信息安全技术信息技术产品安全可控评价指标-第3部分：操作系统

GB/TXXXXX.3—XXXXI信息安全技术信息技术产品安全可控水平评价指标第3部分：操作系统范围GB/TXXXXX的本部分规定了操作系统产品安全可控评价指标。本部分适用于第三方机构对操作系统产品安全可控程度进行评价，也适用于产品采购、信息系统测评和检查、企业自查时参考。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语术语和定义GB/T25069-2010和GB/TXXXXX.1-XXXX中界定的术语和定义适用于本文件。安全可控securitycontrollable为保护信息技术产品及其信息的保密性、完整性及可用性等，而对该产品研发、设计、生产、供应、使用、维护、废弃等各环节关键要素实现有效的控制。[GB/TXXXXX-1:XXXX，定义3.2]第三方机构thirdpartyorganizations与产品供应方、产品应用方等相关各方均独立的专业机构。[GB/TXXXXX-1:XXXX，定义3.3]操作系统operatingsystem是指用于管理硬件资源、控制程序运行、提供人机界面，并为应用软件提供支持的一种系统软件产品。包括但不限于服务器、个人计算机、手机平板、网络设备、存储设备所使用的操作系统产品。操作系统内核operatingsystemkernel是操作系统中负责系统进程、内存、设备驱动、文件和网络系等核心功能的计算机程序。评价指标结构信息技术产品安全可控评价指标主要包括一票否决项和一般评价项。在操作系统产品安全可控水平评价指标中，没有设置一票否决项，包括产品实现透明性、产品重现能力、产品定制能力、产品持续保障能力、产品安全生态适应性和用户数据处理规范性六个一般指标项，如表1所示。操作系统安全可控水平评价指标编号指标项指标说明1产品实现透明性根据产品供应方所提供关键模块相关材料的真实性、可核查性、规范性和完备性对其实现透明性进行评价。相关材料指产品研发过程中可能影响信息安全的关键模块源代码和相关文档，包括但不限于需求分析、概要设计、安全设计、详细设计、开发测试、编译打包，以及设计实现中所定义的协议和接口以及所遵循的技术标准、接口标准和安全标准等。2产品重现能力对产品供应方的产品重现环境、产品重现充分性、重现结果与产品一致性进行评价。3产品定制能力对产品供应方定制关键模块的权限和能力进行评价，涵盖身份认证、访问控制、安全审计等关键功能模块和内存管理、设备管理、进程管理等关键内核模块。4产品持续保障能力对产品供应方在持续经营能力、供应链保障能力和服务保障能力进行评价。5产品安全生态适应性对产品所适配中央处理器的安全可控程度、内部核心模块接口和应用编程接口的开放性，以及密码算法和数字证书等密码技术合规性进行评价。6用户数据处理规范性对产品供应方的用户数据收集、存储和处理的规范性进行评价。评价方法评价材料要求评价材料包括产品在评价时必须提交给第三方机构的提交材料和供第三方机构现场核查的验证材料。提交材料包括但不限于产品供应方核心团队情况、证明文件、产品安全可控承诺书等，验证材料则包括产品实现透明性等相关指标项中要求的源代码、设计开发文档以及相关证明材料，验证材料可保存在由产品供应方提供的核查环境中。评价材料要求如下：真实性产品供应方所提供材料应真实反映操作系统产品指定关键技术的工作原理、设计技术和实现过程，并确保产品重现的编译结果与市场销售一致。可核查性产品供应方应确保所提供材料可核查，并为第三方机构核查提供必要的技术支持，包括支持通过必要技术手段进行验证。规范性产品供应方所提供材料应符合业界通行标准和规范，能够支持第三方机构对相应技术原理和实现机制的准确理解。完备性产品供应方所提供材料应覆盖操作系统产品指定关键技术所涉及的所有技术和功能特征。指标评价方法各指标项相关内容见表2。指标评价表指标项考查内容分值评分说明设计实现透明性（20%）资源管理技术-内存管理技术2内存管理技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）内存管理技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）内存管理技术相关材料不满足真实性或可核查性的要求。（0分）-设备管理技术2设备管理技术相关材料满满足真实性、可核查性、规范性和完备性的要求。（2分）设备管理技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）设备管理技术相关材料不满足真实性或可核查性的要求。（0分）-网络通讯技术2网络通讯技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）网络通讯技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）网络通讯技术相关材料不满足真实性或可核查性的要求。（0分）-文件系统2文件系统相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）文件系统相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）文件系统相关材料不满足真实性或可核查性的要求。（0分）系统管理技术-进程控制技术2进程控制技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）进程控制技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）进程控制技术相关材料不满足真实性或可核查性的要求。（0分）表2指标评价表（续）指标项考查内容分值评分说明设计实现透明性（20%）-标识鉴别技术2标识鉴别技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）标识鉴别技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）标识鉴别技术相关材料不满足真实性或可核查性的要求。（0分）-访问控制技术2访问控制技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）访问控制技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）访问控制技术相关材料不满足真实性或可核查性的要求。（0分）-安全管理技术2安全管理技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）安全管理技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）安全管理技术相关材料不满足真实性或可核查性的要求。（0分）数据和应用管理技术-软件管理技术2软件管理技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）软件管理技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）软件管理技术相关材料不满足真实性或可核查性的要求。（0分）-数据保护技术2数据保护技术相关材料满足真实性、可核查性、规范性和完备性的要求。（2分）数据保护技术相关材料满足真实性和可核查性，但不满足规范性或完备性的要求。（1分）数据保护技术相关材料不满足真实性或可核查性的要求。（0分）产品重现环境-产品研发重现环境5产品研发重现环境在境内，产品重现能力可核查。（5分）产品核心功能组件研发重现环境在境内，产品重现能力可核查（3分）产品研发重现环境在境外，产品重现能力可核查（1分）产品重现能力不可核查。（0分）表2指标评价表（续）指标项考查内容分值评分说明产品重现能力（22%）-产品测试重现环境4产品测试重现环境在境内，产品重现能力可核查。（4分）产品核心功能组件测试重现环境在境内，产品重现能力可核查（2分）产品测试重现环境在境外，产品重现能力可核查（1分）产品重现能力不可核查。（0分）-产品升级维护重现环境3产品升级维护重现环境（含补丁和升级包的研发、测试和分发等）在境内，产品重现能力可核查。（3分）产品升级维护重现环境在境外，产品重现能力可核查（1分）产品重现能力不可核查。（0分）产品重现充分性5可完整重现产品研发、测试和升级维护全过程，能够说明各关键技术的原理和实现机制。（5分）可完整重现核心功能组件（含补丁和升级包）研发、测试和升级维护全过程，能够说明相应关键技术的原理和实现机制。（2分）不能重现产品核心部件设计过程，或不能说明相应关键技术的原理和实现机制。（0分）重现结果与产品一致性5产品重现环境中源代码编译结果与市场销售产品一致。（5分）产品重现环境中源代码编译结果与市场销售产品不一致。（0分）产品定制能力（12%）产品定制权限2产品由产品供应方自主研发。（2分）产品供应方通过遵守开源协议或获得外部授权等方式获得完整定制权限。（1分）产品提供者不具有合法定制权限。（0分）产品定制能力功能定制能力4可基于安全性诉求定制身份认证、访问控制、安全审计等关键功能模块，并应用于产品。（4分）可证明具备基于安全性诉求定制关键功能模块的能力。（2分）不能对关键功能模块进行定制，也不提供定制服务。（0分）内核定制能力6具备定制内存管理、设备管理、进程控制等关键内核模块的能力，并应用于产品。（6分）可证明具备定制关键内核模块的能力。（3分）不能对关键内核模块进行定制，也不提供定制服务。（0分）持续供应能力-资本情况2产品供应方资本构成稳定，不会因经济、政治等因素影响正常运营，能够保证产品安全交付，不会造成产品供应中断。（2分）产品供应方资本构成基本稳定，基本不会因经济、政治等因素影响正常运营，基本能够保证产品安全交付。（1分）产品供应方资本构成不稳定，易受经济、政治等因素影响而中断运营，无法保证产品安全交付，造成产品供应中断。（0分）表2指标评价表（续）指标项考查内容分值评分说明产品持续保障能力（20%）-核心团队情况2产品供应方操作系统核心团队稳定，不会因经济、政治等因素影响研发生产，能够保证产品安全交付，不会造成产品供应中断。（2分）产品供应方操作系统核心团队基本稳定，基本不会因经济、政治等因素影响研发生产，基本能够保证产品安全交付。（1分）产品供应方操作系统核心团队不稳定，易受经济、政治等因素影响而停止研发生产，无法保证产品安全交付，造成产品供应中断。（0分）-市场信誉情况4产品供应方在产品供应和服务保障方面信誉良好，之前未出现并承诺以后也不会出现，因用户对产品的依赖，单方面对产品供应设置不合理限制条件或中断供应的情况。（4分）产品供应方在产品供应方面有不良信誉记录，存在对产品供应设置不合理限制条件，或恶意中断供应，或违反承诺甚至无法承诺产品稳定供应的情况。（0分）供应链保障能力6能够清晰展示产品研发生产各环节所有要素（涵盖核心技术知识产权、开发工具等），要素信息清晰无争议，确保关键要素的供应不受经济、政治等因素影响，不会造成产品供应中断（6分）能够清晰展示产品研发生产各环节所有要素，要素信息清晰无争议，确保关键要素的供应基本不受经济、政治等因素影响，基本不会造成产品供应中断（3分）。不能清晰展示产品研发生产各环节所有要素，或要素信息无法追溯，或易造成供应中断。（0分）服务保障能力-技术支持服务保障能力2产品供应方在我国境内拥有专业的服务支持团队，并能提供及时有效的服务。（2分）产品供应方将产品售后服务支持外包给本地服务团队，并能提供及时有效的服务。（1分）产品供应方在我国境内没有专业的服务支持团队。（0分）-漏洞响应服务保障能力2产品供应方在我国境内拥有专业的漏洞响应服务支持团队，并能提供及时有效的服务。（2分）产品供应方将漏洞响应服务支持外包给本地服务团队，并能提供及时有效的服务。（1分）产品供应方在境内没有专业的漏洞响应服务支持团队。（0分）-延保服务保障能力2产品生命周期结束后，产品供应方可根据用户要求继续提供服务，与用户签署规范的服务水平协议。（2分）产品生命周期结束后，产品供应方不能提供延保服务（0分）表2指标评价表（续）指标项考查内容分值评分说明产品安全生态适应性（18%）中央处理器适配能力4产品适配4种以上指令集架构的中央处理器产品。（4分）产品适配3种指令集架构的中央处理器产品。（3分）产品适配2种指令集架构的中央处理器产品。（2分）产品适配1种指令集架构的中央处理器产品。（1分）接口开放性-内部核心模块接口3产品中身份认证、访问控制、证书和密钥管理、安全审计以及密码算法等关键模块采用开放的标准化接口。（3分）产品中部分关键模块采用开放的标准化接口。（1分）产品关键模块不采用开放的标准化接口。（0分）-应用编程接口3产品应用编程接口符合国标GB/T17548-2008（3分）产品应用编程接口不符合国标GB/T17548-2008（0分）密码技术合规性-密码算法4产品涉及的密码算法符合国家密码管理要求。（4分）产品涉及的密码算法不符合国家密码管理要求。（0分）-数字证书4产品涉及的数字证书等符合《中华人民共和国电子签名法》规定。（4分）产品涉及的数字证书等不符合《中华人民共和国电子签名法》规定。（0分）用户数据处理规范性（8%）用户数据收集2产品只在必要时才收集用户数据，收集前获得用户明示授权，并明示用户数据的使用目的和范围。（2分）产品在收集相关收集前未经用户明示授权，或未明示用户数据使用的目的和范围。（0分）用户数据存储3产品所收集的用户相关数据存储在我国境内，并采用了安全措施确保数据存储的安全，用户数据不流出我国境内。（3分)产品所收集的用户相关数据不存储在我国境内，或没有采取安全措施确保用户数据存储安全，或者存在用户数据流出我国境内风险