信息安全风险评估脆弱性识别操作系统脆弱性表格GBT202722007
脆弱性识别与分析
附件:国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称:项目建设单位:风险评估单位:年月日目录一、风险评估项目概述 (1)1.1工程项目概况 (1)1.1.1 建设项目基本信息 (1)1.1.2 建设单位基本信息 (1)1.1.3承建单位基本信息 (2)1.2风险评估实施单位基本情况 (3)二、风险评估活动概述 (3)2.1风险评估工作组织管理 (3)2.2风险评估工作过程 (3)2.3依据的技术标准及相关法规文件 (3)2.4保障与限制条件 (3)三、评估对象 (4)3.1评估对象构成与定级 (4)3.1.1 网络结构 (4)3.1.2 业务应用 (4)3.1.3 子系统构成及定级 (4)3.2评估对象等级保护措施 (4)3.2.1XX子系统的等级保护措施 (5)3.2.2子系统N的等级保护措施 (5)四、资产识别与分析 (5)4.1资产类型与赋值 (5)4.1.1资产类型 (5)4.1.2资产赋值 (5)4.2关键资产说明 (5)五、威胁识别与分析 (6)5.1威胁数据采集 (6)5.2威胁描述与分析 (6)5.2.1 威胁源分析 (6)5.2.2 威胁行为分析 (6)5.2.3 威胁能量分析 (6)5.3威胁赋值 (6)六、脆弱性识别与分析 (7)6.1常规脆弱性描述 (7)6.1.1 管理脆弱性 (7)6.1.2 网络脆弱性 (7)6.1.3系统脆弱性 (7)6.1.4应用脆弱性 (7)6.1.5数据处理和存储脆弱性 (8)6.1.6运行维护脆弱性 (8)6.1.7灾备与应急响应脆弱性 (8)6.1.8物理脆弱性 (8)6.2脆弱性专项检测 (8)6.2.1木马病毒专项检查 (8)6.2.2渗透与攻击性专项测试 (8)6.2.3关键设备安全性专项测试 (8)6.2.4设备采购和维保服务专项检测 (8)6.2.5其他专项检测 (8)6.2.6安全保护效果综合验证 (8)6.3脆弱性综合列表 (8)七、风险分析 (8)7.1关键资产的风险计算结果 (8)7.2关键资产的风险等级 (9)7.2.1 风险等级列表 (9)7.2.2 风险等级统计 (9)7.2.3 基于脆弱性的风险排名 (9)7.2.4 风险结果分析 (9)八、综合分析与评价 (10)九、整改意见 (10)附件1:管理措施表 (11)附件2:技术措施表 (13)附件3:资产类型与赋值表 (15)附件4:威胁赋值表 (15)附件5:脆弱性分析赋值表 (16)一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息1.1.2 建设单位基本信息工程建设牵头部门工程建设参与部门如有多个参与部门,分别填写上1.1.3承建单位基本信息如有多个承建单位,分别填写下表。
(单位)信息系统脆弱性评估报告-
系统物理安全漏洞
评估发现,组织的信息系统物理安全防护存在一些关键漏洞。这些隐患可能被恶意分子利用,对系统和数据造成直接威胁。我们将重点分析这些物理安全方面的隐患,并提出切实可行的加固措施。
风险等级划分
针对前述发现的各类系统安全隐患,我们采用风险评估矩阵对其进行了严格的等级划分。根据漏洞的严重程度和发生概率,将其划分为高、中、低三个风险等级,以便制定针对性的修复策略。
为确保评估报告内容的隐私性和安全性,我们将严格按照组织制定的保密规定进行管理。报告涉及的敏感信息只能由授权人员查阅,不得擅自外泄。报告电子文件需采取加密等安全措施进行储存和传输,纸质报告则需置于专用保密柜中。同时建立完善的权限审核和日志记录机制,对访问行为进行全程监控。
评估报告附件清单
为确保评估报告信息完整,我们将附加相关的支持文件,包括关键系统配置信息、漏洞检测报告、风险评估分析、整改建议明细等。这些附件可为报告的理解和实施提供详尽的依据和参考。
低风险漏洞分析
除了高风险和中风险漏洞,评估过程中还发现了一些相对较低风险的系统安全隐患。这些问题虽然不会直接造成严重后果,但如果长期存在,仍可能被黑客利用来渗透系统或窃取数据。我们将重点分析这些低风险漏洞,制定适当的修复计划,确保组织整体信息安全水平的提升。
漏洞修复建议
基于对各类系统漏洞的深入分析,我们针对每一类漏洞都制定了切实可行的修复建议。这些措施涉及系统配置优化、软件补丁更新、权限管理加强、密码策略完善等多个层面,全面提升组织的整体信息安全防护水平。
系统权限漏洞
评估发现,部分系统的权限管理存在严重漏洞,关键用户账号和特权权限没有得到有效控制。这些权限缺陷可能被黑客利用来提升权限,从而访问敏感信息或破坏系统运行。我们将深入分析这些权限安全隐患并提出改进建议。
04信息安全风险评估汇总表
3
2
2
4
8
2
是
2
数据业务部
5.
人员
管理人员
部门经理
5
信息泄露泄露
人为泄露
未采取控制措施
4
5
4
4
16
4
否
行政部
6.
文档
合同
项目服务合同
5
数据丢失、泄露
未设置备份方案
未采取控制措施
4
5
4
4
16
4
否
行政部
7.
文档
项目数据
源代码
测试计划/方案
测试用例
测试报告
验收报告
接口开发设计文档
5
数据丢失、泄露
5
未建立台式机电脑口令安全策略
未采取控制措施
4
5
4
4
16
4
否
数据业务部
5
不足够的安全培训
定期对人员进行培训
3
2
2
4
8
2
是
3
行政部
5
防火墙未定期及时更新升级
员工自觉更新升级
3
2
2
4
8
2
是
2
数据业务部
5
操作系统变更未做记录,操作系统、应用软件未定期及时更新
负责人定期检查操作系统并及时更新
3
2
2
4
8
2
是
3
数据业务部
5
对移动代码的使用未监管
未采取控制措施
4
5
4
4
16
4
否
数据业务部
信息系统安全风险评估报告
xx有限公司记录编号005创建日期2015年8月16日信息系统安全风险评估报告文档密级更改记录时间更改内容更改人项目名称:XXX风险评估报告被评估公司单位:XXX有限公司参与评估部门:XXXX委员会一、风险评估项目概述1.1工程项目概况1.1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月1.2风险评估实施单位基本情况评估单位名称XXX有限公司二、风险评估活动概述2.1风险评估工作组织管理描述本次风险评估工作的组织体系(含评估人员构成)、工作原则和采取的保密措施。
2.2风险评估工作过程本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于公司地址位置的相关产品。
1.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有:序号法律、法规及其他要求名称颁布时间实施时间颁布部门全国人大常委会关于维护互联12000.12.282000.12.28全国人大常委会网安全的决定中华人民共和国计算机信息系21994.02.181994.02.18国务院第147号令统安全保护条例中华人民共和国计算机信息网31996.02.011996.02.01国务院第195号令络国际联网管理暂行规定中华人民共和国计算机软件保42001.12.202002.01.01国务院第339号令护条例中华人民共和国信息网络传播52006.05.102006.07.01国务院第468号令权保护条例中华人民共和国计算机信息网国务院信息化工作领导61998.03.061998.03.06络国际联网管理暂行规定实施小组办法计算机信息网络国际联网安全71997.12.161997.12.30公安部第33号令保护管理办法计算机信息系统安全专用产品81997.06.281997.12.12公安部第32号令检测和销售许可证管理办法9计算机病毒防治管理办法2000.03.302000.04.26公安部第51号令10恶意软件定义2007.06.272007.06.27中国互联网协会11抵制恶意软件自律公约2007.06.272007.06.27中国互联网协会计算机信息系统保密管理暂行121998.2.261998.02.26国家保密局规定计算机信息系统国际联网保密132000.01.012000.01.01国家保密局管理规定中华人民共和国工业和14软件产品管理办法2000.10.082000.10.08信息化部互联网等信息系统网络传播视152004.06.152004.10.11国家广播电影电视总局听节目管理办法16互联网电子公告服务管理规定2000.10.082000.10.08信息产业部信息系统工程监理工程师资格172003年颁布2003.03.26信息产业部管理办法信息系统工程监理单位资质管182003.03.262003.04.01信息产业部理办法19电子认证服务管理办法2009.02.042009.03.31信息产业部关于印发《国家电子信息产业基中华人民共和国信息产202008.03.042008.03.04地和产业园认定管理办法(试业部行)》的通知21计算机软件著作权登记收费项1992.03.161992.04.01机电部计算机软件登记办目和标准公室22中国互联网络域名管理办法2004.11.052004.12.20信息产业部全国人民代表大会常务委23中华人民共和国专利法2010.01.092010.02.01员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请的规定2010.08.272010.10.01国家知识产权局26中华人民共和国著作权法2010.02.262010.02.26全国人大常委会中华人民共和国著作权法实施272002.08.022002.9.15国务院第359号令条例28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术措施规定2005.12.132006.03.01公安部发布30中华人民共和国认证认可条例2003.09.032003.11.1国务院第390号令中华人民共和国保守国家秘密312010.04.292010.10.01全国人大常委会法32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会中华人民共和国商用密码管理331999.10.071999.10.07国务院第273号令条例34消防监督检查规定2009.4.302009.5.1公安部第107号中华人民共和国公安部35仓库防火安全管理规则1990.03.221994.04.10令第6号36地质灾害防治条例2003.11.242004.03.01国务院394号国家电力监管委员会第2 37《电力安全生产监管办法》2004.03.092004.03.09号华人民共和国主席令第二38中华人民共和国劳动法2007.06.292008.1.1十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放2001.10.262001.01.01劳动和社会保障部中华人民共和国企业劳动争议411993.06.111993.08.01国务院处理条例1.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件。
5、脆弱性识别--识别内容
5、脆弱性识别--识别内容
脆弱性是资产本⾝存在的,如果没有被相应威胁利⽤,单纯的脆弱性本⾝不会对资产造成影响。
即,威胁总是要利⽤资产的脆弱性才能造成危害。
脆弱性识别可以以资产为核⼼,针对每⼀项需要保护的资产,识别可能被威胁利⽤的弱点,并对脆弱性的严重程度进⾏评估。
也可以从物理,⽹络,系统,应⽤等层次进⾏设备,然后与资产,威胁对应起来。
脆弱性识别的依据可以是国际或国家安全标准,也可以是⾏业规范应⽤流程的安全要求。
对不同环境中的相同弱点,其脆弱性严重程度是不同的。
脆弱性识别所采⽤的⽅法主要有:问卷调查、⼯具检测、⼈⼯核查、⽂档查阅、渗透测试等。
脆弱性识别主要从技术和管理两⽅⾯进⾏,技术设计物理层、⽹络层、系统层、应⽤层等各个层⾯,管理脆弱性可分为技术管理脆弱性和组织管理脆弱性两⽅⾯。
对不同识别对象,其脆弱性识别具体要求可参照等级保护相关标准《GB /T 22239-2020》,也可参考相对应标准实施,如
物理脆弱性《GB/T 9361-XXXX(计算机场地安全要求)》
操作系统、数据库《GB 17859-XXXX (计算机信息系统安全保护等级划分准则)》
管理脆弱性《GB/T 19716-XXXX(信息安全管理实⽤规则)》。
风险评估涉及标准列表
风险评估涉及标准表标准名称对于威胁识别的作用对于脆弱性识别的作用对于出报告的作用基本标准GB/T 20984-2007《信息安全风险评估规范》描述风险评估的一般规范和准则GB/T 18336-2008《信息技术安全性评估准则》描述风险评估的一般规范和准则GB/T 22239-2008《信息系统安全等级保护基本要求》威胁识别基本方法脆弱性识别基本方法GB/T 20274-2006《信息系统安全保障评估框架》描述风险评估的一般规范和准则GB/T 2887-2011《计算机场地通用规范》描述关于机房或办公场地管理的基本方法和原则ISO/IEC 13335 《IT安全管理指南》描述关于信息安全管理的基本方法和原则ISO/IEC2007:2005《信息安全管理体系规范和实用指南》描述关于信息安全管理的基本方法和原则专项标准GB/T 9361-2011《计算机场地安全要求》物理环境脆弱性识别GB/T 20270-2006《网络基础安全技术要求》物理拓扑结构图、网络设备脆弱性识别GB/T 18018-2007《信息安全技术路由器安全技术要求》路由器脆弱性识别GB/T20281-2005 防火墙脆弱《信息安全技术防火墙技术要求和测试评价方法》性识别GB/T20010-2006《包过滤防火墙评估准》防火墙脆弱性识别GB/T 20269-2006《信息系统安全管理要求》信息系统脆弱性识别GA/T 681-2007《网关安全技术要求》网关脆弱性识别GB/T 22081-2008《服务器安全技术要求》服务器脆弱性识别GB/T 21050-2007《网络交换机安全技术要求》交换机脆弱性识别GA/T 686-2007《交换机安全评测要求》交换机脆弱性识别GB/T 20272-2006《虚拟专用网安全技术要求》操作系统脆弱性识别GB/T 20275-2006《入侵检测系统技术要求和检测方法》入侵检测系统脆弱性识别GB/T 20273-2006《数据库管理系统安全技术要求》数据库管理软件、数据库脆弱性识别GA/T 671-2006《终端计算机系统安全等级技术要求》终端计算机脆弱性识别GA/T 711-2007《应用软件系统安全等级保护通用技术指南》应用软件系统脆弱性识别GB/T 20277-2007《网络和终端设备隔离部件测试评价方法》网络和终端设备隔离部件脆弱性识别GB/T 22081-2008《信息安全管理实用规则》管理资产脆弱性识别,包括管理规章制度、各类开发文档等GB/T 20985-2007《信息安全事件管理指南》信息安全事件以及风险处置措施GB/T 20986-2007《信息安全事件分类分级指南》信息安全事件以及风险处置措施GB/T 20988-2007《信息系统灾难恢复准则》信息安全事件以及风险处置措施。
信息安全评估表
信息安全评估表1 技术要求1.1 物理安全序号控制点项目安全标准评估情况说明1.1.1物理位置的选择 1. 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;2. 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。
1.1.2物理访问控制 1. 机房出入口应安排专人值守并配置电子门禁系统,控制、鉴别和记录进入的人员;2. 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;3. 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域;4. 重要区域应配置第二道电子门禁系统,控制、鉴别和记录进入的人员。
1.1.3防盗窃和防破坏 1. 应将主要设备放置在机房内;2. 应将设备或主要部件进行固定,并设置明显的不易除去的标记;3. 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;4. 应对介质分类标识,存储在介质库或档案室中;5. 应利用光、电等技术设置机房防盗报警系统;6. 应对机房设置监控报警系统。
1.1.4防雷击 1. 机房建筑应设置避雷装置;2. 应设置防雷保安器,防止感应雷;3. 机房应设置交流电源地线。
1.1.5防火 1. 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;2. 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;安全标准评估情况说明序号控制点项目1.1.6防水和防潮 1.机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。
2.水管安装,不得穿过机房屋顶和活动地板下;3.应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;4.应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;5.应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。
1.1.7防静电1.设备应采用必要的接地防静电措施;2.机房应采用防静电地板;3.应采用静电消除器等装置,减少静电的产生。
1.1.8温湿度控制机房应设置温湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
信息安全脆弱性评估工具
信息安全脆弱性评估工具信息安全在当今数字化时代的重要性愈发凸显。
然而,虽然许多组织和个人投入了大量的资金和精力来保护信息安全,但安全脆弱性仍然存在。
为了解决这一问题,一种被广泛应用的工具应运而生 - 信息安全脆弱性评估工具。
一、什么是信息安全脆弱性评估工具是一种可用于检测系统、网络或应用程序中存在的潜在漏洞和脆弱性的工具。
它可以模拟黑客攻击,评估安全防护的有效性,并提供必要的报告和建议以加强系统的安全性。
二、信息安全脆弱性评估工具的功能和特点1. 漏洞扫描:信息安全脆弱性评估工具可以通过扫描系统、网络或应用程序的漏洞来检查其安全性,并生成相应的报告。
这有助于组织及时发现和修复潜在的安全风险。
2. 攻击模拟:该工具可模拟各种攻击,包括端口扫描、入侵尝试和恶意软件攻击等。
通过模拟攻击,组织可以评估现有安全措施的有效性,及时采取相应的补救措施。
3. 弱密码检测:密码是保护信息安全的重要组成部分。
信息安全脆弱性评估工具可以通过检测弱密码来帮助组织加强密码策略并防范潜在风险。
4. 漏洞修补建议:信息安全脆弱性评估工具会根据检测到的漏洞和脆弱性,提供相关的修补建议,帮助组织更好地加强安全措施和防范措施。
5. 报告和跟踪:该工具能够生成详细的报告,记录检测到的漏洞和问题,以及修复措施和进展。
这为组织提供了清晰的安全状态和进程跟踪。
三、信息安全脆弱性评估工具的应用场景信息安全脆弱性评估工具可广泛应用于不同组织和场景。
以下是一些常见的应用场景:1. 企业安全:各行业的企业可以使用这些工具来评估其网络和系统的安全性,找出潜在的脆弱性并加强安全措施。
2. 政府机构:政府机构需要保护大量的敏感信息,因此使用这些工具来评估其信息系统的安全性至关重要。
3. 学术研究:研究人员可以使用信息安全脆弱性评估工具来测试新的安全策略或技术的有效性,并提供改进方案。
4. 云计算:信息安全脆弱性评估工具可以帮助云服务提供商检测和修复其基础设施中的潜在漏洞,确保客户数据的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
服务器脆弱性识别表格 依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。 项目 子项 内容 是否符合 备注 安全功能 身份鉴别 a) 按 GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能: ——凡需进入操作系统的用户,应先进行标识(建立账号); ——操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID 等之间的一致性;
b) 按 GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能: ——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别; ——鉴别信息应是不可见的,在存储和传输时应按 GB/T 20271-2006 中 6.3.3.8 的要求,用加密方法进行安全保护; —— 过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能: ——将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户; ——将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。 自主访问控制 a) 允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。 b) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体的默认值; c) 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户。对系统中的每一个客体, 都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限,而别的同组用户 或非同组的用户和用户组对该客体的访问权则应由创建者用户授予;
d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成 功的或不成功的访问,使用户对自己的行为承担明确的责任; e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控 制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体; f) 定义访问控制属性,并保护这些属性。主体的访问控制属性至少应有:读、写、执行等;客 体的访问控制属性应包含可分配给主体的读、写和执行等权限;
g) 定义分配和修改主体和客体的访问控制属性的规则,并执行对主体和客体的访问控制属性的 分配和修改,规则的结果应达到只有被授权的用户才允许访问一个客体; h) 定义主体对客体的访问授权规则。该规则应基于主体对客体的访问控制属性,授权的范围应 包括主体和客体及相关的访问控制属性,同时应指出主体和客体对这些规则应用的类型。 标记 a) 采用标记的方法为操作系统 SSOOS 安全功能控制范围内的主体和客体设置敏感标记。这些敏 感标记构成多级安全模型的的属性库。操作系统主、客体的敏感标记应以默认方式生成或由 安全员进行建立、维护和管理;
b) 当信息从 SSOOS 控制范围之内向 SSOOS 控制范围之外输出时,可带有或不带有敏感标记;当 信息从 SSOOS 控制范围之外向 SSOOS 控制范围之内输入时,应通过标记标明其敏感标记。 强访问控制 a) 由专门设置的系统安全员统一管理操作系统中与强制访问控制等安全机制有关的事件和信 息,并将系统的常规管理、与安全有关的管理以及审计管理,分别由系统管理员、系统安全员和系统审计员来承担,按职能分割原则分别授予它们各自为完成自己所承担任务所需的权限,并形成相互制约关系;
b) 强制访问控制应与用户身份鉴别、标记等安全功能密切配合,使系统对用户的安全控制包含从用户进入系统到退出系统的全过程,对客体的控制范围涉及操作系统内部的存储、处理和传输过程; c) 运行于网络环境的分布式操作系统,应统一实现强制访问控制功能; d) 运行于网络环境的多台计算机系统上的网络操作系统,在需要进行统一管理时,应考虑各台计算机操作系统的主、客体安全属性设置的一致性,并实现跨网络的 SSOOS 间用户数据保密性和完整性保护
数据流控制 对于以数据流方式实现数据交换的操作系统,一般应按 GB/T 20271-2006 中 6.3.3.6 的要求,设计 和实现操作系统的数据流控制功能。 安全审计 a) 安全审计功能应与身份鉴别、自主访问控制、标记、强制访问控制及完整性控制等安全功能紧密结合; b) 提供审计日志、实时报警生成,潜在侵害分析、基于异常检测,基本审计查阅、有限审计查阅和可选审计查阅,安全审计事件选择,以及受保护的审计踪迹存储和审计数据的可用性确保等功能;
c) 能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏,特别要保护审计数据,要严格限制未经授权的用户访问; d) 能够创建并维护一个对受保护客体访问的审计跟踪,保护审计记录不被未授权的访问、修改和破坏; e) 指出可记录的审计事件的最少类型,包括建立会话登录成功和失败,使用的系统接口,系统数据库管理的改变(改变用户账户属性、审计跟踪设置和分析、为程序分配设置用户 ID、附加或改变系统程序或进程、改变日期和时间等),超级用户命令改变用户身份、将某个客体引入某个用户的地址空间(如打开文件)、删除客体及计算机操作员、系统管理员与系统安全管 理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件,这个机制的使用者应是有限的授权用户;
f) 每个事件的数据记录,应包括的信息有:事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份标识和鉴别事件,应记录请求的源(如末端号或网络地址);对于创建和删除客体的事件,应记录客体的名字和客体的安全属性; g) 应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件,并在系统工作时处于默认状态;该机制的使用应受到系统管理员的授权限制,系统管理员应能够选择一个或多个基于身份鉴别或客体属性的用户的审计活动;审计工具应能够授权个人监察和浏览审计数据,同时数据应得到授权的使用、修改和删除;应提供对审计跟踪管理功能的保护,使之可以完成审计跟踪的创建、破坏、腾空和存档;系统管理员应能够定义超过审计跟踪极限的阈值;当存储空间被耗尽时,应能按管理员的指定决定采取的措施,包括:报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。
用户数据完整性 a) 应为操作系统 SSOOS 安全功能控制范围内的主体和客体设置完整性标签(IL),并建立完整性保护策略模型,保护用户数据在存储、传输和处理过程中的完整性; b) 在对数据进行访问操作时,检查存储在存储介质 上的用户数据是否出现完整性错误,并在检测到完整性错误时进行恢复。可通过密码支持系统所提供的完整性功能,对加密存储的数据进行完整性保护。操作系统对磁盘设备中存储的数据,可通过增加磁盘扫描程序实现以下功能: ——自动检查文件与磁盘表面是否完好; ——将磁盘表面的问题自动记录下来; ——随时检查、诊断和修复磁盘上的错误; ——修复扇区交错和扇区流失; ——将数据移到好的扇区; ——可增加硬盘数据备份和修复程序,将硬盘中的数据压缩、备份,并在必要时恢复; c) 在操作系统内部传输的用户数据,如进程间的通信,应提供保证用户数据完整性的功能。完 整性标签应随数据一起流动,系统应保证低完整性的数据不能插入、覆盖到高完整性的数据;
d) 对操作系统中处理的数据,应按回退的要求设计相应的 SSOOS 安全功能模块,进行异常情况 的操作序列回退,以确保用户数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。 用户数据保密性 a) 应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括: ——确保非授权用户不能查找使用后返还系统的记录介质中的信息内容; ——确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容;
b) 在单用户系统中,存储器保护应防止用户进程影响系统的运行; c) 在多用户系统中,存储器保护应保证系统内各个用户之间互不干扰; d) 存储器保护应包括: ——对存储单元的地址的保护,使非法用户不能访问那些受到保护的存储单元; ——对被保护的存储单元的操作提供各种类型的保护,最基本的保护类型是“读/写”和“只 读”,不能读/写的存储单元,若被用户读/写时,系统应及时发出警报或中断程序执行; ——可采用逻辑隔离的方法进行存储器保护,具体有:界限地址寄存器保护法、内存标志法、 锁保护法和特征位保护法等。
SSOOS 自身安全保护 SSF 物理安全保护 一般应按 GB/T 20271-2006 中 6.3.4.1 的要求,实现 SSF 的物理安全保护,通过对物理攻击的检查 和自动报告,及时发现以物理方式的攻击对 SSF 造成的威胁和破坏。 SSF 运行安全保护 a) 系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口; b) 安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构; c) 操作系统程序与用户程序要进行隔离。一个进程的虚地址空间至少应被分为两个段:用户空间和系统空间,两者的隔离应是静态的。驻留在内存中的操作系统应由所有进程共享。用户进程之间应是彼此隔离的。应禁止在用户模式下运行的进程对系统段进行写操作,而在系统模式下运行时,应允许进程对所有的虚存空间进行读、写操作;
d) 提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前, 应对用户和管理员的安全策略属性应进行定义; e) 应区分普通操作模式和系统维护模式; f) 应防止一个普通用户从未经允许的系统进入维护模式,并应防止一个普通用户与系统内维护 模式交互。从而保证在普通用户访问系统之前,系统能以一个安全的方式进行安装和配置;
g) 对备份或不影响 SSOOS 的常规的系统维护,不要求所有的系统维护都在维护模式中执行; h) 当操作系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、根目 录、审计参数、系统审计跟踪设置以及对文件和目录的合适的访问控制;
i) 执行系统所提供的实用程序,应(默认地)限定于对系统的有效使用,只允许系统管理员修 改或替换系统提供的实用程序; j) 操作环境应为用户提供一个机制,来控制命令的目录/路径的查找顺序; k) 提供一个实用程序来校验文件系统和磁盘的完整性。此实用程序应由操作系统自动执行; l) 为操作系统安全管理人员提供一种机制,来产生安全参数值的详细报告; m) 在 SSOOS 失败或中断后,应确保其以最小的损害得到恢复。并按失败保护中所描述的内容, 实现对 SSF 出现失败时的处理。系统因故障或其它原因中断后,应有一种机制去恢复系统。 系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用,各种安全 功能全部失效;