注册

信息安全技术 操作系统安全技术要求

Information security technology - Security technical requirements for operating system
国家标准项目 修订 推荐性

国家标准计划《信息安全技术 操作系统安全技术要求》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会

主要起草单位 公安部第三研究所北京江南天安科技有限公司中科方德软件有限公司

目录

基础信息

计划号
20160649-T-469
制修订
修订
项目周期
24个月
下达日期
2016-06-14
申报日期
2015-09-29
公示开始日期
2016-04-14
公示截止日期
2016-04-30
标准类别
安全
国际标准分类号
35.040
35 信息技术、办公机械
35.040 字符集和信息编码
归口单位
全国网络安全标准化技术委员会
执行单位
全国网络安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

公安部第三研究所
中科方德软件有限公司
北京江南天安科技有限公司

目的意义

目的: 随着信息技术的不断发展,安全操作系统的安全功能和安全需求一直在持续发展过程中。

2006年颁布的国家标准《GB/T 20272-2006信息安全技术 操作系统安全技术要求》(以下简称《GB/T 20272-2006》)已无法满足国内对安全操作系统的要求和需求。

本项目的目标是对国家标准《GB/T 20272-2006》进行修订,删除部分已经不适用于目前安全操作系统的安全功能,增加一些新的安全功能,修改部分描述不够清晰的安全功能要求、SSOOS自身安全保护要求、SSOOS设计和实现(安全保障要求),使得修订后的标准能够适应现有的技术发展,适应国家对自主知识产权安全操作系统的迫切需求,对现有安全操作系统的开发者提供指导作用、为安全操作系统的测试者提供测试依据。

意义: 《GB/T 20272-2006》是2006年颁布的、适用于安全操作系统产品的国家标准。

《GB/T 20272-2006》对安全操作系统的要求进行了等级的划分,分为五级,包括第一级 用户自主保护级、第二级 系统审计保护级、第三级 安全标记保护级、第四级 结构化保护级和第五级 访问验证保护级。

每一级的主要组成为:安全功能、SSOOS自身安全保护、SSOOS设计和实现。

随着信息技术和安全操作系统技术的发展,《GB/T20272-2006》中的部分安全功能不再适用于现有安全操作系统。

随着攻击手段的不断变化,需要对安全操作系统增加一些新的安全功能。

同时随着用户需求的发展,对安全操作系统提出了新的要求和需求。

此外,原有的SSOOS设计和实现(安全保障要求)主要是参照《GB/T 18336-3:2001 信息技术 安全技术 IT安全性评估准则 第3部分:安全保证要求》来制订了,目前《GB/T 18336-3》已经发布了2008版本,同时最新的《GB/T 18336-3》也正在修订过程中。

因此,需要对现有国标《GB/T20272-2006》进行修订和补充,使得修订后的国标能够从安全功能、SSOOS自身安全保护、SSOOS设计和实现要求三个方面对安全操作系统产品进行全面评价,以满足国内用户的迫切需求,提高国家重要信息系统的安全保障能力。

为了规范安全操作系统的研发和应用,修订后的《GB/T 20272-2006》对国内的安全操作系统提出统一的安全技术要求,使得国内的检测机构根据该标准,能够对安全操作系统进行标准化的测试和评价,从而保证测试评价结果的完整性和一致性;同时也可对安全操作系统的开发者提供指导作用。

范围和主要技术内容

本项目在修订过程中,将仔细研究《GB/T 20271-2006》中的标准内容,对于仍然适用于目前安全操作系统要求的内容,将在标准中进行直接引用。对于已经不适用于目前技术发展的内容,将进行甄别和修改。对于“设计和实现”(安全保障要求)部分,本标准将和正在修订的《GB/T 18336-3》保持同步,确保标准内容的先进性,以及和其他国家标准之间保持一致。 本标准是对GB/T 20272-2006的修订,在总体架构上和原标准基本保持一致,将操作系统安全技术要求分为五个等级:第一级 用户自主保护级、第二级 系统审计保护级、第三级 安全标记保护级、第四级 结构化保护级和第五级 访问验证保护级。每一级的主要组成为:安全功能、SSOOS自身安全保护、SSOOS设计和实现。 安全功能要求主要包括: ? 1 身份鉴别 ? 2 自主访问控制 ? 3 标记 ? 4 强制访问控制 ? 5 安全审计 ? 6 用户数据完整性 ? 7 用户数据保密性 ? 8 可信路径 SSOOS自身安全保护的要求主要包括: ? 1 SSF物理安全保护 ? 2 SSF运行安全保护 ? 3 SSF数据安全保护 ? 4 资源利用 ? 5 SSOOS访问控制 ? 6 网络安全保护 ? 7可信启动 SSOOS设计和实现的要求主要包括: ? 1 配置管理 ? 2 分发和操作 ? 3 开发 ? 4 指导性文档 ? 5 生存周期支持 6 测试 ? 7 脆弱性评定 技术方案 1. 研究国内外操作系统的最新安全技术和发展趋势; 目前国内外针对层出不穷的安全威胁,操作系统厂商纷纷研发相关的安全技术,本标准将在充分调研国内外安全操作系统基础上,研究该类产品的最新技术有利于把握该类产品的技术发展趋势,避免标准的滞后性以及标准指导性的缺乏。 2. 依据调研情况和实际产品测试情况确定安全操作系统的评价指标和内容; 针对国内外安全操作系统的技术调研,以及以往根据原有国家标准进行实际产品检测的情况,确定产品功能、安全性等评价指标,进一步细化技术要求。 3. 和相关单位、业内专家进行广泛交流,汲取经验、意见; 编制完成国家标准《信息安全技术 操作系统安全技术要求》的草案后,与相关单位、业内专家、生产厂商进行广泛交流,并根据讨论意见进行修改和完善。

  • 版权所有 侵权必究
  • 主管:国家市场监督管理总局 国家标准化管理委员会
  • 主办:国家市场监督管理总局国家标准技术审评中心
  • 技术支持:北京中标赛宇科技有限公司
  • 支持电话:010-82261036
  • 备案号:京ICP备09001239号-6