系完时应处于激括软慈,北系统管理点加收c?
激活。
文当应增细测述安全引动和作的过超:详细说明安会功能在后动、正肾探作继护正足否能被撤汇或修改,说明在故陷或票范山错时如何恢发系就至去全状态。e)如果系统含有加绳安全性的独门,邮么管理品,最终乐广或口款的诊渐视试,应能在各口能操作环境中逐行它力详纠说期操作处独。4. 2. 3.6测试
应域GA/下50一2602中6.2.5.6的费求.别操法系统的T1进行期试。本安全等级买求:8
HTT KAoN KAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。