《信息安全风险评估-脆弱性识别-操作系统脆弱性表格》由会员分享,可在线阅读,更多相关《信息安全风险评估-脆弱性识别-操作系统脆弱性表格(11页珍藏版)》请在金锄头文库上搜索。
1、.效劳器脆弱性识别表格效劳器脆弱性识别表格依据GB/T20272-2007 操作系统平安技术要求中第三级-平安标记保护级所列举容编制。工程工程平 安功能子项子项身 份鉴别容容是否符合是否符合备注备注a)按 GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能:凡需进入操作系统的用户,应先进展标识建立账号 ;操作系统用户标识应使用用户名和用户标识UID , 并在操作系统的整个生存周期实现用户的唯一性标识, 以及用户名或别名、 UID 等之间的一致性;b)按 GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能:采用强化管理的
2、口令鉴别 /基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进展身份鉴别,并在每次用户登录系统时进展鉴别;鉴别信息应是不可见的,在存储和传输时应按GB/T 20271-2006 中 6.3.3.8 的要求, 用加密方法进展平安保护;过对不成功的鉴别尝试的值 包括尝试次数和时间的阈值进展预先定义,并明确规定到达该值时应采取的措施来实现鉴别失败的处理。c)对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;将系统进程动态地与当前效劳要求者用户相关联,使系统进程的行为可以追溯到当前效劳的要求者用户。自 主
3、访 问控制a)允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。b)设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体的默认值;c)有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户。对系统中的每一个客体,都应能够实现由客体的创立者以用户指定方式确定其对该客体的访问权限,而别的同组用户或非同组的用户和用户组对该客体的访问权那么应由创立者用户授予;d)自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承当明确的责任;.v.标记e)客体的拥有者应是唯一有权修改客体访问权
4、限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体;f)定义访问控制属性,并保护这些属性。主体的访问控制属性至少应有:读、写、执行等;客体的访问控制属性应包含可分配给主体的读、写和执行等权限;g)定义分配和修改主体和客体的访问控制属性的规那么,并执行对主体和客体的访问控制属性的分配和修改,规那么的结果应到达只有被授权的用户才允许访问一个客体;h)定义主体对客体的访问授权规那么。 该规那么应基于主体对客体的访问控制属性,授权的围应包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规那么应用的类型。a)采用标记的方法为操作系统SSOOS
5、 平安功能控制围的主体和客体设置敏感标记。这些敏感标记构成多级平安模型的的属性库。操作系统主、客体的敏感标记应以默认方式生成或由平安员进展建立、维护和管理;b)当信息从 SSOOS 控制围之向 SSOOS 控制围之外输出时,可带有或不带有敏感标记;当信息从 SSOOS 控制围之外向 SSOOS 控制围之输入时,应通过标记标明其敏感标记。强 访问 控制a)由专门设置的系统平安员统一管理操作系统中与强制访问控制等平安机制有关的事件和信息,并将系统的常规管理、与平安有关的管理以及审计管理,分别由系统管理员、系统平安员和系统审计员来承当,按职能分割原那么分别授予它们各自为完成自己所承当任务所需的权限,
6、 并形成相互制约关系;b)强制访问控制应与用户身份鉴别、 标记等平安功能密切配合,使系统对用户的平安控制包含从用户进入系统到退出系统的全过程,对客体的控制围涉及操作系统部的存储、处理和传输过程;c)运行于网络环境的分布式操作系统,应统一实现强制访问控制功能;d)运行于网络环境的多台计算机系统上的网络操作系统,在需要进展统一管理时,应考虑各台计算机操作系统的主、客体平安属性设置的一致性,并实现跨网络的 SSOOS 间用户数据 XX 性和完整性保护数 据流 控制对于以数据流方式实现数据交换的操作系统,一般应按 GB/T 20271-2006 中 6.3.3.6 的要求,设计和实现操作系统的数据流控
7、制功能。.v.平 安审计a)平安审计功能应与身份鉴别、自主访问控制、标记、 强制访问控制及完整性控制等平安功能严密结合;b)提供审计日志、实时报警生成,潜在侵害分析、基于异常检测,根本审计查阅、有限审计查阅和可选审计查阅,平安审计事件选择,以及受保护的审计踪迹存储和审计数据的可用性确保等功能;c)能够生成、 维护及保护审计过程, 使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问;d)能够创立并维护一个对受保护客体访问的审计跟踪, 保护审计记录不被未授权的访问、 修改和破坏;e)指出可记录的审计事件的最少类型,包括建立会话登录成功和失败,使用的系统接口,系统数据库管
8、理的改变 改变用户账户属性、 审计跟踪设置和分析、为程序分配设置用户 ID、附加或改变系统程序或进程、 改变日期和时间等 , 超级用户命令改变用户身份、将某个客体引入某个用户的地址空间如翻开文件 、删除客体及计算机操作员、系统管理员与系统平安管理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件,这个机制的使用者应是有限的授权用户;f) 每个事件的数据记录,应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份标识和鉴别事件,应记录请求的源 如末端号或网络地址 ;对于创立和删除客体的事件,应记录客体的名字和客体的
9、平安属性;g) 应提供一个受保护的翻开和关闭审计的机制。该机制能选择和改变审计事件,并在系统工作时处于默认状态; 该机制的使用应受到系统管理员的授权限制,系统管理员应能够选择一个或多个基于身份鉴别或客体属性的用户的审计活动;审计工具应能够授权个人监察和浏览审计数据,同时数据应得到授权的使用、修改和删除;应提供对审计跟踪管理功能的保护,使之可以完成审计跟踪的创立、破坏、腾空和存档;系统管理员应能够定义超过审计跟踪极限的阈值;当存储空间被耗尽时,应能按管理员的指定决定采取的措施,包括:报警并丢弃未记录的审计信息、 暂停审计、覆盖以前的审计记录等。a)应为操作系统 SSOOS 平安功能控制围的主体和
10、客体设置完整性标签 IL ,并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性;b)在对数据进展访问操作时, 检查存储在存储介质用 户数 据完 整性.v.上的用户数据是否出现完整性错误,并在检测到完整性错误时进展恢复。可通过密码支持系统所提供的完整性功能,对加密存储的数据进展完整性保护。操作系统对磁盘设备中存储的数据,可通过增加磁盘扫描程序实现以下功能:自动检查文件与磁盘外表是否完好;将磁盘外表的问题自动记录下来;随时检查、诊断和修复磁盘上的错误;修复扇区交织和扇区流失;将数据移到好的扇区;可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复;c)在操作系
11、统部传输的用户数据,如进程间的通信,应提供保证用户数据完整性的功能。完整性标签应随数据一起流动,系统应保证低完整性的数据不能插入、覆盖到高完整性的数据;d)对操作系统中处理的数据, 应按回退的要求设计相应的 SSOOS 平安功能模块,进展异常情况的操作序列回退,以确保用户数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。用 户a)应确保动态分配与管理的资源,在保持信息平安数 据的情况下被再利用,主要包括:XX 性确保非授权用户不能查找使用后返还系统的记录介质中的信息容;确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息容;b)在单用户系统中, 存储器保护应防止用户进程影响系
12、统的运行;c)在多用户系统中,存储器保护应保证系统各个用户之间互不干扰;d)存储器保护应包括:对存储单元的地址的保护,使非法用户不能访问那些受到保护的存储单元;对被保护的存储单元的操作提供各种类型的保护,最根本的保护类型是“读/写和“只读,不能读/写的存储单元,假设被用户读/写时,系统应及时发出警报或中断程序执行;可采用逻辑隔离的方法进展存储器保护, 具体有:界限地址存放器保护法、存标志法、锁保护法和特征位保护法等。SSOOS 自身 平安 保SSF 物理 平安 保护一般应按 GB/TGB/T 20271-200620271-2006 中 6.3.4.16.3.4.1 的要求,实现 SSF 的物
13、理平安保护,通过对物理攻击的检查和自动报告,及时发现以物理方式的攻击对 SSF 造成的威胁和破坏。.v.护SSF 运行 平安 保护a)系统在设计时不应留有 “后门。 即不应以维护、支持或操作需要为借口,设计有违反或绕过平安规那么的任何类型的入口和文档中未说明的任何模式的入口;b)平安构造应是一个独立的、 严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修改其代码或数据构造;c)操作系统程序与用户程序要进展隔离。一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间,两者的隔离应是静态的。驻留在存中的操作系统应由所有进程共享。 用户进程之间应是彼此隔离的。应制止在用户模式下运行的进程
14、对系统段进展写操作,而在系统模式下运行时,应允许进程对所有的虚存空间进展读、写操作;d)提供设置和升级配置参数的安装机制。 在初始化和对与平安有关的数据构造进展保护之前,应对用户和管理员的平安策略属性应进展定义;e)应区分普通操作模式和系统维护模式;f)应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统维护模式交互。从而保证在普通用户访问系统之前,系统能以一个平安的方式进展安装和配置;g)对备份或不影响 SSOOS 的常规的系统维护,不要求所有的系统维护都在维护模式中执行;h)当操作系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、根目录、审计参数、
15、系统审计跟踪设置以及对文件和目录的适宜的访问控制;i)执行系统所提供的实用程序,应默认地限定于对系统的有效使用,只允许系统管理员修改或替换系统提供的实用程序;j)操作环境应为用户提供一个机制,来控制命令的目录/路径的查找顺序;k)提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动执行;l)为操作系统平安管理人员提供一种机制,来产生平安参数值的详细报告;m)在 SSOOS 失败或中断后, 应确保其以最小的损害得到恢复。并按失败保护中所描述的容,实现对 SSF 出现失败时的处理。 系统因故障或其它原因中断后,应有一种机制去恢复系统。系统应提供在管理维护状态中运行的能力,管理维
16、护状态只能被系统管理员使用,各种平安功能全部失效;.v.n)操作系统环境应控制和审计系统控制台的使用情况;o)补丁的发布、管理和使用:补丁是对操作系统平安漏洞进展修补的程序的总称。操作系统的开发者应针对发现的漏洞及时发布补丁。操作系统的管理者应及时获取、统一管理并及时运用补丁对操作系统的漏洞进展修补。SSF 数据 平安 保护a)实现对输出 SSF 数据可用性、XX 性、和完整性保护;b) 实现 SSOOSSSF 数据传输的根本保护、数据别离传输、数据完整性保护;c) 实现 SSF 间的 SSF 数据的一致性和 SSOOSSSF 数据复制的一致性保护。资 源利用a 应通过一定措施确保当系统出现某
17、些确定的故障情况时,SSF 也能维持正常运行,如系统应检测和报告系统的效劳水平已降低到预先规定的最小值;b 应采取适当的策略,有限效劳优先级提供主体使用 TSC 某个资源子集的优先级,进展 SSOOS资源的管理和分配;c应按资源分配中最大限额的要求, 进展 SSOOS 资源的管理和分配,要求配额机制确保用户和主体将不会独占某种受控的资源;d 系统应确保在被授权的主体发出请求时,资源能被访问和利用;e 当系统资源的效劳水平降低到预先规定的最小值时,应能检测和发出报告;f 系统应提供维护状态中运行的能力,在维护状态下各种平安性能全部失效,系统只允许由系统管理员使用;g 系统应以每个用户或每个用户组
18、为根底,提供一种机制,控制他们对磁盘的消耗和对 CPU 的使用;h 系统应提供软件及数据备份和复原的过程,在系统中应参加再启动的同步点,以便于系统的复原;i 操作系统应能提供用户可访问的系统资源的修改历史记录;j 系统应提供能用于定期确认系统正确操作的机制和过程,这些机制或过程应涉及系统资源的监视、硬件和固件单元的正确操作、对可能在全系统传播的错误状态的检测以及超过用户规定的门限的通讯过失的检测等容。SSOOS 访问a)按会话建立机制的要求,对会话建立的管理进展设计。 在建立 SSOOS 会话之前, 应鉴别用户的身份。.v.控制登录机制不允许鉴别机制本身被旁路;b)按多重并发会话限定中根本限定
19、的要求, 进展会话管理的设计。在基于根本标识的根底上,SSF 应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数;c)按可选属性围限定的要求,选择某种会话平安属性的所有失败的尝试 , 对用来建立会话的平安属性的围进展限制;d)成功登录系统后,SSOOS 应记录并向用户显示以下数据:日期、时间、来源和上次成功登录系统的情况;上次成功访问系统以来身份鉴别失败的情况;应显示口令到期的天数;成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法;e)在规定的未使用时限后,系统应断开会话或重新鉴别用户,系统应提供时限的默认值;f)系统应提供锁定用户键盘的机制,键盘开锁过程应要求
20、验证用户;g)当用户鉴别过程不正确的次数到达系统规定的次数时,系统应退出登录过程并终止与用户的交互;h)系统应提供一种机制,能按时间、进入方式、地点、 网络地址或端口等条件规定哪些用户能进入系统。g)当用户鉴别过程不正确的次数到达系统规定的次数时,系统应退出登录过程并终止与用户的交互;h)系统应提供一种机制,能按时间、进入方式、地点、 网络地址或端口等条件规定哪些用户能进入系统。SSO配 置OS 设管理计 和实现a)在配置管理能力方面应实现对版本号、配置项、授权控制等方面的要求;b)在配置管理自动化方面要求局部的配置管理自动化;c)在 SSOOS 的配置管理围方面,应将 SSOOS 的实现表示
21、、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下,要现对配置管理围的问题跟踪,特别是平安缺陷问题进展跟踪;d)在系统的整个生存期,即在它的开发、测试和维护期间,应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的根本局部。所有改变应被记载和检查,以确保未危及系统的平安。在软件配置管理系统中,应包含从源码产生出系统新版本、鉴定新生成的系统版本和保护源码免遭未授权修改的工具.v.和规程。通过技术、物理和保安规章三方面的结合,可充分保护生成系统所用到的源码免遭未授权的修改和毁坏。分 发和 操作a)以文档形式提供对
22、SSOOS 平安地进展分发的过程,并对修改检测的过程进展说明,最终生成平安的配置。文档中所描述的容应包括:提供分发的过程;平安启动和操作的过程;建立日志的过程;修改容的检测;对任何平安加强功能在启动、正常操作维护时能被撤消或修改的阐述;在故障或硬件、软件出错后恢复系统至平安状态的规程;对含有加强平安性的硬件部件,应说明用户或自动的诊断测试的操作环境和使用方法;所有诊断测试过程中,为加强平安性的硬件部件所提供例证的结果;在启动和操作时产生审计踪迹输出的例证;b)对系统的未授权修改的风险, 应在交付时控制到最低限度。在包装及平安分送和安装过程中,这种控制应采取软件控制系统的方式,确认平安性会由最终
23、用户考虑,所有平安机制都应以功能状态交付;c)所有软件应提供平安安装默认值,在客户不做选择时,默认值应使平安机制有效地发挥平安功能;d)随同系统交付的全部默认用户标识码, 应在交付时处于非激活状态,并在使用前由管理员激活;e)用户文档应同交付的软件一起包装,并应有一套规程确保当前送给用户的系统软件是严格按最新的系统版本来制作的;f)以平安方式开发并交付系统后,仍应提供对产品的长期维护和评估的支持,包括产品中的平安漏洞和现场问题的解决;g)应采用书面说明的方式向客户通告新的平安问题。h)对可能受到威胁的所有的平安问题, 均应描述其特点,并作为主要的问题对待,直到它被解决或在用户同意下降级使用;i
24、)为了支持已交付的软件的每个版本,对所有已有的平安漏洞都应有文档书面说明,并且用户能在限制的根底上得到该文档;j)对平安漏洞的修改不必等到系统升级到下一个版本。 平安功能的增加和改良应独立于系统版本的升级,也就是说, 应存在适应性独立于系统其它功能的改良;.v.文 档要求k) 只有经过客户授权,才允许在生产性运行的系统上进展新特性和简易原型的开发、测试和安装;l) 新的版本应防止违反最初的平安策略和设想,也应防止在维护、增加或功能升级中引入平安漏洞,所有功能的改变和平安构造设置的默认值都应作记录。在新版本交付给用户使用前, 用户应能得到相应的文档。a)应为最终用户提供简单概要、分章节或手册形式
25、的文档,保证用户拥有进展平安操作所需要的所有信息。与平安有关的信息应包含在一个特别的手册中或许多标准的文本集中,提供用户查阅所有的平安功能。这些信息可随系统发送,也可明确指出它包含在哪个文本当中;b)应通过提供所要求文档, 将如何平安使用和维护操作系统的信息交付给系统的用户、系统管理员和系统平安员。对文档的总体要:应对所有的平安访问和相关过程、特权、功能等适当的管理加以阐述;应阐述平安管理和平安效劳的交互,并提供新的SSOOS 平安生成的指导;应详细给出每种审计事件的审计记录的构造,以便考察和维护审计文件和进程;应提供一个准那么集用于保证附加的说明的一致性不受破坏;c)用户文档应提供关于不同用
26、户的可见的平安机制以及如何利用它们的信息,描述没有明示用户的保护构造,并解释它们的用途和提供有关它们使用的指南,不应包括那些如果公开将会危及系统平安的任何信息;d)系统管理员文档应提供:关于系统的平安开机、操作和重新启动的信息,包括启动系统的过程如引导系统进入平安方式 、 在系统操作失误时恢复平安系统操作的过程、运行软件和数据备份及转储的方法和过程;一个单独的安装指南,详细说明设置系统的配置和初始化过程,提供一个新系统版本的平安设置和安装文档,包括对所有用户可见的平安相关过程、软件和数据文档的描述;e)平安管理员文档应提供:有关如何设置、 维护和分析系统平安的详细指导,包括当运行一个平安设备时
27、,需要控制的有关功能和特权的警告;与平安有关的管理员功能的详细描述,包括增加和删除一个用户、改变用户的平安特征等;提供关于所有审计工具的文档,包括为检查和保.v.持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程、为检查能被目录文件所利用的磁盘剩余空间所推荐的过程;关于设置所有文件和目录的最低访问许可的建议;运行文件系统或磁盘完整性检测所做的建议;如何进展系统自我评估的章节带有网络管理、口令要求、 拨号访问控制、 意外事故方案的平安报告 ,为灾害恢复方案所做的建议;描述普通入侵技术和其它威胁,及查出和阻止它们的方法;f)平安管理员文档应提供平安管
28、理员了解如何用平安的方式管理系统,除了给出一般的平安忠告,还要明确:在系统用平安的方法设置时,围绕用户、用户账户、用户组成员关系、主体和客体的属性等,应如何安装或终止安装;在系统的生存周期如何用平安的方法维护系统,包括为了防止系统被破坏而进展的每天、每周、每月的平安常规备份等;如何用平安的方法重建局部 SSOOS 如核 的方法如果允许在系统上重建 SSOOS ;说明审计跟踪机制,使授权用户可以有效地使用审计跟踪来执行本地的平安策略;必要时,如何调整系统的平安默认配置;g)文档中不应提供任何一旦泄露将会危及系统平安的信息。有关平安的指令和文档应划分等级分别提供应用户、系统管理员和系统平安员。这些
29、文档应为独立的文档,或作为独立的章节插入到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。生 存周 期支持a)按标准的生存周期模型和明确定义开发工具的要求进展开发,并提供平安措施说明和根本的缺陷纠正;b)所有平安软件应提供平安安装默认值。 在未做特殊选择时,应按默认值安装平安机制;c)随同系统交付的全部默认用户标识号,在安装完时应处于非激活状态,并由系统管理员加以激活;d)文档应详细阐述平安启动和操作的过程, 详细说明平安功能在启动、正常操作维护时是否能被撤消或修改,说明在故障或系统出错时如何恢复系统至平安状态;e)如果系统含有加强平安性的硬件,那
30、么管理员、.v.最终用户或自动的诊断测试,应能在各自的操作环境中运行它并详细说明操作过程。测试a) 通过围证据和围分析,高层设计测试和低层设计测试,顺序的功能测试,相符独立性测试和抽样独立性测试等, 确认 SSOOS 的功能与所要求的功能相一致;b) 所有系统的平安特性,应被全面测试,包括查找漏洞,如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝效劳、允许多审计或验证数据进展未授权访问等;c) 所有发现的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞;d) 提供测试文档,详细描述测试方案、测试过程、测试结果。脆 弱性 评定a)对防止误
31、用的评定,通过对文档的检查和分析确认,查找 SSOOS 以不平安的方式进展使用或配置而不为人们所发觉的情况;b)对 SSOOS 平安功能强度评估, 通过对平安机制的平安行为的合格性或统计结果的分析,证明其到达或超过平安目标要求所定义的最低强度;c)独立脆弱性分析,应通过独立穿透测试,确定SSOOS 可以抵御的低攻击能力攻击者发起的攻击。SSOOS 平安管理a)对相应的 SSOOS 的访问控制、鉴别控制、审计等相关的平安功能,以及与一般的安装、配置和维护有关的功能,制定相应的操作、运行规程和行为规章制度;b)根据本级中平安功能技术要求和平安保证技术要求所涉及的平安属性,设计 SSOOS 平安属性管理;c)根据本级中平安功能技术要求和平安保证技术要求所涉及的平安数据,设计 SSOOS 平安数据管理;d)应将系统管理员、平安员和审计员等重要平安角色分别设置专人担任,并按“职能别离原那么分别授予他们各自为完成自身任务所需的权限,并形成相互制约的关系。.v.
