GB-T 20272-2026《网络安全技术 操作系统安全技术规范》

1网络安全技术操作系统安全技术规范本文件规定了操作系统的安全技术要求，并描述了相应的测试评价方法。本文件适用于部署在台式机、笔记本电脑、一体机、工作站、服务器、虚拟机等操作系统的设计、开发、测试和评价。本文件不适用于嵌入式操作系统。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB17859—1999计算机信息系统安全保护等级划分准则GB/T20271—2006信息安全技术信息系统通用安全技术要求GB/T25069—2022信息安全技术术语GB42250—2022信息安全技术网络安全专从文档、操作或监测观察到偏离以前验证过的条件、状态或行为。注：通常异常涉及的主体可能是人、设备、应用程序、服务/进程、数据等，因识别到的异常指向的主体不同，又分为用户行为异常、设备运行异常、程序执行异常、服务运行异常、数据异常等多种。审计记录auditrecordation审计产品采集审计目标的记录与活动数据所生成的信息。操作系统安全securityofoperatingsystem操作系统自身以及其所存储、传输和处理的信息的保密性、完整性和可用性。操作系统安全子系统securitysubsystemofoperatingsystem操作系统中安全保护装置的总称。2操作系统安全子系统安全功能securityfunctionofsecuritysubsystemofoperatingsystem操作系统安全子系统提供的安全功能。主、客体标记labelofsubjectandobject为主体和客体分配的敏感标记。自主访问控制discretionaryaccesscontrol注：有访问权限的主体能按授权方式对指定客体实施访问，并能根据授权，对访问权限进行转移。强制访问控制mandatoryaccesscontrol由系统根据主、客体所包含的敏感标记，按照确定的规则，决定主体对客体访问权限的方法。进行设置和维护。可信路径trustedpath服务优先级priorityofservice通过对资源使用的控制策略，确保SSOOS中高优先级任务的完成不受低优先级任务的干扰和延误，从而确保SSOOS安全功能的安全性的能力。通过对资源使用的控制策略，对SSOOS安全功能控制范围内资源进行合理管理和调度，确保下列缩略语适用于本文件。SSOOS:操作系统安全子系统(SecuritySubsystemofOper3保护由SSOOS来实现。SSOoS一般包本文件将操作系统分为五个等级，安全功能与自身安全的强弱，以及安全保障要求的高低是等级划分的具体依据，等级突出安全特性。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，每一级的新增部分用“宋体加粗”表示。安全技术要求的等级划分和对应测试评价方法应符合附录A的要求。表1安全技术要求各部分要求项用户标识和鉴别自主访问控制标记和强制访问控制网络安全保护自身安全保护要求资源利用用户登录访问控制指导性文档46安全技术要求6.1第一级：用户自主保护级6.1.1安全功能要求b)操作系统用户标识宜使用用户名和UID;c)采用口令进行鉴别，并在每次用户登录系统时进行鉴别；e)对鉴别信息传输过程进行安全保护，确保其不被非授权地泄露和篡改；f)对鉴别信息存储过程进行安全保护，确保其不被非授权地访问、修改和删除；g)具有用户登录失败处理功能，如对于连续的非法登录尝试次数达到预设阈值时，限制该用户进一步登录；h)对SSOOS的用户，将用户与其作为所有者的进程相关联，使用户进程的行为能追溯到进程的所有者。6.1.1.2自主访问控制a)客体的拥有者有权修改其拥有的全部客体的访问权限；b)客体的拥有者能对其拥有的客体设置其他用户的访问控制属性，访问控制属性至少包括：读、c)对于安全系统所定义的自主访问控制的范围内，主体对客体的访问应遵循该客体的自主访问控制权限属性；d)自主访问控制的主体粒度为用户组级别或用户级别，客体的粒度为文件和目录级别。6.1.1.3数据安全保护对操作系统内部传输的用户数据(如进程间的通信),应具备保证用户数据完整性的功能。6.1.1.4网络安全保护支持基于IP地址、端口、物理接口的双向网络访问控制，将不符合预先设定策略的数据包丢弃。6.1.2自身安全保护要求6.1.2.1运行安全保护b)应区分普通操作模式和系统维护模式。5e)支持以最小化方式安装，不包含非必要的服务、组件、驱动程序、内核模块、应用程序等。应通过一定措施确保当系统出现某些确定的故障情况时，SSF也能维持正常运行。应采取服务优先级策略，设置主体使用SSF控制范围内某个资源子集的优先级，进行操作系统资源的管理和分配。6.1.2.2.3资源分配通过控制用户和主体对资源的占用，确保用户和主体不会超过某一数量、比例或独占某种受控的资源。6.1.2.3用户登录访问控制a)支持根据访问方法、访问地址或端口、用户身份、时间范围等，允许或拒绝用户与SSOOS建立会话；b)支持对一个时间段内所有用户和每个用户的最大并发会话数进行限制，并利用默认值作为会话次数的限定数。6.1.2.4安全策略配置应对用户标识和鉴别、自主访问控制、网络安全保护、资源利用、用户登录访问控制等提供安全策略配置功能。6.1.3安全保障要求6.1.3.1.1安全架构c)描述SSOOS初始化过程为何是安全的；d)证实SSOOS能够防止被破坏；6.1.3.1.2功能规范说明6c)标识和描述每个SSOOS接口相关的全部参数；d)描述实施过程中，与SSOOS接口相关的行为；d)描述安全功能和自身安全保护间的相互作用；6.1.3.2指导性文档6.1.3.2.1操作用户指南a)描述在安全处理环境中用户可访问的功能和特权，并包含可能造成危害的警示信息；c)描述安全功能和自身安全保护及接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明安全功能和自身安全保护有关的每一种安全相关事件，包括改变SSOOS所控制实体的安全特性；e)标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持6.1.3.2.2准备程序a)描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤；6.1.3.3生存周期支持6.1.3.3.1配置管理能力b)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；c)配置管理系统唯一标识所有配置项。6.1.3.3.2配置管理范围b)唯一标识配置项；7c)对于每一个安全功能相关的配置项，配置项列表简要说明该配置项的开发者。6.1.3.3.3交付程序开发者应提供测试覆盖文档，测试覆盖的证据应表明测试文档中的测试与功能规范说明中SSOOS接口之间的对应性。a)测试计划：标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b)预期的测试结果：表明测试完成后的预期输出；c)实际测试结果：和预期的测试结果一致；d)证实已知的漏洞被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。6.1.3.4.3独立测试6.1.3.5脆弱性评定注：抵抗基本攻击潜力的攻击者的攻击，需要根据以下5个具体因素综合考虑：攻击时间、攻击者能力、对操作系统的了解程度、访问操作系统时间或攻击样品数量、使用的攻击设备，见GB/T30270—2024附录B中的B.6。6.2第二级：系统审计保护级6.2.1安全功能要求6.2.1.1用户标识和鉴别a)进入SSOOS前，对用户进行标识和鉴别；b)保证SSOOS用户的标识在e)对鉴别信息传输过程进行安全保护，确保其不被非授权地泄露和篡改；g)具有用户登录失败处理功能，如对于连续的非法登录尝试次数达到预设阈值时，限制该用户进8一步登录；6.2.1.2自主访问控制b)客体的拥有者能对其拥有的客体设置其他用户的访问控制属性，访问控制属性至少包括：读、c)对于安全系统所定义的自主访问控制的范围内，主体对客体的访问应遵循该客体的自主访问控制权限属性；e)当主体生成一个客体时，客体具有该主体设置的自主访问控制属性的默认值；6.2.1.3安全审计SSOOS应能够对重要事件进行审计，内容包括：e)其他第二级安全技术要求的使用。6.2.1.3.2审计日志生成SSOOS应具备审计日志生成功能，记录内容包括：6.2.1.3.3审计日志分析SSOOS应具备审计日志分析功能：6.2.1.3.4审计日志查询SSOOS应具备审计日志查询功能。a)提供审计日志的可选择查询功能，支持按以下条件之一或逻辑组合进行选择和排序查阅，并能91)事件类型；2)日期和/或时间；3)用户身份；5)成功或失败。6.2.1.3.5审计日志保护与存储f)支持将审计日志外发日志服务器；6.2.1.4数据安全保护6.2.1.4.1数据完整性a)在操作系统内部传输的用户数据(如进程间的通信),具备保证数据完整的功能；6.2.1.4.2数据保密性a)提供文件加密功能，能够基于密码技术由用户对指定的文件和目录进行加密保护；b)支持对密钥的存储进行保护。6.2.1.4.3数据备份6.2.1.4.4数据安全策略配置6.2.1.5网络安全保护SSOOS应具备网络安全保护功能：a)支持基于IP地址、端口、物理接口的双向网络访问控制，将不符合预先设定策略的数据包6.2.2自身安全保护要求6.2.2.1运行安全保护b)区分普通操作模式和系统维护模式；d)对备份等不影响SSOOS的常规的系统维护，能在普通操作模式执行；g)在SSOOS出现故障或中断后，使其以最小的损害得到恢复，当SSF中所确定的失败类型出现时，保存一个保护状态，该保护状态确保SSF从失败恢复时安全策略的正确性；i)操作系统的开发者针对发现的漏洞及时发布补丁；操作系统的管理者及时获取、统一管理并及时运用补丁对操作系统的漏洞进行修补；j)支持同步时钟系统；k)支持以最小化方式安装，不包含非必要的服务、组件、驱动程序、内核模块、应用程序等。a)通过一定措施确保当系统出现某些确定的故障情况时，SSF也能维持正常运行，如系统检测和报告系统的服务水平已降低到预先规定的最小值；c)提供维护模式中运行系统的能力，在维护模式下各种安全功能全部失效；系统仅允许系统管理员进入维护模式。a)采取服务优先级策略，设置主体使用SSF控制范围内某个资源子集的优先级，进行SSOOS资源的管理和分配；6.2.2.2.3资源分配a)通过控制用户和主体对资源的占用，确保用户和主体不会超过某一数量、比例或独占某种受控的资源；6.2.2.3用户登录访问控制b)支持对一个时间段内所有用户和每个用户的最大并发会话数进行限制，并利用默认值作为会话次数的限定数。1)本次登录的日期、时间、来源和上次成功登录系统的情况；3)口令到期的天数；6.2.2.4可信验证6.2.2.5统一认证和安全管理SSOOS应支持对接用户统一身份认证系统，完成用户身份的统一认证和管理。6.2.2.6安全策略配置6.2.3安全保障要求6.2.3.1.1安全架构开发者应提供SSOOS的安全架构描述文档，安全架构描述文档应符合以下要求：d)证实SSOOS能够防止被破坏；6.2.3.1.2功能规范说明a)完全描述SSF和自身安全保护；b)描述所有安全功能和自身安全保护模块，包括其目的及与其他模块间的相互作用；6.2.3.2指导性文档6.2.3.2.1操作用户指南a)描述在安全处理环境中用户可访问的功能和特权，并包含可能造成危害的警示信息；c)描述安全功能和自身安全保护及接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明安全功能和自身安全保护有关的每一种安全相关事件，包括改变SSOOS所控制实体的安全特性；e)标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持f)描述为确保SSOOS安全运行应执行的安全策略。a)描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤；b)描述安全安装操作系统及其运行环境必需的所有步骤。6.2.3.3生存周期支持6.2.3.3.1配置管理能力a)为操作系统的不同版本提供唯一的标识；b)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；f)实施的配置管理与配置管理计划相一致。6.2.3.3.2配置管理范围b)唯一标识配置项；c)对于每一个安全功能相关的配置项，配置项列表简要说明该配置项的开发者。6.2.3.3.4开发安全6.2.3.3.5生存周期定义开发者应提供测试覆盖文档，测试覆盖文档应符合以下要求：a)证实测试文档中的测试与功能规范说明中SSOOS接口之间的对应性；6.2.3.4.2深度6.2.3.4.3功能测试a)测试计划：标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b)预期的测试结果：表明测试完成后的预期输出；c)实际测试结果：和预期的测试结果一致；d)证实已知的漏洞被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。6.2.3.4.4独立测试6.2.3.5脆弱性评定注：抵抗基本攻击潜力的攻击者的攻击，需要根据以下5个具体因素综合考虑：攻击时间、攻击者能力、对操作系统的了解程度、访问操作系统时间或攻击样品数量、使用的攻击设备，见GB/T30270—2024附录B中的B.6。6.3第三级：安全标记保护级6.3.1安全功能要求6.3.1.1通用要求6.3.1.2用户标识和鉴别b)保证SSOOS用户的标识在整个SSOOS的生命周期内的唯一性，并保证标识与用户名或别c)采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等相结合的方式，使用多鉴别机制实现对用户身份的真实性鉴别，并在每次用户登录系统时、重新建立连接时进行鉴别；d)鉴别信息是不可见的，防止鉴别信息的偶然泄密；e)通过密码技术对鉴别信息传输过程进行安全保护，确保其不被非授权地泄露和篡改；f)通过密码技术对鉴别信息存储过程进行安全保护，确保其不被非授权地访问、修改和删除；g)具有用户登录失败处理功能，如对于连续的非法登录尝试次数达到预设阈值时，限制该用户进一步登录；6.3.1.3自主访问控制a)客体的拥有者有权修改其拥有的全部客体的访问权限；b)客体的拥有者能对其拥有的客体设置其他用户的访问控制属性，访问控制属性至少包括：读、c)对于安全系统所定义的自主访问控制的范围内，主体对客体的访问应遵循该客体的自主访问控制权限属性；d)实现更细粒度的自主访问控制，主体为用户、进程级别，客体为文件、目录级别；6.3.1.4标记和强制访问控制SSOOS应具备标记和强制访问控制功能。b)客体的标记和客体数据紧密结合。d)强制访问控制与用户身份鉴别、标记等安全功能紧密结合，使系统对用户的安全控制包含从系统启动到退出系统的全过程，强制访问控制对客体的控制范围涉及操作系统内部的存储、处理和传输过程。a)身份鉴别、自主访问控制、标记和强制访问控制等安全功能的使用；b)客体的创建、删除；d)所有管理员的操作；e)其他第二级安全技术要求的使用；f)其他第三级安全技术要求的使用。6.3.1.5.2审计日志生成a)每条审计记录包括：事件类型、事件发生的日期和时间、触发事件的用户、事件成功或失败等字段；c)创建和删除客体的事件审计记录还包括客体的名字、客体的安全属性；a)潜在侵害分析：设置审计日志累积或组合的规则，使用这些规则去监测已经生成的审计事件，并根据这些规则指示出对系统安全运行的潜在侵害；板中已建立的使用模式不一致的程度，当用户的置疑等级超过门限条件时，能指出对c)当检测到潜在的安全侵害时，应生成实时报警。6.3.1.5.4审计日志查询SSOOS应具备审计日志查询功能。a)提供审计日志的可选择查询功能，支持按以下条件之一或逻辑组合进行选择和排序查阅，并能导出查询结果：2)日期和/或时间；4)客体名称；b)以便于用户理解的方式提供审计日志查阅功能。6.3.1.5.5审计日志保护与存储a)保证审计机制默认处于开启状态，且对审计日志的开启和关闭进行保护；b)保护审计日志不被未授权地访问；d)审计日志应支持存储在掉电非遗失性存储介质中；e)能定义审计跟踪存储极限的阈值，当超过阈值时将向管理员报警；f)支持将审计日志外发日志服务器；6.3.1.6数据安全保护6.3.1.6.1数据完整性a)在操作系统内部传输的用户数据(如进程间的通信),具备保证用户数据完整性的功能；b)支持基于密码技术对用户数据进行存储完整性保护；e)支持基于密码技术对访问控制信息进行存储完整性保护；f)支持基于密码技术对安全标记进行存储完整性保护；g)提供密码接口，能够适配密码产品或密码模块为用户提供完整性保护功能。6.3.1.6.2客体重用保护6.3.1.6.3数据保密性a)提供文件加密功能，能够基于密码技术由用户对指定的文件和目录进行加密保护，或由b)支持适配使用硬件如安全芯片或硬件密码产品对密钥的存储进行保护；c)提供密码接口，能够适配密码产品或密码模块为用户提供加解密计算功能。6.3.1.6.5数据安全策略配置SSOOS应具备数据安全策略配置功能：a)支持配置数据安全策略，对指定的用户数据进行保护；b)应支持结合自主访问控制、标记和强制访问控制、数据完整性保护、数据保密性保护、数据备份、资源利用等设置数据安全策略。6.3.1.7网络安全保护SSOOS应具备网络安全保护功能：a)支持基于IP地址、端口、物理接口和应用程序的双向网络访问控制，将不符合预先设定策略的数据包丢弃；b)对网络传输数据能进行加密与完整性保护；c)支持基于系统身份的双向网络接入认证。6.3.1.8密码支持所使用的密码技术应符合国家密码管理部门有关规定，支持适配符合国家密码管理部门有关规定的密码产品或安全芯片进行密码技术的相关计算。6.3.2自身安全保护要求6.3.2.2运行安全保护b)区分普通操作模式和系统维护模式。c)在普通用户访问SSOOS之前，系统以一个安全的方式进行安装和配置。d)对备份等不影响SSOOS的常规的系统维护，能在普通操作模式执行。e)当SSOOS安装完成后，在普通用户访问之前，系统配置好初始用户和管理员职责、根目录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。f)仅允许系统管理员修改或替换系统提供的可执行程序。h)在SSOOS出现故障或中断后，使其以最小的损害得到恢复，当SSF中所确定的失败类型出现i)控制和审计系统控制台的使用。j)操作系统的开发者针对发现的漏洞及时发布补丁；SSOOS的管理者及时获取、统一管理并及时运用补丁对操作系统的漏洞进行修补。k)支持同步时钟系统。6.3.2.3资源利用a)通过一定措施确保当系统出现某些确定的故障情况时，SSF也能维持正常运行，如系统检测和报告系统的服务水平已降低到预先规定的最小值。c)提供维护模式中运行系统的能力，在维护模式下各种安全功能全部失效；系统仅允许系统管理员进入维护模式。6.3.2.3.2服务优先级SSOOS应具备服务优先级功能：a)采取服务优先级策略，设置主体使用SSF控制范围内某个资源子集的优先级，进行SSOOS资源的管理和分配；b)确保对所有操作系统资源的访问都基于主体所设置的优先级进行。6.3.2.3.3资源分配a)采取服务优先级策略，设置主体使用SSF控制范围内某个资源子集的优先级，进行SSOOS资源的管理和分配独占某种受控的资源；b)确保在被授权的主体发出请求时，资源能被访问和利用；c)以每个用户或每个用户组为基础，提供一种机制，控制其对磁盘的消耗和对CPU等资源的使用；6.3.2.4用户登录访问控制b)支持对一个时间段内所有用户和每个用户的最大并发会话数进行限制，并利用默认值作为会话次数的限定数。1)本次登录的日期、时间、来源和上次成功登录系统的情况；2)上次成功访问系统以来身份鉴别失败的情况；3)口令到期的天数；4)成功或不成功的事件次数可用整数计数、时间戳列表等表述方法。6.3.2.6统一认证和安全管理SSOOS应具备统一认证和安全管理功能。a)支持对接用户统一身份认证系统，完成用户身份的统一认证和管理。6.3.2.7安全策略配置应对用户标识和鉴别、自主访问控制、标记和强制访问控制、安全审计、数据安全保护、网络安全保护、资源利用、用户登录访问控制、可信验证等提供安全策略配置功能。6.3.3安全保障要求6.3.3.2.1安全架构开发者应提供SSOOS的安全架构描述文档，安全架构描述文档应符合以下要求：b)描述SSOOS的安全域；d)证实SSOOS能够防止被破坏；6.3.3.2.2功能规范说明开发者应提供功能规范说明，功能规范说明应符合以下要求：a)完全描述SSF和自身安全保护；c)标识和描述每个SSOOS接口相关的全部参数；6.3.3.2.3实现表示b)描述所有安全功能和自身安全保护模块，包括其目的及与其他模块间的相互作用；c)提供每一个安全功能和自身安全保护的描述；e)提供安全功能和自身安全保护模块间的映射关系；6.3.3.3指导性文档6.3.3.3.1操作用户指南a)描述在安全处理环境中用户可访问的功能和特权，并包含可能造成危害的警示信息；b)描述如何以安全的方式使用SSOOS提供的安全功能和自身安全保护；c)描述安全功能和自身安全保护及接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明安全功能和自身安全保护有关的每一种安全相关事件，包括改变SSOOS所控制实体的安全特性；e)标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持6.3.3.3.2准备程序a)描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤；b)描述安全安装操作系统及其运行环境必需的所有步骤。6.3.3.4生存周期支持6.3.3.4.1配置管理能力开发者的配置管理能力应符合以下要求：b)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；d)提供自动化的措施使得仅能对配置项进行授权变更；f)配置管理文档包括一个配置管理计划，配置管理计划描述如何使用配置管理系统开发SSOOS;g)实施的配置管理与配置管理计划相一致；6.3.3.4.2配置管理范围开发者应提供SSOOS配置项列表，并说明配置项的开发者。配置项列表应包含以下内容：a)SSOOS、安全保障要求的评估证据和SSOOS的组成部分和实现表示、安全缺陷报告及其解决状态；b)唯一标识配置项；c)对于每一个安全功能相关的配置项，配置项列表简要说明该配置项的开发者。6.3.3.4.3交付程序6.3.3.4.4开发安全6.3.3.4.5生存周期定义6.3.3.4.6工具和技术6.3.3.5.1覆盖开发者应提供测试覆盖文档，测试覆盖文档应符合以下要求：开发者应提供测试深度的分析文档。测试深度分析文档应符合以下要求：a)证实测试文档中的测试与安全功能和自身安全保护模块之间的对应性；6.3.3.5.3功能测试a)测试计划：标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b)预期的测试结果：表明测试完成后的预期输出；c)实际测试结果：和预期的测试结果一致；d)证实已知的漏洞被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。6.3.3.5.4独立测试开发者应对所使用的对称、非对称和杂凑密码算法进行正确性和符合性测试，确保实际运算结果与预期的正确结果相符。开发者应确保使用符合国家密码相关规定的对称、非对称和杂凑密码算法。6.3.3.5.6代码安全性测试6.3.3.6脆弱性评定基于已标识的潜在脆弱性，操作系统应抵抗具有增强型基本攻击潜力的攻击者的攻击。注：抵抗增强型基本攻击潜力的攻击者的攻击，需要根据以下5个具体因素综合考虑：攻击时间、攻击者能力、对操作系统的了解程度、访问操作系统时间或攻击样品数量、使用的攻击设备，见GB/T30270—2024附录B中的6.4第四级：结构化保护级6.4.1安全功能要求6.4.1.1通用要求b)保证SSOOS用户的标识在整个SSOOS的生命周期内的唯一性，并保证标识与用户名或别c)采用强化管理的口令鉴别和/或基于令牌的动态口令鉴别和/或生物特征鉴别和/或数字证书鉴别等相结合的方式，使用多鉴别机制实现对用户身份的真实性鉴别，并在每次用户登录时、重新建立连接时进行鉴别；e)通过密码技术对鉴别信息传输过程进行安全保护，确保其不被非授权地泄露和篡改；f)通过密码技术对鉴别信息存储过程进行安全保护，确保其不被非授权地访问、修改和删除；g)具有用户登录失败处理功能，如对于连续的非法登录尝试次数达到预设阈值时，限制该用户进一步登录；6.4.1.3自主访问控制a)客体的拥有者有权修改其拥有的全部客体的访问权限；b)客体的拥有者能对其拥有的客体设置其他用户的访问控制属性，访问控制属性至少包括：读、g)客体的拥有者能对其拥有的客体设置为：拥有者是唯一有权修改其访问控制属性的主体；6.4.1.4标记和强制访问控制c)主体和客体的安全属性标记构成了保密性和完整性安全策略模型，这些安全策略模型具有相应的半形式化证明；强制访问控制基于标记和安全策略模型，实现主体对客体读、写和执行等操作的访问控制。d)强制访问控制与用户身份鉴别、标记等安全功能紧密结合，使SSOOS对用户的安全控制包含从SSOOS启动到退出的全过程，强制访问控制对客体的控制范围涉及SSOOS内部的存储、处理和传输过程，及信息进行输入、输出操作的过程。e)将系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、系统安全员和系统审计员来承担，按职能分割和最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，并形成相互制约关系；由系统安全员统一管理SSOOS中与强制访问控制等安全机制有关的事件和信息。f)运行于网络环境的多台计算机上的网络操作系统，在需要进行统一管理时，保证各台计算机SSOOS中主、客体安全属性设置的一致性，并基于密码技术实现跨网络的SSOOS间用户数据保密性和完整性保护。6.4.1.5安全审计a)身份鉴别、自主访问控制、标记和强制访问控制、可信信道建立等安全功能的使用；b)客体的创建、删除；d)所有管理员的操作；e)其他第二级安全技术要求的使用；f)其他第三级安全技术要求的使用；g)其他第四级安全技术要求的使用。6.4.1.5.2审计日志生成a)每条审计记录包括：事件类型、事件发生的日期和时间、触发事件的用户、事件成功或失败等字段；6.4.1.5.3审计日志分析a)潜在侵害分析：设置审计日志累积或组合的规则，使用这些规则去监测已经生成的审计事b)基于模板的异常检测：根据用户的历史使用模式建立模板，用置疑等级表示用户当前活动与模板中已建立的使用模式不一致的程度，当用户的置疑等级超过门限条件时，能指出对SSOOS的可能侵害即将发生；c)简单攻击探测：当发现一个系统事件与一个潜在违反系统安全策略的特征事件匹配时，能指出潜在违反系统安全策略的事件即将发生；6.4.1.5.4审计日志查询SSOOS应具备审计日志查询功能。a)提供审计日志的可选择查询功能，支持按以下条件之一或逻辑组合进行选择和排序查阅，并能导出查询结果：2)日期和/或时间；5)成功或失败。b)以便于用户理解的方式提供审计日志查阅功能。6.4.1.5.5审计日志保护与存储SSOOS应具备审计日志保护与存储功能：a)保证审计机制默认处于开启状态，且对审计日志的开启和关闭进行保护；b)保护审计日志不被未授权地访问；c)保证审计日志不被非授权篡改和删除，并记录尝试篡改和删除审计日志的行为；d)审计日志支持存储在掉电非遗失性存储介质中；e)能定义审计跟踪存储极限的阈值，当超过阈值时将向管理员报警；f)支持将审计日志外发日志服务器；g)当审计存储空间被耗尽时，覆盖所存储的最早的审计记录。6.4.1.6数据安全保护6.4.1.6.1数据完整性a)在操作系统内部进行的数据传输(如进程间的通信),具备保证数据完整的功能；b)支持基于密码技术对用户数据进行存储完整性保护；c)应提供一个实用程序来校验文件系统和磁盘的完整性，此实用程序可由操作系统自动执行；g)提供密码接口，能够适配密码产品或密码模块为用户提供完整性保护功能。a)确保非授权用户无法获取使用后返还系统的存储介质(至少包括：磁盘和内存等)中的信息；a)提供文件加密功能，能够基于密码技术由用户对指定的文件和目录进行加密保护，或由SSOOS对用户的文件和目录进行透明加解密；c)提供密码接口，能够适配密码产品或密码模块为用户提供加解密计算功能。6.4.1.6.4数据备份6.4.1.6.5数据安全策略配置SSOOS应具备数据安全策略配置功能：a)支持配置数据安全策略，对指定的用户数据进行保护；b)应支持结合自主访问控制、标记和强制访问控制、数据完整性保护、数据保密性保护、数据备份、资源利用等设置数据安全策略。6.4.1.7可信路径6.4.1.9可信计算环境6.4.1.10网络安全保护a)支持基于IP地址、端口、物理接口和应用程序的双向网络访问控制，将不符合预先设定策略的数据包丢弃；b)支持对网络传输数据进行保密性和完整性保护；c)支持基于系统身份的双向网络接入认证。6.4.1.11密码支持所使用的密码技术应符合国家密码管理部门有关规定，支持适配符合国家密码管理部门有关规定的密码产品或安全芯片进行密码技术的相关计算。6.4.2自身安全保护要求6.4.2.1通用要求6.4.2.2运行安全保护a)提供一个设置和升级配置参数的安装机制；在初始化和对与安全有关的数据结构进行保护之前，对用户和管理员的安全策略属性进行定义。b)区分普通操作模式和系统维护模式。d)对备份等不影响SSOOS的常规的系统维护，能在普通操作模式执行。e)当SSOOS安装完成后，在普通用户访问之前，系统配置好初始用户和管理员职责、根目录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制。f)仅允许系统管理员修改或替换系统提供的可执行程序。g)为SSOOS的安全管理人员提供一种机制，来产生安全参数值的详细报告。h)在SSOOS出现故障或中断后，使其以最小的损害得到恢复，当SSF中所确定的失败类型出现时，保存一个保护状态，该保护状态确保SSF从失败恢复时安全策略的正确性；SSOOS因故障或其他原因中断后，启动恢复机制。i)控制和审计系统控制台的使用。j)操作系统的开发者应针对发现的漏洞及时发布补丁；SSOOS的管理者应及时获取、统一管理并及时运用补丁对操作系统的漏洞进行修补。k)支持同步时钟系统。1)支持以最小化方式安装，不包含非必要的服务、组件、驱动程序、内核模块、应用程序等。a)通过一定措施确保当系统出现某些确定的故障情况时，SSF也能维持正常运行，如系统检测和报告系统的服务水平已降低到预先规定的最小值；c)提供维护模式中运行系统的能力，在维护模式下各种安全功能全部失效；系统仅允许系统管理员进入维护模式；d)提供软件及数据备份和恢复的过程，在系统中加入再启动的同步点，以便于SSOOS的恢复；e)提供能用于定期确认SSOOS正确操作的机制和过程，这些机制或过程涉及系统资源的监视、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规定门限的通信差错的检测等内容。SSOOS应具备服务优先级功能：a)采取服务优先级策略，设置主体使用SSF控制范围内某个资源子集的优先级，进行SSOOS资源的管理和分配；b)确保对所有SSOOS资源的访问都基于主体所设置的优先级进行。6.4.2.3.3资源分配a)通过控制用户和主体对资源的占用，确保用户和主体不会超过某一数量、比例或独占某种受控的资源；b)确保在被授权的主体发出请求时，资源能被访问和利用；d)提供对访问系统资源修改进行审计的能力。6.4.2.4用户登录访问控制1)本次登录的日期、时间、来源和上次成功登录系统的情况；2)上次成功访问系统以来身份鉴别失败的情况；4)成功或不成功的事件次数可用整数计数、时间戳列表等表述方法。d)在用户无操作超过限定的时限后，系统断开会话或重新鉴别用户，并提供默认值作为未使用时间限定值。e)当用户鉴别过程不正确的次数达到系统规定的次数时，系统退出登录过程。b)可信根密码模块符合密码相关国家标准或行业标准要求；e)对完整性度量基准值进行可信存储，防止其被非授权修改、删除。6.4.2.6统一认证和安全管理b)支持对接安全管理系统，完成安全策略的统一配置：2)主体、客体的安全标记；3)可信验证策略。6.4.2.7系统恢复6.4.2.8安全策略配置应对用户标识和鉴别、自主访问控制、标记和强制访问控制、安全审计、数据安全保护、可信路径、可信信道、可信计算环境、网络安全保护、资源利用、用户登录访问控制、可信验证等提供安全策略配置功能。6.4.3安全保障要求6.4.3.1通用要求6.4.3.2.1安全架构开发者应提供SSOOS的安全架构描述文档，安全架构描述文档应符合以下要求：a)与SSOOS设计文档中对安全功能要求和自身安全保护要求的描述一致；b)描述SSOOS的安全域；e)证实SSOOS能够防止被旁路。6.4.3.2.2功能规范说明a)完全描述SSF和自身安全保护；g)使用半形式化方式描述SSOOS接口。6.4.3.2.3实现表示开发者应提供实现表示说明，并在自身选择的场所内提供SSOOS的全部实现表示。实现表示及说明应符合以下要求：a)应详细定义SSF和自身安全保护，详细程度达到无需进一步设计就能生成SSOOS;c)在实现表示说明中提供SSOOS设计描述与实现表示之间的映射，并证明其一致性。a)描述SSOOS的结构；b)描述所有安全功能和自身安全保护模块，包括其目的及与其他模块间的相互作用；c)提供每一个安全功能和自身安全保护的半形式化描述，适当时配以非形式化的、解释性的e)提供安全功能和自身安全保护模块间的映射关系；6.4.3.3指导性文档6.4.3.3.1操作用户指南开发者应提供明确和合理的操作用户指南，操作用户指南与为评估而提供的其他所有文档保持一致，对每一种用户角色的描述应符合以下要求：a)描述在安全处理环境中用户可访问的功能和特权，并包含可能造成危害的警示信息；c)描述安全功能和自身安全保护及接口，尤其是受用户控制的所有安全参数，适当时指明安全值；d)明确说明安全功能和自身安全保护有关的每一种安全相关事件，包括改变SSOOS所控制实体的安全特性；e)标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持6.4.3.3.2准备程序a)描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤；6.4.3.4生存周期支持6.4.3.4.1配置管理能力a)为操作系统的不同版本提供唯一的标识；b)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；d)提供自动化的措施使得仅能对配置项进行授权变更；g)实施的配置管理与配置管理计划相一致；h)配置管理计划描述用来接受修改过的或新建的作为SSOOS组成部分的配置项的程序。6.4.3.4.2配置管理范围b)唯一标识配置项；c)对于每一个安全功能相关的配置项，配置项列表简要说明该配置项的开发者。6.4.3.4.3交付程序6.4.3.4.4开发安全6.4.3.4.5生存周期定义6.4.3.4.6工具和技术6.4.3.5测试6.4.3.5.1覆盖a)证实测试文档中的测试与功能规范说明中SSOOS接口之间的对应性；开发者应提供测试深度的分析文档。测试深度分析文档应符合以下要求：a)证实测试文档中的测试与SSOOS设计中的安全功能和自身安全保护模块之间的对应性；a)测试计划：标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b)预期的测试结果：表明测试完成后的预期输出；c)实际测试结果：和预期的测试结果一致；6.4.3.5.4独立测试6.4.3.5.5密码测试开发者应对所使用的对称、非对称和杂凑密码算法进行正确性和符合性测试，确保实际运算结果与预期的正确结果相符。开发者应确保使用符合国家密码相关规定的对称、非对称和杂凑密码算法。6.4.3.5.6代码安全性测试6.4.3.6脆弱性评定开发者应从以下方面对操作系统进行脆弱性评定。b)通过一般性的隐蔽信道分析，对隐蔽信道进行非形式化搜索，标识出可识别的隐蔽存储信注：抵抗中等攻击潜力的攻击者的攻击，需要根据以下5个具体因素综合考虑：攻击时间、攻击者能力、对操作系统的了解程度、访问操作系统时间或攻击样品数量、使用的攻击设备，见GB/T30270—2024附录B中的B.6。6.5第五级：访问验证保护级6.5.1安全功能要求6.5.1.1通用要求b)保证SSOOS用户的标识在整个SSOOS的生命周期内的唯一性，并保证标识与用户名或别c)采用强化管理的口令鉴别和/或基于令牌的动态口令鉴别和/或生物特征鉴别和/或数字证书e)通过密码技术对鉴别信息传输过程进行安全保护，确保其不被非授权地泄露和篡改；f)通过密码技术对鉴别信息存储过程进行安全保护，确保其不被非授权地访问、修改和删除；g)具有用户登录失败处理功能，如对于连续的非法登录尝试次数达到预设阈值时，限制该用户进一步登录；6.5.1.3自主访问控制a)客体的拥有者有权修改其拥有的全部客体的访问权限；b)客体的拥有者能对其拥有的客体设置其他用户的访问控制属性，访问控制属性至少包括：读、d)实现更细粒度的自主访问控制，主体为用户、进程级别，客体为文件、目录级别；f)自主访问控制能与用户的身份标识和鉴别以及安全审计相结合，通过确认用户身份的真实性和记录用户的各种访问，使用户对自己的行为承担明确的责任；g)客体的拥有者能对其拥有的客体设置为：拥有者是唯一有权修改其访问控制属性的主体；h)客体的拥有者无法更改或转让给非拥有者的其他用户。6.5.1.4标记和强制访问控制b)客体的标记和客体数据紧密结合，当信息从SSOOS控制范围之内向控制范围之外输出时，带有安全标记；当信息从SSOOS控制范围之外向控制范围之内输入时，通过标记标明其安全属性；如打印输出的数据，需明显标示出该数据的安全标记。c)主体和客体的安全属性标记构成了保密性和完整性安全策略模型，这些安全策略模型具有相应的形式化证明；强制访问控制应基于标记和安全策略模型，实现主体对客体读、写和执行等操作的访问控制。e)将系统的常规管理、与安全有关的管理以及审计管理，分别由系统管理员、系统安全员和系统审计员来承担，按职能分割和最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，并形成相互制约关系；由系统安全员统一管理SSOOS中与强制访问控制等安全机制有关的事件和信息。f)运行于网络环境的多台计算机上的网络操作系统，在需要进行统一管理时，保证各台计算机SSOOS中主、客体安全属性设置的一致性，并基于密码技术实现跨网络的SSOOS间用户数据保密性和完整性保护。6.5.1.5安全审计6.5.1.5.1审计内容SSOOS应能够对重要事件进行审计，内容包括：b)客体的创建、删除；d)所有管理员的操作；e)其他第二级安全技术要求的使用；f)其他第三级安全技术要求的使用；g)其他第四级安全技术要求的使用；h)其他第五级安全技术要求的使用。6.5.1.5.2审计日志生成a)每条审计记录包括：事件类型、事件发生的日期和时间、触发事件的用户、事件成功或失败等字段；b)身份标识和鉴别事件类审计记录还包括请求的源(如终端号或网络地址);c)创建和删除客体的事件审计记录还包括客体的名字、客体的安全属性；6.5.1.5.3审计日志分析SSOOS应具备审计日志分析功能。a)潜在侵害分析：设置审计日志累积或组合的规则，使用这些规则去监测已经生成的审计事件，并根据这些规则指示出对系统安全运行的潜在侵害。b)基于模板的异常检测：根据用户的历史使用模式建立模板，用置疑等级表示用户当前活动与模板中已建立的使用模式不一致的程度，当用户的置疑等级超过门限条件时，能指出对SSOOS的可能侵害即将发生。c)简单攻击探测：当发现一个系统事件与一个潜在违反系统安全策略的特征事件匹配时，能指出潜在违反系统安全策略的事件即将发生。6.5.1.5.4审计日志查询SSOOS应具备审计日志查询功能。a)提供审计日志的可选择查询功能，支持按以下条件之一或逻辑组合进行选择和排序查阅，并能导出查询结果：2)日期和/或时间；b)以便于用户理解的方式提供审计日志查阅功能。6.5.1.5.5审计日志保护与存储b)保护审计日志不被未授权地访问；c)保证审计日志不被非授权篡改和删除，并记录尝试篡改和删除审计日志的行为；d)审计日志支持存储在掉电非遗失性存储介质中；e)能定义审计跟踪存储极限的阈值，当超过阈值时将向管理员报警；f)支持将审计日志外发日志服务器；6.5.1.6数据安全保护6.5.1.6.1数据完整性a)在操作系统内部进行的数据传输(如进程间的通信),具备保证数据完整的功能；b)支持基于密码技术对用户数据进行存储完整性保护；c)提供一个实用程序来校验文件系统和磁盘的完整性，此实用程序可由操作系统自动执行；e)支持基于密码技术对访问控制信息进行存储完整性保护；f)支持基于密码技术对安全标记进行存储完整性保护；g)提供密码接口，能够适配密码产品或密码模块为用户提供完整性保护功能。6.5.1.6.2客体重用保护6.5.1.6.3数据保密性SSOOS应具备数据保密性保护功能：a)提供文件加密功能，能够基于密码技术由用户对指定的文件和目录进行加密保护，或由SSOOS对用户的文件和目录进行透明加解密；b)对密钥提供基于硬件可信根的可信存储支持；c)提供密码接口，能够适配密码产品或密码模块为用户提供加解密计算功能。6.5.1.6.5数据安全策略配置a)支持配置数据安全策略，对指定的用户数据进行保护；b)应支持结合自主访问控制、标记和强制访问控制、数据完整性保护、数据保密性保护、数据备份、资源利用等设置数据安全策略。6.5.1.7可信路径在本地用户和远程用户进行初始登录和/或鉴别时，操作系统应在它与用户之间建立一条安全的通信路径。此路径对其端点进行了可信标识，并保护鉴别通信数据免遭修改、泄露。6.5.1.8可信信道6.5.1.9可信计算环境应在操作系统启动后构建可信计算环境，操作系统应基于可信根对系统运行环境进行可信验证，依据验证结果进行处理及实施安全策略，并保护计算环境免遭非法访问和破坏。6.5.1.10网络安全保护a)支持基于IP地址、端口、物理接口和应用程序的双向网络访问控制，将不符合预先设定策略的数据包丢弃；b)支持对网络传输数据进行保密性和完整性保护；c)支持基于系统身份的双向网络接入认证。6.5.1.11密码支持所使用的密码技术应符合国家密码管理部门有关规定，支持适配符合国家密码管理部门有关规定的密码产品或安全芯片进行密码技术的相关计算。6.5.2自身安全保护要求6.5.2.2运行安全保护b)应区分普通操作模式和系统维护模式。d)对备份等不影响SSOOS的常规的系统维护，能在普通操作模式执行。f)仅允许系统管理员修改或替换系统提供的可执行程序。i)应控制和审计系统控制台的使用。k)支持同步时钟系统。1)支持以最小化方式安装，不包含非必要的服务、组件、驱动程序、内核模块、应用程序等。6.5.2.3资源利用a)应通过一定措施确保当系统出现某些确定的故障情况时，SSF也能维持正常运行，如系统检测和报告系统的服务水平已降低到预先规定的最小值；b)当系统资源的服务水平降低到预先规定的最小值时，应能够进行资源利用状态的检测，并发出报告；c)应提供维护模式中运行系统的能力，在维护模式下各种安全功能全部失效，系统仅允许系统管理员进入维护模式；d)系统应提供软件及数据备份和恢复的过程，在系统中加入再启动的同步点，以便于系统的恢复；e)系统应提供能用于定期确认系统正确操作的机制和过程，这些机制或过程涉及系统资源的监视、硬件和固件单元的正确操作、对可能在全系统内传播的错误状态的检测以及超过用户规定门限的通信差错的检测等内容。6.5.2.3.2服务优先级a)应采取服务优先级策略，设置主体使用SSF控制范围内某个资源子集的优先级，进行b)应确保对所有SSOOS资源的访问都基于主体所设置的优先级进行。a)通过控制用户和主体对资源的占用，确保用户和主体不会超过某一数量、比例或独占某种受控的资源；b)应确保在被授权的主体发出请求时，资源能被访问和利用；源的使用；d)提供对访问系统资源修改进行审计的能力。6.5.2.4用户登录访问控制b)支持对一个时间段内所有用户和每个用户的最大并发会话数进行限制，并利用默认值作为会话次数的限定数。1)本次登录的日期、时间、来源和上次成功登录系统的情况；3)口令到期的天数；4)成功或不成功的事件次数可用整数计数、时间截列表等表述方法。d)在用户无操作超过限定的时限后，系统应断开会话或重新鉴别用户，并提供默认值作为未使用时间限定值。e)当用户鉴别过程不正确的次数达到系统规定的次数时，系统应退出登录过程。b)可信根密码模块应符合密码相关国家标准或行业标准要求；e)对完整性度量基准值进行可信存储，防止其被非授权修改、删除；f)应提供独立于当前计算系统的主动度量机制。6.5.2.6统一认证和安全管理a)支持对接用户统一身份认证系统，完成用户身份的统一认证和管理。b)支持对接安全管理系统，完成安全策略的统一配置：1)安全参数的设置；2)主体、客体的安全标记；3)可信验证策略。6.5.2.8安全策略配置6.5.3安全保障要求6.5.3.1通用要求6.5.3.2.1安全架构6.5.3.2.2功能规范说明a)完全描述SSF和自身安全保护；6.5.3.2.3实现表示c)在实现表示说明中提供SSOOS设计描述与全部实现表示之间的映射，并证明其一致性。b)提供每一个安全功能和自身安全保护的半形式化描述，适当时配以非形式化的、解释性的描述；e)根据模块描述安全功能和自身安全保护；6.5.3.2.5SSOOS内部结构a)论证过程文档用于判定“结构合理”及复杂性的特性；b)SSOOS内部结构描述证实指定的整个SSOOS内部结构合理且不过于复杂。6.5.3.2.6安全策略模型a)模型是形式化的，必要时辅以解释性的文字，并且标识模型化的安全策略；b)对于所有被模型化的策略，模型定义操作系统的安全，提供操作系统不能达到非安全状态的形式化证明；c)该模型与功能规范说明的一致性采用正确的形式化级别进行论述；e)该对应性论证表明功能规范说明中描述的接口相对于强制访问控制策略、完整性策略是一致的和完备的。6.5.3.3指导性文档6.5.3.3.1操作用户指南a)描述在安全处理环境中用户可访问的功能和特权，并包含可能造成危害的警示信息；c)描述安全功能和自身安全保护及接口，尤其是受用户控制的所有安全参数，适当时指明安全值；e)标识SSOOS运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持f)描述为确保SSOOS安全运行应执行的安全策略。a)描述与开发者交付程序相一致的安全接收操作系统必需的所有步骤；b)描述安全安装操作系统及其运行环境必需的所有步骤。6.5.3.4生存周期支持6.5.3.4.1配置管理能力a)为操作系统的不同版本提供唯一的标识；b)提供配置管理文档，配置管理文档描述用于唯一标识配置项的方法；c)配置管理系统唯一标识所有配置项，并对组成SSOOS的所有配置项进行维护；d)提供自动化的措施使得仅能对配置项进行授权变更；g)实施的配置管理与配置管理计划相一致；h)配置管理计划描述用来接受修改过的或新建的作为SSOOS组成部分的配置项的程序；a)SSOOS、安全保障要求的评估证据和SSOOS的组成部分和实现表示、安全缺陷报告及其解决状态、开发工具及其相关信息；b)唯一标识配置项；c)对于每一个安全功能相关的配置项，配置项列表简要说明该配置项的开发者。6.5.3.4.3交付程序6.5.3.4.4开发安全6.5.3.4.5生存周期定义6.5.3.4.6工具和技术应描述开发者和SSOOS的第三方开发商所使用的实现标准。开发者应明确定义用于开发6.5.3.5测试b)证实已经对功能规范说明中的所有SSOOS接口都进行了完全的测试。开发者应提供测试深度的分析文档。测试深度分析文档应符合以下要求：6.5.3.5.3功能测试a)测试计划：标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b)预期的测试结果：表明测试完成后的预期输出；c)实际测试结果：和预期的测试结果一致；6.5.3.5.4独立测试开发者应提供一组与其自测时使用的同等资源，以用于SSOOS的测试。6.5.3.5.5密码测试开发者应对所使用的对称、非对称和杂凑密码算法进行正确性和符合性测试，确保实际运算结果与预期的正确结果相符。开发者应确保使用符合国家密码相关规定的对称、非对称和杂凑密码算法。6.5.3.5.6代码安全性测试6.5.3.6脆弱性评定开发者应从以下方面对操作系统进行脆弱性评定。a)基于已标识的潜在脆弱性，操作系统应抵抗具有高等攻击潜力的攻击者的攻击。1)标识隐蔽信道，并估算它们的带宽；2)用于确定隐蔽信道存在的过程，以及进行隐蔽信道分析所需要的信息；3)隐蔽信道分析期间所作的全部假设；4)最坏情况下对隐蔽信道带宽进行估算的方式；6)用封锁、限制带宽或审计等措施，对所标识的隐蔽信道进行处理，并证明处理措施的有效性。注：抵抗高等攻击潜力的攻击者的攻击，需要根据以下5个具体因素综合考虑：攻击时间、攻击者能力、对操作系统的了解程度、访问操作系统时间或攻击样品数量、使用的攻击设备，见GB/T30270—2024附录B中的B.6。7.1测试环境操作系统安全功能要求和自身安全保护要求的测试典型环境参考图1。测试设备主要包括测试主机、安装被测操作系统的服务器、安装非被测操作系统的服务器、交换机、渗透测试工具、网络脆弱性扫描工具等。测试方法包括但不限于配置核查、验证测试等。其中测试主机主要用于登录访问和管理被测操作系统，完成配置核查、验证测试等。渗透测试工具用于对被测操作系统进行渗透测试方面的测试验证，网络脆弱性扫描工具用于对被测操作系统进行网络脆弱性扫描分析。(安装被测操作系统)测试主机1交换机1交换机2交换机3测试主机2服务器2(安装被测操作系统)网络脆弱性扫描工具(安装非被测操作系统)图1操作系统测试典型环境7.2第一级：用户自主保护级测试评价方法7.2.1安全功能要求SSOOS的用户标识和鉴别的测试评价方法、预期结果和结果判定如下。a)测试评价方法：1)检测在进入SSOOS前，是否对用户进行了标识和鉴别；3)检测SSOOS是否使用鉴别，并在每次用户登录时进行鉴别；4)检测鉴别信息是否不可见，能否防止鉴别信7)检测是否具有用户登录失败处理功能，如对于连续的非法登录尝试次数达到预设阈值时，限制该用户进一步登录；b)预期结果：4)检测鉴别信息是否不可见，能否防止鉴别信7)具有用户登录失败处理功能，对于连续的非法登录尝试次数达到预设阈值时，限制该用户进一步登录；c)结果判定：7.2.1.2自主访问控制SSOOS的自主访问控制的测试评价方法、预期结果和结果判定如下。a)测试评价方法：1)对系统中的每一个客体，检测产品能否实现客体的拥有者对其拥有的全部客体有权修改其访问权限；2)检测客体的拥有者对其拥有的客体设置其他用户的访问控制属性，访问控制属性是否包3)检测安全系统所定义的访问是否遵循该客体的自主访问控制权限属性；4)检测是否支持自主访问控制的粒度主体为用户组级别或用户级别，客体为文件和目录级别；设置相应访问控制策略，并检测自主访问控制设置是否达到预期目的。b)预期结果：2)客体的拥有者能够对其拥有的客体设置其他用户的访问控制属性，访问控制属性包括：3)任意一个主体对任意一个客体的访问遵循该客体的自主访问控制权限属性；4)自主访问控制的粒度主体为用户组级别或用户级别，客体为文件和目录级别；设置相应访问控制策略，自主访问控制设置能达到预期目的。c)结果判定：7.2.1.3数据安全保护a)测试评价方法：检测SSOOS是否对进程间的通信等在内部传输的用户数据进行了完整性保护。b)预期结果：7.2.1.4网络安全保护a)测试评价方法：检测是否支持基于IP地址、端口、物理接口的双向网络访问控制，支持将不符合预先设定策略的数据包丢弃。b)预期结果：支持基于IP地址、端口、物理接口的双向网络访问控制，将不符合预先设定策略的数据包丢弃。7.2.2自身安全保护要求7.2.2.1运行安全保护a)测试评价方法：2)检测是否区分普通操作模式和系统维护模式；3)检测在SSOOS出现故障或中断后，是否使其以最小的损害得到恢复，并且当SSF中所确定的失败类型出现时，是否能够保存一个保护状态，确保SSF从失败恢复时安全策略的正确性；4)查看文档是否说明了补丁的发布、管理和使用过程，检测操作系统的管理者能否及时并及时运用补丁对漏洞进行修补；5)检测是否支持以最小化方式安装，不包含非必要的服务、组件、驱动程序、内核模块、应用程序等。b)预期结果如下。2)区分了普通操作模式和系统维护模式。3)SSOOS出现故障或中断后，支持以最小的损害得到恢复；当SSF中所确定的失败类型出现时，能够保存一个保护状态，确保了SSF从失败恢复时安全策略的正确性。c)结果判定：a)测试评价方法：检测是否提供了措施确保系统出现如系统检测和报告系统的服务水平已降低到预先规定的最小值时的确定的故障情况，SSF也能维持正常运行。b)预期结果：提供了措施确保系统在出现系统检测和报告系统的服务水平已降低到预先规定的最小值时的确定的故障情况时，SSF也能维持正常运行。c)结果判定：SSOOS的服务优先级功的测试评价方法、预期结果和结果判定如下。a)测试评价方法：检测是否具备优先级策略，授权管理员是否可配置主体使用SSF控制范围内某个资源子集的优先级，进行操作系统资源的管理和分配，优先级策略配置是否有效。b)预期结果：c)结果判定：7.2.2.2.3资源分配SSOOS的资源分配功能的测试评价方法、预期结果和结果判定如下。a)测试评价方法：检测是否支持控制用户和主体对资源的占用，能否确保用户和主体不会超过某一数量、比例或独占某种受控的资源，并限制这些资源不会被单个用户独占。b)预期结果：支持控制用户和主体对资源的占用，能够确保用户和主体不会超过某一数量、比例或独占某种受控的资源，并限制这些资源不会被单个用户独占。c)结果判定：7.2.2.3用户登录访问控制SSOOS的用户登录访问控制功能的测试评价方法、预期结果和结果判定如下。a)测试评价方法如下。2)检测是否支持对一个时间段内所有用户和每个用户的最大并发会话数进行限制，并利用默认值作为会话次数的限定数。b)预期结果如下。1)支持根据访问方法、访问地址或端口、用户身份、时间范围等，允许或拒绝用户与2)支持对一个