1、服務器脆弱性識別表格依據 GB/T20272-2007操作系統安全技術要求中第三級- 安全標記保護級所列舉內容編制。項目子項內容是否符合備注a)按 GB/T 20271-2006中 6.3.3.1.1和以下要求安 全身份設計和實現用戶標識功能：功能鑒別凡需進入操作系統的用戶，應先進行標識（建立賬號）；操作系統用戶標識應使用用戶名和用戶標識（ UID ），并在操作系統的整個生存周期實現用戶的唯一性標識， 以及用戶名或別名、 UID 等之間的一致性；b)按GB/T20271-2006中6.3.3.1.2和以下要求設計和實現用戶鑒別功能：采用強化管理的口令鑒別/基于令牌的動態口令鑒別 /生物特征鑒別

2、/ 數字證書鑒別等機制進行身份鑒別，并在每次用戶登錄系統時進行鑒別；鑒別信息應是不可見的，在存儲和傳輸時應按GB/T 20271-2006中6.3.3.8的要求，用加密方法進行安全保護；過對不成功的鑒別嘗試的值（包括嘗試次數和時間的閾值）進行預先定義，并明確規定達到該值時應采取的措施來實現鑒別失敗的處理。c)對注冊到操作系統的用戶，實現用戶- 主體綁定功能：應按以下要求設計和將用戶進程與所有者用戶相關聯，使用戶進程的行為可以追溯到進程的所有者用戶；將系統進程動態地與當前服務要求者用戶相關聯，使系統進程的行為可以追溯到當前服務的要求者用戶。a) 允許命名用戶以用戶的身份規定并控制對客體自主的訪問

3、，并阻止非授權用戶對客體的訪問。訪b)設置默認功能，當一個主體生成一個客體時，在問該客體的訪問控制表中相應地具有該主體的默認值；c)有更細粒度的自主訪問控制，將訪問控制的粒度控制控制在單個用戶。對系統中的每一個客體，都應能夠實現由客體的創建者以用戶指定方式確定其對該客體的訪問權限，而別的同組用戶或非同組的用戶和用戶組對該客體的訪問權則應由創建者用戶授予；d) 自主訪問控制能與身份鑒別和審計相結合，通過確認用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問，使用戶對自己的行為承擔明確的責任；e) 客體的擁有者應是唯一有權修改客體訪問權限的主體，擁有者對其擁有的客體應具有全部控制權，但是，不允許

4、客體擁有者把該客體的控制權分配給其他主體；f) 定義訪問控制屬性，并保護這些屬性。主體的訪問控制屬性至少應有：讀、寫、執行等；客體的訪問控制屬性應包含可分配給主體的讀、寫和執行等權限；g) 定義分配和修改主體和客體的訪問控制屬性的規則，并執行對主體和客體的訪問控制屬性的分配和修改，規則的結果應達到只有被授權的用戶才允許訪問一個客體；h)定義主體對客體的訪問授權規則。該規則應基于主體對客體的訪問控制屬性，授權的范圍應包括主體和客體及相關的訪問控制屬性，同時應指出主體和客體對這些規則應用的類型。a)采用標記的方法為操作系統SSOOS安全功能標記控制范圍內的主體和客體設置敏感標記。這些敏感標記構成多

5、級安全模型的的屬性庫。操作系統主、客體的敏感標記應以默認方式生成或由安全員進行建立、維護和管理；b)當信息從SSOOS控制范圍之內向SSOOS控制范圍之外輸出時，可帶有或不帶有敏感標記；當信息從SSOOS控制范圍之外向SSOOS控制范圍之內輸入時，應通過標記標明其敏感標記。a) 由專門設置的系統安全員統一管理操作系統中強訪與強制訪問控制等安全機制有關的事件和信息，并將系統的常規管理、與安全有關的管理以及審問控計管理，分別由系統管理員、系統安全員和系統審計員來承擔，按職能分割原則分別授予它們各自為完成制自己所承擔任務所需的權限，并形成相互制約關系；b)強制訪問控制應與用戶身份鑒別、標記等安全功能

6、密切配合，使系統對用戶的安全控制包含從用戶進入系統到退出系統的全過程，對客體的控制范圍涉及操作系統內部的存儲、處理和傳輸過程；c)運行于網絡環境的分布式操作系統，應統一實現強制訪問控制功能；d) 運行于網絡環境的多臺計算機系統上的網絡操作系統，在需要進行統一管理時，應考慮各臺計算機操作系統的主、客體安全屬性設置的一致性，并實現跨網絡的 SSOOS 間用戶數據保密性和完整性保護對于以數據流方式實現數據交換的操作系統，一般應數據按GB/T 20271-2006中6.3.3.6的要求，設計和實現操作系統的數據流控制功能。流控制a) 安全審計功能應與身份鑒別、自主訪問控制、標安全記、強制訪問控制及完整

7、性控制等安全功能緊密結合；審計b) 提供審計日志、實時報警生成，潛在侵害分析、基于異常檢測，基本審計查閱、有限審計查閱和可選審計查閱，安全審計事件選擇，以及受保護的審計蹤跡存儲和審計數據的可用性確保等功能；c) 能夠生成、 維護及保護審計過程， 使其免遭修改、非法訪問及破壞，特別要保護審計數據，要嚴格限制未經授權的用戶訪問；d) 能夠創建并維護一個對受保護客體訪問的審計跟蹤， 保護審計記錄不被未授權的訪問、修改和破壞；e)指出可記錄的審計事件的最少類型，包括建立會話登錄成功和失敗，使用的系統接口，系統數據庫管理的改變 （改變用戶賬戶屬性、審計跟蹤設置和分析、為程序分配設置用戶ID 、附加或改變

8、系統程序或進程、改變日期和時間等），超級用戶命令改變用戶身份、將某個客體引入某個用戶的地址空間（如打開文件）、刪除客體及計算機操作員、系統管理員與系統安全管理員進程的操作等。當審計激活時應確保審計跟蹤事件的完整性；應提供一個機制來顯示當前選擇的審計事件，這個機制的使用者應是有限的授權用戶；f) 每個事件的數據記錄，應包括的信息有：事件發生的日期和時間、觸發事件的用戶、事件的類型、事件成功或失敗等。對于身份標識和鑒別事件，應記錄請求的源 （如末端號或網絡地址）；對于創建和刪除客體的事件，應記錄客體的名字和客體的安全屬性；g) 應提供一個受保護的打開和關閉審計的機制。該機制能選擇和改變審計事件，并

9、在系統工作時處于默認狀態；該機制的使用應受到系統管理員的授權限制，系統管理員應能夠選擇一個或多個基于身份鑒別或客體屬性的用戶的審計活動；審計工具應能夠授權個人監察和瀏覽審計數據，同時數據應得到授權的使用、修改和刪除；應提供對審計跟蹤管理功能的保護，使之可以完成審計跟蹤的創建、破壞、騰空和存檔；系統管理員應能夠定義超過審計跟蹤極限的閾值；當存儲空間被耗盡時，應能按管理員的指定決定采取的措施，包括：報警并丟棄未記錄的審計信息、暫停審計、覆蓋以前的審計記錄等。用戶a)應為操作系統SSOOS安全功能控制范圍內的數據主體和客體設置完整性標簽（ IL ），并建立完整性保護完整策略模型，保護用戶數據在存儲、

10、傳輸和處理過程中性的完整性；b)在對數據進行訪問操作時，檢查存儲在存儲介質上的用戶數據是否出現完整性錯誤，并在檢測到完整性錯誤時進行恢復。可通過密碼支持系統所提供的完整性功能，對加密存儲的數據進行完整性保護。操作系統對磁盤設備中存儲的數據，可通過增加磁盤掃描程序實現以下功能：自動檢查文件與磁盤表面是否完好；將磁盤表面的問題自動記錄下來；SSOOS自身安全保護隨時檢查、診斷和修復磁盤上的錯誤；修復扇區交錯和扇區流失；將數據移到好的扇區；可增加硬盤數據備份和修復程序，將硬盤中的數據壓縮、備份，并在必要時恢復；c)在操作系統內部傳輸的用戶數據，如進程間的通信，應提供保證用戶數據完整性的功能。完整性標

11、簽應隨數據一起流動，系統應保證低完整性的數據不能插入、覆蓋到高完整性的數據；d)對操作系統中處理的數據，應按回退的要求設計相應的SSOOS安全功能模塊，進行異常情況的操作序列回退，以確保用戶數據的完整性。系統應保證在處理過程中不降低數據完整性的級別。用戶a)應確保動態分配與管理的資源，在保持信息安全數據的情況下被再利用，主要包括：保密確保非授權用戶不能查找使用后返還系統的記錄性介質中的信息內容；確保非授權用戶不能查找系統現已分配給他的記錄介質中以前的信息內容；b)在單用戶系統中，存儲器保護應防止用戶進程影響系統的運行；c)在多用戶系統中，存儲器保護應保證系統內各個用戶之間互不干擾；d)存儲器保

12、護應包括:對存儲單元的地址的保護，使非法用戶不能訪問那些受到保護的存儲單元；對被保護的存儲單元的操作提供各種類型的保護，最基本的保護類型是“讀/寫”和“只讀”，不能讀 /寫的存儲單元，若被用戶讀/寫時，系統應及時發出警報或中斷程序執行；可采用邏輯隔離的方法進行存儲器保護，具體有：界限地址寄存器保護法、內存標志法、鎖保護法和特征位保護法等。SSF 物一般應按 GB/T 20271-2006 中 6.3.4.1 的要求，實理安現 SSF 的物理安全保護，通過對物理攻擊的檢查全保和自動報告，及時發現以物理方式的攻擊對SSF 造成護的威脅和破壞。SSF 運a)系統在設計時不應留有“后門”。即不應以維護

13、、行安支持或操作需要為借口，設計有違反或繞過安全規則全保的任何類型的入口和文檔中未說明的任何模式的入護口；b)安全結構應是一個獨立的、嚴格定義的系統軟件的一個子集，并應防止外部干擾和破壞，如修改其代碼或數據結構；c)操作系統程序與用戶程序要進行隔離。一個進程的虛地址空間至少應被分為兩個段：用戶空間和系統空間，兩者的隔離應是靜態的。駐留在內存中的操作系統應由所有進程共享。用戶進程之間應是彼此隔離的。應禁止在用戶模式下運行的進程對系統段進行寫操作，而在系統模式下運行時，應允許進程對所有的虛存空間進行讀、寫操作；d)提供設置和升級配置參數的安裝機制。在初始化和對與安全有關的數據結構進行保護之前，應對

14、用戶和管理員的安全策略屬性應進行定義；e) 應區分普通操作模式和系統維護模式；f) 應防止一個普通用戶從未經允許的系統進入維護模式，并應防止一個普通用戶與系統內維護模式交互。從而保證在普通用戶訪問系統之前，系統能以一個安全的方式進行安裝和配置；g)對備份或不影響SSOOS的常規的系統維護，不要求所有的系統維護都在維護模式中執行；h) 當操作系統安裝完成后，在普通用戶訪問之前，系統應配置好初始用戶和管理員職責、根目錄、審計參數、系統審計跟蹤設置以及對文件和目錄的合適的訪問控制；i) 執行系統所提供的實用程序，應（默認地）限定于對系統的有效使用，只允許系統管理員修改或替換系統提供的實用程序；j)

15、操作環境應為用戶提供一個機制，來控制命令的目錄 /路徑的查找順序；k) 提供一個實用程序來校驗文件系統和磁盤的完整性。此實用程序應由操作系統自動執行；l) 為操作系統安全管理人員提供一種機制，來產生安全參數值的詳細報告；m) 在 SSOOS 失敗或中斷后，應確保其以最小的損害得到恢復。并按失敗保護中所描述的內容，實現對 SSF 出現失敗時的處理。系統因故障或其它原因中斷后，應有一種機制去恢復系統。系統應提供在管理維護狀態中運行的能力，管理維護狀態只能被系統管理員使用，各種安全功能全部失效；n) 操作系統環境應控制和審計系統控制臺的使用情況；o) 補丁的發布、 管理和使用： 補丁是對操作系統安全

16、漏洞進行修補的程序的總稱。操作系統的開發者應針對發現的漏洞及時發布補丁。操作系統的管理者應及時獲取、統一管理并及時運用補丁對操作系統的漏洞進行修補。SSFa)實現對輸出SSF 數據可用性、保密性、和完整數據性保護；安全b) 實現 SSOOS 內 SSF數據傳輸的基本保護、數據保護分離傳輸、數據完整性保護；c) 實現 SSF 間的SSF數據的一致性和SSOOS 內SSF 數據復制的一致性保護。資源a） 應通過一定措施確保當系統出現某些確定的故障利用情況時， SSF 也能維持正常運行，如系統應檢測和報告系統的服務水平已降低到預先規定的最小值；b） 應采取適當的策略，有限服務優先級提供主體使用 TS

17、C 內某個資源子集的優先級，進行SSOOS資源的管理和分配；SSOOS訪問控制c） 應按資源分配中最大限額的要求，進行SSOOS資源的管理和分配，要求配額機制確保用戶和主體將不會獨占某種受控的資源；d）系統應確保在被授權的主體發出請求時，資源能被訪問和利用；e）當系統資源的服務水平降低到預先規定的最小值時，應能檢測和發出報告；f）系統應提供維護狀態中運行的能力，在維護狀態下各種安全性能全部失效，系統只允許由系統管理員使用；g）系統應以每個用戶或每個用戶組為基礎，提供一種機制，控制他們對磁盤的消耗和對CPU的使用；h）系統應提供軟件及數據備份和復原的過程，在系統中應加入再啟動的同步點，以便于系統

18、的復原；i）操作系統應能提供用戶可訪問的系統資源的修改歷史記錄；j）系統應提供能用于定期確認系統正確操作的機制和過程，這些機制或過程應涉及系統資源的監督、硬件和固件單元的正確操作、對可能在全系統內傳播的錯誤狀態的檢測以及超過用戶規定的門限的通訊差錯的檢測等內容。a)按會話建立機制的要求，對會話建立的管理進行設計。在建立SSOOS會話之前，應鑒別用戶的身份。登錄機制不允許鑒別機制本身被旁路；b)按多重并發會話限定中基本限定的要求，進行會話管理的設計。在基于基本標識的基礎上，SSF應限制系統的并發會話的最大數量，并應利用默認值作為會話次數的限定數；c)按可選屬性范圍限定的要求，選擇某種會話安全屬性

19、的所有失敗的嘗試，對用來建立會話的安全屬性的范圍進行限制；d) 成功登錄系統后， SSOOS 應記錄并向用戶顯示以下數據：日期、時間、來源和上次成功登錄系統的情況；上次成功訪問系統以來身份鑒別失敗的情況；應顯示口令到期的天數；成功或不成功的事件次數的顯示可以用整數計數、時間戳列表等表述方法；e)在規定的未使用時限后，系統應斷開會話或重新鑒別用戶，系統應提供時限的默認值；f) 系統應提供鎖定用戶鍵盤的機制，鍵盤開鎖過程應要求驗證用戶；g) 當用戶鑒別過程不正確的次數達到系統規定的次數時，系統應退出登錄過程并終止與用戶的交互；h) 系統應提供一種機制，能按時間、進入方式、地點、網絡地址或端口等條件

20、規定哪些用戶能進入系統。g) 當用戶鑒別過程不正確的次數達到系統規定的次數時，系統應退出登錄過程并終止與用戶的交互；h) 系統應提供一種機制，能按時間、進入方式、地點、網絡地址或端口等條件規定哪些用戶能進入系統。SSOOS配 置a)在配置管理能力方面應實現對版本號、配置項、設 計管理授權控制等方面的要求；和 實b)在配置管理自動化方面要求部分的配置管理自現動化；c)在 SSOOS 的配置管理范圍方面，應將SSOOS的實現表示、設計文檔、測試文檔、用戶文檔、管理員文檔以及配置管理文檔等置于配置管理之下，要求實現對配置管理范圍內的問題跟蹤，特別是安全缺陷問題進行跟蹤；d)在系統的整個生存期，即在它

21、的開發、測試和維護期間，應有一個軟件配置管理系統處于保持對改變源碼和文件的控制狀態。只有被授權的代碼和代碼修改才允許被加進已交付的源碼的基本部分。所有改變應被記載和檢查，以確保未危及系統的安全。在軟件配置管理系統中，應包含從源碼產生出系統新版本、鑒定新生成的系統版本和保護源碼免遭未授權修改的工具和規程。通過技術、物理和保安規章三方面的結合，可充分保護生成系統所用到的源碼免遭未授權的修改和毀壞。分發a)以文檔形式提供對SSOOS安全地進行分發的和操過程，并對修改檢測的過程進行說明，最終生成安全作的配置。文檔中所描述的內容應包括：提供分發的過程；安全啟動和操作的過程；建立日志的過程；修改內容的檢測

22、；對任何安全加強功能在啟動、正常操作維護時能被撤消或修改的闡述；在故障或硬件、軟件出錯后恢復系統至安全狀態的規程；對含有加強安全性的硬件部件，應說明用戶或自動的診斷測試的操作環境和使用方法；所有診斷測試過程中，為加強安全性的硬件部件所提供例證的結果；在啟動和操作時產生審計蹤跡輸出的例證；b)對系統的未授權修改的風險，應在交付時控制到最低限度。在包裝及安全分送和安裝過程中，這種控制應采取軟件控制系統的方式，確認安全性會由最終用戶考慮，所有安全機制都應以功能狀態交付；c)所有軟件應提供安全安裝默認值，在客戶不做選擇時，默認值應使安全機制有效地發揮安全功能；d)隨同系統交付的全部默認用戶標識碼，應在

23、交付時處于非激活狀態，并在使用前由管理員激活；e)用戶文檔應同交付的軟件一起包裝，并應有一套規程確保當前送給用戶的系統軟件是嚴格按最新的系統版本來制作的；f) 以安全方式開發并交付系統后，仍應提供對產品的長期維護和評估的支持，包括產品中的安全漏洞和現場問題的解決；g) 應采用書面說明的方式向客戶通告新的安全問題。h)對可能受到威脅的所有的安全問題，均應描述其特點，并作為主要的問題對待，直到它被解決或在用戶同意下降級使用；i) 為了支持已交付的軟件的每個版本，對所有已有的安全漏洞都應有文檔書面說明，并且用戶能在限制的基礎上得到該文檔；j) 對安全漏洞的修改不必等到系統升級到下一個版本。安全功能的

24、增加和改進應獨立于系統版本的升級，也就是說， 應存在適應性獨立于系統其它功能的改進；k) 只有經過客戶授權， 才允許在生產性運行的系統上進行新特性和簡易原型的開發、測試和安裝；l) 新的版本應避免違反最初的安全策略和設想，也應避免在維護、增加或功能升級中引入安全漏洞，所有功能的改變和安全結構設置的默認值都應作記錄。在新版本交付給用戶使用前，用戶應能得到相應的文檔。文 檔a)應為最終用戶提供簡單概要、分章節或手冊形式要求的文檔，保證用戶擁有進行安全操作所需要的所有信息。與安全有關的信息應包含在一個特別的手冊中或許多標準的文本集中，提供用戶查閱所有的安全功能。這些信息可隨系統發送，也可明確指出它包

25、含在哪個文本當中；b)應通過提供所要求文檔，將如何安全使用和維護操作系統的信息交付給系統的用戶、系統管理員和系統安全員。對文檔的總體要求是：應對所有的安全訪問和相關過程、特權、功能等適當的管理加以闡述；應闡述安全管理和安全服務的交互，并提供新的SSOOS安全生成的指導；應詳細給出每種審計事件的審計記錄的結構，以便考察和維護審計文件和進程；應提供一個準則集用于保證附加的說明的一致性不受破壞；c) 用戶文檔應提供關于不同用戶的可見的安全機制以及如何利用它們的信息，描述沒有明示用戶的保護結構，并解釋它們的用途和提供有關它們使用的指南，不應包括那些如果公開將會危及系統安全的任何信息；d) 系統管理員文

26、檔應提供：關于系統的安全開機、操作和重新啟動的信息，包括啟動系統的過程（如引導系統進入安全方式）、 在系統操作失誤時恢復安全系統操作的過程、運行軟件和數據備份及轉儲的方法和過程；一個單獨的安裝指南，詳細說明設置系統的配置和初始化過程，提供一個新系統版本的安全設置和安裝文檔，包括對所有用戶可見的安全相關過程、軟件和數據文檔的描述；e) 安全管理員文檔應提供：有關如何設置、維護和分析系統安全的詳細指導，包括當運行一個安全設備時，需要控制的有關功能和特權的警告；與安全有關的管理員功能的詳細描述，包括增加和刪除一個用戶、改變用戶的安全特征等；提供關于所有審計工具的文檔，包括為檢查和保持審計文件所推薦的

27、過程、針對每種審計事件的詳細審計記錄文件、為周期性備份和刪除審計記錄所推薦的過程、為檢查能被目錄文件所利用的磁盤剩余空間所推薦的過程；關于設置所有文件和目錄的最低訪問許可的建議；運行文件系統或磁盤完整性檢測所做的建議；如何進行系統自我評估的章節（帶有網絡管理、口令要求、 撥號訪問控制、意外事故計劃的安全報告），為災害恢復計劃所做的建議；描述普通入侵技術和其它威脅，及查出和阻止它們的方法；f) 安全管理員文檔應提供安全管理員了解如何用安全的方式管理系統，除了給出一般的安全忠告，還要明確：在系統用安全的方法設置時，圍繞用戶、用戶賬戶、用戶組成員關系、主體和客體的屬性等，應如何安裝或終止安裝；在系統的生存周期內如何用安全的方法維護系統，包括為了防止系統被破壞而進行的每天、每周、每月的安全常規備份等；如何用安全的方法重建部分SSOOS（如內核） 的方法（如果允許在系統上重建SSOOS ）；說明審計跟蹤機制，使授權用戶可以有效地使用審計跟蹤來執行本地的安全策略；必要時，如何調整系統的安全默認配置；g) 文檔中不應提供任何一旦泄露將會危及系統安全的信息。有關安全的指令和文檔應劃分等級分別提供給用戶、系統管理員和系統安全員。這些文檔應為獨立的文檔，或作為獨立的章節插入到管理員指南和用戶指南中。文檔也可為硬拷貝、電子文檔或聯機文檔。如果是聯機文檔應控制對其的訪問。生存a)按標準的生存周期模