文档介绍:等级保护5
信息安全技术-操作系统安全评估准则
1 访问验证保护级
自主访问控制
(1)操作系统安全功能应实施安全机制,控制用户对客体的访问,其方法可以是: ? 基于用户的权能表,为用户规定是否可以对客体进行访问
? 基于客体的访问控制表
(2)操作系统安全功能的访问控制粒度应是单个客户。
(5)操作系统安全功能能规定用户对客体的访问模式。
强制访问控制
操作系统安全功能应通过主客体的敏感标记,控制用户对相关客体的直接访问。
(3)操作系统安全功能应实施安全机制,控制所有主客体之间的访问。
标记
标记定义
(3)操作系统安全功能应给出其控制范围内所有主体和客体的敏感标记。
标记管理
(3)操作系统安全功能应执行访问控制策略,仅允许授权管理员管
理敏感标记。
带标记数据输入
(3)从操作系统安全功能控制范围之外输入带标记的数据时,操作系统安全功能应确保标记和接受的数据相关。
身份鉴别
用户属性定义
(1)操作系统安全功能应给出每一个用户与标识相关的安全属性(如:组、标示符)
用户标识
(1)操作系统安全功能应预先设定操作系统代表用户执行的、与操作选题安全功能相关的动作,在用户被标识之前,允许操作系统执行这些预设动作。在操作系统安全功能的其他动作之前,应成功地标识每个用户。
用户鉴别
(1)操作系统安全功能应预先设定操作系统代表用户执行的、与操作系统安全功能相关的动作,在用户被鉴别之前,允许操作系统执行这些预设动作,在操作系统安全功能的其他动作之前,应成功标识每个用户。
(2)当进行鉴别时,操作系统安全功能应仅将最少的反馈(如:打入的字符数,鉴别的成功或失败)提供给用户。
(3)操作系统安全功能应提供多鉴别机制以支持多用户鉴别。
(5)操作系统安全功能应规定重鉴别条件,在对应的条件下,对用户进行鉴别。
鉴别失败处理
(1)操作系统安全功能应检测出不成功的鉴别尝试,当尝试的次数达到或超过了定义的界限时,应能种植会话建立的进程。
(3)在会话建立的进程终止后,操作系统安全功能应使得该用户账户无效,或是进行鉴别尝试的登陆点无效。
访问历史
(1)操作系统安全功能在会话成功建立的基础上,应显示用户上一次成功会话建立的日期、时间、方法、位置等。
(2)操作系统安全功能应显示用户上一次不成功的会话尝试的日期、时间、方法、位置灯,以及上一次成功的会话建立以来的不成功的尝试次数。
不可观察性
(4)对于操作系统安全功能规定的受保护用户进行的操作,操作系统安全功能应确保未授权用户不能观察。
客体重用
(2)对于操作系统中所有的客体,在指定、分配或再分配给一个主体时,操作系统安全功能应确保其中没有上一次分配的剩余信息。
审计
内容
(2)操作系统安全功能应能为操作系统的可审计事件生成一个审计记录,并在每一个审计记录中至少记录以下信息:
? 事件发生的日期和时间
? 时间的类型
? 用户的身份
? 事件的结果(成功或失败)
操作系统安全功能应能维护操作系统的可审计事件,但其中至少包括
? 开启和关闭审计功能
? 客体创建与删除
? 使用鉴别机制
? 将客体引入用户地址空间
? 安全属性的操作等。
查阅
(2)操作系统安全功能应为授权用户提供从审计记录中读取一定类型的审计信息的能力。
(3)操作系统安全功能应提供对审计数据进行基于一定准则的选择查阅的能力,并能对结果进行搜索、分类或排序。
存储保护
(2)操作系统安全功能应保护已存储的审计记录,以避免未授权的删除(),并监测对审计记录的修改,当审计存储已满、失败或受到攻击时,操作系统安全功能应确保审计记录保持一定的记录数和维持的时间。
(3)当审计记录超过预定的限制值时,操作系统安全功能应采取相应的行动,如:授权管理员产生警告。FA