信息安全技术信息技术产品安全可控评价指标第3部分：操作系统

信息安全技术信息技术产品安全可控评价指标第3部分：操作系统

国家标准 GB/36630.3一2018 信息安全技术 信息技术产品安全可控评价指标 第3部分:操作系统 nformationseeuritytechnology一Controlability evaluationindexforsecurityof informationtechnologprduets一Part3.Operatngsystem 2018-09-17发布 2019-04-01实施 国家市场监督管理总局 发布 币国国家标准化管理委员会国家标准
GB;/T36630.3一2018 目 次 前言 引言 范围 2 规范性引用文件 术语和定义 评价指标项 5 评价方法 5.1评价材料要求 5.2指标评价方法 5.3计分方法 参考文献
GB;/T36630.3一2018 前 言 GB/T36630《信息安全技术信息技术产品安全可控评价指标)包括以下部分 第1部分:总则; 第2部分:中央处理器; 第3部分:操作系统; 第4部分;办公套件; 第5部分;通用计算机 本部分为GB/T36630的第3部分 本部分按照GB/T1.1一2009给出的规则起草 本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本部分起草单位;电子信息产业发展研究院、电子技术标雅化研究院、公安部第一研究所 工业和信息化部软件与集成电路促进中心、信息安全研究院有限公司软件评测中心、信 息安全测评中心、中标软件有限公司、普华基础软件有限公司、北京凝思科技有眼公司等 本部分主要起草人;李震宁、王闯、叶润国、李海涛、韩煜、左晓栋、武校田、郭同彬、翟艳芬、贾炜、 刘权.刘龙庚、冯伟、王超、张猛、马土民、荣志刚,董军平、邓辉、韦安垒
GB/T36630.3一2018 引 言 依据《网络安全法网络产品和服务安全审查办法(试行))等要求,为提高操作系 统产品安全可控水平,防范网络安全风险，维护国家和公共安全,进而满足操作系统产品应用方安全可 控需求,增强应用方使用信心,促进操作系统产业的健康、快速发展,特制定GB/T36630的本部分 本部分评价对象是操作系统产品,评价内容为操作系统产品的安全可控程度,涵盖操作系统产品的 研发、测试,服务保障等环节 本部分所述安全可控评价指标主要用于评价操作系统产品的安全可控程度,不包含对产品本身安 全功能和安全性能的评价 安全可控只是操作系统产品的一个属性,如需评价安全功能和安全性能等 其他属性,可参照相关国家标准 IN
GB;/T36630.3一2018 信息安全技术 信息技术产品安全可控评价指标 第3部分操作系统 范围 GB/T36630的本部分规定了操作系统产品的相关概念,给出了安全可控评价的指标项及相应的 评价方法 本部分适用于评价实施方对操作系统产品的安全可控程度进行评价,也可供信息技术产品供应方 和应用方在产品供应和应用过程中保障产品安全可控进行参照 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T250692010信息安全技术术语 GB/T36630.12018信息安全技术信息技术产品安全可控评价指标第1部分总则 术语和定义 GB/T250692010界定的以及下列术语和定义适用于本文件 3.1 操作系统operatingsystem 用于管理硬件资源、控制程序运行、提供人机界面,并为应用软件提供支持的一种系统软件产品 注:包括但不限于服务器、个人计算机,手机平板网络设备、存储设备所使用的操作系统产品 3.2 Deratingsystemkernel 操作系统内核ope 操作系统中负责系统进程内存、设备驱动、文件和网络系统等核心功能的计算机程序 评价指标项 依据GB/T36630.1一2018中5.2.1的评价指标体系框架，结合操作系统自身特点设定了评价指标 项 在本部分中,没有为操作系统安全可控评价设置优先评价项 在一般评价项方面,选取了产品设计 实现透明性、产品重现能力、产品关健技术研发能力、产品安全生态适应性、产品持续供应能力、产品供 应链保障能力、产品服务保障能力和数据处理规范性等八个指标项,如表1所示
GB/T36630.3一2018 表1操作系统安全可控评价指标项及指标说明 指标项 指标说明 编号 根据产品供应方所提供关键模块相关材料的真实性、可核查性、规范性和完备 产品设计实现透明性 性对其设计实现透明性进行评价,必要时通过技术手段辅助评价 对产品重现环境、产品重现充分性,重现结果与产品一致性等进行评价,必要时 产品重现能力 通过技术手段辅助评价 对产品供应方定制关键模块的权限和能力进行评价,涵盖身份鉴别、访问控制、 安全审计等关健功能模块和内存管理、设备管理、进程管理等操作系统内核关 产品关键技术研发能力 键模块 对产品所适配中央处理器的安全可控程度、内部关键模块接口和应用编程接口 产品安全生态适应性 的开放性,以及密码合规性”进行评价 产品持续供应能力 对产品供应方的产晶供应情况核心团队情况和产品交付管理进行评价 产品供应链保障能力 对产品供应链的可追溯性和供应稳定性进行评价 产品服务保障能力 对产品技术支持服务,漏洞响应服务,延保服务能力等保障能力进行评价 涉及产品应用方个人信息和重要数据的,对产品收集、传输、存储和处理行为的 数据处理规范性 规范性进行评价 本部分凡涉及密码算法的相关内容按国家有关法规实施,凡涉及到采用密码技术解决保密性,完整性,真实 性、不可否认性需求的遵循密码相关国家标准和行业标准 评价方法 5 5.1评价材料要求 评价材料包括提供给评价实施方的提交材料和供评价实施方现场核查的验证材料 提交材料包括 但不限于产品样品、供应方基本情况、产品基本信息,指标符合性证明文件等,验证材料则包括能证明产 品安全可控的相关材料 验证材料可保存在由产品供应方提供的核查环境中 评价材料要求如下 真实性:产品供应方所提供材料应真实反映操作系统产品指定关键技术的工作原理、设计技术 a 和实现过程,并确保产品重现结果与市场销售产品 致; b 可核查性:产品供应方应确保所提供材料可核查,并为评价实施方核查提供必要的技术支持， 包括支持必要技术手段进行验证 规范性;产品供应方所提供材料应符合业界通行标准和规范,能够支持评价实施方对相应技术 原理和实现机制的准确理解; 完备性:产品供应方所提供材料应覆盖本部分所要求的所有材料 5.2指标评价方法 各指标项相关内容见表2
GB;/T36630.3一2018 表2操作系统指标评价表 评分说明 指标项 考查内容 分值 内存管理技术相关材料满足真实性、可核查性、规范性和完备性 的要求 (2分 内存管理 内存管理技术相关材料满足真实性和可核查性但不满足规范性 技术 或完备性的要求 1分 内存管理技术相关材料不满足真实性或可核查性的要求 0分 设备管理技术相关材料满足真实性、可核查性、规范性和完备性 的要求 (2分) 设备管理 设备管理技术相关材料满足真实性和可核查性,但不满足规范性 技术 或完备性的要求 1分 设备管理技术相关材料不满足真实性或可核查性的要求 (0分 资源管 理技术 网络通讯技术相关材料满足真实性、可核查性、规范性和完备性 的要求 2分) 网络通讯 网络通讯技术相关材料满足真实性和可核查性,但不满足规范性 技术 或完备性的要求 1分 网络通讯技术相关材料不满足真实性或可核查性的要求 (0分 文件系统相关材料满足真实性,可核查性,规范性和完备性的要 求 (2分 文件系统 文件系统相关材料满足真实性和可核查性,但不满足规范性或完 备性的要求 1分 产品设计 文件系统相关材料不满足真实性或可核查性的要求 0分 实现透 进程控制技术相关材料满足真实性、可核查性、规范性和完备性 明性 的要求 (2分) 进程控制 进程控制技术相关材料满足真实性和可核查性,但不满足规范性 技术 或完备性的要求 分 进程控制技术相关材料不满足真实性或可核查性的要求 (0分) 身份标识和鉴别技术相关材料满足真实性,可核查性,规范性和 完备性的要求 (2分) 身份标识 身份标识和鉴别技术相关材料满足真实性和可核查性,但不满足 和鉴别 规范性或完备性的要求 1分 技术 身份标识和鉴剽技术相关材料不满足真实性或可核查性的要求 系统管 (0分 理技术 访问控制技术相关材料满足真实性、可核查性、规范性和完备性 的要求 (2分) 访问控制 访问控制技术相关材料满足真实性和可核查性,但不满足规范性 技术 或完备性的要求 1分) 访问控制技术相关材料不满足真实性或可核查性的要求 (0分 安全管理技术相关材料满足真实性、可核查性、规范性和完备性 的要求 (2分) 安全管理 安全管理技术相关材料满足真实性和可核查性,但不满足规范性 技术 或完备性的要求 分 安全管理技术相关材料不满足真实性或可核查性的要求 0分
GB/T36630.3一2018 表2(续 分值 评分说明 指标项 考查内容 软件管理技术相关材料满足真实性,可核查性,规范性和完备性 的要求 2分) 软件管理 软件管理技术相关材料满足真实性和可核查性,但不满足规范性 技术 或完备性的要求 1分 产品设计 数据和 软件管理技术相关材料不满足真实性或可核查性的要求 0分) 实现透 应用管 数据保护技术相关材料满足真实性,可核查性,规范性和完备性 明性 理技术 的要求 2分 数据保护 数据保护技术相关材料满足真实性和可核查性,但不满足规范性 技术 或完备性的要求 1分 数据保护技术相关材料不满足真实性或可核查性的要求 (0分 产品供应方提供研发重现环境,产品重现能力可核查 (5分 产品研发 产品供应方提供核心功能组件研发重现环境,产品重现能力可核 重现环境 查 (3分) 产品供应方无法提供研发重现环境,产品重现能力不可核查 (0分 产品供应方提供测试重现环境,产品重现能力可核查 (4分) 产品重 产品测试 产品供应方提供核心功能组件测试重现环境,产品重现能力可核 现环境 重现环境 查 (2分 产品供应方无法提供测试重现环境,产品重现能力不可核查 (0分 产品供应方提供升级维护重现环境含补丁和升级包研发、测试 产品升级 和分发等环节),产品重现能力可核查 3分 维护重现 产品供应方无法提供升级维护重现环境,产品重现能力不可核 产品重现 环境 查 (0分) 能力 可完整重现产品研发、测试和升级维护全过程,能够说明各关键 技术的原理和实现机制 6分 可完整重现核心功能组件(含补丁和升级包)研发、测试和升级维 产品重现充分性 护个 全过程,能够说明相应关键技术的原理和实现机制 (3分) 不能重现产品核心部件设计过程,或不能说明相应关键技术的原 分) 理和实现机制 0 产品重现环境中基于源代码的重现结果与市场销售产品一致 重现结果与产品 4分 -致性 产品重现环境中基于源代码的重现结果与市场销售产品不一致" 0分) 产品由产品供应方自主研发,供应方拥有对产品的完整定制权 产品关键 限 (2分 技术研发 产品定制权限 产品供应方通过遵守开源协议或获得外部授权等方式获得完整 能力 定制权限 1分 产品提供者不具有合法定制权限 0分
GB;/T36630.3一2018 表2(续 评分说明 指标项 考查内容 分值 可基于应用方安全可控需求定制身份鉴剔,访问控制,安全审计 等关功能模块,提供定制化产品 4分 功能定制 可证明具备基于应用安全可控需求定制关键功能模块的能力 能力 2分) 产品关键 产品定 不能对关键功能模块进行定制,也不提供定制服务 (0分 技术研发 制能力 能力 具备定制内存管理,设备管理,进程控制等操作系统内核关键模 内核定制 块的能力,提供定制化产品 6分 可证明具备定制关键内核模块的能力 (3分 能力 不能对关键内核模块进行定制,也不提供定制服务 0分) 产品适配4种以上指令集架构的中央处理器产品 (4分 中央处理器适配 产品适配3种指令集架构的中央处理器产品 (3分) 能力 产品适配2种指令集架构的中央处理器产品 (2分 产品适配1种指令集架构的中央处理器产品 分y 产品中身份鉴别.访问控制,证书和密钥管理、安全市计以及密码 内部关健 算法等关键模块采用开放接口 (3分) 模块接口 产品关模块的接口未采用开放接口 (0分 产品安全 接口开 生态适 放性 产品应用编程接口采用开放接口,包括但不限于POSIX标准 应性 应用编程 2分) 接口 产品应用编程接口未采用开放接口 (0分 产品涉及的密码算法符合国家密码管理要求 4分 密码算法 产品涉及的密码算法不符合国家密码管理要求 (0分 密码合 规性 产品涉及的数字证书符合国家及相关主管部门要求 (3分) 数字证书 产品涉及的数字证书不符合国家及相关主管部门要求 0分 产品供应方能够保证产品持续供应,产品供应中断风险可控 4分) 产品供应情况 产品供应方不能保证产品持续供应,产品供应中断风险较大 0分) 产品供应方具有稳定的操作系统核心团队,能够保证产品的持续 产品持续 研发和生产,有能力维持关键技术延续和发展 3分 核心团队情况 供应能力 产品供应方操作系统核心闭队稳定性较差,无法维持关键技术延 续和发展 0分 产品供应方制定了完善的交付管理制度,实随了配套的交付管理 方法和流程,保证产品不被破坏或篡改 (3分) 产品交付管理 产品供应方未制定完善的交付管理制度,或未实施配套的流程和 方法,不能保证产品不被破坏或算改 0分
GB/T36630.3一2018 表2(续 分值 评分说明 指标项 考查内容 能够清晰展示产品供应链各环节核心要素涵盖核心技术知识产 权、开发工具等),要素信息清晰可追溯 (3分 供应链可追溯性 不能清晰展示产品供应链各环节核心要索,或核心要素信息无法 产品供应 追溯 0分 链保障 制定和实施了完善的供应链保障制度,能够保障产品研发生产各 能力 环节关键要素稳定性,相关要素供应中断风险可控 3分) 供应稳定性 未制定或实施有效的供应链保障制度,供应中断风险较大 (0分) 拥有专业的本地服务团队,能够提供原厂级服务,具备面向全国 范围内的产品应用方做出服务响应的能力,能提供及时有效的服 务 2分 服务及时性 拥有专业的本地服务团队,具备面向全国范围内的产品应用方做 出服务响应的能力,能提供及时有败的服务 1分 没有专业的本地服务团队,不能提供及时有效的服务 0分 有明确的产品服务承诺包括提供完整的本地技术支持,本地漏 产品服务 洞响应服务等),建立了全面的产品服务体系,能够保证产品服务 保障能力 过程的安全性 2分 服务规范性 没有明确的产品服务质量承诺或有承诺不履行,或没有建立产品 服务体系,或产品服务过程存在安全隐悲 0分 产品生命周期结束后,产品供应方可根据产品应用方要求,免费 或以合理价格,继续提供服务,与产品应用方签署规范的服务水 服务可持续性 平协议 2分 产品生命周期结束后,产品供应方不能提供延保服务(0分 产品只在必要时收集应用方的个人信息和重要数据,收集前获得 应用方明示授权,并明示数据的使用目的和范围 2分 数据收集 产品在收集应用方的个人信息和重要数据前未经应用方明示授 权,或未明示应用方数据使用的目的或范围 0分 产品供应方对产品所收集数据的传输环节采取了充分的安全保 障措施,并可验证 (2分 数据传输 产品供应方未对产品所收集数据的传输环节采取充分的安全保 数据处理 障槽施,或不可验证 (0分 规范性 产品运行过程中收集的应用方个人信息和重要数据在境内存储 采取了充分的保护措施,且向境外提供相关数据的流程符合国家 规定 (2分 数据存储 产品运行过程收集的应用方个人信息和重要数据不在境内存储， 或未采取充分的保护措施,或向境外提供相关数据的流程不符合 国家规定 (0分
GB;/T36630.3一2018 表2(续 评分说明 指标项 考查内容 分值 产品供应方明确告知应用方个人信息和重要数据的处理目的,实 际数据处理行为与预期一致,不侵犯应用方隐私,不危害国家安 数据处理 全和社会经济安全 (2分 数据处理 产品供应方未告知应用方个人信息和重要数据的处理目的,或实 规范性 际数据处理行为与预期不一致,或侵犯应用方隐私,或危害国家 安全和社会经济安全 0分) 若重现结果与产品不一致,则产品设计实现透明性相关材料不满足真实性要求 5.3计分方法 具体计分方法如下: 依据表2对各指标项进行打分,因被评价方原因无法核查的考查内容得0分,若指标项各考查 a 内容得分分别为s=(s1,sg, ,,s,},则最后得分score- ,其中s，为各考查内容得分 习 n为各指标项考查内容的总数量; b)对于产品设计实现透明性指标项,若产品不涉及该指标项中的部分考查内容,可按照该指标项 其他考查内容的得分比例计算该考查内容得分
GB/T36630.3一2018 考文献 参 [1]GB/T17548一2008 信息技术POSIX标准符合性的测试方法规范和测试方法实现的要 求和指南 [2]GB/T20008一2005信息安全技术操作系统安全评估准则 [[3]GB/20272一2006 信息安全技术操作系统安全技术要求 [4]GB/T323942015 信息技术中文Linux操作系统运行环境扩充要求 [[5]GB/T32395一2015 信息技术中文Linux操作系统应用编程接口(API)扩充要求