《信息安全技术 操作系统安全技术要求-编制说明》

1.概述

1.1项目背景

GB/T20272-2006《信息安全技术操作系统安全技术要求》是2006年颁布

的、适用于安全操作系统产品的国家标准。GB/T20272-2006对安全操作系统的

要求进行了等级的划分，分为五级，包括第一级用户自主保护级、第二级系统

审计保护级、第三级安全标记保护级、第四级结构化保护级和第五级访问验

证保护级。每一级的主要组成为：安全功能、SSOOS自身安全保护、SSOOS设计

和实现。

随着信息技术和安全操作系统技术的发展，GB/T20272-2006中的部分安全

功能不再适用于现有安全操作系统。随着攻击手段的不断变化，需要对安全操作

系统增加一些新的安全功能。同时随着用户需求的发展，对安全操作系统提出了

新的要求和需求。此外，原有的SSOOS设计和实现（安全保证要求）主要是参照

GB/T18336-3：2001《信息技术安全技术IT安全性评估准则第3部分：

安全保证要求》来制订了，目前GB/T18336-3已经发布了2015版本，和2001

版相比有了非常大的修订。

因此，需要对现有国标GB/T20272-2006进行修订和补充。本项目的目标是

对国家标准GB/T20272-2006进行修订，删除部分已经不适用于目前安全操作系

统的安全功能，增加一些新的安全功能，修改部分描述不够清晰的安全功能要求、

SSOOS自身安全保护要求、SSOOS设计和实现（安全保证要求），使得修订后

的标准能够适应现有的技术发展，适应国家对自主知识产权安全操作系统的迫切

需求，对现有安全操作系统的开发者提供指导作用、为安全操作系统的测试者提

供测试依据。

1.2项目来源

按照2015年全国信息安全标准化技术委员会的国家标准制定计划，公安部

第三研究所联合北京江南天安科技有限公司、中科方德软件有限公司、中标软件

有限公司、天津麒麟信息技术有限公司、普华基础软件股份有限公司联合申报了

GB/T20272-2006《信息安全技术操作系统安全技术要求》的修订工作。本项目

1/9

在2015年7月获得批准，项目编号为：2015bzxd-WG5-002，主要起草单位为公

安部第三研究所、北京江南天安科技有限公司、中科方德软件有限公司、中标软

件有限公司、天津麒麟信息技术有限公司、普华基础软件股份有限公司。

1.3编制意义和目的

为了规范安全操作系统的研发和应用，修订后的《操作系统安全技术要求》

对国内的安全操作系统提出统一的安全技术要求，从安全功能、SSOOS自身安

全保护、SSOOS设计和实现要求三个方面对安全操作系统产品进行全面评价。

国内的安全操作系统厂商能够依据本标准研制、开发出符合一系列安全等级要求

的产品，以满足国内用户的迫切需求，提高国家重要信息系统的安全保障能力。

国内的检测机构根据本标准，能够对安全操作系统进行标准化的测试和评价，从

而保证测试评价结果的完整性和一致性。

1.4编制依据

《信息安全技术操作系统安全技术要求》在编制时，参考了我国信息安全

等级保护技术需求以及计算机安全技术开发成果及产业状况，同时结合了多个现

行的国家标准、行业标准而撰写完成的。

本标准引用或参考的标准有：

1)GB17859-1999计算机信息系统安全保护等级划分准则

2)GB/T18336.3-2015信息技术安全技术信息技术安全评估准则第3

部分：安全保障组件

3)GB/T20271-2006信息安全技术信息系统通用安全技术要求

4)GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

5)GB/T29240-2012信息安全技术终端计算机通用安全技术要求与测试

评价方法

1.5编制原则

本标准是对GB/T20272-2006的修订，在总体架构上和原标准基本保持一致，

将操作系统安全技术要求分为五个等级：第一级用户自主保护级、第二级系统

2/9

审计保护级、第三级安全标记保护级、第四级结构化保护级和第五级访问验

证保护级。每一级的主要组成为：安全功能、SSOOS自身安全保护、安全保障要

求。修订过程主要把握了如下的原则：

1）、全局性、系统性原则

本标准遵从等级保护体系的整体思路与方法，以《计算机信息系统安全保护

等级划分准则》(GB17859-1999)为指导，以《信息安全技术信息系统通用安全

技术要求》(GB/T20271-2006)和《信息安全技术信息系统安全等级保护基本技

术要求》（GB/T22239-2008）为基础和蓝本，确立操作系统各等级的安全技术要

求。

2）、适用性原则

本标准在清晰分析我国安全操作系统全技术现状和实际需求的基础上，充分

考虑我国相关厂商的产业化能力，提出合适的安全技术指标体系与内容，使标准

真正发挥出实效。

3）、先进性原则

根据当前计算机安全技术与产业发展趋势，构建操作下体安全技术框架，进

而形成相应的安全功能技术要求与分等级安全技术要求。

2.主要工作过程

2.1成立编制组

2015年7月，由公安部第三研究所、北京江南天安科技有限公司、中科方

德软件有限公司、中标软件有限公司、天津麒麟信息技术有限公司、普华基础软

件股份有限公司联合成立了《信息安全技术操作系统安全技术要求》标准编制

组，由6个单位的技术骨干组成，计23人。

2.2制定工作计划

按照项目计划要求，标准编制组专门制定了工作计划，并确定编制组人员例

会机制。

3/9

采用的编制方式是：先会议集中讨论，定思路和内容框架，然后分头编写内

容，再集中评议和修改内容，形成稳定版本后再向国内相关专家进行咨询，听取

意见和修改文本。本项目组一直按这种方式开展工作。

2.3确定编制内容

经过标准编制组充分讨论和酝酿，本标准从国内用户的实际需求和国内安全

操作系统产品的技术现状，从以下方面规定了操作系统安全技术要求的编制内

容：

对GB/T20272-2006中的内容进行了仔细梳理，对于不再适合目前实

际需要的部分内容进行了删减，对部分项目进行了文字修改，对标准

的文本结构进行了调整；

根据最新的技术发展，为抵御攻击手段的不断变化，增加一些新的安

全功能；

基于GB/T18336-2015《信息技术安全技术信息技术安全评估准则》

的保障要求，对GB/T20272-2006的“SSOOS设计和实现”内容进行了

同步更新。

面向国内主流的安全操作系统厂商，广泛调研和征求意见，争取最为

广泛的共识，以满足国内对自主知识产权安全操作系统的要求。

2.4编制工作简要过程

1)2015年7月-12月，制订了《信息安全技术操作系统安全技术要求》（标

准草案第一稿）；

2)2016年1月-5月，在标准编制组内部通过邮件方式进行了讨论，形成了

标准草案第二稿；

3)2016年5月13日，标准编制组在上海的公安部第三研究所召开了第一

次工作会议，现场对标准文本进行了讨论。根据会议讨论意见，修改完

善后形成了标准草案第三稿；

4)2016年6月~7月，在标准编制组内部通过邮件方式进行了讨论，形成了

标准草案第四稿；

4/9

5)2016年8月9日，标准编制组在北京的中标软件有限公司召开了第二次

工作会议，现场对标准文本进行了讨论。根据会议讨论意见，修改完善

后形成了标准草案第五稿；

6)2016年8月，根据国家信息中心、IBM公司等工作组成员单位的反馈意

见，对标准文本进行修改完善，形成了标准草案第六稿；

7)2016年8月25日，全国信息安全标准化技术委员会WG5工作组在北京

组织召开了在研标准推进会。WG5工作组的全体成员单位审议了本标

准，并对标准进行了讨论和质询。经会议讨论，同意本标准由草案推进

为征求意见稿。编制组根据会议讨论意见，修改完善后形成了征求意见

稿（第1稿）。

3.标准主要内容

本标准的主要内容为：

1)安全功能：定义了操作系统应该具备的以下安全功能要求：身份鉴别、

自主访问控制、标记和强制访问控制、安全审计、用户数据完整性、数据保密性、

可信路径、网络安全保护。

2)SSOOS自身安全保护：定义了操作系统应该具备的以下自身安全保护要

求：SSF运行安全保护、SSF数据安全保护、资源利用、SSOOS访问控制、可

信度量、安全策略配置。

3)安全保障要求：基于GB/T18336.3-2015《信息技术安全技术信息技术

安全评估准则第3部分：安全保障组件》，定义了操作系统安全保障要求：开发、

指导性文档、生命周期支持、测试、脆弱性评定。

本标准将操作系统分为五个安全等级：第一级用户自主保护级、第二级系

统审计保护级、第三级安全标记保护级、第四级结构化保护级和第五级访问

验证保护级。第一级的安全要求最低，第五级的安全要求最高。安全等级越高，

其安全要求就越多。

本标准的目录结构如下：

目次

前言

5/9

引言

1范围

2规范性引用文件

3术语、定义和缩略语

3.1术语和定义

3.2缩略语

4安全技术要求

4.1第一级：用户自主保护级

4.1.1安全功能

4.1.1.1身份鉴别

4.1.1.2自主访问控制

4.1.1.3数据完整性

4.1.1.4数据保密性

4.1.1.5网络安全保护

4.1.2SSOOS自身安全保护

4.1.2.1SSF运行安全保护

4.1.2.2资源利用

4.1.2.3用户登录访问控制

4.1.2.4安全策略配置

4.1.3安全保障要求

4.1.3.1开发

4.1.3.2指导性文档

4.1.3.3生命周期支持

4.1.3.4测试

4.1.3.5脆弱性评定

4.2第二级：系统审计保护级

4.2.1安全功能

4.2.1.1身份鉴别

4.2.1.2自主访问控制

4.2.1.3安全审计

4.2.1.4数据完整性

4.2.1.5数据保密性

4.2.1.6网络安全保护

4.2.2SSOOS自身安全保护

4.2.2.1SSF运行安全保护

4.2.2.2资源利用

4.2.2.3用户登录访问控制

4.2.2.4可信度量

4.2.2.5安全策略配置

4.2.3安全保障要求

4.2.3.1开发

4.2.3.2指导性文档

4.2.3.3生命周期支持

4.2.3.4测试

4.2.3.5脆弱性评定

4.3第三级：安全标记保护级

4.3.1安全功能

4.3.1.1身份鉴别

6/9

4.3.1.2自主访问控制

4.3.1.3标记和强制访问控制

4.3.1.4安全审计

4.3.1.5数据完整性

4.3.1.6数据保密性

4.3.1.7网络安全保护

4.3.2SSOOS自身安全保护

4.3.2.1SSF运行安全保护

4.3.2.2资源利用

4.3.2.3用户登录访问控制

4.3.2.4可信度量

4.3.2.5安全策略配置

4.3.3安全保障要求

4.3.3.1开发

4.3.3.2指导性文档

4.3.3.3生命周期支持

4.3.3.4测试

4.3.3.5脆弱性评定

4.4第四级：结构化保护级

4.4.1安全功能

4.4.1.1身份鉴别

4.4.1.2自主访问控制

4.4.1.3标记和强制访问控制

4.4.1.4安全审计

4.4.1.5数据完整性

4.4.1.6数据保密性

4.4.1.7可信路径

4.4.1.8网络安全保护

4.4.2SSOOS自身安全保护

4.4.2.1SSF运行安全保护

4.4.2.2资源利用

4.4.2.3用户登录访问控制

4.4.2.4可信度量

4.4.2.5安全策略配置

4.4.3安全保障要求

4.4.3.1开发

4.4.3.2指导性文档

4.4.3.3生命周期支持

4.4.3.4测试

4.4.3.5脆弱性评定

4.5第五级：访问验证保护级

4.5.1安全功能

4.5.1.1身份鉴别

4.5.1.2自主访问控制

4.5.1.3标记和强制访问控制

4.5.1.4安全审计

4.5.1.5数据完整性

4.5.1.6数据保密性

7/9

4.5.1.7可信路径

4.5.1.8网络安全保护

4.5.2SSOOS自身安全保护

4.5.2.1SSF运行安全保护

4.5.2.2资源利用

4.5.2.3用户登录访问控制

4.5.2.4可信度量

4.5.2.5安全策略配置

4.5.3安全保障要求

4.5.3.1开发

4.5.3.2指导性文档

4.5.3.3生命周期支持

4.5.3.4测试

4.5.3.5脆弱性评定

参考文献

4．安全等级划分原则

本标准是对GB/T20272-2006的修订，在总体架构上和原标准基本保持一致，

将操作系统安全技术要求分为五个等级：第一级用户自主保护级、第二级系统

审计保护级、第三级安全标记保护级、第四级结构化保护级和第五级访问验

证保护级。

在安全保障要求方面，第一级对应GB/T18336.3-2015的EAL2级；第二级

对应GB/T18336.3-2015的EAL3级；第三级对应GB/T18336.3-2015的EAL4

级；第四级对应GB/T18336.3-2015的EAL5级；第五级对应GB/T18336.3-2015

的EAL6级。

5.与国外同类标准的关系

本标准的“安全保障要求”引用了《GB/T18336.3-2015信息技术安全技术

信息技术安全评估准则第3部分：安全保障组件》（IDTISO/IEC15408-2008

Informationtechnology--Sec