GBT 20008-2005 信息安全技术 操作系统安全评估准则

操作系统安全功能应预先设定操作系统代表用户执行的、与操作系统安全功能相关的动作，在用户 被标识之前，允许操作系统执行这些预设动作。在操作系统安全功能的其他动作之前，应成功地标识每 个用户。

5. 1.2. 3用户鉴别

操作系统安全功能应预先设定操作系统代表用户执行的、与操作系统安全功能相关的动作，在用户 被鉴别之前，允许操作系统执行这些预设动作，在操作系统安全功能的其他动作之前，应成功地鉴别每 个用户。

5.1.2.4鉴别失败处理

操作系统安全功能应检测出不成功的鉴别尝试电力弱电设计、计算，当尝试的次数达到或超过了定义的 止会话建立的进程

5. 1. 2. 5 访问历史

5. 1.3数据完整性

在规定的客体上，操作系统安全功能应允许特定操作的回 5. 1. 4数据传输

的客体上，操作系统安全功能应充许特定操

5. 1. 4 数据传输

5. 1. 4. 1内部传输

在各部分（如：通过网络连接、总线连接的各部分）之间传递用户数据时，操作系统安全功能应执行 特定的安全功能策略。

5.1.4.2数据外部输出

向操作系统安全功能控制范围之外输出用户数据时，操作系统安全功能应在访问控 前提下，执行特定的安全功能策略，进行用户数据输出

5.1.4.3数据外部输入

从操作系统安全功能控制范围之外输入用户数据时，操作系统安全功能应执行特 策略

5. 1. 5. 1 密钥管理

操作系统安全功能能根据符合国家规定的方法来管理密钥，包括：密钥的产生、分发、

5.1.5.2密码运算

操作系统安全功能能根据符合国家规定的密码算法和密钥长度来执行密码运算。 1.6资源利用

5.1.6.1资源分配

操作系统安全功能能为主体规定并执行某些受控资源的最高配额和使用时间，并确 导规定的最低配额

5.1.6.2并发会话

操作系统安全功能能限制属于同一用户的并发会话的最大数目。 5. 1. 7 安全功能保护

5. 1. 7. 1时间截

操作系统安全功能应为自身的应用提供可靠的时间

5. 1.7.2 安全功能数据传输

在各部分间传输操作系统安全功能 作系统安全功能能保护安全功能数据，防止被泄漏及 修改。

5. 1.7.3系统恢复

当操作系统发生失败或服务中断后，操作系统安全功能应进入维护方式，并提供将操作系统返回到 一个安全状态的能力

5. 1. 8 安全管理

5.1.8.1功能管理

操作系统安全功能应限制管理员对安全功能的启动、关闭和修改的能力。 5. 1. 8. 2属性管理

5. 1. 8. 2属性管理

操作系统安全功能应限制管理员查询、修改或删除操作系统安全功能数据的能力。仅允许授权管 理员管理这些数据

5. 1.9 配置管理

开发者提供的配置管理文档应以版本号做标签，为操作系统提供引用，使一个版本号 的唯一版本，

5.1. 10安全功能开发过程

5.1.10安全功能开发过程

开发者提供的操作系统 能的功能规约应描述安全功能及其与外的接 1.11测试

5. 1. 11.1 功能测试

并发者提供的测试档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果，其中的 测试计划应标识要测试的安全功能、描述要执行的测试目标，测试过程描述应标识要执行的测试、测试 况

5. 1. 11. 2覆盖分析

开发者提供的测试覆盖的证据，应表明测试文档中所标识的测试和功能规约中所描述的安全功能 之间的对应性，

5. 1. 12 指导性文档

5. 1. 12. 1管理员指南

开发者提供的管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理操作 系统的方式、受控制的安全参数以及与安全操作有关的用户行为的假设。同时，应描述与为评估而提供 的其他所有文件的一致性。

5. 1. 12. 2用户指南

开发者提供的用户指南，应描述用户可获取的安全功能和接口的用法以及安全操作中用户的职责 包括用户行为假设。同时，应描述与为评估面提 的其他所有文件的一致性

5.1.13交付和运行

开发者提供的安全安装过程的文档应说明用于操作系统的安全安装、生成和启动的过程所必需的 步骤，并应描述一个启动程序，它包含了用以生成操作系统的选项，从而能决定操作系统是如何以及何 时产生的。

一基于用户的权能表，为用户规定是否可以对客体进衍访问：

一基于客体的访问控制表

基于客体的访问控制表。

于客体的访问控制表。

操作系统安全功能的访问控制粒度应是单个用户

操作系统安全功能应给出每一个用户与标识相关的安全属性（如：组、标识符等）。 6.2. 2.2用户标识

5. 2. 2. 2用户标识

操作系统安全功能应预先设定操作系统代表用户执行的、与操作系统安全功能相关的 被标识之前，允许操作系统执行这些预设动作。在操作系统安全功能的其他动作之前，应 个用户。

5. 2. 2. 3 用户鉴别

操作系统安全功能应预先设定操作系统代表用户执行的、与操作系统安全功能相关的动作，在用户 被鉴别之前，允许操作系统执行这些预设动作，在操作系统安全功能的其他动作之前，应成功地鉴别每 个用户。 当进行鉴别时，操作系统安全功能应仅将最少的反馈（如：打入的字符数，鉴别的成功或失败）提供 给用户。

5.2.2.4鉴别失败处

操作系统安全功能应检测出不成功的鉴别尝试，当尝试的次数达到或超过了定义的界限时，应能终 止会话建立的进程

5.2.2.5访问历史

操作系统安全功能在会话成功建立的基础上，应显示用户上一次成功会话建立的日期 置等。 操作系统安全功能应显示用户上一次不成功的会话尝试的日期、时间、方法、位置等， 成功的会话建立以来的不成功的尝试次数。

操作系统安全功能应显示用户上一次不成功的会话尝试的日期、时间、方法、位置等，以及从上一次 成功的会话建立以来的不成功的尝试次数。

对于操作系统中的所有客体，在指定、分配或再分配给一个主体时，操作系统安全功能应确保其中 没有上一次分配的剩余信息。

5. 2. 4. 1内容

5. 2. 4. 2查阅

操作系统安全功能应为授权用户提供从审计记录中读取一定类型的审计信息的能力。

操作系统安全功能应为授权用户提供从审计记录中读取一定类型的审计信息的能力。 5.2.4.3存储保护

5.2.4.3存储保护

GB/T20008—2005

操作系统安全功能应保护已存储的审计记录，以避免未授权的删除，并监测对审计记录的修改，当 审计存储已满、失败或受到攻击时，操作系统安全功能应确保审计记录保持一定的记录数和维持的 时间

5. 2. 4. 4自动响应

在检测到可能的安全侵害时，操作系统安全功能应做出响应，如：

5. 2. 5. 1回退

5. 2. 5. 2 完整性监视

5.2.6.1内部传输

5.2. 6.2数据外部输出

操作系统安全功能控制范围之外输出用户数据时，操作系统安全功能应在访问控制机制 ，执行特定的安全功能策略，进行用户数据输出。 操作系统安全功能控制范围之外输出与用户数据相关的安全属性时，操作系统安全功能 性与输出的用户数据相关，

5.2.6.3数据外部输入

从操作系统安全功能控制范围之外输人用户数据时，操作系统安全功能应执行特定的安全功能 策略。 操作系统安全功能应使用与输入的数据相关的安全属性，确保在安全属性和接受的用户数据之间 提供了确切的关联

5. 2. 6. 4原发证明

操作系统安全功能应能对发出的信息产生原发证据

5. 2. 6. 5 接收证明

系统安全功能应能对接收的信息产生接收证

5. 2. 7. 1密钥管理

操作系统安全功能能根据符合国家规定的方法来管理密钥，包括：密钥的产生、分发、访问及销毁。 5.2.7.2密码运算 操作系统安全功能能根据符合国家规定的密码算法和密钥长度来执行密码运算，

5. 2. 7. 2密码运算

5. 2. 8 资源利用

5. 2. 8. 1容错

操作系统安全功能能检测出已规定的操作系统故障

统安全功能能检测出已规定的操作系统故障

5. 2. 8. 2服务优先级

操作系统安全功能应为其中的每个主体规定一种优先级，对于特定的资源的访问，能 先级进行协调。

5.2.8.3资源分配

操作系统安全功能能为主体规定并执行某些受控资源的最高配额和使用时间，并确保主体至少获 得规定的最低配额

5.2.8.4并发会话

5. 2. 9 安全功能保护

5.2.9安全功能保护

5. 2. 9. 1自检

操作系统安全功能应在操作系统的特定状态中，运行一套自检来演示操作系统安全功能的正确执 行。这些状态应包括： 一一操作系统启动时；

5. 2. 9. 2时间载

5.2.9.3数据一致性

操作系统安全功能应确保操作系统各部分间的安全功能数据的复制一致性

改 操作系统安全功能应分离传送用户数据与安全功能数据

5. 2. 9. 5系统恢复

当操作系统发生失败或服务中断后，操作系统安全功能应进人维护方式，并提 个安全状态的能力。

5.2. 9.6不可旁路

在操作系统安全功能控制范围的每一项功能执行之前，操作系统安全功能应确保安 也激活，

5. 2. 10 安全管理

5.2.10.1功能管理

5. 2. 10. 2属性管理

操作系统安全功能应执行访问控制策略，仅充许授权管理员管理安全属性。 操作系统安全功能应提供安全属性的默认值，仅允许授权管理员为生成的客体或信息规定新的初 始值以代替原来的默认值

5.2.10.3安全功能数据管理

操作系统安金功能应限制管理员查询、修改或删除操作系统安全功能数据的能力。仅允许授权管 理员管理这些数据。 操作系统安全功能应支持规定对操作系统安全功能数据的限制以及限制值（如：用户登录数），当操 作系统安全功能数据值超出了指定的限制时，应采取特定的动作

5.2.11生存周期支持

开发者提供的缺陷纠正程序文档应描述用以接受用户对于安全缺陷报告的程序，以及更正这些缺 陷的程序，并说明已采取的纠正措施

5. 2. 12 配置管理

开发者提供的配置管理文档应以版本号做标签，为操作系统提供引用，使一个版本号 唯一版本，

5.2.13安全功能开发过程

5. 2. 13. 1 功能规约

者提供的操作系统安全功能的功能规约应描述安全功能及其与外部的接口，

提供的操作系统安全功能的功能规约应描述安全功能及其与外部的接口。

5. 2. 13. 2高层设计

开发者提供的操作系统安全功能的高层设计，应按子系统方式描述安全功能及其结 力能子系统的所有接口。

5. 2. 14. 1 功能测试

开发者提供的测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果，其中的 测试计划应标识要测试的安全功能、描述要执行的测试目标，测试过程描述应标识要执行的测试、测试 概况。

5.2.14.2覆盖分析

开发者提供的测试覆盖的证据，应表明测试文档中所标识的测试和功能规药中所招 之间的对应性。 开发者提供的测试覆盖的证据，应阐明测试文档所标识的测试和功能规约中所描述 间的对应性是完备的

开发者提供的测试覆盖的证据，应阐明测试文档所标识的测试和功能规约中所描述的安全功能之 间的对应性是完备的

5.2. 15 指导性文档

5. 2. 15. 1 管理员指南

开发者提供的管理员指南应描述对于授权安全管理角色可使用的管理功能和接口、安全管理操作 系统的方式、受控制的安全参数以及与安全操作有关的用户行为的假设。同时，应描述与为评估而提供 的其他所有文件的一致性

5. 2. 15. 2用户指南

开发者提供的用户指南，应描述用卢可获取的安全功能和接口的用法以及安全操作中用户的职责 包括用户行为假设。同时，应描述与为评估而提供的其他所有文件的一致性，

5.2.16交付和运行

5.2.16交付和运行

5. 2. 16. 1交付

照度标准5. 2. 16. 2安装生成

开发者提供的安全安装过程的文档应说明用于操作系统的安全安装、生成和启动的 步骤，并应描述一个启动程序，它包含了用以生成操作系统的选项，从而能决定操作系统 时产生的。

操作系统安全功能应实施安全机制，控制用户对客体的访问，其方法可以是： 基于用户的权能表，为用户规定是否可以对客体进行访问； 一基于客体的访问控制表。 操作系统安全功能的访问控制粒度应是单个用户

5. 3. 2强制访问控制

操作系统安全功能应通过主客体的敏感标记，控制用户对相关客体的直接访问 5.3.3标记

涂料标准规范范本5. 3. 3. 1标记定义

操作系统安全功能应给出其控制范围内所有主体及控制的客体的敏感