| 10套; 1、操作系统支持多 CPU 架构——操作系统支持同源兼容ARM、 LoongArch、MIPS、SW64、x86 架构的CPU; 2、操作系统支持CPU 内置功能——多核支持——操作系统支持双核 (略) 理器,包括核间负载均衡、线程绑定等,并提供接口,通过访问接口获取运行状态和控制多核调度3.操作系统支持CPU 内置功能——CPU 虚拟化支持——操作系统支持CPU 虚拟化技术 4.操作系统支持CPU 内置功能——动态调节CPU运行频率——操作系统根据负载情况,自动调节CPU的运行频率 5.操作系统支持CPU 内置功能——支持多CPU—— (略) 内存访问,支持CPU 间负载均衡,支持并优化NUMA 体系架构 6.操作系统支持CPU 内置功能——支持CPU 内置安全功能——操作系统支持CPU 硬件密码运算与随机数生成等功能;提供编程接口供应用程序调用;支持通过硬件指令判 (略) 冲突;支持调用 CPU 指令,实现自旋锁 7.安装部署——安装方式——操作系统支持光盘安装、USB 闪存盘安装、网络安装和无人值守安装 8.安装部署——安装模式——操作系统支持图形或文本安装模式 9.安装部署——安装过程配置——操作系统支持安装界面文种设置、 (略) 配置(如LVM)、自 (略) 设置、安装组件设置、时区设置、 (略) 设置、初始用户设置、计算机 (略) 络设置,支持通过USB 闪存盘等方式加载硬件驱动、支持设置加密文件系统 10.安装部署——系统引导——a) 操作系统应支持UEFI2.0 及以上规范固件引导,当计算机以UEFI 模式启动安装时,安装程序应分配 ESP,并在ESP中放置启动引导文件,使系统能以UEFI模式引导;b) 支持bootloader 引导,支持MBR 及GPT 11.安装部署——引导修复——操作系统安装媒体提供系统引导修复功能,当已安装的系统引导被破坏时,可重建系统引导 12.安装部署——引导参数编辑——操作系统支持用户编辑引导参数,支持GRUB 口令保护 13.安装部署——数据保护——安装程序在安装执行前明确提示用户可能会删除已有数据,并提供退出/取消功能,当用户取消安装时,不改变硬盘上已有数据 14.安装部署——分辨率自适应——操作系统安装完成后应自动适配显示器最佳分辨率(文本模式除外) 15.安装部署——安装配置正确性校验——操作系统安装和配置过程中,如用户自定义的某些配置可能会影响系统启动或正常使用,予以明确提示 16.系统内核——内核要求——c) 若操作系统是基于Linux 内核的服务器操作系统应兼容 4.19 版内核; 17.进程、线程调度——NUMA——操作系统支持基于NUMA 的亲和调度 18.进程、线程调度——多核轮询——操作系统支持CPU 多核轮询调度 19.进程、线程调度——进程调度——操作系统具备进程优先级动态调整能力,允许在进程运行时对优先级进行调整;区分实时进程与非实时进程,分别进行调度;支持进程运行状态检查 20.内存管理——内存容量——操作系统支持最大内存 4TB 21.内存管理——内存大页管理——操作系统允许应用申请内存大页降低页表转换 22.内存管理——NUMA——操作系统支持NUMA 近节点优化 23.内存管理——内存超分——操作系统支持虚拟内存超分,提升内存的使用率 24.存储管理——RAID 支持——操作系统支持硬RAID 和软RAID,支持软 RAID 级别 0、1、5、6、10 25.存储管理——虚拟文件系统——操作系统支持将不同功能的外部设备抽象为统一的文件操作接口,包括存储、输入输出设备 26.存储管理——文件管理——操作系统支持文件存储、检索和共享 27.存储管理——可移动存储——操作系统支持对可移动外部存储的管理,包括启停、禁用、恢复等 28.存储管理——外部独立存储——操作系统支持使用外部独立存储设备 29.存储管理——多路径聚合——操作系统支 (略) 径聚合及I/O 动态负载均衡 30.存储管理——故障检测——操作系统支持硬盘损坏或老化检测及信息收集 31.存储管理——虚拟内存——操作系统支持将硬盘的 (略) 或文件作为虚拟扩展内存用于存放内存数据,支持虚拟内存压缩 32.存储管理——网络块设备挂载——操作系统支持FCoE、iSCSI,支持将 Ceph块设备视为常规存储设备挂载到某个目录并作为标准文件系统使用 33.存储管理——存储缓存——操作系统支持快速块设备作为慢速块设备缓存以加速I/O 34.网络管理—— (略) 检测——操作 (略) (略) 故障检测、链路事件 (略) 状态查询 35.网络管理——TCP 卸载引擎——操作系统支持运行TCP 协议卸 (略) 卡 36.网络管理——网络协议——操作系统支持IPv4、IPv6 37.网络管理——多网卡绑定——操作系 (略) 卡绑定 38.网络管理——用户态TCP/IP协议栈——操作系统支持用户态TCP/IP 协议栈 39.文件系统——文件系统支持——操作系统支持XFS、EXT3、EXT4、NTFS、FAT32 等文件系统,支持相应 (略) 创建、删除、格式化等 40.文件系统——日志式文件系统——操作系统支持日志式文件系统 41.文件系统—— (略) 理能力——操作系统支持最大文件不小于 4TB, (略) 与文件系统不小于 10PB,最大文件名长度不小于 255 字节 42.文件系统——分区大小调整——操作系统支持动态 (略) 大小,对 (略) 容量进行改变 43.授权激活——产品许可机制——a) 操作系统支持序列号授权、批量激活服务、场地授权等方式;未激活期间,系统不得频繁提示干扰用户正常使用;未激活系统不得影响用户数据安全与完整性;b) 免激活的系统不适用 44.应用开发运行环境——集成开发环境/开发框架——操作系统通过内置、软件仓库或附加光盘等方式提供开发环境,包括Qt、Eclipse、VSCode 等 45.应用开发运行环境——开发工具库——操作系统通过内置、软件仓库或附加光盘等方式提供开发库,包括 GNU C、GNU C++、Java、Qt 、Gtk+、Cairo、OpenGL、Perl、Python、Ruby、Rust、Golang、 JS 等 46.应用开发运行环境——编译器开发工具——操作系统通过内置、软件仓库或附加光盘等方式提供编译开发工具,包括 GCC、 G++、Binutils、GDB、Make、CMake 等 47.应用开发运行环境——文本编辑工具——操作系统通过内置、软件仓库或附加光盘等方式提供文本编辑工具,包括 Emacs、Vim 等 48.应用开发运行环境——软件包管理——操作系统支持查询软件包描述和包含文件,以及软件包依赖;支持在安装时自动提示并下载安装缺失的依赖软件包 49.应用开发运行环境——开发文档——提供软件开发参考文档、驱动开发参考文档、应用移植开发文档、API文档 50.服务支持——网络服务——操作系统支持TCP/UDP 51.服务支持——网络共享——操作系统支持基于NFS、SMB、FTP、CIFS等协 (略) 络共享服务 52.服务支持——WEB 服务——操作系统支持基于HTTP、HTTPS、FastCGI 等协议WEB 服务 53.服务支持——加密传输服务——操作系统支持基于IPSec 和SSL 协议的隧道加密传输服务 54.服务支持——数字证书服务——操作系统支持基于PKI 体系的数字证书服务 55.服务支持——访问控制服务——操作系统支持基于RBAC(基于角色的访问控制)机制的访问控制服务 56.服务支持——网络管理服务——操作系统支持基于SNMP、NETCONF、RESTCONF (略) 络管理服务 57.服务支持——时间同步服务——操作系统支持基于NTP (略) 络时间同步服务 58.服务支持——远程连接服务——操作系统支持RPC、rsync、SSH 等远程服务 59.服务支持——邮件服务——操作系统支持基于SMTP、POP3、IMAP等的邮件服务 60.服务支持——身份鉴别服务——操作系统支持基于轻量级目录访问协议的统一身份鉴别服务 61.服务支持——数据存储和查询服务——操作系统支持结构化和非结构化格式数据的存储和查询服务 62.服务支持——数据存储和查询服务——操作系统支持块、文件、对象等类型的数据存储服务 63.服务支持——数据存储和查询服务——操作系统支持SQL、NoSQL、键值等类型的数据库 64.服务支持——存储服务——操作系统支持多种传输速率和存储协议 的 SAN 和NAS 存储 65.服务支持——集群支持——操作系统支持服务基于主备机制的分布式集群、高可用集群的部署模式 66.服务支持——集群支持——操作系统支持服务基于分布式通信协议的分布式集群、高可用集群的部署模式 67.服务支持——集群支持——操作系统支持 (略) 由器冗余协议的高可用集群部署模式 68.服务支持——分布式服务——操作系统支持基于同步、异 (略) 理机制的分布式服务 69.服务支持——负载均衡模式——操作系统支持基于OSI 模型的4/7 (略) 层的负载均衡模式 70.服务支持——负载均衡模式——操作系统支持基于不同调度算法的负载均衡模式 71.服务支持——高可用服务——操作系统提供对HA 的支持,支持多种集群配置模式,包括主主模式、主备模式、N+1 模式和N+M 模式,支持资源及节点故障检测 72.开源组件——开源数据库——通过安装镜像内置、软件仓库或附加光盘等方式提供开源数据库,并对提供的开源组件进行签名认证,确保组件的安全性、稳定性、可靠性 73.开源组件——开源中间件——通过安装镜像内置、软件仓库或附加光盘等方式提供开源中间件,并对提供的开源组件进行签名认证,确保组件的安全性、稳定性、可靠性 74.开源组件——单机虚拟化管理——通过安装镜像内置、软件仓库或附加光盘等方式提供开源单机虚拟化管理软件,并对提供的开源组件进行签名认证,确保组件的安全性、稳定性、可靠性 75.开源组件——容器虚拟化软件——通过安装镜像内置、软件仓库或附加光盘等方式提供开源容器虚拟 化软件,并对提供的开源组件进行签名认证,确保组件的安全性、稳定性、可靠性 76.开源组件——容器管理工具——通过安装镜像内置、软件仓库或附加光盘等方式提供开源容器管理 工具,并对提供的开源组件进行签名认证,确保组件的安全性、稳定性、可靠性 77.分布式存储软件——可通过安装镜像内置、软件仓库或附加光盘等方式提供开源分布式存 储软件,并对提供的开源组件进行签名认证,确保组件的安全性、稳定性、可靠性 78. (略) ——可通过安装镜像内置、软件仓库或附加光盘等方式提 (略) ,并对提供的开源组件进行签名认证,确保组件的安全性、稳定性、可靠性 79.虚拟化——虚拟化部署——操作系统支持在KVM、Xen、Hyper-V 虚拟机上安装部署操作系统 80.虚拟化——内核虚拟化(KVM)操作系统支持KVM 虚拟化:对虚拟机进行启、停等管理操作;对虚拟机硬盘做快照并从快照恢复;兼容 qemu、libvirt 标准接口;支持 UEFI 或 legacy BIOS 方式启动;支持虚拟时钟arch-timer;支持虚拟鼠标、键盘、触控板、声卡、显卡、硬盘、CDROM、串口 pty/pipe/file 等设备; 支持Virtio 协议下的虚拟设备,包括 串口、blk驱动硬盘、SCSI 驱动硬盘、不同后端控制器类型的Virtio 网卡(包括内核态、用户态、qemu)、GPU、vsock设备等;支 (略) 卡选择类型 VFIO设备;支持虚拟机CPU、内存、网卡、硬盘等离线调整;支 (略) 卡、硬盘、USB 设备热插拔;支持PCI/PCIE 设备直通;支持虚拟机热迁移和加密传 输;支持虚拟机远程访问;支持虚拟机CPU 和I/O 线程绑定 81.虚拟化——KVM 虚拟机管理——操作系统支持虚拟机对主机的访问控制;虚拟机可以拥有独立的物理资源,且各个虚拟机之间严格隔离;支持大页内存运行虚拟机;支持三种CPU 型号模拟模式,包括直通、宿主模型、自定义;支持虚拟机资源调配控制,包括Numa、 CPU、内存、I/O、网卡;支持CPU 拓扑模拟和透传 82.容器——容器虚拟化——操作系统支持OCI;支持进程命名空间隔离技术包括不限于mnt、pid、ipc、 uts、user、network 等;支持在同 CPU指令架构下的不同规格硬件上无缝分 发,保障运行兼容性;支持沙箱扩展;支持面向容器的独立逻辑文件管理,具备在容器创建时指定专用根文件夹,容器内进程文件访问重定向等功能;支持日志查询功能;支持通过控制终端对容器内主进程的标准输入输出对接交互;支持通过控制终端对容器内新建进程的标准输入输出对接交互;支持容器存储卷管理(新增、删除、卷容量配置、自动回收)、卷共享;支持面 (略) 络设备资源分配和使用;支持CNI;支持容器获取物理节点资源信息 83.容器镜像和存储管理——操作系统支持容器镜像导入、导出;支持容器镜像分层保存、导入 84.容器资源隔离和调配——操作系统支持容器资源在线调整,包括CPU 资源、内存资源、I/O 资源等;支 持文件配额分配、存储带宽资源使用量监控等机制,实现容器级 I/O 控制能力;支持面 (略) 络带宽调度策略,实 (略) 络带宽分配、使用量监控等机制;支持面向容器的存储空间使用监控、分配机制;支持容器CPU 核独占;支持面向容器的CPU时间片资源按需划分机制;支持面向容器的内存分配和回收机制,实现内存使用量跟踪和管理;支持同一集群在线、离线业务混合部 署;支持对容器的编排、负载均衡、调度等能力;支持根据容器在线与离线混合部署状态进行资源优先调度,提高计算机资源利用率 85.中文支持——字符编码集——操作系统符合GB # 的要求 86.中文支持——中文帮助文档——操作系统内置中文帮助文档 87.中文支持——多语言图形界面——操作系统的多文种图形用户界面应支持 GB # 规定 88.中文支持——中文图形界面——操作系统支持中文图形操作界面 89.管理工具——系统信息查看工具——操作系统支持查看系统版本、内核版本、内存容量、CPU 型号等信息 90.管理工具——网络管理工具——操作系 (略) 口自动连接、网络地址(常被称为“IP 地址”)设置、DNS设置、路由设置; (略) (略) 聚合,模式类型包括但不仅限于轮询、主备、802.3AD (略) 聚合 91.管理工具——日期和时间管理工具——操作系统可设置时间同步服务器地址, (略) (略) 的同步设置 92.管理工具——日志服务管理工具——操作系统支持收集系统日志 93.管理工具——帐户管理工具——操作系统支持帐户添加、删除、属性修改等 94.管理工具——用户操作审计工具——操作系统支持用户操作痕迹查询 95.管理工具——存储管理工具——操作系统支持EXT、XFS、NTFS、FAT、SWAP 等多种格 (略) 管理 96.管理工具——SNMP 协议工具包——操作系统支持SNMP 设备和操作信息检索 97.管理工具——文本终端连接工具——操作系统支持多终端协同管理 98.管理工具——服务管理工具集——操作系统支持服务启动与停止,查看服务状态及日志,查询服务启动顺序及依赖关系 99.管理工具——配置管理工具——操作系统提供配置管理工具,可以简化任务配置及服务管理 100.管理工具——监控管理工具——操作系统支持监控系统资源使用情况,包 含 CPU、内存、存储 I/O、网络 I/O等 101.管理工具——守护进程——操作系统支持按需启动守护进程,用户可自定义设定需求守护的进程,如遇异常可重新加载,实现应用持续运行 102.基础组件兼容——版本兼容——操作系统基础运行库或开发环境向后(向下)兼容,即系统版本升级后,能兼容上一版本所运行的软件与设备 103.基础组件兼容——兼容周期——操作系统主版本兼容维护时间自发布 之日起不低于 5 年,包括但不限于安全修复、功能升级、新硬件支持等 104.基础组件兼容——兼容方式——操作系统支持以增量升级包的方式实现版本更新 105.运行环境——文件系统层次结构——可给出长期兼容支持的文件系统层次结构 106.运行环境——运行库——可给出长期兼容支持的运行库 107.运行环境——命令——可给出长期兼容支持的常用命令 108.软件包格式——软件包格式转换——操作系统支持RPM 或DEB 格式的软件包,当系统不支持RPM 或DEB 格式的软件包时,提供工具对软件包格式进行转换 109.软件兼容——集群软件——可提供兼容的集群软件清单,且至少兼容一款产品 110.软件兼容—— (略) ——可 (略) 软件清单,且至少兼容三款产品 111.软件兼容——容器云——可提供兼容的容器云软件清单,且至少兼容三款产品 112.软件兼容——存储软件——可提供兼容的存储软件清单,且至少兼容一款产品 113.软件兼容——数据库管理系统——可提供兼容的数据库软件清单,且至少兼容三款产品 114.软件兼容——中间件——可提供兼容的中间件软件清单,且至少兼容三款产品 115.软件兼容—— (略) —— (略) 软件清单,且至少兼容一款产品 116.备份软件——可提供兼容的备份恢复软件清单,且至少兼容一款产品 117. (略) ——可 (略) 软件清单,且至少兼容一款产品 118.终端防护及杀毒——可提供兼容的终端防护及杀毒软件清单,且至少兼容一款产品 119.网络防护——可提 (略) 络防护软件清单,且至少兼容一款产品 120.身份认证——可提供兼容的身份认证软件清单,且至少兼容一款产品 121.硬件兼容——服务器整机——可提供兼容的服务器整机品牌及型号清单,且至少兼容一款产品 122.硬件兼容——AI 服务器——可提供兼容的AI 服务器整机品牌及型号清单,且至少兼容一款产品 123.硬件兼容——存储——可提供兼容的存储服务器整机品牌及型号清单,且至少兼容一款产品 124.硬件兼容——部件兼容——可提供兼容的系统总线、HBA 卡、RAID 卡、网卡、光纤卡、AI 加速卡、GPU、NPU 等品牌及型号清单 125.操作系统连续——运行 168 小时——操作系统高负载下连续常态运行 168 小时无故障 126.备份还原——备份还原——操作系统提供备份还原功能,支持生成系统状态快照及恢复系统状态 127.内存纠错——内存纠错——操作系统支持DDR3、DDR4 等内存上的ECC 查错、纠错 128.热插拔——CPU 热插拔——硬件支持时,操作系统支持CPU 热插拔 129.热插拔——内存热插拔——硬件支持时,操作系统支持内存热插拔 130.热插拔——硬盘热插拔——硬件支持时,操作系统支持硬盘热插拔 131.维护工具——远程维护——操作系统提供远程控制管理工具,支持RDP、SSH、SPICE、VNC 等协议,方便用户进行文本或图形化形式的远程连接及维护 132.维护工具——文件完整检查——操作系统提供文件系统检查工具,对文件系统完整性进行检测和修复 133.维护工具——内核分析——操作系统提供内核性能分析工具,提供性能分析框架,支持对内核函数层面进行分析;提供内核探测工具,支持对内核及用户态程序动态追踪 134.集中管可控——操作系统提供集中管控工具,支持对域内服务器操作系统进行集中管理维护 135.兼容性评价——操作系统提供软硬件兼容性检查工具,自动分析应用软件、硬件兼容性,定位兼容性问题;提供操作系统跨版本兼容性分析工具,在迁移前检查分析软硬 件,定位兼容性问题。 136.性能调优——操作系统提供性能测试调优工具,按系统工作特点(如计算为主、存储为主等)自动优化系统配置 137.日志管理——日志记录与存储——操作系统支持对安全事件的日志记录,包括帐户增删改、成功登录、失败登录、敏感服务开启关闭、配置修改等,日志信息详实,包括所属用户、访问时间、访问地址等;支持内核异常日志信息的记录和存储;支持内核崩溃转储机制,系统崩溃时可收集整个内存信息;支持配置远程日志功能,可将指定日志内容归档到日志服务器;支持对日志功能进行访问控制,防止未经授权的访问 138.日志管理—— (略) 理与分析——操作系统提供系统错误问题回溯分析工具,对系统崩溃问题及错误问题进行回溯;支持日志切分、一键收集、转储、同步机制 139.脆弱性管理——脆弱性管理——操作系统提供故障管理框架,内置故障分析专家系统,可与外部同类型系统互联;具备故障响应、故障警告功能,提供用户接口,支持故障响应、警告信息分发;支持故障管理守护进程,使用统一的传输信道或机制上报故障信息;具备硬件故障信息捕获、 (略) 理功能,包 括 CPU、内存及PCIe 设备等硬件的故障;支持诊断/响应组件动态加载机制;提供或支持第三方远程诊断框架及调 测工具集,实现远程诊断及调试断点功能;支持物理机、虚拟机中操作系统的故障恢复 140.热补#——热补#——操作系统支持对内核热补#进行编号,每个热补#拥有独立编号;支持增量修复以及回滚机制;提供热补#合法性和一致性校验功能;提供热补#管理机制和工具,功能至少覆盖补#查询、安装、移除;提供热补#升级和回滚系统日志,便于查询或回溯 141.系统升级——升级内容——操作系统支持系统增量升级功能,对系统部件、安全补#等升级 142.系统升级——升级方式——操作系统支持在线升级和离线升级 143.系统升级——数据保护——操作系统升级不得修改破坏用户数据 144.系统升级——兼容性——操作系统升级不得影响原有软硬件兼 容性,如有影响应显式的提示告知用户 145.回退——操作系统提供升级回退机制,能卸载已升级的软件包,恢复系统原有状态,如升级为不可回退,则系统升级前以显式的提示告知用户 146.交付方式——交付方式——供应商提供光盘、USB 闪存盘、镜像文件(下载)等交付方式 147.服务周期——产品维护周期——产品自发布之日起至产品停止功能升 级(包含不限于新特性、新硬件支持、问题修复、安全补#等)之日止5 年 148.服务周期——产品延伸服务周期——产品停止功能升级之日起至产品停止 功能维护(包括问题修复、安全补#等)之日止5 年 149.服务周期——产品延伸安全服务周期—— 3 年 150.服务周期——售后服务最小保障期—— 8 年 151.售后服务——原厂服务——服务由操作系统厂商的正式员工提供 152.售后服务——服务热线电话——操作系统厂商为最终用户提供工作日 每日 8h(覆盖一般工作时间,具体时间由企业标准给出)中文技术服务热线 153.售后服务——技术服务标准——操作系统厂商提供工作日每日8h 技术支持服务 154.售后服务——定制优化增值服务——操作系统厂商提供代码级定制优化服务 155.售后服务——技术服务时效——操作系统厂商满足同城 4h、异地12h 响要求,两个工作日解决问题,对于未能解决的问题和故障提供可行的升级方 案 156.售后服务——技术服务保障——发生非人为因素故障,在七日内由操作系统厂商原厂人员免费对产品进行补 充或更换 157.现场交付与安装调试——现场安装调试——操作系统厂商提供产品安装与现场调试,并提供安装与调试所需的工具和设备 158.现场交付与安装调试——配套资料——交付产品时操作系统厂商提供配套的技术资料,包括但不限于系统说明文 件、用户手册(用户安装、操作、维护、故障排除)等 159.系统更换——系统更换——服务期内,操作系统厂商支持版本免费更换 160.厂商能力要求——服务团队——操作系统厂商建立全国技术服务体系 和服务团队,为客户提供专业的原厂中文服务 161.数据安全保障——数据收集安全保障——除用户授权采集的信息外不采集其他 数据,相关信息采集无安全风险,相关数据存储在大#境内 162.数据安全保障——数据供给安全保障——涉及数据下载的线上服务物理服务器 不出境,包括代码仓库、系统补#、安全补#、 (略) 站等 163.代码无风险——代码无风险——操作系统厂商提供源代码,源代码可供第三方机构审查,开源许可合规,代码知识产权无风险,无恶意安全漏洞或后门,代码可追溯、可重构 164.工程构建体系——工程构建体系——操作系统厂商具备统一的工程构建体系,能用一套操作系统源码构建用于云侧计算、边侧计算场景中部署运行的操作系统,降低部署后系统维护、使用复杂度 165.基本要求——基本要求——操作系统应当符合安全可靠测评要求 166.密码算法支持——密码算法实现——操作系统支持 GM/T 0002、GM/T 0003和 GM/T 0004 规定的密码算法运算 167.密码算法支持——随机数生成——操作系统随机数质量符合GM/T 0005《随机性检测规范》或GB/T#《信息安全技术二元序列随机性检测方法》 168.密码算法支持——内置数字证书——操作系统内置国家电子认证根 CA 的根证书 169.密码算法支持——密码协议实现——操作系统支持符合GB/T #—2020的 TLCP 170.安全管理——防火墙——操作系统提供防火墙配置管理工具,支持基于协议、网络地址、端口的访问控制规则配置,规则修改后立即生效;支持关闭指定服务和端口,包括但不限于关闭远程访问、共享访问等;支持防止 ARP 欺骗攻击 171.安全管理——安全框架——操作系统提供统一访问控制安全框架 172.安全管理——三员管理——操作系统支持系统管理员、安全管理员、审计管理员分权管理 173.安全管理——文件完整性——操作系统支持静态文件度量(如 IMA)和动态内存度量,保障特定文件及内存中运行程序的完整性 174.安全管理——可信计算——操作系统支持机密计算框架,提供机密计算SDK,能接入 1 种以上可信执行环境 175.安全管理——内核保护——操作系统支持内核完整性保护,保障内核不被非授权改变;提供内核模块加载黑名单机制 176.身份鉴别——身份鉴别服务——用户标识使用帐户名和帐户ID,在操作系统的整个生存周期内用户标识具有 唯一性;支持用户口令复杂度校验及强口令管理;支持用户口令有效期配置;支持口令鉴别失败控制;支持口令加密算法配置,用户口令进行加密后以不可逆的密文形式保存;支持禁止根帐户(root)远程登录设置 177.访问控制——自主访问控制——允许客体拥有者以普通帐户决定并控 制对客体的访问,并阻止非授权用户对客体的访问;普通用户缺省拥有新建、读写和删除私有目录下文件的权限;支持细粒度的自主访问控制,将访问控制的粒度控制在单个用户,对系统中的每一个客体,实现由客体拥有者以指定用户方式确定其对该客体的访问权限,而其他同组用户或非同组的用户和用户 组对该客体的访问权则由客体拥有者 授予 178.访问控制——强制访问控制——操作系统支持对应用程序的访问控制 与资源限制,包括对文件、网络等客体的访问控制;支持应用安装控制、应用执行控制 179.访问控制——安全审计——操作系统能对身份鉴别的使用、自主访问控制、标记和强制访问控制策略的修改等生成审计日志;审计记录包括:事件类型、事件发生的日期、触发事件的用户、事件成功或失败等字段;支持审计日志查询和导出功能 180.漏洞管理——漏洞管理——操作系统支持漏洞编号,每个漏洞独立编号,可直接使用NVDB、CNVD 或 CVE编号;漏洞提醒,发现或获悉漏洞信息时,通过系统推送、电子邮 (略) 站等方式通知用户;漏洞修复,对已发现的安全漏洞通过补#等方式对系统 漏洞进行修复;漏洞列表,提供每个版本已修复的漏洞列表,提 (略) 页等方式方便用户查询漏洞及其修复情况 | 
