1、183;33A.2关于安全等级划分的说明33A.3关于主体、客体的进一步说明二34A.4关于TCB的进一步说明,34A.5关于密码技术的说明”二34参考文献。GA/T 388-2002前言GB 17859-1999计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级管理的重要标准,已于1999年9月13日发布。为促进安全等级管理工作的正常有序开展,特制定一系列相关的标准,包括:计算机信息系统安全等级保护技术要求系列标准;计算机信息系统安全等级保护管理要求;计算机信息系统安全等级保护工程实施要求;计算机信息系统安全等级保护评测系列标准。其中,计算机信息系统安全等级保护技术要求系列标准由
2、以下标准和其他相关标准组成:GA/T 390-2002计算机信息系统安全等级保护通用技术要求;GA/T 387-2002计算机信息系统安全等级保护网络技术要求;GA/T 388-2002计算机信息系统安全等级保护操作系统技术要求;GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求本标准是计算机信息系统安全等级保护技术要求系列标准中的第3项。本标准的附录A是资料性附录。本标准由中华人民共和国公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:江南计算技术研究所。本标准主要起草人:汪晓茵、吉增瑞、徐良华、袁志平。GA/T 388
3、-2002引言本标准是计算机信息系统安全等级保护技术要求系列标准的重要组成部分,用以指导设计者如何设计和实现具有所需要的安全等级的操作系统,主要从对操作系统的安全保护等级进行划分的角度来说明其技术要求,即主要说明为实现GB 17859-1999中每一个保护等级的安全要求对操作系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现上的差异。本标准按GB 17859-1999五个安全等级的划分,对每一个安全等级的安全功能技术要求和安全保证技术要求做了详细描述。本标准中有关概念的说明见附录A。本标准参考的主要文件已列在参考文献中。GA/T 388-2002计算机信息系统安全等级保护操作系
4、统技术要求范围本标准规定了按照GB 17859-1999对操作系统进行安全保护等级划分所需要的详细技术要求。本标准适用于按照GB 17859-1999的安全等级保护要求所进行的操作系统的设计和实现。对于按照GB 17859-1999安全等级保护要求对操作系统进行的测试、管理也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件,其最新版本适用于本标准。GB 1785衂衃常衄綠衅鴈衆衈衉9-199
5、9计算机信息系统安全等级划分准则GA/T 390-2002计算机信息系统安全等级保护通用技术要求术语和定义GB 17859-1999和GA/T 390-2002确立的术语和定义适用于本标准。4安全保护等级划分技术要求4.1第一级:用户自主保护级4.1门安全功能4.1门.1身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应按GA广I 390-2002中6.的要求,设计操作系统的身份鉴别功能。本安全等级要求:a)应提供用户进人操作系统时的身份标识,并按以下要求进行设计:3. 1. 1.6. 1. 3.凡需进人操作系统的用户,应先进行标识(建立账号)操作系统用户标识一般使用用户名和用户标识符(U工
6、D),b)采用口令进行鉴别,并在每次用户登录系统时进行鉴别。口令应是不可见的,并在存储时有安全保护4.1.1.2自主访问控制应按GA/T 390-2002中6.1.3.2的要求,设计操作系统的自主访问控制功能。本安全等级要求:a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享,并阻止非授权用户对客体共享。b)设置默认功能。当一个主体生成一个客体时,在该客体的访问控制表中相应地应具有该主体设置的默认值4.1.1.3数据完整性应按GA/T 390-2002中6.1.3.3的要求,设计操作系统的数据完整性功能,防止数据遭受非授权用户的修改、破坏或删除。本安全等级要求:对操作系统内部进行的
7、数据传输,如进程间的通信,应提供保证数据完整性的功能4.1.2 TCB自身安全保护GA/T 388-20024.1.2.1 TSF保护应按GA/T 390-2002中6.1.4.1的要求,设计操作系统的TSF保护。本安全等级要求:a)系统在设计时不应留有“后门”即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构c)操作系统应进行分层设计,对操作系统程序和用户程序要进行隔离。d)一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间
8、,两者的隔离应是静态的驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的应禁止在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应允许进程对所有的虚存空间进行读、写操作。e)应提供一个设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性应进行定义。f)应区分普通操作模式和系统维护模式4门2.2资源利用应按GA/T 390-2002中6.1.4.2的要求,设计操作系统的资源利用。本安全等级要求:a)应通过一定措施确保当系统出现某些确定的故障情况时,TSF也能维持正常运行。b)应采取适当的策略,有限服务优先级提供主
9、体使用TSC内某个资源子集的优先级,进行TCB资源的管理和分配c)应按资源分配中最大限额的要求,进行TCB资源的管理和分配,要求配额机制确保用户和主体将不会独占某种受控的资源4.1.2.3 TCB访问控制应按GA/T 390-2002中6.1.4.3的要求,设计操作系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求,选择某种会话安全属性的所有失败的尝试,对用来建立会话的安全属性的范围进行限制b)按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上,TSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制,
10、对会话建立的管理进行设计。4.1.3 TCB设计和实现4.1.3.1配置管理应按GA/T 390-2002中6.1.5.1的要求,设计操作系统TCB的配置管理。本安全等级要求:应具有基本的配置管理能力,即要求开发者所使用的版本号与所应表示的TCB样本完全对应4门.3.2分发和操作应按GA/T 390-2002中6.1.5.2的要求,设计操作系统的TCB分发和操作。本安全等级要求:a)以文档形式提供对TCB安全地进行分发的过程,以及安装、生成和启动的过程进行说明,并最终生成安全的配置。文档中所描述的内容应包括:提供分发的过程;安全启动和操作的过程。b)对系统的未授权修改的风险,应在交付时控制到最
11、低限度。在包装及安全分送和安装过程中,这种控制应采取软件控制系统的方式,确认安全性会由最终用户考虑,所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值,在客户不做选择时,默认值应使安全机制有效地发挥作用。d)随同系统交付的全部默认用户标识码,应在交付时处于非激活状态,并在使用前由管理员激GA/T 388-2002活e)用户文档应同交付的软件一起包装,并应有一套规程确保当前送给用户的系统软件是严格按最新的系统版本来制作的。3.3开发应按GA/T 390-2002中6.1.5.3的要求,进行操作系统TCB的开发。本安全等级要求a)按非形式化功能说明、描述性高层设计、TSF子集实现、T
12、SF内部结构模块化、描述性低层设计和非形式化对应性说明的要求,进行TCB的开发。b)系统的设计和开发应保护数据的完整性,例如,检查数据更新的规则,二重/多重输人的正确处理,返回状态的检查,中间结果的检查,合理值输人检查,事务处理更新的正确性检查等。c)在内部代码检查时,应解决潜在的安全缺陷,关闭或取消所有的后门d)所有交付的软件和文档,应进行关于安全缺陷的定期的和书面的检查,并将检查结果告知用户。e)系统控制数据,如口令和密钥,不应在未受保护的程序或文档中以明文形式储存,并以书面形式向用户提供关于软件所有权法律保护的指南。3.4指导性文档应按GA/T 390-2002中6.1.5.4的要求,编
13、制TCB的指导性文档本安全等级要求:a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息,描述没有明示用户的保护结构,并解释它们的用途和提供有关它们使用的指南。b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导,包括当运行一个安全设备时,需要控制的有关功能和特权的警告,以及与安全有关的管理员功能的详细描述,包括增加和删除一个用户、改变用户的安全特征等。)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、系统管理员和系统安全员。3. 5生命周期支持应按GA/T 390-2002中6.1.5.5的要求,设计操作系统的TCB。本安全等级要求:a)按开发者定义生命周期模型进行开发b)提供安全安装默认值。在未做特殊选择时,应按默认值安装安全机制c)随同系统交付的全部
