中国移动操作系统安全系统功能要求规范v20.docx

1、中国移动操作系统安全系统功能要求规范v20中国移动操作系统安全功能规范Specification for Operation System Function Used in China Mobile版本号：2.0中国移动通信有限公司网络部前言为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。组织部分省公司编制了中国移动设备安全功能和配置系列规。本系列规可作为编制设备技术规、设备入网测试规，工程验收手册，局数据模板等文档的依据。本规是该系列规之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规的编制基础。本标准

2、起草单位：中国移动通信网络部、中国移动通信集团公司。本标准解释单位：同提出单位。本标准主要起草人：来晓阳、董锋 、敏时、周智、一生。1 概述1.1 适用围本规适用于中国移动通信网、业务系统和支撑系统的各类运行通用或专用操作系统的设备。本规明确了操作系统在安全功能方面的基本要求。本规可作为编制相关设备入网测试规等文档的参考。1.2 部适用性说明本本规是在中国移动设备通用设备安全功能和配置规（以下简称通用规）各项设备功能要求的基础上，提出的操作系统安全功能要求。以下分项列出本规对通用规设备功能要求的修订情况。编号采纳意见补充说明安全要求-设备-通用-功能-1 增强 安全要求-设备-操作系统-功能-

3、1安全要求-设备-通用-功能-2增强 安全要求-设备-操作系统-功能-2安全要求-设备-通用-功能-3 完全采纳安全要求-设备-通用-功能-4完全采纳安全要求-设备-通用-功能-5完全采纳安全要求-设备-通用-功能-6-可选完全采纳安全要求-设备-通用-功能-7-可选完全采纳安全要求-设备-通用-功能-21完全采纳安全要求-设备-通用-功能-22完全采纳安全要求-设备-通用-功能-9增强 安全要求-设备-操作系统-功能-9安全要求-设备-通用-功能-10增强安全要求-设备-操作系统-功能-10安全要求-设备-通用-功能-11不采纳操作系统功能不涉及数据库软件安全要求-设备-通用-功能-12 完

4、全采纳安全要求-设备-通用-功能-13增强安全要求-设备-操作系统-功能-13-可选安全要求-设备-通用-功能-24完全采纳安全要求-设备-通用-功能-14完全采纳安全要求-设备-通用-功能-15完全采纳安全要求-设备-通用-功能-16完全采纳安全要求-设备-通用-功能-17-可选完全采纳安全要求-设备-通用-功能-18-可选完全采纳安全要求-设备-通用-功能-22完全采纳安全要求-设备-通用-功能-19完全采纳安全要求-设备-通用-功能-20完全采纳安全要求-设备-通用-功能-26完全采纳安全要求-设备-通用-功能-27完全采纳安全要求-设备-通用-功能-29-可选完全采纳安全要求-设备-通

5、用-功能-30-可选完全采纳本规新增的安全功能要求，如下：安全要求-设备-操作系统-功能-28-可选安全要求-设备-操作系统-功能-29-可选安全要求-设备-操作系统-功能-30-可选安全要求-设备-操作系统-功能-31-可选安全要求-设备-操作系统-功能-32-可选外部引用说明中国移动通用安全功能和配置规1.3 术语和定义1.4 符号和缩略语（对于规出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述2 设备安全要求框架本规所指的设备为采用操作系统的设备。本规提出的安全功能要求要求，在未特别说明的情况下，均适用于采用OS操作系统的设备。本规从运行操作系统设备的认证授权功能、安全日志功

6、能以及IP网络安全功能，和其他自身安全配置功能四个方面提出安全要求。2.1 账号管理、认证授权要求2.1.1 账号功能要求：编号容安全要求-设备-操作系统-功能-1 操作系统支持按用户分配账号，支持用户组分类。安全要求-设备-操作系统-功能-2系统支持增加、删除、锁定、修改账号功能。安全要求-设备-操作系统-功能-28-可选操作系统应能够支持使用外部认证服务器实现集中认证。2.1.2 口令功能要求：编号容2.1.3 授权功能要求：编号容安全要求-设备-操作系统-功能-9操作系统应支持对不同用户和用户组授予不同权限。安全要求-设备-操作系统-功能-10-可选操作系统应支持对文件系统中的目录和文件

7、，给不同用户或用户组分别授予读、写、删除、执行权限。2.2 日志功能要求本部分对操作系统的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，系统日志能提供充足的信息进行安全事件定位。根据这些要求，系统日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、系统部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化。功能要求：编号容安全要求-设备-操作系统-功能操作系统日志应支持记录用户对操作系统的操作，包括但不限于以下容：账号创建、删除和修改、口令修改、读

8、取和修改系统配置、读取和修改文件和文件夹的权限以及访问日志记录。记录需要包含用户账号、操作时间、操作容以及操作结果。2.3 IP协议安全功能要求2.3.1 IP协议安全功能要求功能要求：编号容安全要求-设备-操作系统-功能-32-可选系统应支持配置全局TCP最接数、半连接数、连接超时时间等参数。2.4 操作系统其他安全功能要求本部分作为对于操作系统除账号认证、日志、协议等方面外的安全功能要求的补充，对操作系统提出上述安全功能需求。包括补丁升级、文件系统管理等其他方面的安全能力，该部分作为前几部分操作系统安全规的补充。功能要求：编号容安全要求-设备-操作系统-功能-29-可选系统应支持配置在受保

9、护存位置（如堆栈、缓冲区等）运行有害代码的功能。安全要求-设备-操作系统-功能-30-可选系统应支持列出系统启动时所有自动加载的进程和服务的功能。安全要求-设备-操作系统-功能-31-可选系统应支持关闭非系统关键服务和进程的功能。3 编制历史版本号修订日期修订人修订原因V 0.1.02007-4-10来晓阳确定框架V 1.0.02007-4-15来晓阳结构调整、容完善V 1.0.12007-4-20来晓阳讨论，针对提出的修改意见进行修改完善V 1.0.22007-5-9来晓阳针对提出的修改意见进行修改完善，明确 V 1.0.32007-5-10董锋删除正文中完全采纳项和修改部分文字描述和编号。V 1.0.42007-5-11董锋修改适应性说明部分和“OS-GN-31”描述。V 1.12007-8-19董锋容修改：命名规V2.02009-12根据通用安全功能修改4 编制人联系方式 公司地址来晓阳公司laixyjs.chinamobile.董锋公司dongfengczcz.js.chinamobile.