TTAF 249-2024 網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核安全技術(shù)要求

電信終端產(chǎn)業(yè)協(xié)會發(fā)布I 1 1 1 1 2 2 2 2 3 3 4 5 5 6 6 8 本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定1網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核安全技術(shù)要求訪問控制要求、存儲安全要求、通信安全要求、密碼安全要求），GB/T25069-2022信息安全技術(shù)術(shù)語GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文操作系統(tǒng)內(nèi)核operatingsystem4縮略語2API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）ASLR：地址空間布局隨機化（AddressSpaceLayoutRDFI：動態(tài)流檢測（DynamicFlowInspecti操作系統(tǒng)內(nèi)核是網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)/軟件部分的核心，是基于硬件的第一層軟件擴充，提供操作系備驅(qū)動程序、文件和網(wǎng)絡(luò)系統(tǒng)，其決定著系統(tǒng)的性能網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核架構(gòu)應(yīng)支持對用戶態(tài)b)應(yīng)支持在加載動態(tài)擴展的可執(zhí)行文件時進行完整性校驗，例如升級3a)應(yīng)支持只讀文件完整性保護機制，在用戶態(tài)進程讀取只讀文件時，操作系統(tǒng)內(nèi)核應(yīng)支持對讀b)應(yīng)支持全盤文件系統(tǒng)完整性保護機制，確保讀取內(nèi)容的完整性；c)應(yīng)支持代碼段完整性保護機制，對可執(zhí)行文件代碼段在其生命周期內(nèi)進行完整性保護，保護e)應(yīng)支持前向控制流完整性保護，限制程序運行中的控制流轉(zhuǎn)移，使其始終處于原有的控制流f)應(yīng)支持后向控制流完整性保護，保護返回指令的控制流轉(zhuǎn)移的完整性，使其始終處于原有的網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核支持虛擬化時，應(yīng)保a)應(yīng)支持內(nèi)核服務(wù)之間內(nèi)存空間和資源隔離；b)應(yīng)保證服務(wù)出現(xiàn)故障重啟時，不影響其他服務(wù)的正常運行；c)應(yīng)限制攻擊對內(nèi)核服務(wù)的影響，如：驅(qū)動地址空a)客體的擁有者對其擁有的全部客體應(yīng)有權(quán)修改其訪問權(quán)限；b)客體的擁有者應(yīng)能對其擁有的客體設(shè)置其他同組用戶的訪問控制屬性，訪問控制屬性包含但4c)客體的擁有者應(yīng)能對其擁有的客體設(shè)置其他用戶的訪問控制屬性，訪問控制屬性包含但不限d)主體對客體的訪問應(yīng)遵循該客體的自主訪問控制權(quán)限屬性；e)客體的擁有者應(yīng)能對其擁有的客體設(shè)置單個用戶或組的訪問控制屬性，訪問控制屬性包括但f)客體的擁有者應(yīng)能將訪問控制客體的顆粒度控制在文件和目錄；a)應(yīng)采用標記的方法為系統(tǒng)所有主體和客體（包括系統(tǒng)所有的進程、文件、目錄等）標明其安b)應(yīng)基于標記和安全策略模型，實現(xiàn)主體對客體讀、寫c)應(yīng)與用戶身份鑒別、標記等安全功能緊密結(jié)合，包含但不限于：d)強制訪問控制應(yīng)與審計功能相結(jié)合，記錄用戶的各種行為。a)應(yīng)僅給主體（如內(nèi)核服務(wù)、用戶態(tài)驅(qū)動、進程等）分配完成其操作所必須的最小的權(quán)限；b)在未配置權(quán)限、不授權(quán)、不傳遞權(quán)限的情況下，主體應(yīng)默認不具備任何權(quán)限；c)創(chuàng)建用戶時，應(yīng)設(shè)置分組，并為每個用戶和組分配最小控制權(quán)限，如讀和執(zhí)行權(quán)限，避免高d)應(yīng)設(shè)置強制訪問控制機制，限制進程和用戶的授權(quán)范圍，防止提升權(quán)限和越權(quán)訪問。a)應(yīng)支持磁盤加密能力；b)支持盤級加密或文件級加密時，應(yīng)為不同的盤、卷、c)應(yīng)提供文件加密服務(wù)，允許用戶對指定的文件和目錄進行單獨加密；d)文件加密密鑰應(yīng)滿足7.6小節(jié)中的要求；f)應(yīng)提供文件系統(tǒng)和磁盤的完整性檢查功能；h)應(yīng)使用訪問控制機制限制對文件系統(tǒng)5a)應(yīng)支持內(nèi)存中數(shù)據(jù)加密機制，避免通過直接物理內(nèi)存、重映射、冷啟動等方式獲取內(nèi)存中的d)內(nèi)存資源被回收或再分配時，應(yīng)保證其中所留存的信息不可用或清c)應(yīng)提供通信雙方的身份認證機制，以保障安全通信通道的建立。網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核在提供用戶態(tài)通信機制時，除了滿足7.5.1的通網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核提供的對外通信機制除了應(yīng)滿足7.5.1的通用要a)應(yīng)對網(wǎng)絡(luò)模塊接口進行權(quán)限管控，只有被授權(quán)的進程才能訪問網(wǎng)絡(luò)；b)應(yīng)提供數(shù)據(jù)交換中參與方防抵賴機制。a)應(yīng)支持硬件可信芯片作為信任根；c)應(yīng)對密鑰提供基于硬件信任根的可信存儲支持；d)應(yīng)提供標準化的密鑰管理機制用以生成、分發(fā)、存儲、更新和撤銷加密密鑰、證書，以確保密鑰、證書的安全性和完整性，且該機制應(yīng)提供系統(tǒng)調(diào)用供用戶態(tài)程序管理密鑰、證e)密鑰管理機制應(yīng)加密保護被管理的密鑰、證書，防止密鑰、證書被竊取；6g)密鑰管理機制應(yīng)具備訪問控制功能，以限制a)應(yīng)在系統(tǒng)服務(wù)入口點進行業(yè)務(wù)監(jiān)控，對內(nèi)核態(tài)信息進行收集和分析；c)應(yīng)對系統(tǒng)服務(wù)信息進行收集和分析，識別出基礎(chǔ)的異常狀態(tài)或異常動作。d)應(yīng)采用StackCanary等機制對棧進行保護；e)應(yīng)支持地址空間布局隨機化（ASLR）機制；f)應(yīng)支持內(nèi)核鏡像加載時的物理地址隨機化。a)網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核應(yīng)至少為以下可審計事件生成日志記錄：5)系統(tǒng)配置更改，包括對系統(tǒng)參數(shù)、安全策略、防火墻71)以明文形式存在的敏感信息，如用戶口令、加密密鑰、訪問令牌、APa)應(yīng)支持異常行為檢測，如未授權(quán)訪問、b)應(yīng)支持安全策略設(shè)置和調(diào)整，如設(shè)置檢測規(guī)則、根據(jù)異常行為檢測結(jié)果調(diào)整用戶權(quán)限、訪問a)應(yīng)為存儲區(qū)域或設(shè)備提供訪問控制機制，防b)應(yīng)限制對日志的訪問權(quán)限，普通用戶只能產(chǎn)生日志，不應(yīng)有讀取、f)應(yīng)提供日志記錄的定期備份功能。a)應(yīng)為日志審計功能提供時間戳，在生成日志時，應(yīng)將日志內(nèi)容與權(quán)威時間一起進行存儲或傳8表A.1網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核安全技術(shù) 9表A.1網(wǎng)絡(luò)產(chǎn)品操作系統(tǒng)內(nèi)核安全技術(shù)要求條 a)系統(tǒng)配置數(shù)據(jù)，如安全啟動驗簽密鑰；f)運行中的代碼和進程。1)攻擊者通過替換或篡改內(nèi)核可執(zhí)行文件或其升級包，注入惡意代碼加載運行；2)攻擊者通過篡改進程讀取的數(shù)據(jù)，注入惡意數(shù)據(jù)；3)攻擊者通過篡改進程數(shù)據(jù)流和控制流，實施惡意行為。1)隔離機制設(shè)計不嚴謹，導(dǎo)致攻擊者突破不同區(qū)域的邊界訪問其不應(yīng)訪問的內(nèi)容，例如用2)訪問控制機制設(shè)計不嚴謹，被攻擊者利用，濫用權(quán)限或越權(quán)訪問資源。1)持久化存儲數(shù)據(jù)未進行安全保護，導(dǎo)致攻擊者可以獲取敏感數(shù)據(jù)、篡改或替換關(guān)鍵配置2)內(nèi)存中的易失性數(shù)據(jù)未進行安全保護，導(dǎo)致攻擊者可以從內(nèi)存中抓取敏