《信息安全技术信息技术产品安全可控评价指标第3部分：操作系统》

GB/TXXXXX.3—XXXX

信息安全技术信息技术产品安全可控水平评价指标第3部分：操

作系统

1范围

GB/TXXXXX的本部分规定了操作系统产品安全可控评价指标。

本部分适用于第三方机构对操作系统产品安全可控程度进行评价，也适用于产品采购、信息系统测

评和检查、企业自查时参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

3术语和定义

GB/T25069-2010和GB/TXXXXX.1-XXXX中界定的术语和定义适用于本文件。

3.1

安全可控securitycontrollable

为保护信息技术产品及其信息的保密性、完整性及可用性等，而对该产品研发、设计、生产、供应、

使用、维护、废弃等各环节关键要素实现有效的控制。

[GB/TXXXXX-1:XXXX，定义3.2]

3.2

第三方机构thirdpartyorganizations

与产品供应方、产品应用方等相关各方均独立的专业机构。

[GB/TXXXXX-1:XXXX，定义3.3]

3.3

操作系统operatingsystem

是指用于管理硬件资源、控制程序运行、提供人机界面，并为应用软件提供支持的一种系统软件产

品。

注：包括但不限于服务器、个人计算机、手机平板、网络设备、存储设备所使用的操作系统产品。

3.4

操作系统内核operatingsystemkernel

是操作系统中负责系统进程、内存、设备驱动、文件和网络系等核心功能的计算机程序。

1

GB/TXXXXX.3—XXXX

4评价指标结构

信息技术产品安全可控评价指标主要包括一票否决项和一般评价项。在操作系统产品安全可控水平

评价指标中，没有设置一票否决项，包括产品实现透明性、产品重现能力、产品定制能力、产品持续保

障能力、产品安全生态适应性和用户数据处理规范性六个一般指标项，如表1所示。

表1操作系统安全可控水平评价指标

编号指标项指标说明

根据产品供应方所提供关键模块相关材料的真实性、可核查性、规范

性和完备性对其实现透明性进行评价。相关材料指产品研发过程中可

能影响信息安全的关键模块源代码和相关文档，包括但不限于需求分

1产品实现透明性

析、概要设计、安全设计、详细设计、开发测试、编译打包，以及设

计实现中所定义的协议和接口以及所遵循的技术标准、接口标准和安

全标准等。

对产品供应方的产品重现环境、产品重现充分性、重现结果与产品一

2产品重现能力

致性进行评价。

对产品供应方定制关键模块的权限和能力进行评价，涵盖身份认证、

3产品定制能力访问控制、安全审计等关键功能模块和内存管理、设备管理、进程管

理等关键内核模块。

对产品供应方在持续经营能力、供应链保障能力和服务保障能力进行

4产品持续保障能力

评价。

对产品所适配中央处理器的安全可控程度、内部核心模块接口和应用

产品安全生态适应

5编程接口的开放性，以及密码算法和数字证书等密码技术合规性进行

性

评价。

用户数据处理规范

6对产品供应方的用户数据收集、存储和处理的规范性进行评价。

性

5评价方法

5.1评价材料要求

评价材料包括产品在评价时必须提交给第三方机构的提交材料和供第三方机构现场核查的验证材

料。提交材料包括但不限于产品供应方核心团队情况、证明文件、产品安全可控承诺书等，验证材料则

包括产品实现透明性等相关指标项中要求的源代码、设计开发文档以及相关证明材料，验证材料可保存

在由产品供应方提供的核查环境中。

评价材料要求如下：

a)真实性

产品供应方所提供材料应真实反映操作系统产品指定关键技术的工作原理、设计技术和实现过程，

并确保产品重现的编译结果与市场销售一致。

b)可核查性

产品供应方应确保所提供材料可核查，并为第三方机构核查提供必要的技术支持，包括支持通过必

要技术手段进行验证。

2

GB/TXXXXX.3—XXXX

c)规范性

产品供应方所提供材料应符合业界通行标准和规范，能够支持第三方机构对相应技术原理和实现机

制的准确理解。

d)完备性

产品供应方所提供材料应覆盖操作系统产品指定关键技术所涉及的所有技术和功能特征。

5.2指标评价方法

各指标项相关内容见表2。

表2指标评价表

指标项考查内容分值评分说明

内存管理技术相关材料满足真实性、可核查性、规范性和完备

性的要求。（2分）

-内存管内存管理技术相关材料满足真实性和可核查性，但不满足规范

2

理技术性或完备性的要求。（1分）

内存管理技术相关材料不满足真实性或可核查性的要求。（0

分）

设备管理技术相关材料满满足真实性、可核查性、规范性和完

备性的要求。（2分）

-设备管设备管理技术相关材料满足真实性和可核查性，但不满足规范

2

理技术性或完备性的要求。（1分）

设备管理技术相关材料不满足真实性或可核查性的要求。（0

资源管

分）

理技术

网络通讯技术相关材料满足真实性、可核查性、规范性和完备

设计实现性的要求。（2分）

透明性-网络通网络通讯技术相关材料满足真实性和可核查性，但不满足规范

2

（20%）讯技术性或完备性的要求。（1分）

网络通讯技术相关材料不满足真实性或可核查性的要求。（0

分）

文件系统相关材料满足真实性、可核查性、规范性和完备性的

要求。（2分）

-文件系

2文件系统相关材料满足真实性和可核查性，但不满足规范性或

统

完备性的要求。（1分）

文件系统相关材料不满足真实性或可核查性的要求。（0分）

进程控制技术相关材料满足真实性、可核查性、规范性和完备

性的要求。（2分）

系统管-进程控进程控制技术相关材料满足真实性和可核查性，但不满足规范

2

理技术制技术性或完备性的要求。（1分）

进程控制技术相关材料不满足真实性或可核查性的要求。（0

分）

3

GB/TXXXXX.3—XXXX

表2指标评价表（续）

指标项考查内容分值评分说明

标识鉴别技术相关材料满足真实性、可核查性、规范性和完备

性的要求。（2分）

-标识鉴标识鉴别技术相关材料满足真实性和可核查性，但不满足规范

2

别技术性或完备性的要求。（1分）

标识鉴别技术相关材料不满足真实性或可核查性的要求。（0

分）

访问控制技术相关材料满足真实性、可核查性、规范性和完备

性的要求。（2分）

-访问控访问控制技术相关材料满足真实性和可核查性，但不满足规范

2

制技术性或完备性的要求。（1分）

访问控制技术相关材料不满足真实性或可核查性的要求。（0

分）

安全管理技术相关材料满足真实性、可核查性、规范性和完备

性的要求。（2分）

设计实现

-安全管安全管理技术相关材料满足真实性和可核查性，但不满足规范

透明性2

理技术性或完备性的要求。（1分）

（20%）

安全管理技术相关材料不满足真实性或可核查性的要求。（0

分）

软件管理技术相关材料满足真实性、可核查性、规范性和完备

性的要求。（2分）

-软件管软件管理技术相关材料满足真实性和可核查性，但不满足规范

2

理技术性或完备性的要求。（1分）

软件管理技术相关材料不满足真实性或可核查性的要求。（0

数据和

分）

应用管

数据保护技术相关材料满足真实性、可核查性、规范性和完备

理技术

性的要求。（2分）

-数据保数据保护技术相关材料满足真实性和可核查性，但不满足规范

2

护技术性或完备性的要求。（1分）

数据保护技术相关材料不满足真实性或可核查性的要求。（0

分）

产品研发重现环境在境内，产品重现能力可核查。（5分）

-产品研产品核心功能组件研发重现环境在境内，产品重现能力可核查

产品重

发重现环5（3分）

现环境

境产品研发重现环境在境外，产品重现能力可核查（1分）

产品重现能力不可核查。（0分）

4

GB/TXXXXX.3—XXXX

表2指标评价表（续）

指标项考查内容分值评分说明

产品测试重现环境在境内，产品重现能力可核查。（4分）

-产品测产品核心功能组件测试重现环境在境内，产品重现能力可核查

试重现环4（2分）

境产品测试重现环境在境外，产品重现能力可核查（1分）

产品重现能力不可核查。（0分）

产品升级维护重现环境（含补丁和升级包的研发、测试和分发

-产品升等）在境内，产品重现能力可核查。（3分）

级维护重3产品升级维护重现环境在境外，产品重现能力可核查（1分）

现环境产品重现能力不可核查。（0分）

产品重现

能力

可完整重现产品研发、测试和升级维护全过程，能够说明各关

（22%）

键技术的原理和实现机制。（5分）

可完整重现核心功能组件（含补丁和升级包）研发、测试和升

产品重现充分性5级维护全过程，能够说明相应关键技术的原理和实现机制。（2

分）

不能重现产品核心部件设计过程，或不能说明相应关键技术的

原理和实现机制。（0分）

产品重现环境中源代码编译结果与市场销售产品一致。（5分）

重现结果与产品一

5产品重现环境中源代码编译结果与市场销售产品不一致。（0

致性

分）

产品由产品供应方自主研发。（2分）

产品供应方通过遵守开源协议或获得外部授权等方式获得完

产品定制权限2

整定制权限。（1分）

产品提供者不具有合法定制权限。（0分）

可基于安全性诉求定制身份认证、访问控制、安全审计等关键

产品定制

功能定制功能模块，并应用于产品。（4分）

能力4

能力可证明具备基于安全性诉求定制关键功能模块的能力。（2分）

（12%）

产品定不能对关键功能模块进行定制，也不提供定制服务。（0分）

制能力具备定制内存管理、设备管理、进程控制等关键内核模块的能

内核定制力，并应用于产品。（6分）

6

能力可证明具备定制关键内核模块的能力。（3分）

不能对关键内核模块进行定制，也不提供定制服务。（0分）

产品供应方资本构成稳定，不会因经济、政治等因素影响正常

运营，能够保证产品安全交付，不会造成产品供应中断。（2

分）

持续供-资本情

2产品供应方资本构成基本稳定，基本不会因经济、政治等因素

应能力况

影响正常运营，基本能够保证产品安全交付。（1分）

产品供应方资本构成不稳定，易受经济、政治等因素影响而中

断运营，无法保证产品安全交付，造成产品供应中断。（0分）

5

GB/TXXXXX.3—XXXX

表2指标评价表（续）

指标项考查内容分值评分说明

产品供应方操作系统核心团队稳定，不会因经济、政治等因素

影响研发生产，能够保证产品安全交付，不会造成产品供应中

断。（2分）

-核心团产品供应方操作系统核心团队基本稳定，基本不会因经济、政

2

队情况治等因素影响研发生产，基本能够保证产品安全交付。（1分）

产品供应方操作系统核心团队不稳定，易受经济、政治等因素

影响而停止研发生产，无法保证产品安全交付，造成产品供应

中断。（0分）

产品供应方在产品供应和服务保障方面信誉良好，之前未出现

并承诺以后也不会出现，因用户对产品的依赖，单方面对产品

-市场信供应设置不合理限制条件或中断供应的情况。（4分）

4

誉情况产品供应方在产品供应方面有不良信誉记录，存在对产品供应

设置不合理限制条件，或恶意中断供应，或违反承诺甚至无法

承诺产品稳定供应的情况。（0分）

能够清晰展示产品研发生产各环节所有要素（涵盖核心技术知

识产权、开发工具等），要素信息清晰无争议，确保关键要素

的供应不受经济、政治等因素影响，不会造成产品供应中断（6

产品持续

分）

保障能力

供应链保障能力6能够清晰展示产品研发生产各环节所有要素，要素信息清晰无

（20%）

争议，确保关键要素的供应基本不受经济、政治等因素影响，

基本不会造成产品供应中断（3分）。

不能清晰展示产品研发生产各环节所有要素，或要素信息无法

追溯，或易造成供应中断。（0分）

产品供应方在我国境内拥有专业的服务支持团队，并能提供及

-技术支时有效的服务。（2分）

持服务保2产品供应方将产品售后服务支持外包给本地服务团队，并能提

障能力供及时有效的服务。（1分）

产品供应方在我国境内没有专业的服务支持团队。（0分）

产品供应方在我国境内拥有专业的漏洞响应服务支持团队，并

服务保

-漏洞响能提供及时有效的服务。（2分）

障能力

应服务保2产品供应方将漏洞响应服务支持外包给本地服务团队，并能提

障能力供及时有效的服务。（1分）

产品供应方在境内没有专业的漏洞响应服务支持团队。（0分）

-延保服产品生命周期结束后，产品供应方可根据用户要求继续提供服

务保障能2务，与用户签署规范的服务水平协议。（2分）

力产品生命周期结束后，产品供应方不能提供延保服务（0分）

6

GB/TXXXXX.3—XXXX

表2指标评价表（续）

指标项考查内容分值评分说明

产品适配4种以上指令集架构的中央处理器产品。（4分）

中央处理器适配能产品适配3种指令集架构的中央处理器产品。（3分）

4

力产品适配2种指令集架构的中央处理器产品。（2分）

产品适配1种指令集架构的中央处理器产品。（1分）

产品中身份认证、访问控制、证书和密钥管理、安全审计以及

-内部核

密码算法等关键模块采用开放的标准化接口。（3分）

心模块接3

产品安全接口开产品中部分关键模块采用开放的标准化接口。（1分）

口

生态适应放性产品关键模块不采用开放的标准化接口。（0分）

性-应用编产品应用编程接口符合国标GB/T17548-2008（3分）

3

（18%）程接口产品应用编程接口不符合国标GB/T17548-2008（0分）

-密码算产品涉及的密码算法符合国家密码管理要求。（4分）

4

法产品涉及的密码算法不符合国家密码管理要求。（0分）

密码技

产品涉及的数字证书等符合《中华人民共和国电子签名法》规

术合规

-数字证定。（4分）

性4

书产品涉及的数字证书等不符合《中华人民共和国电子签名法》

规定。（0分）

产品只在必要时才收集用户数据，收集前获得用户明示授权，

并明示用户数据的使用目的和范围。（2分）

用户数据收集2

产品在收集相关收集前未经用户明示授权，或未明示用户数据

使用的目的和范围。（0分）

产品所收集的用户相关数据存储在我国境内，并采用了安全措

施确保数据存储的安全，用户数据不流出我国境内。（3分)

用户数据用户数据存储3产品所收集的用户相关数据不存储在我国境内，或没有采取安

处理规范全措施确保用户数据存储安全，或者存在用户数据流出我国境

性（8%）内风险。(0分)

产品提供者明确告知用户相关数据的处理目的，对用户数据的

处理不侵犯用户隐私，不危害国家安全和社会经济安全。（3

分）

用户数据处理3

产品提供者无法告知用户相关数据的处理目的，或对用户数据

的处理侵犯用户隐私，或者危害国家安全和社会经济安全。（0

分）

5.3结果计分方法

具体计分方法如下：

a）依据表2对各指标项进行打分，因被评价方原因无法核查的考查内容得0分，若指标项各考查

内容得分分别为，则最后得分；

7

GB/TXXXXX.3—XXXX

b）对于产品设计实现透明性指标项，若产品不涉及该指标项中的部分考查内容，可按照该指标项

其他考查内容的得分比例计算该考查内容得分。

_________________________________

8

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXXX.3—XXXX

信息安全技术信息技术产品安全可控水平

评价指标第3部分：操作系统

Informationsecuritytechnology-Securitycontrollablelevelevaluationindexof

informationtechnologyproducts-Part3:OperatingSystem

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

（征求意见稿）

（本稿完成日期：2016年10月25日）

-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX.3—XXXX

表2指标评价表（续）

指标项考查内容分值评分说明

产品适配4种以上指令集架构的中央处理器产品。（4分）

中央处理器适配能产品适配3种指令集架构的中央处理器产品。（3分）

4

力产品适配2种指令集架构的中央处理器产品。（2分）

产品适配1种指令集架构的中央处理器产品。（1分）

产品中身份认证、访问控制、证书和密钥管理、安全审计以及

-内部核

密码算法等关键模块采用开放的标准化接口。（3分）

心模块接3

产品安全接口开产品中部分关键模块采用开放的标准化接口。（1分）

口

生态适应放性产品关键模块不采用开放的标准化接口。（0分）

性-应用编产品应用编程接口符合国标GB/T17548-2008（3分）

3

（18%）程接口产品应用编程接口不符合国标GB/T1