操作系統(tǒng)等保安全技術(shù)要求

1、信息安全技術(shù)操作系統(tǒng)等保安全技術(shù)要求Information security technology-Security techniques requirement for operating system目次前言III引言IV范圍1規(guī)范性引用文件1術(shù)語、定義和縮略語1術(shù)語和定義1縮略語2安全等級(jí)保護(hù)分等級(jí)技術(shù)要求2第一級(jí)：用戶自主保護(hù)級(jí)2安全功能2SSOOS 自身安全保護(hù)3SSOOS 設(shè)計(jì)和實(shí)現(xiàn)3SSOOS 安全管理5第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)5安全功能5SSOOS 自身安全保護(hù)7SSOOS 設(shè)計(jì)和實(shí)現(xiàn)8SSOOS 安全管理10第三級(jí)：安全標(biāo)記保護(hù)級(jí)11安全功能11SSOOS 自身安全保護(hù)14SS

2、OOS 設(shè)計(jì)和實(shí)現(xiàn)15SSOOS 安全管理19第四級(jí)：結(jié)構(gòu)化保護(hù)級(jí)19安全功能19SSOOS 自身安全保護(hù)22SSOOS 設(shè)計(jì)和實(shí)現(xiàn)24SSOOS 安全管理27第五級(jí)：訪問驗(yàn)證保護(hù)級(jí)28安全功能28SSOOS 自身安全保護(hù)31SSOOS 設(shè)計(jì)和實(shí)現(xiàn)33SSOOS 安全管理36附 錄 A（資料性附錄）標(biāo)準(zhǔn)概念說明37組成與相互關(guān)系37關(guān)于安全保護(hù)等級(jí)劃分的說明37關(guān)于主體、客體的進(jìn)一步說明38關(guān)于 SSOOS、SSF、SSP、SFP 及其相互關(guān)系38 PAGE * ROMAN II關(guān)于密碼技術(shù)的說明38參考文獻(xiàn)39引言本標(biāo)準(zhǔn)是信息安全技術(shù)要求系列標(biāo)準(zhǔn)的重要組成部分，用以指導(dǎo)設(shè)計(jì)者如何設(shè)計(jì)和實(shí)現(xiàn)具

3、有所需要的安全保護(hù)等級(jí)的操作系統(tǒng)，主要說明為實(shí)現(xiàn) GB178591999 中每一個(gè)安全保護(hù)等級(jí)的要求，操作系統(tǒng)應(yīng)采取的安全技術(shù)措施，以及各安全技術(shù)要求在不同安全保護(hù)等級(jí)中具體實(shí)現(xiàn)上的差異。計(jì)算機(jī)操作系統(tǒng)是信息系統(tǒng)的重要組成部分。計(jì)算機(jī)操作系統(tǒng)的主要功能是進(jìn)行計(jì)算機(jī)資源管理和提供用戶使用計(jì)算機(jī)的界面。操作系統(tǒng)所管理的資源包括各種用戶資源和計(jì)算機(jī)的系統(tǒng)資源。用戶資源可以歸結(jié)為以文件形式表示的數(shù)據(jù)信息資源。系統(tǒng)資源包括系統(tǒng)程序和系統(tǒng)數(shù)據(jù)以及為管理計(jì)算機(jī)硬件資源而設(shè)置的各種表格，其在操作系統(tǒng)中也都是以文件的形式表現(xiàn)，分別稱為可執(zhí)行文件、數(shù)據(jù)文件、配置文件等。可見，對(duì)操作系統(tǒng)中資源的保護(hù)，實(shí)際上是對(duì)操作

4、系統(tǒng)中文件的保護(hù)。由于操作系統(tǒng)在計(jì)算機(jī)系統(tǒng)中有著十分重要的地位和作用，所以對(duì)計(jì)算機(jī)系統(tǒng)的攻擊和威脅（包括人為的和自然的），操作系統(tǒng)往往成為主要的目標(biāo)。也正因?yàn)槿绱?，操作系統(tǒng)的安全就變得十分重要。操作系統(tǒng)安全既要考慮操作系統(tǒng)的安全運(yùn)行，也要考慮對(duì)操作系統(tǒng)中資源的保護(hù)（主要是以文件形式表示的數(shù)據(jù)信息資源的保護(hù)）。由于攻擊和威脅既可能是針對(duì)系統(tǒng)運(yùn)行的，也可能是針對(duì)信息的保密性、完整性和可用性的，所以對(duì)操作系統(tǒng)的安全保護(hù)的功能要求，需要從操作系統(tǒng)的安全運(yùn)行和操作系統(tǒng)數(shù)據(jù)的安全保護(hù)兩方面綜合進(jìn)行考慮。根據(jù) GB17859-1999 所列安全要素及 GA/T 20271-2006 關(guān)于信息系統(tǒng)安全功能要素

5、的描述，本標(biāo)準(zhǔn)從身份鑒別、自主訪問控制、標(biāo)記和強(qiáng)制訪問控制、數(shù)據(jù)流控制、審計(jì)、數(shù)據(jù)完整性、數(shù)據(jù)保密性、可信路徑等方面對(duì)操作系統(tǒng)的安全功能要求進(jìn)行更加具體的描述。為了確保安全功能要素達(dá)到所確定的安全性要求，需要通過一定的安全保證機(jī)制來實(shí)現(xiàn)，根據(jù) GA/T 20271-2006 關(guān)于信息系統(tǒng)安全保證要素的描述，本標(biāo)準(zhǔn)從操作系統(tǒng)安全子系統(tǒng)（SSOOS）自身安全保護(hù)、操作系統(tǒng)安全子系統(tǒng)（SSOOS）的設(shè)計(jì)和實(shí)現(xiàn)以及操作系統(tǒng)安全子系統(tǒng)（SSOOS）的安全管理等方面，對(duì)操作系統(tǒng)的安全保證要求進(jìn)行更加具體的描述。操作系統(tǒng)的安全還需要有相應(yīng)的安全硬件系統(tǒng)（即物理安全）方面的支持，這顯然已經(jīng)超出本標(biāo)準(zhǔn)的范圍。綜

6、合以上說明，本標(biāo)準(zhǔn)以 GB178591999 五個(gè)安全保護(hù)等級(jí)的劃分為基礎(chǔ)，對(duì)操作系統(tǒng)的每一個(gè)安全保護(hù)等級(jí)的安全功能技術(shù)要求和安全保證技術(shù)要求做詳細(xì)的描述。為清晰表示每一個(gè)安全等級(jí)比較低一級(jí)安全等級(jí)的安全技術(shù)要求的增加和增強(qiáng)，在第 4 章的描述中，每一級(jí)新增部分用“宋體加粗”表示。信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求范圍本標(biāo)準(zhǔn)依據(jù) GB17859-1999 的五個(gè)安全保護(hù)等級(jí)的劃分，根據(jù)操作系統(tǒng)在信息系統(tǒng)中的作用，規(guī)定了操作系統(tǒng)安全所需要的安全技術(shù)的各個(gè)安全等級(jí)的要求。本標(biāo)準(zhǔn)適用于按等級(jí)化要求進(jìn)行的安全操作系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，對(duì)按等級(jí)化要求進(jìn)行的操作系統(tǒng)安全的測(cè)試和管理可參照使用。規(guī)范性引用文件下列

7、文件中的有關(guān)條款通過引用而成為本標(biāo)準(zhǔn)的條款。凡注日期或版次的引用文件，其后的任何修改單（不包括勘誤的內(nèi)容）或修訂版本都不適用于本標(biāo)準(zhǔn)，但提倡使用本標(biāo)準(zhǔn)的各方探討使用其最新版本的可能性。凡不注日期或版次的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB/T 20271-2006信息安全技術(shù)信息安全等級(jí)保護(hù)信息系統(tǒng)安全通用技術(shù)要求術(shù)語、定義和縮略語術(shù)語和定義GB178591999 和 GB/T 20271-2006 確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1.1操作系統(tǒng)安全security of operating system操作系統(tǒng)所存儲(chǔ)、傳輸

8、和處理的信息的保密性、完整性和可用性的表征。3.1.2操作系統(tǒng)安全技術(shù) security technology of operating system實(shí)現(xiàn)各種類型的操作系統(tǒng)安全需要的所有安全技術(shù)。3.1.3操作系統(tǒng)安全子系統(tǒng) security subsystem of operating system操作系統(tǒng)中安全保護(hù)裝置的總稱，包括硬件、固件、軟件和負(fù)責(zé)執(zhí)行安全策略的組合體。它建立了一個(gè)基本的操作系統(tǒng)安全保護(hù)環(huán)境，并提供安全操作系統(tǒng)要求的附加用戶服務(wù)。按照 GB17859-1999 對(duì)可信計(jì)算基（TCB）的定義，SSOOS 就是操作系統(tǒng)的 TCB。3.1.4SSOOS 安全策略 SSOOS

9、security policy對(duì) SS0OS 中的資源進(jìn)行管理、保護(hù)和分配的一組規(guī)則。一個(gè) SSOOS 中可以有一個(gè)或多個(gè)安全策略。3.1.5安全功能策略 security function policy為實(shí)現(xiàn) SSOOS 安全要素要求的功能所采用的安全策略。3.1.6安全要素security element本標(biāo)準(zhǔn)中各安全保護(hù)等級(jí)的安全技術(shù)要求所包含的安全內(nèi)容的組成成份。3.1.7SSOOS 安全功能 SSOOS security function正確實(shí)施 SSOOS 安全策略的全部硬件、固件、軟件所提供的功能。每一個(gè)安全策略的實(shí)現(xiàn)，組成一個(gè) SSOOS 安全功能模塊。一個(gè) SSOOS 的所有

10、安全功能模塊共同組成該 SSOOS 的安全功能。3.1.8SSF 控制范圍 SSF scope of controlSSOOS 的操作所涉及的主體和客體的范圍?？s略語下列縮略語適用于本標(biāo)準(zhǔn)：SFP安全功能策略security function policy SSCSSF 控制范圍SSF scope of controlSSFSSOOS 安全功能SSOOS security functioinSSOOS操作系統(tǒng)安全子系統(tǒng)security subsystem of operating system SSPSSOOS 安全策略SSOOS security policy安全等級(jí)保護(hù)分等級(jí)技術(shù)要求第一級(jí)

11、：用戶自主保護(hù)級(jí)安全功能身份鑒別身份鑒別包括對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和鑒別?？砂?GB/T 20271-2006 中 6.1.3.1 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的身份鑒別功能：按 GB/T 20271-2006 中 6.1.3.1.1 和以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶標(biāo)識(shí)功能：凡需進(jìn)入操作系統(tǒng)的用戶，應(yīng)先進(jìn)行標(biāo)識(shí)（建立賬號(hào)）；操作系統(tǒng)用戶標(biāo)識(shí)一般使用用戶名和用戶標(biāo)識(shí)符（UID）。按 GB/T 20271-2006 中 6.1.3.1.2 和以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶鑒別功能：采用口令進(jìn)行鑒別，并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別；口令應(yīng)是不可見的，并在存儲(chǔ)時(shí)有安全保護(hù)；通過對(duì)不成功的鑒別嘗試的值（包括嘗試

12、次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)應(yīng)采取的措施來實(shí)現(xiàn)鑒別失敗的處理。對(duì)注冊(cè)到操作系統(tǒng)的用戶，應(yīng)按以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶-主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將注系統(tǒng)進(jìn)程動(dòng)態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)的要求者用戶。自主訪問控制可按 GB/T 20271-2006 中 6.1.3.2 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的自主訪問控制功能：允許命名用戶以用戶和/或用戶組的身份規(guī)定并控制對(duì)客體的訪問，并阻止非授權(quán)用戶對(duì)客體訪問；設(shè)置默認(rèn)功能，當(dāng)一個(gè)主體生成一個(gè)客體時(shí)，在該客體的訪問控制表中相應(yīng)

13、地應(yīng)具有該主體設(shè)置的默認(rèn)值。用戶數(shù)據(jù)完整性可按 GB/T 20271-2006 中 6.1.3.3 的要求，對(duì)操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)完整性保護(hù)，如進(jìn)程通信數(shù)據(jù)的完整性保護(hù)，設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)完整性保護(hù)功能。SSOOS 自身安全保護(hù)SSF 物理安全保護(hù)可按 GB/T 20271-2006 中 6.1.4.1 的要求，實(shí)現(xiàn) SSF 的物理安全保護(hù)，通過對(duì)物理安全的檢查，發(fā)現(xiàn)以物理方式的攻擊對(duì) SSF 造成的威脅和破壞。SSF 運(yùn)行安全保護(hù)可按 GB/T 20271-2006 中 6.1.4.2 的要求，從以下方面實(shí)現(xiàn) SSF 的運(yùn)行安全保護(hù)：系統(tǒng)在設(shè)計(jì)時(shí)不應(yīng)留有“后門”，即不應(yīng)以維護(hù)

14、、支持或操作需要為借口，設(shè)計(jì)有違反或繞過安全規(guī)則的任何類型的入口和文檔中未說明的任何模式的入口；安全結(jié)構(gòu)應(yīng)是一個(gè)獨(dú)立的、嚴(yán)格定義的系統(tǒng)軟件的一個(gè)子集，并應(yīng)防止外部干擾和破壞，如修改其代碼或數(shù)據(jù)結(jié)構(gòu)；操作系統(tǒng)程序與用戶程序要進(jìn)行隔離。一個(gè)進(jìn)程的虛地址空間至少應(yīng)被分為兩個(gè)段：用戶空間和系統(tǒng)空間，兩者的隔離應(yīng)是靜態(tài)的。駐留在內(nèi)存中的操作系統(tǒng)應(yīng)由所有進(jìn)程共享。用戶進(jìn)程之間應(yīng)是彼此隔離的。應(yīng)禁止在用戶模式下運(yùn)行的進(jìn)程對(duì)系統(tǒng)段進(jìn)行寫操作，而在系統(tǒng)模式下運(yùn)行時(shí)，應(yīng)允許進(jìn)程對(duì)所有的虛存空間進(jìn)行讀、寫操作；提供一個(gè)設(shè)置和升級(jí)配置參數(shù)的安裝機(jī)制。在初始化和對(duì)與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進(jìn)行保護(hù)之前，應(yīng)對(duì)用戶和管理員的安全

15、策略屬性進(jìn)行定義；區(qū)分普通操作模式和系統(tǒng)維護(hù)模式；補(bǔ)丁的發(fā)布和運(yùn)用：補(bǔ)丁是對(duì)操作系統(tǒng)安全漏洞進(jìn)行修補(bǔ)的程序的總稱。操作系統(tǒng)的開發(fā)者應(yīng)針對(duì)發(fā)現(xiàn)的漏洞及時(shí)發(fā)布補(bǔ)丁。操作系統(tǒng)的管理者應(yīng)及時(shí)運(yùn)用補(bǔ)丁對(duì)操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)；在 SSOOS 失敗或中斷后，應(yīng)保護(hù)其以最小的損害得到恢復(fù)，并按照失敗保護(hù)中所描述的內(nèi)容， 實(shí)現(xiàn)對(duì) SSF 出現(xiàn)失敗時(shí)的處理。SSF 數(shù)據(jù)安全保護(hù)可按 GB/T 20271-2006 中 6.1.4.3 的要求，對(duì)在 SSOOS 內(nèi)傳輸?shù)?SSF 數(shù)據(jù)，實(shí)現(xiàn) SSOOS 內(nèi) SSF 數(shù)據(jù)傳輸?shù)幕颈Ｗo(hù)。資源利用可按 GB/T 20271-2006 中 6.1.4.4 的要求，從以下

16、方面實(shí)現(xiàn) SSOOS 的資源利用：a）通過一定措施確保當(dāng)系統(tǒng)出現(xiàn)某些確定的故障情況時(shí)，SSF 也能維持正常運(yùn)行；b）采取適當(dāng)?shù)牟呗裕从邢薹?wù)優(yōu)先級(jí)，提供主體使用 TSC 內(nèi)某個(gè)資源子集的優(yōu)先級(jí)，進(jìn)行 SSOOS 資源的管理和分配；c）按資源分配中最大限額的要求，進(jìn)行 SSOOS 資源的管理和分配，要求配額機(jī)制確保用戶和主體將不會(huì)獨(dú)占某種受控的資源。SSOOS 訪問控制可按 GB/T 20271-2006 中 6.1.4.5 的要求，從以下方面實(shí)現(xiàn) SSOOS 的訪問控制：按會(huì)話建立機(jī)制的要求，對(duì)會(huì)話建立的管理進(jìn)行設(shè)計(jì)；按多重并發(fā)會(huì)話限定中基本限定的要求，進(jìn)行會(huì)話管理的設(shè)計(jì)。在基于基本標(biāo)識(shí)的基

17、礎(chǔ)上，SSF 應(yīng)限制系統(tǒng)的并發(fā)會(huì)話的最大數(shù)量，并應(yīng)利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)；按可選屬性范圍限定的要求，選擇某種會(huì)話安全屬性的所有失敗的嘗試 ，對(duì)用來建立會(huì)話的安全屬性的范圍進(jìn)行限制。SSOOS 設(shè)計(jì)和實(shí)現(xiàn)配置管理可按 GB/T 20271-2006 中 6.1.5.1 的要求，從以下方面實(shí)現(xiàn) SSOOS 的配置管理：具有基本的配置管理能力，即要求開發(fā)者所使用的版本號(hào)與所應(yīng)表示的 SSOOS 樣本完全對(duì)應(yīng)。分發(fā)和操作可按 GB/T 20271-2006 中 6.1.5.2 的要求，從以下方面實(shí)現(xiàn) SSOOS 的分發(fā)和操作：以文檔形式提供對(duì) SSOOS 安全地進(jìn)行分發(fā)的過程，并對(duì)安裝、生成和

18、啟動(dòng)的過程進(jìn)行說明， 最終生成安全的配置。文檔中所描述的內(nèi)容應(yīng)包括：提供分發(fā)的過程；安全啟動(dòng)和操作的過程；對(duì)系統(tǒng)的未授權(quán)修改的風(fēng)險(xiǎn)，應(yīng)在交付時(shí)控制到最低限度。在包裝及安全分送和安裝過程中， 這種控制應(yīng)采取軟件控制系統(tǒng)的方式，確認(rèn)安全性會(huì)由最終用戶考慮，所有安全機(jī)制都應(yīng)以功能狀態(tài)交付；所有軟件應(yīng)提供安全安裝默認(rèn)值，在客戶不做選擇時(shí)，默認(rèn)值應(yīng)使安全機(jī)制有效地發(fā)揮作用；隨同系統(tǒng)交付的全部默認(rèn)用戶標(biāo)識(shí)碼，應(yīng)在交付時(shí)處于非激活狀態(tài)，并在使用前由管理員激活；用戶文檔應(yīng)同交付的軟件一起包裝，并應(yīng)有一套規(guī)程確保當(dāng)前送給用戶的系統(tǒng)軟件是嚴(yán)格按最新的系統(tǒng)版本來制作的。開發(fā)可按 GB/T 20271-2006 中

19、6.1.5.3 的要求，從以下方面進(jìn)行 SSOOS 的開發(fā)：按非形式化功能說明、描述性高層設(shè)計(jì)、SSF 子集實(shí)現(xiàn)、SSF 內(nèi)部結(jié)構(gòu)模塊化、描述性低層設(shè)計(jì)和非形式化對(duì)應(yīng)性說明的要求，進(jìn)行 SSOOS 的設(shè)計(jì)；系統(tǒng)的設(shè)計(jì)和開發(fā)應(yīng)保護(hù)數(shù)據(jù)的完整性，例如，檢查數(shù)據(jù)更新的規(guī)則，二重/多重輸入的正確處理，返回狀態(tài)的檢查，中間結(jié)果的檢查，合理值輸入檢查，事務(wù)處理更新的正確性檢查等；在內(nèi)部代碼檢查時(shí)，應(yīng)解決潛在的安全缺陷，關(guān)閉或取消所有的后門；所有交付的軟件和文檔，應(yīng)進(jìn)行關(guān)于安全缺陷的定期的和書面的檢查，并將檢查結(jié)果告知用戶；由系統(tǒng)控制的敏感數(shù)據(jù)，如口令和密鑰等，不應(yīng)在未受保護(hù)的程序或文檔中以明文形式儲(chǔ)存；應(yīng)

20、以書面形式向用戶提供關(guān)于軟件所有權(quán)法律保護(hù)的指南。文檔要求可按 GB/T 20271-2006 中 6.1.5.4 的要求，從以下方面編制 SSOOS 的文檔：用戶文檔應(yīng)提供關(guān)于不同用戶的可見的安全機(jī)制以及如何利用它們的信息，并解釋它們的用途和提供有關(guān)它們使用的指南；安全管理員文檔應(yīng)提供有關(guān)如何設(shè)置、維護(hù)和分析系統(tǒng)安全的詳細(xì)指導(dǎo)，包括當(dāng)運(yùn)行一個(gè)安全設(shè)備時(shí)，需要控制的有關(guān)功能和特權(quán)的警告，以及與安全有關(guān)的管理員功能的詳細(xì)描述， 包括增加和刪除一個(gè)用戶、改變用戶的安全特征等；文檔中不應(yīng)提供任何一旦泄露將會(huì)危及系統(tǒng)安全的信息；有關(guān)安全的指令和文檔應(yīng)劃分等級(jí)分別提供給用戶、系統(tǒng)管理員和系統(tǒng)安全員。生存

21、周期支持可按 GB/T 20271-2006 中 6.1.5.5 的要求，從以下方面實(shí)現(xiàn) SSOOS 的生存周期支持：按開發(fā)者定義生存周期模型進(jìn)行開發(fā)；提供安全安裝默認(rèn)值；在未做特殊選擇時(shí),應(yīng)按默認(rèn)值安裝安全機(jī)制；隨同系統(tǒng)交付的全部默認(rèn)用戶標(biāo)識(shí)號(hào)，在剛安裝完時(shí)應(yīng)處于非激活狀態(tài)，并由系統(tǒng)管理員加以激活；操作文檔應(yīng)詳細(xì)闡述安全啟動(dòng)和操作的過程，詳細(xì)說明安全功能在啟動(dòng)、正常操作維護(hù)時(shí)是否能被撤消或修改，說明在故障或系統(tǒng)出錯(cuò)時(shí)如何恢復(fù)系統(tǒng)至安全狀態(tài)。測(cè)試可按 GB/T 20271-2006 中 6.1.5.6 的要求，從以下方面對(duì) SSOOS 進(jìn)行測(cè)試：通過一般功能測(cè)試和相符獨(dú)立性測(cè)試，確認(rèn) SSOO

22、S 的功能與所要求的功能相一致；所有系統(tǒng)的安全特性，應(yīng)被全面測(cè)試；所有發(fā)現(xiàn)的漏洞應(yīng)被改正、消除或使其無效，并在消除漏洞后重新測(cè)試，以證實(shí)它們已被消除，且沒有引出新的漏洞；提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過程、測(cè)試結(jié)果。SSOOS 安全管理可按 GB/T 20271-2006 中 6.1.6 的要求，從以下方面實(shí)現(xiàn) SSOOS 的安全管理：對(duì)相應(yīng)的 SSOOS 的訪問控制、鑒別控制、安全屬性管理等相關(guān)的功能，以及與一般的安裝、配置等有關(guān)的功能，制定相應(yīng)的操作、運(yùn)行規(guī)程和行為規(guī)章制度。第二級(jí)：系統(tǒng)審計(jì)保護(hù)級(jí)安全功能身份鑒別身份鑒別包括對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。應(yīng)按 GB/T 20271-20

23、06 中中 6.2.3.1 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的身份鑒別功能：按 GB/T 20271-2006 中 6.2.3.1.1 和以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶標(biāo)識(shí)功能：凡需進(jìn)入操作系統(tǒng)的用戶，應(yīng)先進(jìn)行標(biāo)識(shí)（建立賬號(hào)）；操作系統(tǒng)用戶標(biāo)識(shí)應(yīng)使用用戶名和用戶標(biāo)識(shí)（UID），并在操作系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶的唯一性標(biāo)識(shí)，以及用戶名或別名、UID 等之間的一致性。按 GB/T 20271-2006 中 6.2.3.1.2 和以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶鑒別功能：采用強(qiáng)化管理的口令鑒別/基于令牌的動(dòng)態(tài)口令鑒別等機(jī)制進(jìn)行身份鑒別，并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別；鑒別信息應(yīng)是不可見的，并在存儲(chǔ)和傳輸時(shí)進(jìn)行安

24、全保護(hù)；通過對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)應(yīng)采取的措施來實(shí)現(xiàn)鑒別失敗的處理。對(duì)注冊(cè)到操作系統(tǒng)的用戶，應(yīng)按以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶-主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將注系統(tǒng)進(jìn)程動(dòng)態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)的要求者用戶。自主訪問控制宜按 GB/T 20271-2006 中 6.2.3.2 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的自主訪問控制功能：允許命名用戶以用戶的身份規(guī)定并控制對(duì)客體的訪問，并阻止非授權(quán)用戶對(duì)客體的訪問；設(shè)置默認(rèn)功能，當(dāng)一個(gè)主體生成一個(gè)

25、客體時(shí)，在該客體的訪問控制表中相應(yīng)地具有該主體設(shè)置的默認(rèn)值；有更細(xì)粒度的自主訪問控制，將訪問控制的粒度控制在單個(gè)用戶；對(duì)系統(tǒng)中的每一個(gè)客體， 都能夠?qū)崿F(xiàn)由客體的創(chuàng)建者以用戶指定方式確定其對(duì)該客體的訪問權(quán)限，而別的同組用戶或非同組的用戶和用戶組對(duì)該客體的訪問權(quán)則由創(chuàng)建者用戶授予；自主訪問控制能與身份鑒別和審計(jì)相結(jié)合，通過確認(rèn)用戶身份的真實(shí)性和記錄用戶的各種成功的或不成功的訪問，使用戶對(duì)自己的行為承擔(dān)明確的責(zé)任；客體的擁有者應(yīng)是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對(duì)其擁有的客體應(yīng)具有全部控制權(quán)，但是，不允許客體擁有者把該客體的控制權(quán)分配給其他主體；定義訪問控制屬性，并保護(hù)這些屬性；主體的訪問控制

26、屬性至少應(yīng)有：讀、寫、執(zhí)行等；客體的訪問控制屬性應(yīng)包含可分配給主體的讀、寫和執(zhí)行等權(quán)限；定義分配和修改主體和客體的訪問控制屬性的規(guī)則，并執(zhí)行對(duì)主體和客體的訪問控制屬性的分配和修改，規(guī)則的結(jié)果應(yīng)達(dá)到只有被授權(quán)的用戶才允許訪問一個(gè)客體；定義主體對(duì)客體的訪問授權(quán)規(guī)則；該規(guī)則應(yīng)基于主體對(duì)客體的訪問控制屬性，同時(shí)應(yīng)指出主體和客體對(duì)這些規(guī)則應(yīng)用的類型。安全審計(jì)宜按 GB/T 20271-2006 中 6.2.2.3 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的安全審計(jì)功能：安全審計(jì)功能應(yīng)與身份鑒別、自主訪問控制等安全功能緊密結(jié)合；提供審計(jì)日志，潛在侵害分析，基本審計(jì)查閱和有限審計(jì)查閱，安全審計(jì)事件選擇，以及受保

27、護(hù)的審計(jì)蹤跡存儲(chǔ)等功能；能夠生成、維護(hù)及保護(hù)審計(jì)過程，使其免遭修改、非法訪問及破壞，特別要保護(hù)審計(jì)數(shù)據(jù)， 要嚴(yán)格限制未經(jīng)授權(quán)的用戶訪問；能夠創(chuàng)建并維護(hù)一個(gè)對(duì)受保護(hù)客體訪問的審計(jì)蹤蹤，保護(hù)審計(jì)記錄不被未授權(quán)的訪問、修改和破壞；指出可記錄的審計(jì)事件的最少類型，包括建立會(huì)話登錄成功和失敗，使用的系統(tǒng)接口，系統(tǒng)數(shù)據(jù)庫管理的改變（改變用戶賬戶屬性、審計(jì)跟蹤設(shè)置和分析、為程序分配設(shè)置用戶 ID、附加或改變系統(tǒng)程序或進(jìn)程、改變?nèi)掌诤蜁r(shí)間等），超級(jí)用戶命令改變用戶身份、將某個(gè)客體引入某個(gè)用戶的地址空間（如打開文件）、刪除客體、系統(tǒng)管理員及系統(tǒng)安全管理員進(jìn)行的操作等。當(dāng)審計(jì)激活時(shí)應(yīng)確保審計(jì)跟蹤事件的完整性；應(yīng)提

28、供一個(gè)機(jī)制來顯示當(dāng)前選擇的審計(jì)事件，這個(gè)機(jī)制的使用者應(yīng)是有限的授權(quán)用戶；每個(gè)事件的數(shù)據(jù)記錄，應(yīng)包括的信息有：事件發(fā)生的日期和時(shí)間、觸發(fā)事件的用戶、事件的類型、事件成功或失敗等。對(duì)于身份標(biāo)識(shí)和鑒別事件，應(yīng)記錄請(qǐng)求的源（如末端號(hào)或網(wǎng)絡(luò)地址）；對(duì)于創(chuàng)建和刪除客體的事件，應(yīng)記錄客體的名字和客體的安全屬性；應(yīng)提供一個(gè)受保護(hù)的打開和關(guān)閉審計(jì)的機(jī)制。該機(jī)制能選擇和改變審計(jì)事件，并在系統(tǒng)工作時(shí)處于默認(rèn)狀態(tài)；該機(jī)制的使用應(yīng)受到系統(tǒng)管理員的授權(quán)限制，系統(tǒng)管理員應(yīng)能夠選擇一個(gè)或多個(gè)基于身份鑒別或客體屬性的用戶的審計(jì)活動(dòng)；審計(jì)工具應(yīng)能夠授權(quán)個(gè)人使用、修改和刪除審計(jì)；應(yīng)提供對(duì)審計(jì)跟蹤管理功能的保護(hù)，使之可以完成審計(jì)跟蹤

29、的創(chuàng)建、破壞、騰空和存檔；系統(tǒng)管理員應(yīng)能夠定義超過審計(jì)跟蹤極限的閾值；當(dāng)存儲(chǔ)空間被耗盡時(shí)，應(yīng)能按管理員的指定決定采取的措施，包括：報(bào)警并丟棄未記錄的審計(jì)信息、暫停審計(jì)、覆蓋以前的審計(jì)記錄等。用戶數(shù)據(jù)完整性按 GB/T 20271-2006 中 6.2.3.3 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)完整性保護(hù)功能：在對(duì)數(shù)據(jù)進(jìn)行訪問操作時(shí)，檢查存儲(chǔ)在存儲(chǔ)介質(zhì)上的用戶數(shù)據(jù)是否出現(xiàn)完整性錯(cuò)誤。操作系統(tǒng)對(duì)磁盤設(shè)備中存儲(chǔ)的數(shù)據(jù)，可通過增加磁盤掃描程序?qū)崿F(xiàn)以下功能：自動(dòng)檢查文件與磁盤表面是否完好；將磁盤表面的問題自動(dòng)記錄下來；隨時(shí)檢查、診斷磁盤上的錯(cuò)誤；對(duì)操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)，如進(jìn)程間的通信，

30、應(yīng)提供保證數(shù)據(jù)完整性的功能；對(duì)操作系統(tǒng)中處理的用戶數(shù)據(jù)，應(yīng)按回退的要求設(shè)計(jì)相應(yīng)的 SSOOS 安全功能模塊，進(jìn)行異常情況的操作序列回退，以確保用戶數(shù)據(jù)的完整性。用戶數(shù)據(jù)保密性宜按 GB/T 20271-2006 中 6.2.3.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能：確保動(dòng)態(tài)分配與管理的資源，在保持信息安全的情況下被再利用，主要包括：確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記錄介質(zhì)中以前的信息內(nèi)容；在單用戶系統(tǒng)中，存儲(chǔ)器保護(hù)應(yīng)防止用戶進(jìn)程影響系統(tǒng)的運(yùn)行；在多用戶系統(tǒng)中，存儲(chǔ)器保護(hù)應(yīng)保證系統(tǒng)內(nèi)各個(gè)用戶之間互不干擾；存儲(chǔ)器保護(hù)應(yīng)包括:對(duì)存儲(chǔ)單元的地址的保護(hù)，使非法用戶不能

31、訪問那些受到保護(hù)的存儲(chǔ)單元；對(duì)被保護(hù)的存儲(chǔ)單元的操作提供各種類型的保護(hù)，最基本的保護(hù)類型是“讀/寫”和“只讀”，不能讀/寫的存儲(chǔ)單元，若被用戶讀/寫時(shí)，系統(tǒng)應(yīng)及時(shí)發(fā)出警報(bào)或中斷程序執(zhí)行；可采用邏輯隔離的方法進(jìn)行存儲(chǔ)器保護(hù)，具體有：界限地址寄存器保護(hù)法、內(nèi)存標(biāo)志法、鎖保護(hù)法和特征位保護(hù)法等。SSOOS 自身安全保護(hù)SSF 物理安全保護(hù)宜按 GB/T 20271-2006 中 6.2.4.1 的要求，實(shí)現(xiàn) SSF 的物理安全保護(hù)，通過對(duì)物理攻擊的檢查，發(fā)現(xiàn)以物理方式的攻擊對(duì) SSF 造成的威脅和破壞。SSF 運(yùn)行安全保護(hù)宜按 GB/T 20271-2006 中 6.2.4.2 的要求，從以下方面實(shí)

32、現(xiàn) SSF 的運(yùn)行安全保護(hù)：系統(tǒng)在設(shè)計(jì)時(shí)不應(yīng)留有“后門”。即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過安全規(guī)則的任何類型的入口和文檔中未說明的任何模式的入口；安全結(jié)構(gòu)應(yīng)是一個(gè)獨(dú)立的、嚴(yán)格定義的系統(tǒng)軟件的一個(gè)子集，并應(yīng)防止外部干擾和破壞，如修改其代碼或數(shù)據(jù)結(jié)構(gòu)；操作系統(tǒng)程序與用戶程序要進(jìn)行隔離。一個(gè)進(jìn)程的虛地址空間至少應(yīng)被分為兩個(gè)段：用戶空間和系統(tǒng)空間，兩者的隔離應(yīng)是靜態(tài)的。駐留在內(nèi)存中的操作系統(tǒng)應(yīng)由所有進(jìn)程共享。用戶進(jìn)程之間應(yīng)是彼此隔離的。應(yīng)禁止在用戶模式下運(yùn)行的進(jìn)程對(duì)系統(tǒng)段進(jìn)行寫操作，而在系統(tǒng)模式下運(yùn)行時(shí)，應(yīng)允許進(jìn)程對(duì)所有的虛存空間進(jìn)行讀、寫操作；提供設(shè)置和升級(jí)配置參數(shù)的安裝機(jī)制。在

33、初始化和對(duì)與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進(jìn)行保護(hù)之前， 應(yīng)對(duì)用戶和管理員的安全策略屬性應(yīng)進(jìn)行定義；應(yīng)區(qū)分普通操作模式和系統(tǒng)維護(hù)模式；應(yīng)防止一個(gè)普通用戶從未經(jīng)允許的系統(tǒng)進(jìn)入維護(hù)模式，并應(yīng)防止一個(gè)普通用戶與系統(tǒng)內(nèi)維護(hù)模式交互。從而保證在普通用戶訪問系統(tǒng)之前，系統(tǒng)能以一個(gè)安全的方式進(jìn)行安裝和配置；對(duì)備份或不影響 SSOOS 的常規(guī)的系統(tǒng)維護(hù)，不要求所有的系統(tǒng)維護(hù)都在維護(hù)模式中執(zhí)行；當(dāng)操作系統(tǒng)安裝完成后，在普通用戶訪問之前，系統(tǒng)應(yīng)配置好初始用戶和管理員職責(zé)、根目錄、審計(jì)參數(shù)、系統(tǒng)審計(jì)跟蹤設(shè)置以及對(duì)文件和目錄的合適的訪問控制；執(zhí)行系統(tǒng)所提供的實(shí)用程序，應(yīng)（默認(rèn)地）限定于對(duì)系統(tǒng)的有效使用，只允許系統(tǒng)管理員修改或替換

34、系統(tǒng)提供的實(shí)用程序；操作環(huán)境應(yīng)為用戶提供一個(gè)機(jī)制，來控制命令的目錄/路徑的查找順序；在 SSOOS 失敗或中斷后，應(yīng)確保其以最小的損害得到恢復(fù)。并按失敗保護(hù)中所描述的內(nèi)容， 實(shí)現(xiàn)對(duì) SSF 出現(xiàn)失敗時(shí)的處理；操作系統(tǒng)環(huán)境應(yīng)控制和審計(jì)系統(tǒng)控制臺(tái)的使用情況；補(bǔ)丁的發(fā)布、管理和使用：補(bǔ)丁是對(duì)操作系統(tǒng)安全漏洞進(jìn)行修補(bǔ)的程序的總稱。操作系統(tǒng)的開發(fā)者應(yīng)針對(duì)發(fā)現(xiàn)的漏洞及時(shí)發(fā)布補(bǔ)丁。操作系統(tǒng)的管理者應(yīng)及時(shí)獲取、統(tǒng)一管理并及時(shí)運(yùn)用補(bǔ)丁對(duì)操作系統(tǒng)的漏洞進(jìn)行修補(bǔ)。SSF 數(shù)據(jù)安全保護(hù)宜按 GB/T 20271-2006 中 6.2.4.3 的要求，對(duì)在 SSOOS 內(nèi)傳輸?shù)?SSF 數(shù)據(jù)進(jìn)行以下安全保護(hù)：實(shí)現(xiàn) SS

35、OOS 內(nèi) SSF 數(shù)據(jù)傳輸?shù)幕颈Ｗo(hù)；SSOOS 內(nèi) SSF 數(shù)據(jù)復(fù)制的一致性保護(hù)。資源利用宜按 GB/T 20271-2006 中 6.2.4.4 的要求，從以下方面實(shí)現(xiàn) SSOOS 的資源利用：應(yīng)通過一定措施確保當(dāng)系統(tǒng)出現(xiàn)某些確定的故障情況時(shí)，SSF 也能維持正常運(yùn)行，如系統(tǒng)應(yīng)檢測(cè)和報(bào)告系統(tǒng)的服務(wù)水平已降低到預(yù)先規(guī)定的最小值；應(yīng)采取適當(dāng)?shù)牟呗裕邢薹?wù)優(yōu)先級(jí)提供主體使用 TSC 內(nèi)某個(gè)資源子集的優(yōu)先級(jí)，進(jìn)行 SSOOS 資源的管理和分配；應(yīng)按資源分配中最大限額的要求，進(jìn)行 SSOOS 資源的管理和分配，要求配額機(jī)制確保用戶和主體將不會(huì)獨(dú)占某種受控的資源；系統(tǒng)應(yīng)確保在被授權(quán)的主體發(fā)出請(qǐng)求時(shí)

36、，資源能被訪問和利用；當(dāng)系統(tǒng)資源的服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，應(yīng)能檢測(cè)和發(fā)出報(bào)告；系統(tǒng)應(yīng)提供維護(hù)狀態(tài)中運(yùn)行的能力，在維護(hù)狀態(tài)下各種安全性能全部失效，系統(tǒng)只允許由系統(tǒng)管理員使用；系統(tǒng)應(yīng)以每個(gè)用戶或每個(gè)用戶組為基礎(chǔ)，提供一種機(jī)制，控制他們對(duì)磁盤的消耗和對(duì) CPU 的使用。SSOOS 訪問控制宜按 GB/T 20271-2006 中 6.2.4.5 的要求，從以下方面實(shí)現(xiàn)操 SSOOS 的訪問控制：按會(huì)話建立機(jī)制的要求，對(duì)會(huì)話建立的管理進(jìn)行設(shè)計(jì)。在建立 SSOOS 會(huì)話之前，應(yīng)鑒別用戶的身份。登錄機(jī)制不允許鑒別機(jī)制本身被旁路；按多重并發(fā)會(huì)話限定中基本限定的要求，進(jìn)行會(huì)話管理的設(shè)計(jì)。在基于基本標(biāo)

37、識(shí)的基礎(chǔ)上，SSF 應(yīng)限制系統(tǒng)的并發(fā)會(huì)話的最大數(shù)量，并應(yīng)利用默認(rèn)值作為會(huì)話次數(shù)的限定數(shù)；按可選屬性范圍限定的要求，選擇某種會(huì)話安全屬性的所有失敗的嘗試 ，對(duì)用來建立會(huì)話的安全屬性的范圍進(jìn)行限制；成功登錄系統(tǒng)后，SSOOS 應(yīng)記錄并向用戶顯示以下數(shù)據(jù)：日期、時(shí)間、來源和上次成功登錄系統(tǒng)的情況；上次成功訪問系統(tǒng)以來身份鑒別失敗的情況；應(yīng)顯示口令到期的天數(shù)；成功或不成功的事件次數(shù)的顯示可以用整數(shù)計(jì)數(shù)、時(shí)間戳列表等表述方法。SSOOS 設(shè)計(jì)和實(shí)現(xiàn)配置管理宜按 GB/T 20271-2006 中 6.2.5.1 的要求，從以下方面實(shí)現(xiàn) SSOOS 的配置管理：在配置管理能力方面應(yīng)實(shí)現(xiàn)對(duì)版本號(hào)等方面的要求

38、；在 SSOOS 的配置管理范圍方面，應(yīng)將 SSOOS 的實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測(cè)試文檔、用戶文檔、管理員文檔以及配置管理文檔等置于配置管理之下；在系統(tǒng)的整個(gè)生存期，即在它的開發(fā)、測(cè)試和維護(hù)期間，應(yīng)有一個(gè)軟件配置管理系統(tǒng)處于保持對(duì)改變?cè)创a和文件的控制狀態(tài)。只有被授權(quán)的代碼和代碼修改才允許被加進(jìn)已交付的源碼的基本部分。所有改變應(yīng)被記載和檢查，以確保未危及系統(tǒng)的安全。在軟件配置管理系統(tǒng)中， 應(yīng)包含從源碼產(chǎn)生出系統(tǒng)新版本、鑒定新生成的系統(tǒng)版本和保護(hù)源碼免遭未授權(quán)修改的工具和規(guī)程。通過技術(shù)、物理和保安規(guī)章三方面的結(jié)合，可充分保護(hù)生成系統(tǒng)所用到的源碼免遭未授權(quán)的修改和毀壞。分發(fā)和操作宜按 GB/T 202

39、71-2006 中 6.2.5.2 的要求，從以下方面實(shí)現(xiàn) SSOOS 的分發(fā)和操作：應(yīng)以文檔形式提供對(duì) SSOOS 安全地進(jìn)行分發(fā)的過程，并對(duì)安裝、生成和啟動(dòng)的過程進(jìn)行說明， 最終生成安全的配置。文檔中所描述的內(nèi)容應(yīng)包括：提供分發(fā)的過程；安全啟動(dòng)和操作的過程；建立日志的過程；對(duì)系統(tǒng)的未授權(quán)修改的風(fēng)險(xiǎn)，應(yīng)在交付時(shí)控制到最低限度。在包裝及安全分送和安裝過程中， 這種控制應(yīng)采取軟件控制系統(tǒng)的方式，確認(rèn)安全性會(huì)由最終用戶考慮，所有安全機(jī)制都應(yīng)以功能狀態(tài)交付；所有軟件應(yīng)提供安全安裝默認(rèn)值，在客戶不做選擇時(shí)，默認(rèn)值應(yīng)使安全機(jī)制有效地發(fā)揮安全功能；隨同系統(tǒng)交付的全部默認(rèn)用戶標(biāo)識(shí)碼，應(yīng)在交付時(shí)處于非激活狀態(tài)

40、，并在使用前由管理員激活；用戶文檔應(yīng)同交付的軟件一起包裝，并應(yīng)有一套規(guī)程確保當(dāng)前送給用戶的系統(tǒng)軟件是嚴(yán)格按最新的系統(tǒng)版本來制作的。開發(fā)宜按 GB/T 20271-2006 中 6.2.5.3 的要求，從以下方面進(jìn)行 SSOOS 的開發(fā)：要求按非形式化安全策略模型、完全定義的外部接口、描述性高層設(shè)計(jì)、SSF 子集實(shí)現(xiàn)、SSF 內(nèi)部結(jié)構(gòu)層次化、描述性低層設(shè)計(jì)、非形式化對(duì)應(yīng)性說明的要求，進(jìn)行 SSOOS 的設(shè)計(jì)；系統(tǒng)的設(shè)計(jì)和開發(fā)應(yīng)保護(hù)數(shù)據(jù)的完整性，例如，檢查數(shù)據(jù)更新的規(guī)則，二重/多重輸入的正確處理，返回狀態(tài)的檢查，中間結(jié)果的檢查，合理值輸入檢查，事務(wù)處理更新的正確性檢查等；在內(nèi)部代碼檢查時(shí)，應(yīng)解決潛

41、在的安全缺陷，關(guān)閉或取消所有的后門；所有交付的軟件和文檔，應(yīng)進(jìn)行關(guān)于安全缺陷的定期的和書面的檢查，并將檢查結(jié)果告知用戶；由系統(tǒng)控制的敏感數(shù)據(jù)，如口令和密鑰等，不應(yīng)在未受保護(hù)的程序或文檔中以明文形式儲(chǔ)存；應(yīng)以書面形式向用戶提供關(guān)于軟件所有權(quán)法律保護(hù)的指南。文檔要求宜按 GB/T 20271-2006 中 6.2.5.4 的要求，從以下方面編制 SSOOS 的文檔：用戶文檔應(yīng)提供關(guān)于不同用戶的可見的安全機(jī)制以及如何利用它們的信息，描述沒有明示用戶的保護(hù)結(jié)構(gòu)，并解釋它們的用途和提供有關(guān)它們使用的指南，不應(yīng)包括那些如果公開將會(huì)危及系統(tǒng)安全的任何信息；系統(tǒng)管理員文檔應(yīng)提供：關(guān)于系統(tǒng)的安全開機(jī)、操作和重新

42、啟動(dòng)的信息，包括啟動(dòng)系統(tǒng)的過程（如引導(dǎo)系統(tǒng)進(jìn)入安全方式）、在系統(tǒng)操作失誤時(shí)恢復(fù)安全系統(tǒng)操作的過程、運(yùn)行軟件和數(shù)據(jù)備份及轉(zhuǎn)儲(chǔ)的方法和過程；一個(gè)單獨(dú)的安裝指南，詳細(xì)說明設(shè)置系統(tǒng)的配置和初始化過程，提供一個(gè)新系統(tǒng)版本的安全設(shè)置和安裝文檔，包括對(duì)所有用戶可見的安全相關(guān)過程、軟件和數(shù)據(jù)文檔的描述；安全管理員文檔應(yīng)提供：有關(guān)如何設(shè)置、維護(hù)和分析系統(tǒng)安全的詳細(xì)指導(dǎo)，包括當(dāng)運(yùn)行一個(gè)安全設(shè)備時(shí)，需要控制的有關(guān)功能和特權(quán)的警告；與安全有關(guān)的管理員功能的詳細(xì)描述，包括增加和刪除一個(gè)用戶、改變用戶的安全特征等；提供關(guān)于所有審計(jì)工具的文檔，包括為檢查和保持審計(jì)文件所推薦的過程、針對(duì)每種審計(jì)事件的詳細(xì)審計(jì)記錄文件、為周期

43、性備份和刪除審計(jì)記錄所推薦的過程、為檢查能被目錄文件所利用的磁盤剩余空間所推薦的過程；關(guān)于設(shè)置所有文件和目錄的最低訪問許可的建議；運(yùn)行文件系統(tǒng)或磁盤完整性檢測(cè)所做的建議；如何進(jìn)行系統(tǒng)自我評(píng)估的章節(jié)（帶有網(wǎng)絡(luò)管理、口令要求、撥號(hào)訪問控制、意外事故計(jì)劃的安全報(bào)告），為災(zāi)害恢復(fù)計(jì)劃所做的建議；描述普通入侵技術(shù)和其它威脅，及查出和阻止它們的方法；文檔中不應(yīng)提供任何一旦泄露將會(huì)危及系統(tǒng)安全的信息。有關(guān)安全的指令和文檔應(yīng)劃分等級(jí)分別提供給用戶、系統(tǒng)管理員和系統(tǒng)安全員。這些文檔應(yīng)為獨(dú)立的文檔，或作為獨(dú)立的章節(jié)插入到管理員指南和用戶指南中。文檔也可為硬拷貝、電子文檔或聯(lián)機(jī)文檔。如果是聯(lián)機(jī)文檔應(yīng)控制對(duì)其的訪問。

44、生存周期支持宜按 GB/T 20271-2006 中 6.2.5.5 的要求，從以下方面實(shí)現(xiàn) SSOOS 的生存周期支持：應(yīng)按開發(fā)者定義生存周期模型和明確定義開發(fā)工具的要求進(jìn)行開發(fā)，并提供開發(fā)過程中的安全措施說明；所有安全軟件應(yīng)提供安全安裝默認(rèn)值。在未做特殊選擇時(shí),應(yīng)按默認(rèn)值安裝安全機(jī)制；隨同系統(tǒng)交付的全部默認(rèn)用戶標(biāo)識(shí)號(hào)，在安裝完時(shí)應(yīng)處于非激活狀態(tài)，并由系統(tǒng)管理員加以激活；文檔應(yīng)詳細(xì)闡述安全啟動(dòng)和操作的過程，詳細(xì)說明安全功能在啟動(dòng)、正常操作維護(hù)時(shí)是否能被撤消或修改，說明在故障或系統(tǒng)出錯(cuò)時(shí)如何恢復(fù)系統(tǒng)至安全狀態(tài)；如果系統(tǒng)含有加強(qiáng)安全性的硬件，那么管理員、最終用戶或自動(dòng)的診斷測(cè)試，應(yīng)能在各自的操作

45、環(huán)境中運(yùn)行它并詳細(xì)說明操作過程。測(cè)試宜按 GB/T 20271-2006 中 6.2.5.6 的要求，從以下方面對(duì) SSOOS 進(jìn)行測(cè)試：應(yīng)通過一般功能測(cè)試，相符獨(dú)立性測(cè)試，范圍證據(jù)和范圍分析，高層設(shè)計(jì)的測(cè)試，確認(rèn) SSOOS 的功能與所要求的功能相一致；所有系統(tǒng)的安全特性，應(yīng)被全面測(cè)試，包括查找漏洞，如允許違反系統(tǒng)訪問控制要求、允許違反資源訪問控制要求、允許拒絕服務(wù)、允許多審計(jì)或驗(yàn)證數(shù)據(jù)進(jìn)行未授權(quán)訪問等。所有被發(fā)現(xiàn)的漏洞應(yīng)被改正、消除或使其無效，并在消除漏洞后重新測(cè)試，以證實(shí)它們已被消除， 且沒有引出新的漏洞；應(yīng)提供測(cè)試文檔，詳細(xì)描述測(cè)試計(jì)劃、測(cè)試過程、測(cè)試結(jié)果。脆弱性評(píng)定宜按 GB/T 2

46、0271-2006 中 6.2.5.7 的要求，從以下方面對(duì) SSOOS 進(jìn)行脆弱性評(píng)定：對(duì)防止誤用的評(píng)定，通過對(duì)文檔的檢查，查找 SSOOS 以不安全的方式進(jìn)行使用或配置而不為人們所察覺的情況；對(duì) SSOOS 安全功能強(qiáng)度評(píng)估，通過對(duì)安全機(jī)制的安全行為的合格性或統(tǒng)計(jì)結(jié)果的分析，證明其達(dá)到或超過安全目標(biāo)要求所定義的最低強(qiáng)度；開發(fā)者脆弱性分析，通過確定明顯的安全脆弱性的存在，并確認(rèn)在所期望的環(huán)境中所存在的脆弱性不會(huì)被利用。SSOOS 安全管理宜按 GB/T 20271-2006 中 6.2.6 的要求，從以下方面實(shí)現(xiàn) SSOOS 的安全管理：對(duì)相應(yīng)的 SSOOS 的訪問控制、鑒別控制、審計(jì)和安全

47、屬性管理等相關(guān)的功能，以及與一般的安裝、配置和維護(hù)有關(guān)的功能，制定相應(yīng)的操作、運(yùn)行規(guī)程和行為規(guī)章制度；根據(jù)本級(jí)中安全功能技術(shù)要求和安全保證技術(shù)要求所涉及的安全屬性，設(shè)計(jì) SSOOS 安全屬性管理；根據(jù)本級(jí)中安全功能技術(shù)要求和安全保證技術(shù)要求所涉及的安全數(shù)據(jù)，設(shè)計(jì) SSOOS 安全數(shù)據(jù)管理。第三級(jí)：安全標(biāo)記保護(hù)級(jí)安全功能身份鑒別身份鑒別包括對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和鑒別。一般應(yīng)按 GB/T 20271-2006 中 6.3.3.1 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的身份鑒別功能：按 GB/T 20271-2006 中 6.3.3.1.1 和以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶標(biāo)識(shí)功能：凡需進(jìn)入操作系統(tǒng)的用戶，

48、應(yīng)先進(jìn)行標(biāo)識(shí)（建立賬號(hào)）；操作系統(tǒng)用戶標(biāo)識(shí)應(yīng)使用用戶名和用戶標(biāo)識(shí)（UID），并在操作系統(tǒng)的整個(gè)生存周期實(shí)現(xiàn)用戶的唯一性標(biāo)識(shí)，以及用戶名或別名、UID 等之間的一致性；按 GB/T 20271-2006 中 6.3.3.1.2 和以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶鑒別功能：采用強(qiáng)化管理的口令鑒別/基于令牌的動(dòng)態(tài)口令鑒別/生物特征鑒別/數(shù)字證書鑒別等機(jī)制進(jìn)行身份鑒別，并在每次用戶登錄系統(tǒng)時(shí)進(jìn)行鑒別；鑒別信息應(yīng)是不可見的，在存儲(chǔ)和傳輸時(shí)應(yīng)按 GB/T 20271-2006 中 6.3.3.8 的要求，用加密方法進(jìn)行安全保護(hù)；通過對(duì)不成功的鑒別嘗試的值（包括嘗試次數(shù)和時(shí)間的閾值）進(jìn)行預(yù)先定義，并明確規(guī)定達(dá)到該值時(shí)

49、應(yīng)采取的措施來實(shí)現(xiàn)鑒別失敗的處理。對(duì)注冊(cè)到操作系統(tǒng)的用戶，應(yīng)按以下要求設(shè)計(jì)和實(shí)現(xiàn)用戶-主體綁定功能：將用戶進(jìn)程與所有者用戶相關(guān)聯(lián)，使用戶進(jìn)程的行為可以追溯到進(jìn)程的所有者用戶；將系統(tǒng)進(jìn)程動(dòng)態(tài)地與當(dāng)前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進(jìn)程的行為可以追溯到當(dāng)前服務(wù)的要求者用戶。自主訪問控制一般應(yīng)按 GB/T 20271-2006 中 6.3.3.3 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的自主訪問控制功能：允許命名用戶以用戶的身份規(guī)定并控制對(duì)客體的訪問，并阻止非授權(quán)用戶對(duì)客體的訪問。設(shè)置默認(rèn)功能，當(dāng)一個(gè)主體生成一個(gè)客體時(shí)，在該客體的訪問控制表中相應(yīng)地具有該主體的默認(rèn)值；有更細(xì)粒度的自主訪問控制，將訪問控制的

50、粒度控制在單個(gè)用戶。對(duì)系統(tǒng)中的每一個(gè)客體， 都應(yīng)能夠?qū)崿F(xiàn)由客體的創(chuàng)建者以用戶指定方式確定其對(duì)該客體的訪問權(quán)限，而別的同組用戶或非同組的用戶和用戶組對(duì)該客體的訪問權(quán)則應(yīng)由創(chuàng)建者用戶授予；自主訪問控制能與身份鑒別和審計(jì)相結(jié)合，通過確認(rèn)用戶身份的真實(shí)性和記錄用戶的各種成功的或不成功的訪問，使用戶對(duì)自己的行為承擔(dān)明確的責(zé)任；客體的擁有者應(yīng)是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對(duì)其擁有的客體應(yīng)具有全部控制權(quán)，但是，不允許客體擁有者把該客體的控制權(quán)分配給其他主體；定義訪問控制屬性，并保護(hù)這些屬性。主體的訪問控制屬性至少應(yīng)有：讀、寫、執(zhí)行等；客體的訪問控制屬性應(yīng)包含可分配給主體的讀、寫和執(zhí)行等權(quán)限；定義分

51、配和修改主體和客體的訪問控制屬性的規(guī)則，并執(zhí)行對(duì)主體和客體的訪問控制屬性的分配和修改，規(guī)則的結(jié)果應(yīng)達(dá)到只有被授權(quán)的用戶才允許訪問一個(gè)客體；定義主體對(duì)客體的訪問授權(quán)規(guī)則。該規(guī)則應(yīng)基于主體對(duì)客體的訪問控制屬性，授權(quán)的范圍應(yīng)包括主體和客體及相關(guān)的訪問控制屬性，同時(shí)應(yīng)指出主體和客體對(duì)這些規(guī)則應(yīng)用的類型。標(biāo)記一般應(yīng)按 GB/T 20271-2006 中 6.3.3.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的標(biāo)記功能：采用標(biāo)記的方法為操作系統(tǒng) SSOOS 安全功能控制范圍內(nèi)的主體和客體設(shè)置敏感標(biāo)記。這些敏感標(biāo)記構(gòu)成多級(jí)安全模型的的屬性庫。操作系統(tǒng)主、客體的敏感標(biāo)記應(yīng)以默認(rèn)方式生成或由安全員進(jìn)行建立、維護(hù)和

52、管理；當(dāng)信息從 SSOOS 控制范圍之內(nèi)向 SSOOS 控制范圍之外輸出時(shí)，可帶有或不帶有敏感標(biāo)記；當(dāng)信息從 SSOOS 控制范圍之外向 SSOOS 控制范圍之內(nèi)輸入時(shí)，應(yīng)通過標(biāo)記標(biāo)明其敏感標(biāo)記。強(qiáng)制訪問控制一般應(yīng)按 GB/T 20271-2006 中 6.3.3.5 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的強(qiáng)制訪問控制功能：由專門設(shè)置的系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中與強(qiáng)制訪問控制等安全機(jī)制有關(guān)的事件和信息，并將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審計(jì)管理，分別由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計(jì)員來承擔(dān)，按職能分割原則分別授予它們各自為完成自己所承擔(dān)任務(wù)所需的權(quán)限，并形成相互制約關(guān)系；強(qiáng)制訪問控制

53、應(yīng)與用戶身份鑒別、標(biāo)記等安全功能密切配合，使系統(tǒng)對(duì)用戶的安全控制包含從用戶進(jìn)入系統(tǒng)到退出系統(tǒng)的全過程，對(duì)客體的控制范圍涉及操作系統(tǒng)內(nèi)部的存儲(chǔ)、處理和傳輸過程；運(yùn)行于網(wǎng)絡(luò)環(huán)境的分布式操作系統(tǒng)，應(yīng)統(tǒng)一實(shí)現(xiàn)強(qiáng)制訪問控制功能；運(yùn)行于網(wǎng)絡(luò)環(huán)境的多臺(tái)計(jì)算機(jī)系統(tǒng)上的網(wǎng)絡(luò)操作系統(tǒng)，在需要進(jìn)行統(tǒng)一管理時(shí)，應(yīng)考慮各臺(tái)計(jì)算機(jī)操作系統(tǒng)的主、客體安全屬性設(shè)置的一致性，并實(shí)現(xiàn)跨網(wǎng)絡(luò)的 SSOOS 間用戶數(shù)據(jù)保密性和完整性保護(hù)。數(shù)據(jù)流控制對(duì)于以數(shù)據(jù)流方式實(shí)現(xiàn)數(shù)據(jù)交換的操作系統(tǒng)，一般應(yīng)按 GB/T 20271-2006 中 6.3.3.6 的要求，設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的數(shù)據(jù)流控制功能。安全審計(jì)一般應(yīng)按 GB/T 20271-2

54、006 中 6.3.2.4 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的安全審計(jì)功能：安全審計(jì)功能應(yīng)與身份鑒別、自主訪問控制、標(biāo)記、強(qiáng)制訪問控制及完整性控制等安全功能緊密結(jié)合；提供審計(jì)日志、實(shí)時(shí)報(bào)警生成，潛在侵害分析、基于異常檢測(cè)，基本審計(jì)查閱、有限審計(jì)查閱和可選審計(jì)查閱，安全審計(jì)事件選擇，以及受保護(hù)的審計(jì)蹤跡存儲(chǔ)和審計(jì)數(shù)據(jù)的可用性確保等功能；能夠生成、維護(hù)及保護(hù)審計(jì)過程，使其免遭修改、非法訪問及破壞，特別要保護(hù)審計(jì)數(shù)據(jù)， 要嚴(yán)格限制未經(jīng)授權(quán)的用戶訪問；能夠創(chuàng)建并維護(hù)一個(gè)對(duì)受保護(hù)客體訪問的審計(jì)跟蹤，保護(hù)審計(jì)記錄不被未授權(quán)的訪問、修改和破壞；指出可記錄的審計(jì)事件的最少類型，包括建立會(huì)話登錄成功和失敗，

55、使用的系統(tǒng)接口，系統(tǒng)數(shù)據(jù)庫管理的改變（改變用戶賬戶屬性、審計(jì)跟蹤設(shè)置和分析、為程序分配設(shè)置用戶 ID、附加或改變系統(tǒng)程序或進(jìn)程、改變?nèi)掌诤蜁r(shí)間等），超級(jí)用戶命令改變用戶身份、將某個(gè)客體引入某個(gè)用戶的地址空間（如打開文件）、刪除客體及計(jì)算機(jī)操作員、系統(tǒng)管理員與系統(tǒng)安全管理員進(jìn)程的操作等。當(dāng)審計(jì)激活時(shí)應(yīng)確保審計(jì)跟蹤事件的完整性；應(yīng)提供一個(gè)機(jī)制來顯示當(dāng)前選擇的審計(jì)事件，這個(gè)機(jī)制的使用者應(yīng)是有限的授權(quán)用戶；每個(gè)事件的數(shù)據(jù)記錄，應(yīng)包括的信息有：事件發(fā)生的日期和時(shí)間、觸發(fā)事件的用戶、事件的類型、事件成功或失敗等。對(duì)于身份標(biāo)識(shí)和鑒別事件，應(yīng)記錄請(qǐng)求的源（如末端號(hào)或網(wǎng)絡(luò)地址）；對(duì)于創(chuàng)建和刪除客體的事件，應(yīng)記錄

56、客體的名字和客體的安全屬性；應(yīng)提供一個(gè)受保護(hù)的打開和關(guān)閉審計(jì)的機(jī)制。該機(jī)制能選擇和改變審計(jì)事件，并在系統(tǒng)工作時(shí)處于默認(rèn)狀態(tài)；該機(jī)制的使用應(yīng)受到系統(tǒng)管理員的授權(quán)限制，系統(tǒng)管理員應(yīng)能夠選擇一個(gè)或多個(gè)基于身份鑒別或客體屬性的用戶的審計(jì)活動(dòng)；審計(jì)工具應(yīng)能夠授權(quán)個(gè)人監(jiān)察和瀏覽審計(jì)數(shù)據(jù)，同時(shí)數(shù)據(jù)應(yīng)得到授權(quán)的使用、修改和刪除；應(yīng)提供對(duì)審計(jì)跟蹤管理功能的保護(hù)，使之可以完成審計(jì)跟蹤的創(chuàng)建、破壞、騰空和存檔；系統(tǒng)管理員應(yīng)能夠定義超過審計(jì)跟蹤極限的閾值；當(dāng)存儲(chǔ)空間被耗盡時(shí)，應(yīng)能按管理員的指定決定采取的措施，包括：報(bào)警并丟棄未記錄的審計(jì)信息、暫停審計(jì)、覆蓋以前的審計(jì)記錄等。用戶數(shù)據(jù)完整性一般應(yīng)按 GB/T 20271

57、-2006 中 6.3.3.7 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)完整性保護(hù)功能：應(yīng)為操作系統(tǒng) SSOOS 安全功能控制范圍內(nèi)的主體和客體設(shè)置完整性標(biāo)簽（IL），并建立完整性保護(hù)策略模型，保護(hù)用戶數(shù)據(jù)在存儲(chǔ)、傳輸和處理過程中的完整性；在對(duì)數(shù)據(jù)進(jìn)行訪問操作時(shí)，檢查存儲(chǔ)在存儲(chǔ)介質(zhì)上的用戶數(shù)據(jù)是否出現(xiàn)完整性錯(cuò)誤，并在檢測(cè)到完整性錯(cuò)誤時(shí)進(jìn)行恢復(fù)?？赏ㄟ^密碼支持系統(tǒng)所提供的完整性功能，對(duì)加密存儲(chǔ)的數(shù)據(jù)進(jìn)行完整性保護(hù)。操作系統(tǒng)對(duì)磁盤設(shè)備中存儲(chǔ)的數(shù)據(jù)，可通過增加磁盤掃描程序?qū)崿F(xiàn)以下功能：自動(dòng)檢查文件與磁盤表面是否完好；將磁盤表面的問題自動(dòng)記錄下來；隨時(shí)檢查、診斷和修復(fù)磁盤上的錯(cuò)誤；修復(fù)扇區(qū)交錯(cuò)和

58、扇區(qū)流失；將數(shù)據(jù)移到好的扇區(qū)；可增加硬盤數(shù)據(jù)備份和修復(fù)程序，將硬盤中的數(shù)據(jù)壓縮、備份，并在必要時(shí)恢復(fù)；在操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)，如進(jìn)程間的通信，應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。完整性標(biāo)簽應(yīng)隨數(shù)據(jù)一起流動(dòng)，系統(tǒng)應(yīng)保證低完整性的數(shù)據(jù)不能插入、覆蓋到高完整性的數(shù)據(jù)；對(duì)操作系統(tǒng)中處理的數(shù)據(jù)，應(yīng)按回退的要求設(shè)計(jì)相應(yīng)的 SSOOS 安全功能模塊，進(jìn)行異常情況的操作序列回退，以確保用戶數(shù)據(jù)的完整性。系統(tǒng)應(yīng)保證在處理過程中不降低數(shù)據(jù)完整性的級(jí)別。用戶數(shù)據(jù)保密性一般應(yīng)按 GB/T 20271-2006 中 6.3.3.8 的要求，從以下方面設(shè)計(jì)和實(shí)現(xiàn)操作系統(tǒng)的用戶數(shù)據(jù)保密性保護(hù)功能：應(yīng)確保動(dòng)態(tài)分配與管理的資

59、源，在保持信息安全的情況下被再利用，主要包括：確保非授權(quán)用戶不能查找使用后返還系統(tǒng)的記錄介質(zhì)中的信息內(nèi)容；確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記錄介質(zhì)中以前的信息內(nèi)容；在單用戶系統(tǒng)中，存儲(chǔ)器保護(hù)應(yīng)防止用戶進(jìn)程影響系統(tǒng)的運(yùn)行；在多用戶系統(tǒng)中，存儲(chǔ)器保護(hù)應(yīng)保證系統(tǒng)內(nèi)各個(gè)用戶之間互不干擾；存儲(chǔ)器保護(hù)應(yīng)包括:對(duì)存儲(chǔ)單元的地址的保護(hù)，使非法用戶不能訪問那些受到保護(hù)的存儲(chǔ)單元；對(duì)被保護(hù)的存儲(chǔ)單元的操作提供各種類型的保護(hù)，最基本的保護(hù)類型是“讀/寫”和“只讀”，不能讀/寫的存儲(chǔ)單元，若被用戶讀/寫時(shí)，系統(tǒng)應(yīng)及時(shí)發(fā)出警報(bào)或中斷程序執(zhí)行；可采用邏輯隔離的方法進(jìn)行存儲(chǔ)器保護(hù)，具體有：界限地址寄存器保護(hù)法、內(nèi)存

60、標(biāo)志法、鎖保護(hù)法和特征位保護(hù)法等。SSOOS 自身安全保護(hù)SSF 物理安全保護(hù)一般應(yīng)按 GB/T 20271-2006 中 6.3.4.1 的要求，實(shí)現(xiàn) SSF 的物理安全保護(hù)，通過對(duì)物理攻擊的檢查和自動(dòng)報(bào)告，及時(shí)發(fā)現(xiàn)以物理方式的攻擊對(duì) SSF 造成的威脅和破壞。SSF 運(yùn)行安全保護(hù)一般應(yīng)按 GB/T 20271-2006 中 6.3.4.2 的要求，從以下方面實(shí)現(xiàn) SSF 的運(yùn)行安全保護(hù)：系統(tǒng)在設(shè)計(jì)時(shí)不應(yīng)留有“后門”。即不應(yīng)以維護(hù)、支持或操作需要為借口，設(shè)計(jì)有違反或繞過安全規(guī)則的任何類型的入口和文檔中未說明的任何模式的入口；安全結(jié)構(gòu)應(yīng)是一個(gè)獨(dú)立的、嚴(yán)格定義的系統(tǒng)軟件的一個(gè)子集，并應(yīng)防止外部干