《网络产品操作系统内核安全技术要求》.pdf

网络产品操作系统内核安全技术要求

1范围

本文件规定了针对网络产品操作系统内核的安全技术要求，主要包括完整性保护要求、隔离要求、

访问控制要求、存储安全要求、通信安全要求、密码安全要求、自保护要求、日志审计要求等。

本文件适用于网络产品操作系统内核的研发、测试、评估与认证。

本文件中的网络产品适用范围包括但不限于提供网络功能的操作系统、软件、具有操作系统功能或

特征的硬件（如网络设备、计算设备、信息终端等）。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069-2022信息安全技术术语

3术语和定义

GB/T25069-2022界定的以及下列术语和定义适用于本文件。

3.1

操作系统内核operatingsystemkernel

操作系统中负责系统进程、内存、设备驱动、文件和网络系统等核心功能的计算机程序。

[来源：GB/T36630.3-2018,3.2]

3.2

内核服务kernelservice

操作系统内核通过系统调用方式向应用程序提供的功能，可以包括内存分配、进程调度、设备驱动、

文件系统访问等。

3.3

网络产品networkproduct

作为网络组成部分以及实现网络功能的硬件、软件或系统,按照一定的规则和程序实现信息的收集、

存储、传输、交换和处理。

注：网络产品包括计算机、通信设备、信息终端、工控网络设备、系统软件和应用软件等。

[来源：GB/T39276-2020,3.2]

4缩略语

1

下列缩略语适用于本文件。

API：应用程序编程接口（ApplicationProgrammingInterface）

ASLR：地址空间布局随机化（AddressSpaceLayoutRandomization）

DFI：动态流检测（DynamicFlowInspection）

5操作系统内核概述

操作系统内核是网络产品操作系统/软件部分的核心，是基于硬件的第一层软件扩充，提供操作系

统的最基本的功能，是操作系统工作的基础。

操作系统内核是软硬件系统的中枢，负责管理系统的硬件和软件资源，包括系统的进程、内存、设

备驱动程序、文件和网络系统，其决定着系统的性能和稳定性。

6安全功能分级

网络产品操作系统内核安全风险分析可见附录B。

可根据应对的安全风险将网络产品操作系统内核安全技术要求分为三个等级，不同级别的安全功能

如下：

——一级安全要求（基本级）：应能够防护少量未授权的用户对操作系统内核发起恶意攻击所造成

的关键资源损害，能够对用户态与内核态内存和资源隔离，能够提供基础级的访问控制，能够

存储记录安全事件以供审计和分析功能；

——二级安全要求（增强级）：应能够防护一定数量未授权的用户对操作系统内核发起恶意攻击所

造成的关键资源损害，能够提供操作系统内核完整性保护机制，能够提供细颗粒度和强制访问

控制功能，能够提供用户态进程的特殊安全和密码功能，能够对入侵检测事件进行监控和收集

以供分析；

——三级安全要求（卓越级）：应能够防护大量未授权的用户对操作系统内核发起恶意攻击所造成

的关键资源损害，能够从多个层面限制攻击者的访问能力，能够提供虚拟化和容器隔离功能，

具备内核服务隔离机制，具备采取一定手段限制攻击者利用漏洞的能力。

各等级对应的条款见附录A。

7安全技术要求

7.1完整性保护要求

7.1.1架构支持

网络产品操作系统内核架构应支持对用户态服务进程、内核扩展模块的完整性度量。

7.1.2启动时完整性保护

网络产品操作系统内核应支持以下启动时完整性保护机制：

a)应支持在加载预置可执行文件时进行完整性检验；

b)应支持在加载动态扩展的可执行文件时进行完整性校验，例如升级包完整性检验。

7.1.3运行时完整性保护

网络产品操作系统内核应支持以下运行时完整性保护机制