信息安全風(fēng)險評估-脆弱性識別-操作系統(tǒng)脆弱性表格-《GBT20272-2007》

1、服務(wù)器脆弱性識別表格依據(jù) GB/T20272-2007操作系統(tǒng)安全技術(shù)要求中第三級- 安全標記保護級所列舉內(nèi)容編制。項目子項內(nèi)容是否符合備注a)按 GB/T 20271-2006中 6.3.3.1.1和以下要求安 全身份設(shè)計和實現(xiàn)用戶標識功能：功能鑒別凡需進入操作系統(tǒng)的用戶，應(yīng)先進行標識（建立賬號）；操作系統(tǒng)用戶標識應(yīng)使用用戶名和用戶標識（ UID ），并在操作系統(tǒng)的整個生存周期實現(xiàn)用戶的唯一性標識， 以及用戶名或別名、 UID 等之間的一致性；b)按GB/T20271-2006中6.3.3.1.2和以下要求設(shè)計和實現(xiàn)用戶鑒別功能：采用強化管理的口令鑒別/基于令牌的動態(tài)口令鑒別 /生物特征鑒別

2、/ 數(shù)字證書鑒別等機制進行身份鑒別，并在每次用戶登錄系統(tǒng)時進行鑒別；鑒別信息應(yīng)是不可見的，在存儲和傳輸時應(yīng)按GB/T 20271-2006中6.3.3.8的要求，用加密方法進行安全保護；過對不成功的鑒別嘗試的值（包括嘗試次數(shù)和時間的閾值）進行預(yù)先定義，并明確規(guī)定達到該值時應(yīng)采取的措施來實現(xiàn)鑒別失敗的處理。c)對注冊到操作系統(tǒng)的用戶，實現(xiàn)用戶- 主體綁定功能：應(yīng)按以下要求設(shè)計和將用戶進程與所有者用戶相關(guān)聯(lián)，使用戶進程的行為可以追溯到進程的所有者用戶；將系統(tǒng)進程動態(tài)地與當前服務(wù)要求者用戶相關(guān)聯(lián)，使系統(tǒng)進程的行為可以追溯到當前服務(wù)的要求者用戶。a) 允許命名用戶以用戶的身份規(guī)定并控制對客體自主的訪問

3、，并阻止非授權(quán)用戶對客體的訪問。訪b)設(shè)置默認功能，當一個主體生成一個客體時，在問該客體的訪問控制表中相應(yīng)地具有該主體的默認值；c)有更細粒度的自主訪問控制，將訪問控制的粒度控制控制在單個用戶。對系統(tǒng)中的每一個客體，都應(yīng)能夠?qū)崿F(xiàn)由客體的創(chuàng)建者以用戶指定方式確定其對該客體的訪問權(quán)限，而別的同組用戶或非同組的用戶和用戶組對該客體的訪問權(quán)則應(yīng)由創(chuàng)建者用戶授予；d) 自主訪問控制能與身份鑒別和審計相結(jié)合，通過確認用戶身份的真實性和記錄用戶的各種成功的或不成功的訪問，使用戶對自己的行為承擔(dān)明確的責(zé)任；e) 客體的擁有者應(yīng)是唯一有權(quán)修改客體訪問權(quán)限的主體，擁有者對其擁有的客體應(yīng)具有全部控制權(quán)，但是，不允許

4、客體擁有者把該客體的控制權(quán)分配給其他主體；f) 定義訪問控制屬性，并保護這些屬性。主體的訪問控制屬性至少應(yīng)有：讀、寫、執(zhí)行等；客體的訪問控制屬性應(yīng)包含可分配給主體的讀、寫和執(zhí)行等權(quán)限；g) 定義分配和修改主體和客體的訪問控制屬性的規(guī)則，并執(zhí)行對主體和客體的訪問控制屬性的分配和修改，規(guī)則的結(jié)果應(yīng)達到只有被授權(quán)的用戶才允許訪問一個客體；h)定義主體對客體的訪問授權(quán)規(guī)則。該規(guī)則應(yīng)基于主體對客體的訪問控制屬性，授權(quán)的范圍應(yīng)包括主體和客體及相關(guān)的訪問控制屬性，同時應(yīng)指出主體和客體對這些規(guī)則應(yīng)用的類型。a)采用標記的方法為操作系統(tǒng)SSOOS安全功能標記控制范圍內(nèi)的主體和客體設(shè)置敏感標記。這些敏感標記構(gòu)成多

5、級安全模型的的屬性庫。操作系統(tǒng)主、客體的敏感標記應(yīng)以默認方式生成或由安全員進行建立、維護和管理；b)當信息從SSOOS控制范圍之內(nèi)向SSOOS控制范圍之外輸出時，可帶有或不帶有敏感標記；當信息從SSOOS控制范圍之外向SSOOS控制范圍之內(nèi)輸入時，應(yīng)通過標記標明其敏感標記。a) 由專門設(shè)置的系統(tǒng)安全員統(tǒng)一管理操作系統(tǒng)中強訪與強制訪問控制等安全機制有關(guān)的事件和信息，并將系統(tǒng)的常規(guī)管理、與安全有關(guān)的管理以及審問控計管理，分別由系統(tǒng)管理員、系統(tǒng)安全員和系統(tǒng)審計員來承擔(dān)，按職能分割原則分別授予它們各自為完成制自己所承擔(dān)任務(wù)所需的權(quán)限，并形成相互制約關(guān)系；b)強制訪問控制應(yīng)與用戶身份鑒別、標記等安全功能

6、密切配合，使系統(tǒng)對用戶的安全控制包含從用戶進入系統(tǒng)到退出系統(tǒng)的全過程，對客體的控制范圍涉及操作系統(tǒng)內(nèi)部的存儲、處理和傳輸過程；c)運行于網(wǎng)絡(luò)環(huán)境的分布式操作系統(tǒng)，應(yīng)統(tǒng)一實現(xiàn)強制訪問控制功能；d) 運行于網(wǎng)絡(luò)環(huán)境的多臺計算機系統(tǒng)上的網(wǎng)絡(luò)操作系統(tǒng)，在需要進行統(tǒng)一管理時，應(yīng)考慮各臺計算機操作系統(tǒng)的主、客體安全屬性設(shè)置的一致性，并實現(xiàn)跨網(wǎng)絡(luò)的 SSOOS 間用戶數(shù)據(jù)保密性和完整性保護對于以數(shù)據(jù)流方式實現(xiàn)數(shù)據(jù)交換的操作系統(tǒng)，一般應(yīng)數(shù)據(jù)按GB/T 20271-2006中6.3.3.6的要求，設(shè)計和實現(xiàn)操作系統(tǒng)的數(shù)據(jù)流控制功能。流控制a) 安全審計功能應(yīng)與身份鑒別、自主訪問控制、標安全記、強制訪問控制及完整

7、性控制等安全功能緊密結(jié)合；審計b) 提供審計日志、實時報警生成，潛在侵害分析、基于異常檢測，基本審計查閱、有限審計查閱和可選審計查閱，安全審計事件選擇，以及受保護的審計蹤跡存儲和審計數(shù)據(jù)的可用性確保等功能；c) 能夠生成、 維護及保護審計過程， 使其免遭修改、非法訪問及破壞，特別要保護審計數(shù)據(jù)，要嚴格限制未經(jīng)授權(quán)的用戶訪問；d) 能夠創(chuàng)建并維護一個對受保護客體訪問的審計跟蹤， 保護審計記錄不被未授權(quán)的訪問、修改和破壞；e)指出可記錄的審計事件的最少類型，包括建立會話登錄成功和失敗，使用的系統(tǒng)接口，系統(tǒng)數(shù)據(jù)庫管理的改變 （改變用戶賬戶屬性、審計跟蹤設(shè)置和分析、為程序分配設(shè)置用戶ID 、附加或改變

8、系統(tǒng)程序或進程、改變?nèi)掌诤蜁r間等），超級用戶命令改變用戶身份、將某個客體引入某個用戶的地址空間（如打開文件）、刪除客體及計算機操作員、系統(tǒng)管理員與系統(tǒng)安全管理員進程的操作等。當審計激活時應(yīng)確保審計跟蹤事件的完整性；應(yīng)提供一個機制來顯示當前選擇的審計事件，這個機制的使用者應(yīng)是有限的授權(quán)用戶；f) 每個事件的數(shù)據(jù)記錄，應(yīng)包括的信息有：事件發(fā)生的日期和時間、觸發(fā)事件的用戶、事件的類型、事件成功或失敗等。對于身份標識和鑒別事件，應(yīng)記錄請求的源 （如末端號或網(wǎng)絡(luò)地址）；對于創(chuàng)建和刪除客體的事件，應(yīng)記錄客體的名字和客體的安全屬性；g) 應(yīng)提供一個受保護的打開和關(guān)閉審計的機制。該機制能選擇和改變審計事件，并

9、在系統(tǒng)工作時處于默認狀態(tài)；該機制的使用應(yīng)受到系統(tǒng)管理員的授權(quán)限制，系統(tǒng)管理員應(yīng)能夠選擇一個或多個基于身份鑒別或客體屬性的用戶的審計活動；審計工具應(yīng)能夠授權(quán)個人監(jiān)察和瀏覽審計數(shù)據(jù)，同時數(shù)據(jù)應(yīng)得到授權(quán)的使用、修改和刪除；應(yīng)提供對審計跟蹤管理功能的保護，使之可以完成審計跟蹤的創(chuàng)建、破壞、騰空和存檔；系統(tǒng)管理員應(yīng)能夠定義超過審計跟蹤極限的閾值；當存儲空間被耗盡時，應(yīng)能按管理員的指定決定采取的措施，包括：報警并丟棄未記錄的審計信息、暫停審計、覆蓋以前的審計記錄等。用戶a)應(yīng)為操作系統(tǒng)SSOOS安全功能控制范圍內(nèi)的數(shù)據(jù)主體和客體設(shè)置完整性標簽（ IL ），并建立完整性保護完整策略模型，保護用戶數(shù)據(jù)在存儲、

10、傳輸和處理過程中性的完整性；b)在對數(shù)據(jù)進行訪問操作時，檢查存儲在存儲介質(zhì)上的用戶數(shù)據(jù)是否出現(xiàn)完整性錯誤，并在檢測到完整性錯誤時進行恢復(fù)?？赏ㄟ^密碼支持系統(tǒng)所提供的完整性功能，對加密存儲的數(shù)據(jù)進行完整性保護。操作系統(tǒng)對磁盤設(shè)備中存儲的數(shù)據(jù)，可通過增加磁盤掃描程序?qū)崿F(xiàn)以下功能：自動檢查文件與磁盤表面是否完好；將磁盤表面的問題自動記錄下來；SSOOS自身安全保護隨時檢查、診斷和修復(fù)磁盤上的錯誤；修復(fù)扇區(qū)交錯和扇區(qū)流失；將數(shù)據(jù)移到好的扇區(qū)；可增加硬盤數(shù)據(jù)備份和修復(fù)程序，將硬盤中的數(shù)據(jù)壓縮、備份，并在必要時恢復(fù)；c)在操作系統(tǒng)內(nèi)部傳輸?shù)挠脩魯?shù)據(jù)，如進程間的通信，應(yīng)提供保證用戶數(shù)據(jù)完整性的功能。完整性標

11、簽應(yīng)隨數(shù)據(jù)一起流動，系統(tǒng)應(yīng)保證低完整性的數(shù)據(jù)不能插入、覆蓋到高完整性的數(shù)據(jù)；d)對操作系統(tǒng)中處理的數(shù)據(jù)，應(yīng)按回退的要求設(shè)計相應(yīng)的SSOOS安全功能模塊，進行異常情況的操作序列回退，以確保用戶數(shù)據(jù)的完整性。系統(tǒng)應(yīng)保證在處理過程中不降低數(shù)據(jù)完整性的級別。用戶a)應(yīng)確保動態(tài)分配與管理的資源，在保持信息安全數(shù)據(jù)的情況下被再利用，主要包括：保密確保非授權(quán)用戶不能查找使用后返還系統(tǒng)的記錄性介質(zhì)中的信息內(nèi)容；確保非授權(quán)用戶不能查找系統(tǒng)現(xiàn)已分配給他的記錄介質(zhì)中以前的信息內(nèi)容；b)在單用戶系統(tǒng)中，存儲器保護應(yīng)防止用戶進程影響系統(tǒng)的運行；c)在多用戶系統(tǒng)中，存儲器保護應(yīng)保證系統(tǒng)內(nèi)各個用戶之間互不干擾；d)存儲器保

12、護應(yīng)包括:對存儲單元的地址的保護，使非法用戶不能訪問那些受到保護的存儲單元；對被保護的存儲單元的操作提供各種類型的保護，最基本的保護類型是“讀/寫”和“只讀”，不能讀 /寫的存儲單元，若被用戶讀/寫時，系統(tǒng)應(yīng)及時發(fā)出警報或中斷程序執(zhí)行；可采用邏輯隔離的方法進行存儲器保護，具體有：界限地址寄存器保護法、內(nèi)存標志法、鎖保護法和特征位保護法等。SSF 物一般應(yīng)按 GB/T 20271-2006 中 6.3.4.1 的要求，實理安現(xiàn) SSF 的物理安全保護，通過對物理攻擊的檢查全保和自動報告，及時發(fā)現(xiàn)以物理方式的攻擊對SSF 造成護的威脅和破壞。SSF 運a)系統(tǒng)在設(shè)計時不應(yīng)留有“后門”。即不應(yīng)以維護

13、、行安支持或操作需要為借口，設(shè)計有違反或繞過安全規(guī)則全保的任何類型的入口和文檔中未說明的任何模式的入護口；b)安全結(jié)構(gòu)應(yīng)是一個獨立的、嚴格定義的系統(tǒng)軟件的一個子集，并應(yīng)防止外部干擾和破壞，如修改其代碼或數(shù)據(jù)結(jié)構(gòu)；c)操作系統(tǒng)程序與用戶程序要進行隔離。一個進程的虛地址空間至少應(yīng)被分為兩個段：用戶空間和系統(tǒng)空間，兩者的隔離應(yīng)是靜態(tài)的。駐留在內(nèi)存中的操作系統(tǒng)應(yīng)由所有進程共享。用戶進程之間應(yīng)是彼此隔離的。應(yīng)禁止在用戶模式下運行的進程對系統(tǒng)段進行寫操作，而在系統(tǒng)模式下運行時，應(yīng)允許進程對所有的虛存空間進行讀、寫操作；d)提供設(shè)置和升級配置參數(shù)的安裝機制。在初始化和對與安全有關(guān)的數(shù)據(jù)結(jié)構(gòu)進行保護之前，應(yīng)對

14、用戶和管理員的安全策略屬性應(yīng)進行定義；e) 應(yīng)區(qū)分普通操作模式和系統(tǒng)維護模式；f) 應(yīng)防止一個普通用戶從未經(jīng)允許的系統(tǒng)進入維護模式，并應(yīng)防止一個普通用戶與系統(tǒng)內(nèi)維護模式交互。從而保證在普通用戶訪問系統(tǒng)之前，系統(tǒng)能以一個安全的方式進行安裝和配置；g)對備份或不影響SSOOS的常規(guī)的系統(tǒng)維護，不要求所有的系統(tǒng)維護都在維護模式中執(zhí)行；h) 當操作系統(tǒng)安裝完成后，在普通用戶訪問之前，系統(tǒng)應(yīng)配置好初始用戶和管理員職責(zé)、根目錄、審計參數(shù)、系統(tǒng)審計跟蹤設(shè)置以及對文件和目錄的合適的訪問控制；i) 執(zhí)行系統(tǒng)所提供的實用程序，應(yīng)（默認地）限定于對系統(tǒng)的有效使用，只允許系統(tǒng)管理員修改或替換系統(tǒng)提供的實用程序；j)

15、操作環(huán)境應(yīng)為用戶提供一個機制，來控制命令的目錄 /路徑的查找順序；k) 提供一個實用程序來校驗文件系統(tǒng)和磁盤的完整性。此實用程序應(yīng)由操作系統(tǒng)自動執(zhí)行；l) 為操作系統(tǒng)安全管理人員提供一種機制，來產(chǎn)生安全參數(shù)值的詳細報告；m) 在 SSOOS 失敗或中斷后，應(yīng)確保其以最小的損害得到恢復(fù)。并按失敗保護中所描述的內(nèi)容，實現(xiàn)對 SSF 出現(xiàn)失敗時的處理。系統(tǒng)因故障或其它原因中斷后，應(yīng)有一種機制去恢復(fù)系統(tǒng)。系統(tǒng)應(yīng)提供在管理維護狀態(tài)中運行的能力，管理維護狀態(tài)只能被系統(tǒng)管理員使用，各種安全功能全部失效；n) 操作系統(tǒng)環(huán)境應(yīng)控制和審計系統(tǒng)控制臺的使用情況；o) 補丁的發(fā)布、 管理和使用： 補丁是對操作系統(tǒng)安全

16、漏洞進行修補的程序的總稱。操作系統(tǒng)的開發(fā)者應(yīng)針對發(fā)現(xiàn)的漏洞及時發(fā)布補丁。操作系統(tǒng)的管理者應(yīng)及時獲取、統(tǒng)一管理并及時運用補丁對操作系統(tǒng)的漏洞進行修補。SSFa)實現(xiàn)對輸出SSF 數(shù)據(jù)可用性、保密性、和完整數(shù)據(jù)性保護；安全b) 實現(xiàn) SSOOS 內(nèi) SSF數(shù)據(jù)傳輸?shù)幕颈Ｗo、數(shù)據(jù)保護分離傳輸、數(shù)據(jù)完整性保護；c) 實現(xiàn) SSF 間的SSF數(shù)據(jù)的一致性和SSOOS 內(nèi)SSF 數(shù)據(jù)復(fù)制的一致性保護。資源a） 應(yīng)通過一定措施確保當系統(tǒng)出現(xiàn)某些確定的故障利用情況時， SSF 也能維持正常運行，如系統(tǒng)應(yīng)檢測和報告系統(tǒng)的服務(wù)水平已降低到預(yù)先規(guī)定的最小值；b） 應(yīng)采取適當?shù)牟呗?，有限服?wù)優(yōu)先級提供主體使用 TS

17、C 內(nèi)某個資源子集的優(yōu)先級，進行SSOOS資源的管理和分配；SSOOS訪問控制c） 應(yīng)按資源分配中最大限額的要求，進行SSOOS資源的管理和分配，要求配額機制確保用戶和主體將不會獨占某種受控的資源；d）系統(tǒng)應(yīng)確保在被授權(quán)的主體發(fā)出請求時，資源能被訪問和利用；e）當系統(tǒng)資源的服務(wù)水平降低到預(yù)先規(guī)定的最小值時，應(yīng)能檢測和發(fā)出報告；f）系統(tǒng)應(yīng)提供維護狀態(tài)中運行的能力，在維護狀態(tài)下各種安全性能全部失效，系統(tǒng)只允許由系統(tǒng)管理員使用；g）系統(tǒng)應(yīng)以每個用戶或每個用戶組為基礎(chǔ)，提供一種機制，控制他們對磁盤的消耗和對CPU的使用；h）系統(tǒng)應(yīng)提供軟件及數(shù)據(jù)備份和復(fù)原的過程，在系統(tǒng)中應(yīng)加入再啟動的同步點，以便于系統(tǒng)

18、的復(fù)原；i）操作系統(tǒng)應(yīng)能提供用戶可訪問的系統(tǒng)資源的修改歷史記錄；j）系統(tǒng)應(yīng)提供能用于定期確認系統(tǒng)正確操作的機制和過程，這些機制或過程應(yīng)涉及系統(tǒng)資源的監(jiān)督、硬件和固件單元的正確操作、對可能在全系統(tǒng)內(nèi)傳播的錯誤狀態(tài)的檢測以及超過用戶規(guī)定的門限的通訊差錯的檢測等內(nèi)容。a)按會話建立機制的要求，對會話建立的管理進行設(shè)計。在建立SSOOS會話之前，應(yīng)鑒別用戶的身份。登錄機制不允許鑒別機制本身被旁路；b)按多重并發(fā)會話限定中基本限定的要求，進行會話管理的設(shè)計。在基于基本標識的基礎(chǔ)上，SSF應(yīng)限制系統(tǒng)的并發(fā)會話的最大數(shù)量，并應(yīng)利用默認值作為會話次數(shù)的限定數(shù)；c)按可選屬性范圍限定的要求，選擇某種會話安全屬性

19、的所有失敗的嘗試，對用來建立會話的安全屬性的范圍進行限制；d) 成功登錄系統(tǒng)后， SSOOS 應(yīng)記錄并向用戶顯示以下數(shù)據(jù)：日期、時間、來源和上次成功登錄系統(tǒng)的情況；上次成功訪問系統(tǒng)以來身份鑒別失敗的情況；應(yīng)顯示口令到期的天數(shù)；成功或不成功的事件次數(shù)的顯示可以用整數(shù)計數(shù)、時間戳列表等表述方法；e)在規(guī)定的未使用時限后，系統(tǒng)應(yīng)斷開會話或重新鑒別用戶，系統(tǒng)應(yīng)提供時限的默認值；f) 系統(tǒng)應(yīng)提供鎖定用戶鍵盤的機制，鍵盤開鎖過程應(yīng)要求驗證用戶；g) 當用戶鑒別過程不正確的次數(shù)達到系統(tǒng)規(guī)定的次數(shù)時，系統(tǒng)應(yīng)退出登錄過程并終止與用戶的交互；h) 系統(tǒng)應(yīng)提供一種機制，能按時間、進入方式、地點、網(wǎng)絡(luò)地址或端口等條件

20、規(guī)定哪些用戶能進入系統(tǒng)。g) 當用戶鑒別過程不正確的次數(shù)達到系統(tǒng)規(guī)定的次數(shù)時，系統(tǒng)應(yīng)退出登錄過程并終止與用戶的交互；h) 系統(tǒng)應(yīng)提供一種機制，能按時間、進入方式、地點、網(wǎng)絡(luò)地址或端口等條件規(guī)定哪些用戶能進入系統(tǒng)。SSOOS配 置a)在配置管理能力方面應(yīng)實現(xiàn)對版本號、配置項、設(shè) 計管理授權(quán)控制等方面的要求；和 實b)在配置管理自動化方面要求部分的配置管理自現(xiàn)動化；c)在 SSOOS 的配置管理范圍方面，應(yīng)將SSOOS的實現(xiàn)表示、設(shè)計文檔、測試文檔、用戶文檔、管理員文檔以及配置管理文檔等置于配置管理之下，要求實現(xiàn)對配置管理范圍內(nèi)的問題跟蹤，特別是安全缺陷問題進行跟蹤；d)在系統(tǒng)的整個生存期，即在它

21、的開發(fā)、測試和維護期間，應(yīng)有一個軟件配置管理系統(tǒng)處于保持對改變源碼和文件的控制狀態(tài)。只有被授權(quán)的代碼和代碼修改才允許被加進已交付的源碼的基本部分。所有改變應(yīng)被記載和檢查，以確保未危及系統(tǒng)的安全。在軟件配置管理系統(tǒng)中，應(yīng)包含從源碼產(chǎn)生出系統(tǒng)新版本、鑒定新生成的系統(tǒng)版本和保護源碼免遭未授權(quán)修改的工具和規(guī)程。通過技術(shù)、物理和保安規(guī)章三方面的結(jié)合，可充分保護生成系統(tǒng)所用到的源碼免遭未授權(quán)的修改和毀壞。分發(fā)a)以文檔形式提供對SSOOS安全地進行分發(fā)的和操過程，并對修改檢測的過程進行說明，最終生成安全作的配置。文檔中所描述的內(nèi)容應(yīng)包括：提供分發(fā)的過程；安全啟動和操作的過程；建立日志的過程；修改內(nèi)容的檢測

22、；對任何安全加強功能在啟動、正常操作維護時能被撤消或修改的闡述；在故障或硬件、軟件出錯后恢復(fù)系統(tǒng)至安全狀態(tài)的規(guī)程；對含有加強安全性的硬件部件，應(yīng)說明用戶或自動的診斷測試的操作環(huán)境和使用方法；所有診斷測試過程中，為加強安全性的硬件部件所提供例證的結(jié)果；在啟動和操作時產(chǎn)生審計蹤跡輸出的例證；b)對系統(tǒng)的未授權(quán)修改的風(fēng)險，應(yīng)在交付時控制到最低限度。在包裝及安全分送和安裝過程中，這種控制應(yīng)采取軟件控制系統(tǒng)的方式，確認安全性會由最終用戶考慮，所有安全機制都應(yīng)以功能狀態(tài)交付；c)所有軟件應(yīng)提供安全安裝默認值，在客戶不做選擇時，默認值應(yīng)使安全機制有效地發(fā)揮安全功能；d)隨同系統(tǒng)交付的全部默認用戶標識碼，應(yīng)在

23、交付時處于非激活狀態(tài)，并在使用前由管理員激活；e)用戶文檔應(yīng)同交付的軟件一起包裝，并應(yīng)有一套規(guī)程確保當前送給用戶的系統(tǒng)軟件是嚴格按最新的系統(tǒng)版本來制作的；f) 以安全方式開發(fā)并交付系統(tǒng)后，仍應(yīng)提供對產(chǎn)品的長期維護和評估的支持，包括產(chǎn)品中的安全漏洞和現(xiàn)場問題的解決；g) 應(yīng)采用書面說明的方式向客戶通告新的安全問題。h)對可能受到威脅的所有的安全問題，均應(yīng)描述其特點，并作為主要的問題對待，直到它被解決或在用戶同意下降級使用；i) 為了支持已交付的軟件的每個版本，對所有已有的安全漏洞都應(yīng)有文檔書面說明，并且用戶能在限制的基礎(chǔ)上得到該文檔；j) 對安全漏洞的修改不必等到系統(tǒng)升級到下一個版本。安全功能的

24、增加和改進應(yīng)獨立于系統(tǒng)版本的升級，也就是說， 應(yīng)存在適應(yīng)性獨立于系統(tǒng)其它功能的改進；k) 只有經(jīng)過客戶授權(quán)， 才允許在生產(chǎn)性運行的系統(tǒng)上進行新特性和簡易原型的開發(fā)、測試和安裝；l) 新的版本應(yīng)避免違反最初的安全策略和設(shè)想，也應(yīng)避免在維護、增加或功能升級中引入安全漏洞，所有功能的改變和安全結(jié)構(gòu)設(shè)置的默認值都應(yīng)作記錄。在新版本交付給用戶使用前，用戶應(yīng)能得到相應(yīng)的文檔。文 檔a)應(yīng)為最終用戶提供簡單概要、分章節(jié)或手冊形式要求的文檔，保證用戶擁有進行安全操作所需要的所有信息。與安全有關(guān)的信息應(yīng)包含在一個特別的手冊中或許多標準的文本集中，提供用戶查閱所有的安全功能。這些信息可隨系統(tǒng)發(fā)送，也可明確指出它包

25、含在哪個文本當中；b)應(yīng)通過提供所要求文檔，將如何安全使用和維護操作系統(tǒng)的信息交付給系統(tǒng)的用戶、系統(tǒng)管理員和系統(tǒng)安全員。對文檔的總體要求是：應(yīng)對所有的安全訪問和相關(guān)過程、特權(quán)、功能等適當?shù)墓芾砑右躁U述；應(yīng)闡述安全管理和安全服務(wù)的交互，并提供新的SSOOS安全生成的指導(dǎo)；應(yīng)詳細給出每種審計事件的審計記錄的結(jié)構(gòu)，以便考察和維護審計文件和進程；應(yīng)提供一個準則集用于保證附加的說明的一致性不受破壞；c) 用戶文檔應(yīng)提供關(guān)于不同用戶的可見的安全機制以及如何利用它們的信息，描述沒有明示用戶的保護結(jié)構(gòu)，并解釋它們的用途和提供有關(guān)它們使用的指南，不應(yīng)包括那些如果公開將會危及系統(tǒng)安全的任何信息；d) 系統(tǒng)管理員文

26、檔應(yīng)提供：關(guān)于系統(tǒng)的安全開機、操作和重新啟動的信息，包括啟動系統(tǒng)的過程（如引導(dǎo)系統(tǒng)進入安全方式）、 在系統(tǒng)操作失誤時恢復(fù)安全系統(tǒng)操作的過程、運行軟件和數(shù)據(jù)備份及轉(zhuǎn)儲的方法和過程；一個單獨的安裝指南，詳細說明設(shè)置系統(tǒng)的配置和初始化過程，提供一個新系統(tǒng)版本的安全設(shè)置和安裝文檔，包括對所有用戶可見的安全相關(guān)過程、軟件和數(shù)據(jù)文檔的描述；e) 安全管理員文檔應(yīng)提供：有關(guān)如何設(shè)置、維護和分析系統(tǒng)安全的詳細指導(dǎo)，包括當運行一個安全設(shè)備時，需要控制的有關(guān)功能和特權(quán)的警告；與安全有關(guān)的管理員功能的詳細描述，包括增加和刪除一個用戶、改變用戶的安全特征等；提供關(guān)于所有審計工具的文檔，包括為檢查和保持審計文件所推薦的

27、過程、針對每種審計事件的詳細審計記錄文件、為周期性備份和刪除審計記錄所推薦的過程、為檢查能被目錄文件所利用的磁盤剩余空間所推薦的過程；關(guān)于設(shè)置所有文件和目錄的最低訪問許可的建議；運行文件系統(tǒng)或磁盤完整性檢測所做的建議；如何進行系統(tǒng)自我評估的章節(jié)（帶有網(wǎng)絡(luò)管理、口令要求、 撥號訪問控制、意外事故計劃的安全報告），為災(zāi)害恢復(fù)計劃所做的建議；描述普通入侵技術(shù)和其它威脅，及查出和阻止它們的方法；f) 安全管理員文檔應(yīng)提供安全管理員了解如何用安全的方式管理系統(tǒng)，除了給出一般的安全忠告，還要明確：在系統(tǒng)用安全的方法設(shè)置時，圍繞用戶、用戶賬戶、用戶組成員關(guān)系、主體和客體的屬性等，應(yīng)如何安裝或終止安裝；在系統(tǒng)的生存周期內(nèi)如何用安全的方法維護系統(tǒng)，包括為了防止系統(tǒng)被破壞而進行的每天、每周、每月的安全常規(guī)備份等；如何用安全的方法重建部分SSOOS（如內(nèi)核） 的方法（如果允許在系統(tǒng)上重建SSOOS ）；說明審計跟蹤機制，使授權(quán)用戶可以有效地使用審計跟蹤來執(zhí)行本地的安全策略；必要時，如何調(diào)整系統(tǒng)的安全默認配置；g) 文檔中不應(yīng)提供任何一旦泄露將會危及系統(tǒng)安全的信息。有關(guān)安全的指令和文檔應(yīng)劃分等級分別提供給用戶、系統(tǒng)管理員和系統(tǒng)安全員。這些文檔應(yīng)為獨立的文檔，或作為獨立的章節(jié)插入到管理員指南和用戶指南中。文檔也可為硬拷貝、電子文檔或聯(lián)機文檔。如果是聯(lián)機文檔應(yīng)控制對其的訪問。生存a)按標準的生存周期模