中国移动操作系统安全系统功能要求规范v20.docx
《中国移动操作系统安全系统功能要求规范v20.docx》由会员分享,可在线阅读,更多相关《中国移动操作系统安全系统功能要求规范v20.docx(8页珍藏版)》请在冰豆网上搜索。
中国移动操作系统安全系统功能要求规范v20
中国移动操作系统
安全功能规范
SpecificationforOperationSystemFunctionUsedinChinaMobile
版本号:
2.0.0
中国移动通信有限公司网络部
前言
为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
组织部分省公司编制了中国移动设备安全功能和配置系列规。
本系列规可作为编制设备技术规、设备入网测试规,工程验收手册,局数据模板等文档的依据。
本规是该系列规之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规的编制基础。
本标准起草单位:
中国移动通信网络部、中国移动通信集团公司。
本标准解释单位:
同提出单位。
本标准主要起草人:
来晓阳、董锋、敏时、周智、一生。
1概述
1.1适用围
本规适用于中国移动通信网、业务系统和支撑系统的各类运行通用或专用操作系统的设备。
本规明确了操作系统在安全功能方面的基本要求。
本规可作为编制相关设备入网测试规等文档的参考。
1.2部适用性说明
本本规是在《中国移动设备通用设备安全功能和配置规》(以下简称《通用规》)各项设备功能要求的基础上,提出的操作系统安全功能要求。
以下分项列出本规对《通用规》设备功能要求的修订情况。
编号
采纳意见
补充说明
安全要求-设备-通用-功能-1
增强
安全要求-设备-操作系统-功能-1
安全要求-设备-通用-功能-2
增强
安全要求-设备-操作系统-功能-2
安全要求-设备-通用-功能-3
完全采纳
安全要求-设备-通用-功能-4
完全采纳
安全要求-设备-通用-功能-5
完全采纳
安全要求-设备-通用-功能-6-可选
完全采纳
安全要求-设备-通用-功能-7-可选
完全采纳
安全要求-设备-通用-功能-21
完全采纳
安全要求-设备-通用-功能-22
完全采纳
安全要求-设备-通用-功能-9
增强
安全要求-设备-操作系统-功能-9
安全要求-设备-通用-功能-10
增强
安全要求-设备-操作系统-功能-10
安全要求-设备-通用-功能-11
不采纳
操作系统功能不涉及数据库软件
安全要求-设备-通用-功能-12
完全采纳
安全要求-设备-通用-功能-13
增强
安全要求-设备-操作系统-功能-13-可选
安全要求-设备-通用-功能-24
完全采纳
安全要求-设备-通用-功能-14
完全采纳
安全要求-设备-通用-功能-15
完全采纳
安全要求-设备-通用-功能-16
完全采纳
安全要求-设备-通用-功能-17-可选
完全采纳
安全要求-设备-通用-功能-18-可选
完全采纳
安全要求-设备-通用-功能-22
完全采纳
安全要求-设备-通用-功能-19
完全采纳
安全要求-设备-通用-功能-20
完全采纳
安全要求-设备-通用-功能-26
完全采纳
安全要求-设备-通用-功能-27
完全采纳
安全要求-设备-通用-功能-29-可选
完全采纳
安全要求-设备-通用-功能-30-可选
完全采纳
本规新增的安全功能要求,如下:
安全要求-设备-操作系统-功能-28-可选
安全要求-设备-操作系统-功能-29-可选
安全要求-设备-操作系统-功能-30-可选
安全要求-设备-操作系统-功能-31-可选
安全要求-设备-操作系统-功能-32-可选
外部引用说明
《中国移动通用安全功能和配置规》
1.3术语和定义
1.4符号和缩略语
(对于规出现的英文缩略语或符号在这里统一说明。
)
缩写
英文描述
中文描述
2设备安全要求框架
本规所指的设备为采用操作系统的设备。
本规提出的安全功能要求要求,在未特别说明的情况下,均适用于采用OS操作系统的设备。
本规从运行操作系统设备的认证授权功能、安全日志功能以及IP网络安全功能,和其他自身安全配置功能四个方面提出安全要求。
2.1账号管理、认证授权要求
2.1.1账号
功能要求:
编号
容
安全要求-设备-操作系统-功能-1
操作系统支持按用户分配账号,支持用户组分类。
安全要求-设备-操作系统-功能-2
系统支持增加、删除、锁定、修改账号功能。
安全要求-设备-操作系统-功能-28-可选
操作系统应能够支持使用外部认证服务器实现集中认证。
2.1.2口令
功能要求:
编号
容
2.1.3授权
功能要求:
编号
容
安全要求-设备-操作系统-功能-9
操作系统应支持对不同用户和用户组授予不同权限。
安全要求-设备-操作系统-功能-10-可选
操作系统应支持对文件系统中的目录和文件,给不同用户或用户组分别授予读、写、删除、执行权限。
2.2日志功能要求
本部分对操作系统的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,系统日志能提供充足的信息进行安全事件定位。
根据这些要求,系统日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、系统部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化。
功能要求:
编号
容
安全要求-设备-操作系统-功能
操作系统日志应支持记录用户对操作系统的操作,包括但不限于以下容:
账号创建、删除和修改、口令修改、读取和修改系统配置、读取和修改文件和文件夹的权限以及访问日志记录。
记录需要包含用户账号、操作时间、操作容以及操作结果。
2.3IP协议安全功能要求
2.3.1IP协议安全功能要求
功能要求:
编号
容
安全要求-设备-操作系统-功能-32-可选
系统应支持配置全局TCP最接数、半连接数、连接超时时间等参数。
2.4操作系统其他安全功能要求
本部分作为对于操作系统除账号认证、日志、协议等方面外的安全功能要求的补充,对操作系统提出上述安全功能需求。
包括补丁升级、文件系统管理等其他方面的安全能力,该部分作为前几部分操作系统安全规的补充。
功能要求:
编号
容
安全要求-设备-操作系统-功能-29-可选
系统应支持配置在受保护存位置(如堆栈、缓冲区等)运行有害代码的功能。
安全要求-设备-操作系统-功能-30-可选
系统应支持列出系统启动时所有自动加载的进程和服务的功能。
安全要求-设备-操作系统-功能-31-可选
系统应支持关闭非系统关键服务和进程的功能。
3编制历史
版本号
修订日期
修订人
修订原因
V0.1.0
2007-4-10
来晓阳
确定框架
V1.0.0
2007-4-15
来晓阳
结构调整、容完善
V1.0.1
2007-4-20
来晓阳
讨论,针对提出的修改意见进行修改完善
V1.0.2
2007-5-9
来晓阳
针对提出的修改意见进行修改完善,明确
V1.0.3
2007-5-10
董锋
删除正文中完全采纳项和修改部分文字描述和编号。
V1.0.4
2007-5-11
董锋
修改适应性说明部分和“OS-GN-31”描述。
V1.1
2007-8-19
董锋
容修改:
命名规
V2.0
2009-12
根据通用安全功能修改
4编制人联系方式
公司
地址
来晓阳
公司
laixyjs.chinamobile.
董锋
公司
dongfengczcz.js.chinamobile.