信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求-編制說明

5/101.概述1.1項目背景GB/T20272-2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》是2006年頒布的、適用于安全操作系統(tǒng)產(chǎn)品的國家標(biāo)準(zhǔn)。GB/T20272-2006對安全操作系統(tǒng)的要求進(jìn)行了等級的劃分，分為五級，包括第一級用戶自主保護(hù)級、第二級系統(tǒng)審計保護(hù)級、第三級安全標(biāo)記保護(hù)級、第四級結(jié)構(gòu)化保護(hù)級和第五級訪問驗證保護(hù)級。每一級的主要組成為：安全功能、SSOOS自身安全保護(hù)、SSOOS設(shè)計和實現(xiàn)。隨著信息技術(shù)和安全操作系統(tǒng)技術(shù)的發(fā)展，GB/T20272-2006中的部分安全功能不再適用于現(xiàn)有安全操作系統(tǒng)。隨著攻擊手段的不斷變化，需要對安全操作系統(tǒng)增加一些新的安全功能。同時隨著用戶需求的發(fā)展，對安全操作系統(tǒng)提出了新的要求和需求。此外，原有的SSOOS設(shè)計和實現(xiàn)（安全保證要求）主要是參照GB/T18336-3：2001《信息技術(shù)安全技術(shù)IT安全性評估準(zhǔn)則第3部分：安全保證要求》來制訂了，目前GB/T18336-3已經(jīng)發(fā)布了2015版本，和2001版相比有了非常大的修訂。因此，需要對現(xiàn)有國標(biāo)GB/T20272-2006進(jìn)行修訂和補(bǔ)充。本項目的目標(biāo)是對國家標(biāo)準(zhǔn)GB/T20272-2006進(jìn)行修訂，刪除部分已經(jīng)不適用于目前安全操作系統(tǒng)的安全功能，增加一些新的安全功能，修改部分描述不夠清晰的安全功能要求、SSOOS自身安全保護(hù)要求、SSOOS設(shè)計和實現(xiàn)（安全保證要求），使得修訂后的標(biāo)準(zhǔn)能夠適應(yīng)現(xiàn)有的技術(shù)發(fā)展，適應(yīng)國家對自主知識產(chǎn)權(quán)安全操作系統(tǒng)的迫切需求，對現(xiàn)有安全操作系統(tǒng)的開發(fā)者提供指導(dǎo)作用、為安全操作系統(tǒng)的測試者提供測試依據(jù)。1.2項目來源按照2015年全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會的國家標(biāo)準(zhǔn)制定計劃，公安部第三研究所聯(lián)合北京江南天安科技有限公司、中科方德軟件有限公司、中標(biāo)軟件有限公司、天津麒麟信息技術(shù)有限公司、普華基礎(chǔ)軟件股份有限公司聯(lián)合申報了GB/T20272-2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》的修訂工作。本項目在2015年7月獲得批準(zhǔn)，項目編號為：2015bzxd-WG5-002，主要起草單位為公安部第三研究所、北京江南天安科技有限公司、中科方德軟件有限公司、中標(biāo)軟件有限公司、天津麒麟信息技術(shù)有限公司、普華基礎(chǔ)軟件股份有限公司。1.3編制意義和目的為了規(guī)范安全操作系統(tǒng)的研發(fā)和應(yīng)用，修訂后的《操作系統(tǒng)安全技術(shù)要求》對國內(nèi)的安全操作系統(tǒng)提出統(tǒng)一的安全技術(shù)要求，從安全功能、SSOOS自身安全保護(hù)、SSOOS設(shè)計和實現(xiàn)要求三個方面對安全操作系統(tǒng)產(chǎn)品進(jìn)行全面評價。國內(nèi)的安全操作系統(tǒng)廠商能夠依據(jù)本標(biāo)準(zhǔn)研制、開發(fā)出符合一系列安全等級要求的產(chǎn)品，以滿足國內(nèi)用戶的迫切需求，提高國家重要信息系統(tǒng)的安全保障能力。國內(nèi)的檢測機(jī)構(gòu)根據(jù)本標(biāo)準(zhǔn)，能夠?qū)Π踩僮飨到y(tǒng)進(jìn)行標(biāo)準(zhǔn)化的測試和評價，從而保證測試評價結(jié)果的完整性和一致性。1.4編制依據(jù)《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》在編制時，參考了我國信息安全等級保護(hù)技術(shù)需求以及計算機(jī)安全技術(shù)開發(fā)成果及產(chǎn)業(yè)狀況，同時結(jié)合了多個現(xiàn)行的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)而撰寫完成的。本標(biāo)準(zhǔn)引用或參考的標(biāo)準(zhǔn)有：GB17859-1999計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB/T18336.3-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件GB/T20271-2006信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T29240-2012信息安全技術(shù)終端計算機(jī)通用安全技術(shù)要求與測試評價方法1.5編制原則本標(biāo)準(zhǔn)是對GB/T20272-2006的修訂，在總體架構(gòu)上和原標(biāo)準(zhǔn)基本保持一致，將操作系統(tǒng)安全技術(shù)要求分為五個等級：第一級用戶自主保護(hù)級、第二級系統(tǒng)審計保護(hù)級、第三級安全標(biāo)記保護(hù)級、第四級結(jié)構(gòu)化保護(hù)級和第五級訪問驗證保護(hù)級。每一級的主要組成為：安全功能、SSOOS自身安全保護(hù)、安全保障要求。修訂過程主要把握了如下的原則：1）、全局性、系統(tǒng)性原則本標(biāo)準(zhǔn)遵從等級保護(hù)體系的整體思路與方法，以《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》(GB17859-1999)為指導(dǎo)，以《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)和《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本技術(shù)要求》（GB/T22239-2008）為基礎(chǔ)和藍(lán)本，確立操作系統(tǒng)各等級的安全技術(shù)要求。2）、適用性原則本標(biāo)準(zhǔn)在清晰分析我國安全操作系統(tǒng)全技術(shù)現(xiàn)狀和實際需求的基礎(chǔ)上，充分考慮我國相關(guān)廠商的產(chǎn)業(yè)化能力，提出合適的安全技術(shù)指標(biāo)體系與內(nèi)容，使標(biāo)準(zhǔn)真正發(fā)揮出實效。3）、先進(jìn)性原則根據(jù)當(dāng)前計算機(jī)安全技術(shù)與產(chǎn)業(yè)發(fā)展趨勢，構(gòu)建操作下體安全技術(shù)框架，進(jìn)而形成相應(yīng)的安全功能技術(shù)要求與分等級安全技術(shù)要求。2.主要工作過程2.1成立編制組2015年7月，由公安部第三研究所、北京江南天安科技有限公司、中科方德軟件有限公司、中標(biāo)軟件有限公司、天津麒麟信息技術(shù)有限公司、普華基礎(chǔ)軟件股份有限公司聯(lián)合成立了《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》標(biāo)準(zhǔn)編制組，由6個單位的技術(shù)骨干組成，計23人。2.2制定工作計劃按照項目計劃要求，標(biāo)準(zhǔn)編制組專門制定了工作計劃，并確定編制組人員例會機(jī)制。采用的編制方式是：先會議集中討論，定思路和內(nèi)容框架，然后分頭編寫內(nèi)容，再集中評議和修改內(nèi)容，形成穩(wěn)定版本后再向國內(nèi)相關(guān)專家進(jìn)行咨詢，聽取意見和修改文本。本項目組一直按這種方式開展工作。2.3確定編制內(nèi)容經(jīng)過標(biāo)準(zhǔn)編制組充分討論和醞釀，本標(biāo)準(zhǔn)從國內(nèi)用戶的實際需求和國內(nèi)安全操作系統(tǒng)產(chǎn)品的技術(shù)現(xiàn)狀，從以下方面規(guī)定了操作系統(tǒng)安全技術(shù)要求的編制內(nèi)容：對GB/T20272-2006中的內(nèi)容進(jìn)行了仔細(xì)梳理，對于不再適合目前實際需要的部分內(nèi)容進(jìn)行了刪減，對部分項目進(jìn)行了文字修改，對標(biāo)準(zhǔn)的文本結(jié)構(gòu)進(jìn)行了調(diào)整；根據(jù)最新的技術(shù)發(fā)展，為抵御攻擊手段的不斷變化，增加一些新的安全功能；基于GB/T18336-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則》的保障要求，對GB/T20272-2006的“SSOOS設(shè)計和實現(xiàn)”內(nèi)容進(jìn)行了同步更新。面向國內(nèi)主流的安全操作系統(tǒng)廠商，廣泛調(diào)研和征求意見，爭取最為廣泛的共識，以滿足國內(nèi)對自主知識產(chǎn)權(quán)安全操作系統(tǒng)的要求。2.4編制工作簡要過程2015年7月-12月，制訂了《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（標(biāo)準(zhǔn)草案第一稿）；2016年1月-5月，在標(biāo)準(zhǔn)編制組內(nèi)部通過郵件方式進(jìn)行了討論，形成了標(biāo)準(zhǔn)草案第二稿；2016年5月13日，標(biāo)準(zhǔn)編制組在上海的公安部第三研究所召開了第一次工作會議，現(xiàn)場對標(biāo)準(zhǔn)文本進(jìn)行了討論。根據(jù)會議討論意見，修改完善后形成了標(biāo)準(zhǔn)草案第三稿；2016年6月~7月，在標(biāo)準(zhǔn)編制組內(nèi)部通過郵件方式進(jìn)行了討論，形成了標(biāo)準(zhǔn)草案第四稿；2016年8月9日，標(biāo)準(zhǔn)編制組在北京的中標(biāo)軟件有限公司召開了第二次工作會議，現(xiàn)場對標(biāo)準(zhǔn)文本進(jìn)行了討論。根據(jù)會議討論意見，修改完善后形成了標(biāo)準(zhǔn)草案第五稿；2016年8月，根據(jù)國家信息中心、IBM公司等工作組成員單位的反饋意見，對標(biāo)準(zhǔn)文本進(jìn)行修改完善，形成了標(biāo)準(zhǔn)草案第六稿；2016年8月25日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG5工作組在北京組織召開了在研標(biāo)準(zhǔn)推進(jìn)會。WG5工作組的全體成員單位審議了本標(biāo)準(zhǔn)，并對標(biāo)準(zhǔn)進(jìn)行了討論和質(zhì)詢。經(jīng)會議討論，同意本標(biāo)準(zhǔn)由草案推進(jìn)為征求意見稿。編制組根據(jù)會議討論意見，修改完善后形成了征求意見稿（第1稿）。3.標(biāo)準(zhǔn)主要內(nèi)容本標(biāo)準(zhǔn)的主要內(nèi)容為：1) 安全功能：定義了操作系統(tǒng)應(yīng)該具備的以下安全功能要求：身份鑒別、自主訪問控制、標(biāo)記和強(qiáng)制訪問控制、安全審計、用戶數(shù)據(jù)完整性、數(shù)據(jù)保密性、可信路徑、網(wǎng)絡(luò)安全保護(hù)。2) SSOOS自身安全保護(hù)：定義了操作系統(tǒng)應(yīng)該具備的以下自身安全保護(hù)要求：SSF運(yùn)行安全保護(hù)、SSF數(shù)據(jù)安全保護(hù)、資源利用、SSOOS訪問控制、可信度量、安全策略配置。3) 安全保障要求：基于GB/T18336.3-2015《信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件》，定義了操作系統(tǒng)安全保障要求：開發(fā)、指導(dǎo)性文檔、生命周期支持、測試、脆弱性評定。本標(biāo)準(zhǔn)將操作系統(tǒng)分為五個安全等級：第一級用戶自主保護(hù)級、第二級系統(tǒng)審計保護(hù)級、第三級安全標(biāo)記保護(hù)級、第四級結(jié)構(gòu)化保護(hù)級和第五級訪問驗證保護(hù)級。第一級的安全要求最低，第五級的安全要求最高。安全等級越高，其安全要求就越多。本標(biāo)準(zhǔn)的目錄結(jié)構(gòu)如下：目次前言引言1范圍2規(guī)范性引用文件3術(shù)語、定義和縮略語3.1術(shù)語和定義3.2縮略語4安全技術(shù)要求4.1第一級：用戶自主保護(hù)級4.1.1安全功能4.1.1.1身份鑒別4.1.1.2自主訪問控制4.1.1.3數(shù)據(jù)完整性4.1.1.4數(shù)據(jù)保密性4.1.1.5網(wǎng)絡(luò)安全保護(hù)4.1.2SSOOS自身安全保護(hù)4.1.2.1SSF運(yùn)行安全保護(hù)4.1.2.2資源利用4.1.2.3用戶登錄訪問控制4.1.2.4安全策略配置4.1.3安全保障要求4.1.3.1開發(fā)4.1.3.2指導(dǎo)性文檔4.1.3.3生命周期支持4.1.3.4測試4.1.3.5脆弱性評定4.2第二級：系統(tǒng)審計保護(hù)級4.2.1安全功能4.2.1.1身份鑒別4.2.1.2自主訪問控制4.2.1.3安全審計4.2.1.4數(shù)據(jù)完整性4.2.1.5數(shù)據(jù)保密性4.2.1.6網(wǎng)絡(luò)安全保護(hù)4.2.2SSOOS自身安全保護(hù)4.2.2.1SSF運(yùn)行安全保護(hù)4.2.2.2資源利用4.2.2.3用戶登錄訪問控制4.2.2.4可信度量4.2.2.5安全策略配置4.2.3安全保障要求4.2.3.1開發(fā)4.2.3.2指導(dǎo)性文檔4.2.3.3生命周期支持4.2.3.4測試4.2.3.5脆弱性評定4.3第三級：安全標(biāo)記保護(hù)級4.3.1安全功能4.3.1.1身份鑒別4.3.1.2自主訪問控制4.3.1.3標(biāo)記和強(qiáng)制訪問控制4.3.1.4安全審計4.3.1.5數(shù)據(jù)完整性4.3.1.6數(shù)據(jù)保密性4.3.1.7網(wǎng)絡(luò)安全保護(hù)4.3.2SSOOS自身安全保護(hù)4.3.2.1SSF運(yùn)行安全保護(hù)4.3.2.2資源利用4.3.2.3用戶登錄訪問控制4.3.2.4可信度量4.3.2.5安全策略配置4.3.3安全保障要求4.3.3.1開發(fā)4.3.3.2指導(dǎo)性文檔4.3.3.3生命周期支持4.3.3.4測試4.3.3.5脆弱性評定4.4第四級：結(jié)構(gòu)化保護(hù)級4.4.1安全功能4.4.1.1身份鑒別4.4.1.2自主訪問控制4.4.1.3標(biāo)記和強(qiáng)制訪問控制4.4.1.4安全審計4.4.1.5數(shù)據(jù)完整性4.4.1.6數(shù)據(jù)保密性4.4.1.7可信路徑4.4.1.8網(wǎng)絡(luò)安全保護(hù)4.4.2SSOOS自身安全保護(hù)4.4.2.1SSF運(yùn)行安全保護(hù)4.4.2.2資源利用4.4.2.3用戶登錄訪問控制4.4.2.4可信度量4.4.2.5安全策略配置4.4.3安全保障要求4.4.3.1開發(fā)4.4.3.2指導(dǎo)性文檔4.4.3.3生命周期支持4.4.3.4測試4.4.3.5脆弱性評定4.5第五級：訪問驗證保護(hù)級4.5.1安全功能4.5.1.1身份鑒別4.5.1.2自主訪問控制4.5.1.3標(biāo)記和強(qiáng)制訪問控制4.5.1.4安全審計4.5.1.5數(shù)據(jù)完整性4.5.1.6數(shù)據(jù)保密性4.5.1.7可信路徑4.5.1.8網(wǎng)絡(luò)安全保護(hù)4.5.2SSOOS自身安全保護(hù)4.5.2.1SSF運(yùn)行安全保護(hù)4.5.2.2資源利用4.5.2.3用戶登錄訪問控制4.5.2.4可信度量4.5.2.5安全策略配置4.5.3安全保障要求4.5.3.1開發(fā)4.5.3.2指導(dǎo)性文檔4.5.3.3生命周期支持4.5.3.4測試4.5.3.5脆弱性評定參考文獻(xiàn)4．安全等級劃分原則本標(biāo)準(zhǔn)是對GB/T20272-2006的修訂，在總體架構(gòu)上和原標(biāo)準(zhǔn)基本保持一致，將操作系統(tǒng)安全技術(shù)要求分為五個等級：第一級用戶自主保護(hù)級、第二級系統(tǒng)審計保護(hù)級、第三級安全標(biāo)記保護(hù)級、第四級結(jié)構(gòu)化保護(hù)級和第五級訪問驗證保護(hù)級。在安全保障要求方面，第一級對應(yīng)GB/T18336.3-2015的EAL2級；第二級對應(yīng)GB/T18336.3-2015的EAL3級；第三級對應(yīng)GB/T18336.3-2015的EAL4級；第四級對應(yīng)GB/T18336.3-2015的EAL5級；第五級對應(yīng)GB/T18336.3-2015的EAL6級。5. 與國外同類標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的“安全保障要求”引用了《GB/T18336.3-2015信息技術(shù)安全技術(shù)信息技術(shù)安全評估準(zhǔn)則第3部分：安全保障組件》（IDTISO/IEC15408-2008Informationtechnology--Securitytechniques--EvaluationcriteriaforITsecurity）。本標(biāo)準(zhǔn)根據(jù)最新發(fā)布的GB/T18336-2015對標(biāo)準(zhǔn)文本進(jìn)行了修改完善，因此本標(biāo)準(zhǔn)間接引用了ISO/IEC15408:2008中的安全保障組件。6．與我國現(xiàn)行法律法規(guī)的關(guān)系2007年6月23日，公安部會同國家保密局、國家密碼管理局和國務(wù)院信息化工作辦公室，發(fā)布了《信息安全等級保護(hù)管理辦法》。管理辦法根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素，將國內(nèi)信息系統(tǒng)的安全保護(hù)等級分為5個等級。本標(biāo)準(zhǔn)將操作系統(tǒng)安全技術(shù)要求分為五個等級，和等級保