等级保护5

信息安全技术-操作系统安全评估准则等级保护51访问验证保护级1.1自主访问控制（1）操作系统安全功能应实施安全机制，控制用户对客体的访问，其方法可以是：基于用户的权能表，为用户规定是否可以对客体进行访问基于客体的访问控制表（2）操作系统安全功能的访问控制粒度应是单个客户。（5）操作系统安全功能能规定用户对客体的访问模式。1.2强制访问控制操作系统安全功能应通过主客体的敏感标记，控制用户对相关客体的直接访问。（3）操作系统安全功能应实施安全机制，控制所有主客体之间的访问。1.3标记1.3.1标记定义（3）操作系统安全功能应给出其控制范围内所有主体和客体的敏感标记。1.3.2标记管理（3）操作系统安全功能应执行访问控制策略，仅允许授权管理员管理敏感标记。FMT_MSA.1.11.3.3带标记数据输入（3）从操作系统安全功能控制范围之外输入带标记的数据时，操作系统安全功能应确保标记和接受的数据相关。FDP_ITC.2.31.4身份鉴别1.4.1用户属性定义（1）操作系统安全功能应给出每一个用户与标识相关的安全属性（如：组、标示符）FIA_ATD.1.11.4.2用户标识（1）操作系统安全功能应预先设定操作系统代表用户执行的、与操作选题安全功能相关的动作，在用户被标识之前，允许操作系统执行这些预设动作。在操作系统安全功能的其他动作之前，应成功地标识每个用户。FIA_UID.11.4.3用户鉴别（1）操作系统安全功能应预先设定操作系统代表用户执行的、与操作系统安全功能相关的动作，在用户被鉴别之前，允许操作系统执行这些预设动作，在操作系统安全功能的其他动作之前，应成功标识每个用户。FIA_UAU.1.1FIA_UAU.1.2（2）当进行鉴别时，操作系统安全功能应仅将最少的反馈（如：打入的字符数，鉴别的成功或失败）提供给用户。FIA_UAU.7.1（3）操作系统安全功能应提供多鉴别机制以支持多用户鉴别。FIA_UAU.5.1（5）操作系统安全功能应规定重鉴别条件，在对应的条件下，对用户进行鉴别。FIA_UAU.6.11.4.4鉴别失败处理（1）操作系统安全功能应检测出不成功的鉴别尝试，当尝试的次数达到或超过了定义的界限时，应能种植会话建立的进程。FIA_AFL.1.1（3）在会话建立的进程终止后，操作系统安全功能应使得该用户账户无效，或是进行鉴别尝试的登陆点无效。FIA_AFL.1.21.4.5访问历史（1）操作系统安全功能在会话成功建立的基础上，应显示用户上一次成功会话建立的日期、时间、方法、位置等。FTA_TAH.1.1（2）操作系统安全功能应显示用户上一次不成功的会话尝试的日期、时间、方法、位置灯，以及上一次成功的会话建立以来的不成功的尝试次数。FTA_TAH.1.21.4.6不可观察性（4）对于操作系统安全功能规定的受保护用户进行的操作，操作系统安全功能应确保未授权用户不能观察。FPR_UNO.1.11.5客体重用（2）对于操作系统中所有的客体，在指定、分配或再分配给一个主体时，操作系统安全功能应确保其中没有上一次分配的剩余信息。FDP_RIP.1.11.6审计1.6.1内容（2）操作系统安全功能应能为操作系统的可审计事件生成一个审计记录，并在每一个审计记录中至少记录以下信息：FAU_GEN.1.1事件发生的日期和时间时间的类型用户的身份事件的结果（成功或失败）操作系统安全功能应能维护操作系统的可审计事件，但其中至少包括开启和关闭审计功能客体创建与删除使用鉴别机制将客体引入用户地址空间安全属性的操作等。1.6.2查阅（2）操作系统安全功能应为授权用户提供从审计记录中读取一定类型的审计信息的能力。FAU_SAR.1.1FAU_SAR.2.1（3）操作系统安全功能应提供对审计数据进行基于一定准则的选择查阅的能力，并能对结果进行搜索、分类或排序。FAU_SAR.3.11.6.3存储保护（2）操作系统安全功能应保护已存储的审计记录，以避免未授权的删除（FAU_STG.2.1），并监测对审计记录的修改，当审计存储已满、失败或受到攻击时，操作系统安全功能应确保审计记录保持一定的记录数和维持的时间。FAU_STG.2.3（3）当审计记录超过预定的限制值时，操作系统安全功能应采取相应的行动，如：授权管理员产生警告。FAU_STG.3.1（4）当审计记录已满时，操作系统安全功能应组织具有特殊权限的授权用户外产生的所有可审计事件，并且一旦审计存储失败就采取其他行动，如：通知授权管理员。FAU_STG.4.11.6.4分析（3）操作系统安全功能用一定的规则去监控审计事件，并指出潜在的侵害。FAU_SAA.1.1（4）操作系统安全功能应维护系统的使用轮廓（一个表征用户或主体活动特征的结构，它表现了用户或主体怎样用不同的方法与操作系统安全功能交互），对于那些其行动已记录在轮廓中的用户，维护其对应的质疑等级，当用户的质疑等级超过限制条件时，操作系统安全功能应能指出可能发生的侵害。FAU_SAA.2（5）操作系统安全功能应能维护有侵害性的系统时间序列的内部标识，当一个系统事件或事件序列被发现并与内部表示匹配时，应指出即将到来的攻击。FAU_SAA.31.6.5自动响应（2）在检测到可能的安全侵害时，操作系统安全模块能应作出响应。如：FAU_ARP.1.1通知授权用户向授权用户提供一组遏制侵害的或采取校正的行动。1.7数据完整性1.7.1数据鉴别（3）操作系统安全功能能为用户数据产生真实性证据（如：校验码、单向函数、数字签名）FDP_DAU.1.1（4）操作系统安全功能能提供支持，用以验证真实性证据和产生证据的用户身份。FDP_DAU.1.21.7.2回退（1）在规定的客体上，操作系统安全功能应允许特定操作的回退。FDP_ROL.1.1（3）操作系统系统安全功能能规定回退可以实施的严格条件，包括：FDP_ROL.1.2回退的操作时限回退的次数限制实施会回退的角色要求等。1.7.3完整性监视（2）对于特定的客体，操作系统安全功能能监视所存户的用户数据是否出现完整性错误，如：磁盘设备的扫描程序。FDP_SDI.1.1（3）当检测到完整性错误时，操作系统安全功能应采取行动（如：提示管理员）FDP_SDI.2.21.8数据传输1.8.1内部传输（1）在各部分（如网络连接、总线连接的各部分）之间传输用户数据时，操作系统安全功能应执行特定的安全功能策略。FDP_ITT.1.1（3）操作系统安全功能应监视是否有完整性错误出现。FDP_ITT.3.1（4）操作系统安全功能支持规定对完整性错误将采取的动作。FDP_ITT.3.21.8.2数据外部输出（1）向操作系统安全功能控制范围之前输出用户数据时，操作系统安全功能应在访问控制机制允许的前提下，执行特定的安全功能策略，进行用户数据输出。FDP_ETC.1.1向操作系统安全功能控制范围之外输出与用户数据相关的安全属性时，操作系统安全功能应确保安全属性与输出的用户数据相关。FDP_ETC.2.1（4）对于某些特定的安全属性，操作系统安全功能应保证无论何时都不会被输出。FDP_ETC.1.21.8.3数据外部输入（1）从操作系统安全功能控制范围之外输入用户数据时，操作系统安全功能应执行特定的安全功能策略。FDP_ITC.1.1（2）操作系统安全功能应使用与输入的数据相关的安全属性，确保在安全属性和接受的用户数据之间提供了确切的关联。FDP_ITC.2.3（4）操作系统安全功能应确保对其安全属性的解析与用户数据源的解析是一致的。FDP_ITC.2.41.8.4可信路径（4）操作系统安全功能应在它和用户之间提供一条可信的通信途径，此途径在逻辑上明显不同于其他路径，并能保护通信数据免遭修改和泄漏。FTP_TRP.1.11.8.5原发证明（2）操作系统安全功能应能对发出的信息产生原发证据。FCO_NRO.1.1（3）操作系统安全功能应能将信息原发者的相关属性与证据适用的信息内容相关联。FCO_NRO.1.2（4）操作系统安全功能应能验证信息原发证据的真实性。FCO_NRO.1.31.8.6接收证明（2）操作系统安全功能应对接收的信息产生接收证据。FCO_NRR.1.1（3）操作系统安全功能将信息接收者的相关属性与证据适用的信息内容相关联。FCO_NRR.1.2（4）操作系统安全功能应能验证信息接收证据的真实性。FCO_NRR.1.31.9密码支持1.9.1秘钥管理（1）操作系统安全功能能根据符合国家规定的方法来管理密钥，包括：密钥的产生、分发及销毁。FCS_CKM1.9.2密码运算（1）操作系统安全功能根据符合国家规定的密码算法和密钥长度来执行密码运算。FCS_COP1.10资源利用1.10.1容错（2）操作系统安全功能能检测出已规定的操作系统故障（4）当相应故障发生时，操作系统安全功能应确保操作系统未受影响部分的能力均能实现。FRU_FLT.1.11.10.2服务优先级（2）操作系统安全功能应为其中的每个主体规定一种优先级，对于特定的资源访问，能根据主体的优先级进行协调。FRU_PRS.1.1FRU_PRS.1.2（5）对于所有共享资源的每次访问，操作系统安全功能应能根据主体的优先级进行协调。FRU_PRS.2.1FRU_PRS.2.21.10.3资源分配（1）操作系统安全功能能为主体退订并执行某些受控资源的最高配额和使用时间，并确保主体至少获得规定的最低配额。FRU_RSA.21.10.4并发会话（1）操作系统安全功能能限制属于同一用户的并发会话的最大数目。FTA_MCS.1.11.11安全功能保护1.11.1自检（2）操作系统安全功能应在操作系统的特定状态中，运行一套自检来验证操作系统安全功能的正确执行。这些状态包括：FPT_TST.1.1操作系统启动时授权用户要求时（3）操作系统安全功能应为授权用户提供对操作系统安全功能数据完整性的验证能力。FPT_TST.1.2（4）操作系统安全功能应为授权用户提供对存储的操作系统安全功能可执行代码完整性的验证能力。FPT_TST.1.31.11.2时间戳（1）操作系统安全功能应为自身的应用提供可靠的时间戳。FPT_STM.1.11.11.3域分离（3）操作系统安全功能应分离在操作系统安全功能控制范围内各主体安全域，用户进程之间是彼此隔离的。FPT_SEP.1.2（4）操作系统安全功能同用户隔离的部分执行时，操作系统安全功能应为其维护一个独立的地址空间，防止不可信主体进行干扰和篡改。FPT_SEP.1.1（5）操作系统安全功能应对操作系统安全功能中与访问控制相关的部分，维护一个自身执行时的安全域，防止被操作系统安全功能的其余部分和不可信主体的干扰和篡改。FPT_SEP.2.31.11.4数据一致性（2）操作系统安全功能应确保操作系统各部分间的安全功能数据的复制一致性。FPT_ITT.1.1（4）当包含复制的安全功能数据的操作系统的一部分被断开，而又重新建立连接后，在处理任何依赖于操作系统安全功能数据复制一致性的安全功能请求之前，操作系统安全功能应确保该部分的操作系统安全功能数据的复制一致性。FPT_ITT.3.1FPT_ITT.3.2（5）当与其他可信IT产品共享操作系统安全功能数据时，操作系统安全功能应具备数据的一致性分析能力。FPT_TDC.1.11.11.5安全功能数据传输（1）在各部分间传输操作系统安全功能数据时，操作系统安全功能能保护安全功能数据，防止被泄漏及修改。（2）操作系统安全功能应分离传送用户数据与安全功能数据。FPT_ITT.2.2（3）操作系统安全功能能检测出安全功能数据的完整性错误。（4）操作系统安全功能应支持规定对完整性错误将采取的动作。1.11.6系统恢复（1）当操作系统发生失败或服务中断后，操作系统安全功能应进入维护方式，并提供将操作系统返回到一个安全状态的能力。FPT_RCV.1.1（3）操作系统安全功能应具备从失败到服务终端状态中自动恢复的能力，并能在操作系统安全功能数据和用户数据无超量丢失的情况下恢复到初始安全状