服务器脆弱性识别表格 依据《GB/T20272-2007 操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。 项目 子项 内容 是否符合 备注 安全功能 身 份鉴别 a) 按 GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能: ——凡需进入操作系统的用户,应先进行标识(建立账号); ——操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID 等之间的一致性; b) 按 GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能: ——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别; ——鉴别信息应是不可见的,在存储和传输时应按 GB/T 20271-2006 中 6.3.3.8 的要求,用加密方法进行安全保护; —— 过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。 c) 对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能: ——将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户; ——将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。 自 主访 问控制 a) 允许命名用户以用户的身份规定并控制对客体的访问 ,并阻 止 非 授 权 用户对客体的访问 。 b) 设置 默 认 功能,当一个主体生成一个客体时,在该客体的访问 控制表 中相应地具 有该主体的默 认 值; c) 有更 细 粒 度 的自 主访问 控制,将访问 控制的粒 度控制在单 个用户。对系统中的每一个客体, 都 应能够 实现由 客体的创 建者以用户指 定方式 确定其对该客体的访问 权 限 ,而 别的同 组 用户 或非 同 组 的用户和用户组 对该客体的访问 权 则 应由 创建者用户授 予 ; d) 自 主访问 控制能与身份鉴别和审 计相结 合 ,通过确认 用户身份的真 实性和记 录用户的各 种 成 功的或不成功的访问 ,使用户对自 己 的行为承 担 明确的责 任 ; e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控 制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体; f) 定义访问控制属性,...
