信息安全風險評估

1、服務器脆弱性識別表格依據(jù)GB/T20272-2007操作系統(tǒng)安全技術(shù)要求中第三級-安全標記保護級所列舉內(nèi)容編制。項目子項內(nèi)容是否符合備注安全 功能身份 鑒別a) 按 GB/T 20271-2006 中 6.3.3.1.1 和以下要求 設計和實現(xiàn)用戶標識功能：凡需進入操作系統(tǒng)的用戶，應先進行標識(建立 賬號)；操作系統(tǒng)用戶標識應使用用戶名和用戶標識(UID)，并在操作系統(tǒng)的整個生存周期實現(xiàn)用戶的唯 一性標識，以及用戶名或別名、UID等之間的一致性；b)按 GB/T 20271-2006 中 6.3.3.1.2 和以下要求設計和實現(xiàn)用戶鑒別功能：采用強化管理的口令鑒別 /基于令牌的動態(tài)口令 鑒別/

2、生物特征鑒別/數(shù)字證書鑒別等機制進行身份鑒 另并在每次用戶登錄系統(tǒng)時進行鑒別；鑒別信息應是不可見的，在存儲和傳輸時應按GB/T 20271-2006中的要求，用加密方法進行安全保護；過對不成功的鑒別嘗試的值(包括嘗試次數(shù)和時間的閾值)進行預先定義，并明確規(guī)定達到該值時 應采取的措施來實現(xiàn)鑒別失敗的處理。C) 對注冊到操作系統(tǒng)的用戶，應按以下要求設計和實現(xiàn)用戶-主體綁定功能：將用戶進程與所有者用戶相關(guān)聯(lián)，使用戶進程的 行為可以追溯到進程的所有者用戶；將系統(tǒng)進程動態(tài)地與當前服務要求者用戶相關(guān) 聯(lián)，使系統(tǒng)進程的行為可以追溯到當前服務的要求者 用戶。自主 訪問 控制a)允許命名用戶以用戶的身份規(guī)定并控

3、制對客體的訪問，并阻止非授權(quán)用戶對客體的訪問。b)設置默認功能，當一個主體生成一個客體時，在該客體的訪問控制表中相應地具有該主體的默認值；C) 有更細粒度的自主訪問控制，將訪問控制的粒度 控制在單個用戶。對系統(tǒng)中的每一個客體， 都應能夠?qū)崿F(xiàn)由客體的創(chuàng)建者以用戶指定方式確定其 對該客體的訪問權(quán)限，而別的同組用戶或非同組的用戶和用戶組對該客體的訪問權(quán)則應由創(chuàng) 建者用戶授予；d)自主訪問控制能與身份鑒別和審計相結(jié)合，通過確認用戶身份的真實性和記錄用戶的各種成 功的或不成功的訪冋，使用戶對自己的行為承擔明確 的責任；e)客體的擁有者應是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對其擁有的客體應具有全部控

4、制權(quán)，但是，不允許客體擁有者把該客體的控制權(quán)分 配給其他主體；f) 定義訪問控制屬性，并保護這些屬性。主體的訪 問控制屬性至少應有：讀、寫、執(zhí)行等；客 體的訪問控制屬性應包含可分配給主體的讀、寫和執(zhí) 行等權(quán)限；g)定義分配和修改主體和客體的訪問控制屬性的規(guī)則，并執(zhí)行對主體和客體的訪問控制屬性的 分配和修改，規(guī)則的結(jié)果應達到只有被授權(quán)的用戶才 允許訪問一個客體；h)定義主體對客體的訪冋授權(quán)規(guī)則。該規(guī)則應基于主體對客體的訪問控制屬性，授權(quán)的范圍應 包括主體和客體及相關(guān)的訪問控制屬性，同時應指出 主體和客體對這些規(guī)則應用的類型。標記a) 米用標記的方法為操作系統(tǒng)SSOOS安全功能控制范圍內(nèi)的主體和客

5、體設置敏感標記。這些敏 感標記構(gòu)成多級安全模型的的屬性庫。操作系統(tǒng)主、 客體的敏感標記應以默認方式生成或由安全員進行建立、維護和管理；b)當信息從 SSOOS控制范圍之內(nèi)向 SSOOS控制范圍之外輸出時，可帶有或不帶有敏感標記；當 信息從 SSOOS控制范圍之外向SSOOS控制范圍之內(nèi)輸入時，應通過標記標明其敏感標記。強訪 問控 制a)由專門設置的系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中與強制訪問控制等安全機制有關(guān)的事件和信 息，并將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審 計管理，分別由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計 員來承擔，按職能分割原則分別授予它們各自為完成 自己所承擔任務所需的權(quán)限，并形成相互制

6、約關(guān)系；b)強制訪問控制應與用戶身份鑒別、標記等安全功能密切配合，使系統(tǒng)對用戶的安全控制包含從用戶進 入系統(tǒng)到退出系統(tǒng)的全過程，對客體的控制范圍涉及 操作系統(tǒng)內(nèi)部的存儲、處理和傳輸過程；c) 運行于網(wǎng)絡環(huán)境的分布式操作系統(tǒng)，應統(tǒng)一實現(xiàn)強制訪問控制功能；d) 運行于網(wǎng)絡環(huán)境的多臺計算機系統(tǒng)上的網(wǎng)絡操 作系統(tǒng)，在需要進行統(tǒng)一管理時，應考慮各臺計算機 操作系統(tǒng)的主、客體安全屬性設置的一致性，并實現(xiàn) 跨網(wǎng)絡的SSOOS間用戶數(shù)據(jù)保密性和完整性保護數(shù)據(jù) 流控 制對于以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)交換的操作系統(tǒng)，一般應按 GB/T 20271-2006 中 6.3.3.6 的要求，設計 和實現(xiàn)操作系統(tǒng)的數(shù)據(jù)流控制功

7、能。安全審計a） 安全審計功能應與身份鑒別、自主訪問控制、標 記、強制訪問控制及完整性控制等安全功能緊密結(jié)合；b） 提供審計日志、實時報警生成，潛在侵害分析、 基于異常檢測，基本審計查閱、有限審計查閱和可選 審計查閱，安全審計事件選擇，以及受保護的審計蹤 跡存儲和審計數(shù)據(jù)的可用性確保等功能；c） 能夠生成、維護及保護審計過程，使其免遭修改、 非法訪問及破壞，特別要保護審計數(shù)據(jù)，要嚴格限制 未經(jīng)授權(quán)的用戶訪問；d）能夠創(chuàng)建并維護一個對受保護客體訪問的審計跟蹤，保護審計記錄不被未授權(quán)的訪問、修改和破壞；e） 指出可記錄的審計事件的最少類型，包括建立會話登錄成功和失敗，使用的系統(tǒng)接口，系統(tǒng)數(shù)據(jù)庫管

8、理的改變（改變用戶賬戶屬性、 審計跟蹤設置和分析、 為程序分配設置用戶ID、附加或改變系統(tǒng)程序或進程、改變?nèi)掌诤蜁r間等），超級用戶命令改變用戶身份、 將某個客體引入某個用戶的地址空間（如打開文件）、刪除客體及計算機操作員、系統(tǒng)管理員與系統(tǒng)安全管 理員進程的操作等。當審計激活時應確保審計跟蹤事 件的完整性；應提供一個機制來顯示當前選擇的審計 事件，這個機制的使用者應是有限的授權(quán)用戶；f）每個事件的數(shù)據(jù)記錄，應包括的信息有：事件發(fā)生 的日期和時間、觸發(fā)事件的用戶、事件的類型、事件 成功或失敗等。對于身份標識和鑒別事件，應記錄請 求的源（如末端號或網(wǎng)絡地址）；對于創(chuàng)建和刪除客體 的事件，應記錄客體的

9、名字和客體的安全屬性；g）應提供一個受保護的打開和關(guān)閉審計的機制。該 機制能選擇和改變審計事件，并在系統(tǒng)工作時處于默 認狀態(tài)；該機制的使用應受到系統(tǒng)管理員的授權(quán)限制， 系統(tǒng)管理員應能夠選擇一個或多個基于身份鑒別或客 體屬性的用戶的審計活動；審計工具應能夠授權(quán)個人 監(jiān)察和瀏覽審計數(shù)據(jù)，同時數(shù)據(jù)應得到授權(quán)的使用、 修改和刪除；應提供對審計跟蹤管理功能的保護，使 之可以完成審計跟蹤的創(chuàng)建、破壞、騰空和存檔；系 統(tǒng)管理員應能夠定義超過審計跟蹤極限的閾值；當存 儲空間被耗盡時，應能按管理員的指定決定采取的措 施，包括：報警并丟棄未記錄的審計信息、暫停審計、覆蓋以前的審計記錄等。用戶 數(shù)據(jù) 完整 性a）應

10、為操作系統(tǒng) SSOOS安全功能控制范圍內(nèi)的主體和客體設置完整性標簽（IL ），并建立完整性保護策略模型，保護用戶數(shù)據(jù)在存儲、傳輸和處理過程中 的完整性；b）在對數(shù)據(jù)進行訪冋操作時，檢查存儲在存儲介質(zhì)上的用戶數(shù)據(jù)是否出現(xiàn)完整性錯誤，并在檢測到完整 性錯誤時進行恢復。可通過密碼支持系統(tǒng)所提供的完 整性功能，對加密存儲的數(shù)據(jù)進行完整性保護。操作 系統(tǒng)對磁盤設備中存儲的數(shù)據(jù)，可通過增加磁盤掃描 程序?qū)崿F(xiàn)以下功能：自動檢查文件與磁盤表面是否完好；將磁盤表面的問題自動記錄下來；隨時檢查、診斷和修復磁盤上的錯誤；修復扇區(qū)交錯和扇區(qū)流失；將數(shù)據(jù)移到好的扇區(qū)；可增加硬盤數(shù)據(jù)備份和修復程序，將硬盤中的數(shù) 據(jù)壓縮、

11、備份，并在必要時恢復；c) 在操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)，如進程間的通信，應提供保證用戶數(shù)據(jù)完整性的功能。完 整性標簽應隨數(shù)據(jù)一起流動，系統(tǒng)應保證低完整性的 數(shù)據(jù)不能插入、覆蓋到高完整性的數(shù)據(jù)；d) 對操作系統(tǒng)中處理的數(shù)據(jù)，應按回退的要求設計 相應的SSOOS安全功能模塊，進行異常情況 的操作序列回退，以確保用戶數(shù)據(jù)的完整性。系統(tǒng)應 保證在處理過程中不降低數(shù)據(jù)完整性的級別。用戶 數(shù)據(jù) 保密 性a) 應確保動態(tài)分配與管理的資源，在保持信息安全的情況下被再利用，主要包括：確保非授權(quán)用戶不能查找使用后返還系統(tǒng)的記錄 介質(zhì)中的信息內(nèi)容；確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記 錄介質(zhì)中以前的信息內(nèi)容

12、；b) 在單用戶系統(tǒng)中，存儲器保護應防止用戶進程影 響系統(tǒng)的運行；c) 在多用戶系統(tǒng)中，存儲器保護應保證系統(tǒng)內(nèi)各個 用戶之間互不干擾；d) 存儲器保護應包括：對存儲單元的地址的保護，使非法用戶不能訪問 那些受到保護的存儲單元；對被保護的存儲單元的操作提供各種類型的保 護，最基本的保護類型是“讀 /寫”和“只讀”，不能讀/寫的存儲單元，若被用戶讀 /寫時，系統(tǒng) 應及時發(fā)出警報或中斷程序執(zhí)行；可采用邏輯隔離的方法進行存儲器保護，具體有：界限地址寄存器保護法、內(nèi)存標志法、鎖保護法和特征位保護法等。SSOOS自身 安全 保護SSF物 理安 全保 護一般應按 GB/T 20271-2006中的要求，實現(xiàn)

13、SSF的物理安全保護，通過對物理攻擊的檢查和自動報告，及時發(fā)現(xiàn)以物理方式的攻擊對SSF造成的威脅和破壞。SSF運 行安 全保 護a)系統(tǒng)在設計時不應留有"后門”。即不應以維護、支持或操作需要為借口，設計有違反或繞過安全規(guī)則 的任何類型的入口和文檔中未說明的任何模式的入口；b)安全結(jié)構(gòu)應是一個獨立的、嚴格定義的系統(tǒng)軟件的一個子集，并應防止外部干擾和破壞，如修改其代 碼或數(shù)據(jù)結(jié)構(gòu)；c) 操作系統(tǒng)程序與用戶程序要進行隔離。一個進程的虛地址空間至少應被分為兩個段：用戶空間和系統(tǒng) 空間，兩者的隔離應是靜態(tài)的。駐留在內(nèi)存中的操作 系統(tǒng)應由所有進程共享。用戶進程之間應是彼此隔離 的。應禁止在用戶模

14、式下運行的進程對系統(tǒng)段進行寫 操作，而在系統(tǒng)模式下運行時，應允許進程對所有的 虛存空間進行讀、與操作；d) 提供設置和升級配置參數(shù)的安裝機制。在初始化和對與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進行保護之前，應對用戶和管理員的安全策略屬性應進行定義；e) 應區(qū)分普通操作模式和系統(tǒng)維護模式；f)應防止一個普通用戶從未經(jīng)允許的系統(tǒng)進入維護模式，并應防止一個普通用戶與系統(tǒng)內(nèi)維護 模式交互。從而保證在普通用戶訪問系統(tǒng)之前，系統(tǒng) 能以一個安全的方式進行安裝和配置；g) 對備份或不影響 SSOOS的常規(guī)的系統(tǒng)維護，不 要求所有的系統(tǒng)維護都在維護模式中執(zhí)行；h)當操作系統(tǒng)安裝完成后，在普通用戶訪問之前，系統(tǒng)應配置好初始用戶和管

15、理員職責、根目錄、審計參數(shù)、系統(tǒng)審計跟蹤設置以及對文件和目錄 的合適的訪問控制；i)執(zhí)行系統(tǒng)所提供的實用程序，應(默認地)限定于對系統(tǒng)的有效使用，只允許系統(tǒng)管理員修 改或替換系統(tǒng)提供的實用程序；j) 操作環(huán)境應為用戶提供一個機制，來控制命令的 目錄/路徑的查找順序；k)提供一個實用程序來校驗文件系統(tǒng)和磁盤的完整性。此實用程序應由操作系統(tǒng)自動執(zhí)行；1)為操作系統(tǒng)安全管理人員提供一種機制，來產(chǎn)生安全參數(shù)值的詳細報告；m) 在SSOOS失敗或中斷后，應確保其以最小的 損害得到恢復。并按失敗保護中所描述的內(nèi)容， 實現(xiàn)對SSF出現(xiàn)失敗時的處理。系統(tǒng)因故障或其它 原因中斷后，應有一種機制去恢復系統(tǒng)。系統(tǒng)應

16、提供在管理維護狀態(tài)中運行的能力，管理維護 狀態(tài)只能被系統(tǒng)管理員使用，各種安全功能全部失效；n） 操作系統(tǒng)環(huán)境應控制和審計系統(tǒng)控制臺的使用 情況；0） 補丁的發(fā)布、管理和使用：補丁是對操作系統(tǒng)安 全漏洞進行修補的程序的總稱。操作系統(tǒng)的開發(fā)者應針對發(fā)現(xiàn)的漏洞及時發(fā)布補丁。操作系統(tǒng)的 管理者應及時獲取、統(tǒng)一管理并及時運用補丁對操作系統(tǒng)的漏洞進行修補。SSF數(shù)據(jù) 安全 保護a）實現(xiàn)對輸出 SSF數(shù)據(jù)可用性、保密性、和完整性保護；b）實現(xiàn)SSOOS內(nèi)SSF數(shù)據(jù)傳輸?shù)幕颈Ｗo、數(shù)據(jù) 分離傳輸、數(shù)據(jù)完整性保護；c）實現(xiàn) SSF間的SSF數(shù)據(jù)的一致性和 SSOOS內(nèi) SSF數(shù)據(jù)復制的一致性保護。資源利用a）應

17、通過一定措施確保當系統(tǒng)出現(xiàn)某些確定的故障 情況時，SSF也能維持正常運行，如系統(tǒng)應 檢測和報告系統(tǒng)的服務水平已降低到預先規(guī)定的最小 值；b）應采取適當?shù)牟呗?，有限服務?yōu)先級提供主體使 用TSC內(nèi)某個資源子集的優(yōu)先級，進行SSOOS資源的管理和分配；c）應按資源分配中最大限額的要求，進行SSOOS資源的管理和分配，要求配額機制確保用戶和主體將不 會獨占某種受控的資源；d）系統(tǒng)應確保在被授權(quán)的主體發(fā)出請求時，資源能 被訪問和利用；e）當系統(tǒng)資源的服務水平降低到預先規(guī)定的最小值 時，應能檢測和發(fā)出報告；f）系統(tǒng)應提供維護狀態(tài)中運行的能力，在維護狀態(tài) 下各種安全性能全部失效，系統(tǒng)只允許由系統(tǒng)管理員 使

18、用；g）系統(tǒng)應以每個用戶或每個用戶組為基礎，提供一 種機制，控制他們對磁盤的消耗和對CPU的使用；h）系統(tǒng)應提供軟件及數(shù)據(jù)備份和復原的過程，在系 統(tǒng)中應加入再啟動的同步點，以便于系統(tǒng)的復原；i）操作系統(tǒng)應能提供用戶可訪問的系統(tǒng)資源的修改 歷史記錄；j）系統(tǒng)應提供能用于定期確認系統(tǒng)正確操作的機制 和過程，這些機制或過程應涉及系統(tǒng)資源的監(jiān)督、硬 件和固件單元的正確操作、對可能在全系統(tǒng)內(nèi)傳播的 錯誤狀態(tài)的檢測以及超過用戶規(guī)定的門限的通訊差錯 的檢測等內(nèi)容。SSOOS訪問a） 按會話建立機制的要求，對會話建立的管理進行設計。在建立SSOOS會話之前，應鑒別用戶的身份。制一登錄機制不允許鑒別機制本身被旁

19、路；b) 按多重并發(fā)會話限定中基本限定的要求，進行會話管理的設計。在基于基本標識的基礎上，SSF應限制系統(tǒng)的并發(fā)會話的最大數(shù)量，并應利用默認值作為 會話次數(shù)的限定數(shù)；c) 按可選屬性范圍限定的要求，選擇某種會話安全 屬性的所有失敗的嘗試，對用來建立會話的安全屬性的范圍進行限制；d) 成功登錄系統(tǒng)后，SSOOS應記錄并向用戶顯示 以下數(shù)據(jù)：日期、時間、來源和上次成功登錄系統(tǒng)的情況； 上次成功訪問系統(tǒng)以來身份鑒別失敗的情況； 應顯示口令到期的天數(shù)；成功或不成功的事件次數(shù)的顯示可以用整數(shù)計 數(shù)、時間戳列表等表述方法；e) 在規(guī)定的未使用時限后，系統(tǒng)應斷開會話或重新 鑒別用戶，系統(tǒng)應提供時限的默認值；

20、f) 系統(tǒng)應提供鎖定用戶鍵盤的機制，鍵盤開鎖過程 應要求驗證用戶；g) 當用戶鑒別過程不正確的次數(shù)達到系統(tǒng)規(guī)定的 次數(shù)時，系統(tǒng)應退出登錄過程并終止與用戶的交互；h) 系統(tǒng)應提供一種機制，能按時間、進入方式、地 點、網(wǎng)絡地址或端口等條件規(guī)定哪些用戶能進入系統(tǒng)。g) 當用戶鑒別過程不正確的次數(shù)達到系統(tǒng)規(guī)定的 次數(shù)時，系統(tǒng)應退出登錄過程并終止與用戶的交互；h) 系統(tǒng)應提供一種機制，能按時間、進入方式、地 點、網(wǎng)絡地址或端口等條件規(guī)定哪些用戶能進入系統(tǒng)。SSOOS設計 和實 現(xiàn)配置管理a) 在配置管理能力方面應實現(xiàn)對版本號、配置項、 授權(quán)控制等方面的要求；b)在配置管理自動化方面要求部分的配置管理自動

21、化；c) 在SSOOS的配置管理范圍方面，應將SSOOS的實現(xiàn)表示、設計文檔、測試文檔、用戶文檔、管理 員文檔以及配置管理文檔等置于配置管理之下，要求 實現(xiàn)對配置管理范圍內(nèi)的問題跟蹤，特別是安全缺陷 問題進行跟蹤；d) 在系統(tǒng)的整個生存期，即在它的開發(fā)、測試和維護期間，應有一個軟件配置管理系統(tǒng)處于保持對改變 源碼和文件的控制狀態(tài)。只有被授權(quán)的代碼和代碼修 改才允許被加進已交付的源碼的基本部分。所有改變 應被記載和檢查，以確保未危及系統(tǒng)的安全。在軟件 配置管理系統(tǒng)中，應包含從源碼產(chǎn)生出系統(tǒng)新版本、 鑒定新生成的系統(tǒng)版本和保護源碼免遭未授權(quán)修改的 工具和規(guī)程。通過技術(shù)、物理和保安規(guī)章三方面的結(jié)合，

22、 可充分保護生成系統(tǒng)所用到的源碼免遭 未授權(quán)的修改和毀壞。分發(fā) 和操 作a) 以文檔形式提供對SSOOS安全地進行分發(fā)的過程，并對修改檢測的過程進行說明，最終生成安全 的配置。文檔中所描述的內(nèi)容應包括：提供分發(fā)的過程； 安全啟動和操作的過程；建立日志的過程；修改內(nèi)容的檢測；對任何安全加強功能在啟動、正常操作維護時能 被撤消或修改的闡述；在故障或硬件、軟件出錯后恢復系統(tǒng)至安全狀態(tài) 的規(guī)程；對含有加強安全性的硬件部件，應說明用戶或自 動的診斷測試的操作環(huán)境和使用方法；所有診斷測試過程中，為加強安全性的硬件部件 所提供例證的結(jié)果；在啟動和操作時產(chǎn)生審計蹤跡輸出的例證；b) 對系統(tǒng)的未授權(quán)修改的風險，

23、應在交付時控制到最低限度。在包裝及安全分送和安裝過程中，這種控 制應采取軟件控制系統(tǒng)的方式，確認安全性會由最終 用戶考慮，所有安全機制都應以功能狀態(tài)交付；c) 所有軟件應提供安全安裝默認值，在客戶不做選擇時，默認值應使安全機制有效地發(fā)揮安全功能；d)隨同系統(tǒng)交付的全部默認用戶標識碼，應在交付時處于非激活狀態(tài)，并在使用前由管理員激活；e)用戶文檔應冋交付的軟件一起包裝，并應有一套規(guī)程確保當前送給用戶的系統(tǒng)軟件是嚴格按最新的系 統(tǒng)版本來制作的；f) 以安全方式開發(fā)并交付系統(tǒng)后，仍應提供對產(chǎn)品 的長期維護和評估的支持，包括產(chǎn)品中的安全漏洞和 現(xiàn)場問題的解決；g) 應采用書面說明的方式向客戶通告新的安

24、全問 題。h) 對可能受到威脅的所有的安全問題，均應描述其特點，并作為主要的問題對待，直到它被解決或在用 戶同意下降級使用；i) 為了支持已交付的軟件的每個版本，對所有已有 的安全漏洞都應有文檔書面說明，并且用戶能在限制 的基礎上得到該文檔；j) 對安全漏洞的修改不必等到系統(tǒng)升級到下一個版 本。安全功能的增加和改進應獨立于系統(tǒng)版本的升級， 也就是說，應存在適應性獨立于系統(tǒng)其它功能的改進；k)只有經(jīng)過客戶授權(quán)，才允許在生產(chǎn)性運行的系統(tǒng)上 進行新特性和簡易原型的開發(fā)、測試和安裝；1)新的版本應避免違反最初的安全策略和設想，也應 避免在維護、增加或功能升級中引入安全漏洞，所有 功能的改變和安全結(jié)構(gòu)設

25、置的默認值都應作記錄。在 新版本交付給用戶使用前， 用戶應能得到相應的文檔。文檔要求a) 應為最終用戶提供簡單概要、分章節(jié)或手冊形式 的文檔，保證用戶擁有進行安全操作所需要的所有信息。與安全有關(guān)的信息應包含在一個特別的 手冊中或許多標準的文本集中，提供用戶查閱所有的安全功能。這些信息可隨系統(tǒng)發(fā)送，也 可明確指出它包含在哪個文本當中；b) 應通過提供所要求文檔，將如何安全使用和維護 操作系統(tǒng)的信息交付給系統(tǒng)的用戶、系統(tǒng)管理員和系 統(tǒng)安全員。對文檔的總體要求是：應對所有的安全訪問和相關(guān)過程、特權(quán)、功能等 適當?shù)墓芾砑右躁U述；應闡述安全管理和安全服務的交互，并提供新的SSOOS安全生成的指導；應詳細

26、給出每種審計事件的審計記錄的結(jié)構(gòu)，以 便考察和維護審計文件和進程；應提供一個準則集用于保證附加的說明的一致性 不受破壞；c) 用戶文檔應提供關(guān)于不冋用戶的可見的安全機 制以及如何利用它們的信息，描述沒有明示用戶的保 護結(jié)構(gòu)，并解釋它們的用途和提供有關(guān)它們使用的指 南，不應包括那些如果公開將會危及系統(tǒng)安全的任何 信息；d) 系統(tǒng)管理員文檔應提供：關(guān)于系統(tǒng)的安全開機、操作和重新啟動的信息， 包括啟動系統(tǒng)的過程(如引導系統(tǒng)進入安全方式)、在系統(tǒng)操作失誤時恢復安全系統(tǒng)操作的過 程、運行軟件和數(shù)據(jù)備份及轉(zhuǎn)儲的方法和過程；一個單獨的安裝指南，詳細說明設置系統(tǒng)的配置 和初始化過程，提供一個新系統(tǒng)版本的安全設

27、置和安 裝文檔，包括對所有用戶可見的安全相關(guān)過程、軟件 和數(shù)據(jù)文檔的描述；e) 安全管理員文檔應提供：有關(guān)如何設置、維護和分析系統(tǒng)安全的詳細指導， 包括當運行一個安全設備時，需要控制的有關(guān)功能和 特權(quán)的警告；與安全有關(guān)的管理員功能的詳細描述，包括增加 和刪除一個用戶、改變用戶的安全特征等；提供關(guān)于所有審計工具的文檔，包括為檢查和保持審計文件所推薦的過程、針對每種審計事件的詳細 審計記錄文件、為周期性備份和刪除審計記錄所推薦 的過程、為檢查能被目錄文件所利用的磁盤剩余空間 所推薦的過程；關(guān)于設置所有文件和目錄的最低訪問許可的建 議；運行文件系統(tǒng)或磁盤完整性檢測所做的建議；如何進行系統(tǒng)自我評估的章

28、節(jié)(帶有網(wǎng)絡管理、 口令要求、撥號訪問控制、意外事故計劃的安全報告)， 為災害恢復計劃所做的建議；描述普通入侵技術(shù)和其它威脅，及查出和阻止它們的方法；f)安全管理員文檔應提供安全管理員了解如何用安全的方式管理系統(tǒng)，除了給出一般的安全忠 告，還要明確：在系統(tǒng)用安全的方法設置時，圍繞用戶、用戶賬 戶、用戶組成員關(guān)系、主體和客體的屬性等，應如何 安裝或終止安裝；在系統(tǒng)的生存周期內(nèi)如何用安全的方法維護系 統(tǒng)，包括為了防止系統(tǒng)被破壞而進行的每天、每周、 每月的安全常規(guī)備份等；如何用安全的方法重建部分SSOOS(如內(nèi)核)的方法(如果允許在系統(tǒng)上重建SSOOS)；說明審計跟蹤機制，使授權(quán)用戶可以有效地使用 審計跟蹤來執(zhí)行本地的安全策略；必要時，如何調(diào)整系統(tǒng)的安全默認配置；g)文檔中不應提供任何一旦泄露將會危及系統(tǒng)安全的信息。有關(guān)安全的指令和文檔應劃分等級 分別提供給用戶、系統(tǒng)管理員和系統(tǒng)安全員。這些文 檔應為獨立的文檔，或作為獨立的章節(jié)插入到管理員 指南和用戶指南中。文檔也可為硬拷貝、電子文檔或 聯(lián)機文檔。如果是聯(lián)機文檔應控制對其的訪問。生存 周期 支持a) 按標準的生存周期模