2021信息技术安全技术服务器安全技术要求和测评准则.docx

《2021信息技术安全技术服务器安全技术要求和测评准则.docx》由会员分享，可在线阅读，更多相关《2021信息技术安全技术服务器安全技术要求和测评准则.docx（26页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全技术服务器安全技术要求和测评准则a）测评方法：核查服务器具备维护或调试功能的外部硬件接口是否采取安全控制措施（如采用专用工具、 认证等），并验证其有否有效。b）预期结果：具备维护或调试功能的外部硬件接口采取了安全控制措施，且相关功能有效。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 2. 3固件安全6. 2. 3. 1完整性保护完整性保护的测评方法如下：a）测评方法：1）启用服务器引导固件、带外管理模块固件存储区保护机制，验证其完整性保护机制是否有 效;2）在带外管理模块固件访问服务器引导固件时，验证其授权控制功能是否有效；3）配置可信策略，启动

2、服务器，验证是否通过可信根对服务器引导固件和主引导分区/初始 化 程序加载器完整性进行了检测；4）模拟服务器引导固件和主引导分区/初始化程序加载器完整性受到破坏，验证服务器启动 后相应的安全措施（如停止启动、自动恢复、报警等）是否有效。b）预期结果：1）服务器引导固件、带外管理模块固件的存储区提供有效的完整性保护机制；2）带外管理模块固件访问服务器引导固件时采取了访问控制机制，可防止非授权的访问；3）服务器采用了可信根机制，并在启动时对服务器引导固件和主引导分区/初始化程序加载 器 的完整性进行了检测；4）当服务服务器检测到引导固件和主引导分区/初始化程序加载器完整性破坏后，可根据提 供/配置

3、的安全措施进行响应。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 2. 3. 2更新安全更新安全的测评方法如下：a）测评方法：1）核查服务器引导固件和带外管理模块固件更新操作是否提供用户授权机制，如更新确认按钮，并验证其是否有效；2）核查服务器引导固件和带外管理模块固件更新是否具备对其镜像文件进行真实性和完整 性 的校验机制；3）分别伪造服务器引导固件和带外管理模块固件的更新镜像文件，验证更新验证机制对其真实 性验证是否有效；4）分别模拟服务器引导固件和带外管理模块固件的更新镜像文件受到破坏，测试更新验证机制 对其完整性验证是否有效；5）配置可信策略，执

4、行服务器引导固件更新操作，验证是否通过可信根对待更新服务器引 导 固件镜像文件进行了校验后才能执行更新操作。b）预期结果：1）服务器引导固件和带外管理模块固件的更新操作提供了用户授权，并在用户授权后才能执 行 更新操作；2）服务器引导固件和带外管理模块固件在更新时提供了对镜像文件的真实性和完整性校验 机 制；3）服务器引导固件和带外管理模块固件的更新机制能识别伪造的镜像文件，并提示更新失 败;4）服务器引导固件和带外管理模块固件的更新机制能识别遭到破坏的镜像文件，并提示更新失败；5）服务器采用了可信根机制，并通过可信根对服务器引导固件待更新镜像文件校验通过后 才 能执行更新操作。c）结果判定：

5、实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 2. 3. 3固件恢复固件恢复的测评方法如下：a）测评方法：1）对服务器引导固件和带外管理模块固件分别进行手工恢复操作，验证其是否能将备份固件进 行成功恢复；2）配置服务器引导固件和带外管理模块固件自动恢复策略，触发固件自动恢复条件，验证 其 自动恢复功能是否有效。b）预期结果：1）服务器引导固件和带外管理模块固件均可通过手动恢复机制进行固件恢复；2）服务器启动时，当检测到服务器引导固件和带外管理模块固件破坏或不可用后可按预期方 式进行自动恢复。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合

6、。6. 2.4驱动程序安全驱动程序安全的测评方法如下：a）测评方法：1）核查服务器随机提供的驱动程序是否提供了真实性和完整性验证机制，如基于数字签名的 验 证机制；2）通过伪造或模拟破坏驱动程序的方式，验证其安全机制是否有效。b）预期结果：服务器针对随机的驱动程序提供了真实性和完整性验证机制。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 2.5可靠运行支持可靠运行支持的测评方法如下：a）测评方法：1）核查服务器是否对电源、风扇、硬盘等部件进行了冗余设计;2）通过故障引入操作的方式，对电源、风扇、硬盘等进行热插拔操作，验证其是否有效；3）登录相关监控管理界

7、面，查看部分关键部件的温度、电压，以及风扇转速等实时监控数据；4）针对3）中各项监控对象，配置报警阈值并通过模拟异常状态使各监控超过阀值，验证报 警机制是否有效；5）分别模拟服务器CPU、硬盘、内存出现故障，验证服务器故障定位功能是否有效；6）分别模拟服务器硬盘、内存出现故障，验证部件故障隔离机制是否有效；7）在6）的验证基础上，故障部件隔离生效后，核查服务器运行状态是否正常。b）预期结果：1）服务器电源、风扇、硬盘等采用了冗余设计；2）服务器电源、风扇、硬盘等进行热插拔操作后，服务器仍能正常运行；3）服务器提供监控管理界面，可查看到部分关键部件的温度、电压，以及风扇转速等实时监控 数据，且监

8、控数据真实有效；4）服务器对所监测数值超过阈值时提供了报警的功能（如声、光、网络报文、日志记录等）；5）服务器可对出现的CPU、硬盘、内存进行提示和定位（比如通过声、光、日志记录等）；6）服务器对硬盘、内存等部件提供了故障隔离机制，并在部件冗余配置情况下，可有效隔 离出现故障的部件；7）在6）的基础上，故障部件隔离后，服务器仍能正常运行。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 2.6自身安全管理6. 2, 6.1身份标识与鉴别身份标识与鉴别的测评方法如下：a）测评方法：1）登录带外管理模块固件，查看已有的用户列表，并尝试创建同名用户；2）尝试使用合

9、法和非法用户分别登录带外管理模块固件，验证其身份鉴别功能是否有效；3）尝试修改服务器引导固件和带外管理模块固件中用户默认口令，验证是否可正常修改口 令;4）在带外管理模块中通过创建新用户或修改用户口令，验证是否对口令的复杂度进行了校 验;5）尝试使用错误的鉴别信息登录，验证带外管理模块固件鉴别失败处理功能是否有效；6）登录带外管理模块固件，配置会话超时时间，验证超时后是否正常退出会话；7）核查服务器引导固件和带外管理模块固件中鉴别信息存储方式。b）预期结果：1）无法创建同名用户，身份标识可保证唯一性；2）合法用户可正常登录，非法用户无法登录；3）可修改默认口令，且口令长度不少于8位，包含的字符

10、类型不少于2种的情况下才能修改 成功；4）创建新用户时自动生成或设置的口令，以及修改用户口令时，均对口令复杂度进行了校验 或 满足复杂度的要求，即口令长度不少于8位，包含的字符类型不少于2种；5）当达到非法登录尝试次数时，采用了安全措施（如锁定账号或限制账号登录时限），可有 效 防止暴力破解攻击；106）当登录会话超时后，系统将自动退出会话并清除登录会话信息；7）服务器引导固件和带外管理模块固件中鉴别信息采用了加密存储方式。c） 结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 2. 6. 2授权与访问控制授权与访问控制的测评方法如下：a）测评方法：1）以默认用

11、户登录带外管理模块固件，核查各用户操作权限范围与预置访问控制策略是否一 致, 并满足了最小权限原则；2）配置带外管理模块固件的访问控制策略，验证用户授权与访问控制策略是否有效；3）通过渗透测试等方式，验证服务器引导固件和带外管理模块固件中是否存在未经声明的功 能接 ob）预期结果：1）默认用户权限满足最小权限原则，与预置访问控制策略一致；2）用户的权限范围与配置的访问控制策略相一致；3）渗透测试未发现未经声明的功能接口。c） 结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 2. 6. 3 安全审计安全审计的测评方法如下：a）测评方法：1）在服务器带外管理模块上

12、分别执行登录、注销、系统开关机、用户创建、删除、口令修改等 操作，查看审计日志是否记录其行为；2）在服务器带外管理模块进行核心安全配置变更操作（如访问控制策略、自动更新策略、安 全监控策略等），查看审计日志是否记录其行为；3）在服务器带外管理模块上进行固件更新和恢复操作，查看审计日志是否记录其行为；4）核查1）、2）、3）中审计记录的详细信息；5）采用非授权用户访问，直接非法操作日志文件等方式，验证审计记录保护措施是否可有效 防止 非预期的删除、修改或覆盖等；6）登录服务器带外管理模块，验证审计记录转存或输出功能是否有效。b） 预期结果：1）在服务器带外管理模块上进行的登录、注销、系统开关机、

13、用户创建、删除、口令修改等 操 作行为均记录了其行为，并在审计记录中可查看相关信息；2）在带外管理模块上进行的核心安全配置变更操作行为均记录了其行为，并在审计记录中 可 查看相关信息；3）在带外管理模块上进行的固件更新和恢复操作行为均记录了其行为，并在审计记录中可 查 看相关信息；4）审计日志事件包含发生日期和时间、用户名、事件描述（包括类型、操作结果）、IP地址 或主机名（采用远程管理方式时）等；5）具备审计记录保护措施，可避免非预期的删除、修改或覆盖等；6）可转存或输出完整的审计记录，如备份，或输出到其他日志系统。11c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为

14、不符合。6. 2. 6. 4远程管理远程管理的测评方法如下：a）测评方法：1）通过相关文档，核查服务器带外管理模块开放端口和服务列表，以及其用途的描述是否完 整、 正确；2）通过技术手段（如端口扫描、查看服务进程等），核查是否不存在其它未说明的开放端口 和服务；3）通过技术手段（如嗅探等）抓取网路传输数据包，核查网络传输数据是否是密文；4）配置远程管理终端接入限制策略，通过不同的IP地址或IP段的终端远程访问带外管理模 块，验证其限制策略是否有效。b）预期结果：1）对服务器带外管理模块开放的所有端口和服务列表，以及其用途进行了完整、正确的说明;2）未发现未经申明的端口和服务；3）采用了安全的网

15、络协议，并对网络传输数据进行了加密处理；4）可对远程终端的接入进行限制。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6.3安全保障要求测评1. 3.1开发6. 3.1.1 安全架构安全架构的测评方法如下：a）测评方法：核查开发者提供的安全架构证据，并核查开发者提供的信息是否满足证据的内容和形式的所有 要 求：1）与服务器设计文档中对安全功能的描述范围和抽象描述级别是否相一致；2）是否充分描述服务器采取的自我保护、不可旁路的安全机制。b） 预期结果：开发者提供的信息满足5.2. 1.1中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情

16、况判定为不符合。7. 功能规范功能规范的测评方法如下：a）测评方法：核查开发者提供的功能规范证据，并核查开发者提供的信息是否满足证据的内容和形式的所有 要 求：1）是否清晰描述了与5.1中定义的安全功能要求的关系;122）是否标识和描述服务器所有安全功能接口的目的、使用方法及相关参数；3）描述安全功能实施过程中，是否描述与安全功能接口执行相关的行为；4）是否描述可能由安全功能接口的执行而引起的所有直接错误消息。b）预期结果：开发者提供的信息满足5. 2.1. 2中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。8. 产品设计产品设计的测评方法如下：a）

17、测试实施包括：核查开发者提供的产品设计证据，并核查开发者提供的信息是否满足证据的内容和形式的所有要 求：1）是否根据子系统描述服务器结构，是否标识和描述服务器安全功能的所有子系统；2）是否描述安全功能所有子系统的行为，以及相互作用关系；3）提供的对应关系是否能够证实安全子系统和安全功能接口的应对关系。b）预期结果：开发者提供的信息满足5.2. 1.3中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。9. 3.2指导性文档10. 3. 2. 1操作用户指南操作用户指南的测评方法：a）测评方法：核查开发者提供的操作用户指南证据，并核查开发者提供的信息是否满

18、足证据的内容和形式的 所 有要求：1）是否描述用户能够访问的功能和特权，包含适当的警示信息；2）是否描述对预留的外部硬件接口说明，说明信息至少包括接口名称、接口类型、功能等;3）是否描述服务器安全功能及接口的用户操作方法，包括配置参数的安全值；4）是否标识和描述服务器运行的所有可能状态，包括操作导致的失败或者操作性错误；5）是否描述保障服务器运行环境安全要求必须执行的安全策略。b）预期结果：开发者提供的信息满足5. 2. 2.1中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。11. 3. 2. 2 准备程序准备程序的测评方法如下：a）测评方法：核查开

19、发者提供的准备程序证据，并核查开发者提供的信息是否满足证据的内容和形式的所有 要 求：131）是否描述与开发者交付程序相一致的安全接收所交付服务器必需的所有步骤；2）是否描述安全安装服务器及其运行环境必需的所有步骤。b）预期结果：开发者提供的信息满足5. 2. 2. 2中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 3.3生命周期支持7. 3. 3.1配置管理能力配置管理能力的测评方法如下：a）测评方法：核查开发者提供的配置管理能力证据，并核查开发者提供的信息是否满足证据的内容和形式的 所有要求：1）是否为不同版本的服务器引导固件和带外管理模块

20、固件提供唯一的标识；2）配置管理系统是否对所有的配置项进行唯一的标识，并对配置项进行维护；3）配置管理文档是否描述了对配置项进行唯一标识的方法；4）是否能通过自动化配置管理系统支持服务器配置项的生成，是否仅通过自动化措施对配 置 项进行授权变更；5）配置管理计划是否描述了用来接受修改过的或新建的作为服务器组成部分的配置项的程 序;6）配置管理计划是否描述如何使用配置管理系统开发服务器，现场核查活动是否与计划一致。 b）预期结果：开发者提供的信息和现场活动证据内容满足5. 2. 3. 1中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。8. 3. 3.

21、2配置管理范围配置管理范围测评方法如下：a）测试方法：核查开发者提供的配置管理范围证据，并核查开发者提供的信息是否满足证据的内容和形式的 所有要求：1）是否包括了服务器本身、服务器的组成部分和安全保障要求的评估证据；2）是否对所有安全功能相关的配置项的开发者进行简要说明。b）预期结果：开发者提供的信息满足5. 2. 3. 2中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。9. 3. 3. 3交付程序交付程序的测评方法如下:a）测评方法：14核查开发者提供的交付程序证据，并核查开发者提供的信息是否满足证据的内容和形式的所有要求：1）是否使用一定的交付程

22、序交付服务器；2）是否使用文档描述交付过程，文档中是否包含为维护服务器安全性所必需的所有程序。b） 预期结果：开发者提供的信息和现场活动证据内容满足5. 2. 3. 3中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。10. 3. 3. 4 开发安全开发安全的测评方法如下：a）测评方法：核查开发者提供的开发安全证据，并核查开发者提供的信息是否满足证据的内容和形式的所 有 要求：1）开发安全文档是否描述在开发环境中，为保护系统设计和实现的保密性和完整性所必需 的 所有物理的、程序的、人员的和其他方面的安全措施。2）核查产品的开发环境，开发者是否使用了物理

23、的、程序的、人员的和其他方面的安全措施保证产品设计和实现的保密性和完整性，这些安全措施是否得到了有效的执行。b）预期结果：开发者提供的信息和现场活动证据内容满足5. 2. 3. 4中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。11. 3. 3. 5 生命周期定义生命周期定义的测评方法如下：a）测评方法：核查开发者提供的生命周期定义证据，并核查开发者提供的信息是否满足证据的内容和形式 的所有要求：1）是否使用生命周期模型对服务器的开发和维护进行的必要控制；2）生命周期定义文档是否描述了用于开发和维护服务器的模型。b）预期结果：开发者提供的信息应和现场

24、活动证据内容满足5中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。6. 3. 4测试7. 3. 4.1测试覆盖测试覆盖的测评方法如下：a）测评方法：核查开发者提供的测试覆盖证据，并核查开发者提供的信息是否满足证据的内容和形式的所有要 求：1）核查开发者提供的测试覆盖文档，在测试覆盖证据中，是否表明测试文档中所标识的测试15与功能规范中所描述的服务器的安全功能是对应的；2）核查开发者提供的测试覆盖分析结果，是否表明功能规范中的所有安全功能接口都进 行了测试。b）预期结果：开发者提供的信息满足5. 2. 4.1中所述要求。c）结果判定：实际测评结果与相关

25、预期结果一致则判定为符合，其他情况判定为不符合。8. 3. 4, 2测试深度测试深度的测评方法如下：a）测评方法：核查开发者提供的测试深度证据，并核查开发者提供的信息是否满足证据的内容和形式的所 有 要求：1）核查开发者提供的测试深度分析，是否表明测试文档中对安全功能的测试与服务器设计 中 的安全功能子系统、实现模块之间的一致性；2）是否能够证实所有安全功能子系统、实现模块都已经进行过测试。b）预期结果：开发者提供的信息满足5. 2. 4. 2中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。9. 3. 4. 3功能测试功能测试的测评方法如下：a）测评

26、方法：核查开发者提供的功能测试证据，并核查开发者提供的信息是否满足证据的内容和形式的所有要求：1）核查开发者提供的测试文档，是否包括测试计划、预期的测试结果和实际测试结果；2）核查测试计划是否标识了要执行的测试，是否描述了每个安全功能的测试方案以及测试方 案 对其他测试结果的依赖关系；3）核查预期的测试结果是否表明测试成功后的预期输出；4）核查实际的测试结果是否表明每个被测试的安全功能能按照规定进行运作。b）预期结果：开发者提供的信息满足5. 2. 4. 3中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。10. 3.4. 4独立测试独立测试的测评方法

27、如下：a）测评方法：核查开发者提供的测试集合是否与其自测系统功能时使用的测试集合相一致，以用于安全功能 的 抽样测试，并核查开发者提供的资源是否满足内容形式的所有要求。b）预期结果：16 开发者提供的信息满足5. 2. 4. 4中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。11. 3. 4. 5安全性测试安全性测试的测评方法如下：a）测试实施包括：核查开发者提供的安全性测试证据，并核查开发者提供的信息是否满足证据的内容和形式的所 有要求：1）核查开发者是否使用文档描述服务器引导固件、带外管理模块固件安全性测试；2）核查安全性测试文档是否描述了针对已

28、识别的严重安全缺陷列表及修复情况。b）预期结果：开发者提供的信息满足5. 2. 4.5中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。12. 3.5脆弱性评定脆弱性评定的测评方法如下：a）测评方法：1）从攻击者可能破坏安全策略的明显途径出发，按照安全机制定义的安全强度级别对服务器 潜 在威胁进行脆弱性分析；2）通过渗透测试判断服务器是否能抵抗基本攻击潜力的攻击者的攻击；3）通过渗透测试判断服务器是否能抵抗中等攻击潜力的攻击者的攻击。b）预期结果：1）渗透测试结果应表明服务器能够抵抗基本攻击潜力的攻击者的攻击；2）渗透测试结果应表明服务器能够抵抗中等攻

29、击潜力的攻击者的攻击。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不符合。14. 3. 6维护维护的测评方法如下：a）测评方法：核查开发者提供的维护证据，并核查开发者提供的信息是否满足证据的内容和形式的所有要 求:1）核查开发者提供的维护规范及维护过程证据，是否包含服务器安全缺陷、漏洞应急响应相 关 的流程规范；2）现场核查开发者发现服务器存在的安全缺陷、漏洞时，是否按照既定程序及时采取修复或 替 代方案等补救措施。b）预期结果：开发者提供的信息和现场活动证据内容应满足5.2. 6中所述要求。c）结果判定：实际测评结果与相关预期结果一致则判定为符合，其他情况判定为不

30、符合。17刖BI1范围12规范性引用文件13术语、定义和缩略语14概述25安全技术要求25. 1安全功能要求25.1.1 设备标签25.1.2 硬件接口安全25.1.3 固件安全25.1.4 驱动程序安全35.1.5 可靠运行支持35.1.6 自身安全管理35.2安全保障要求45. 2.1 开发45. 2.2指导性文档55. 2.3生命周期支持55. 2.4 测试65. 2. 5脆弱性评定65. 2.6 维护66安全测评准则76.1测试环境76.2安全功能要求测评76. 2.1设备标签76. 2.2硬件接口安全76. 2.3固件安全86. 2.4驱动程序安全96. 2.5可靠运行支持96. 2

31、.6自身安全管理106.3安全保障要求测评126. 3. 1 开发126. 3.2指导性文档136. 3.3生命周期支持146. 3.4 测试156. 3. 5 脆弱性评定176. 3.6 维护17附录A （资料性附录）服务器操作系统安全要求18附录A（资料性附录）服务器操作系统安全要求操作系统安全性配置不当将直接影响服务器硬件系统安全效能。因此，为减小对服务器硬件系统安全 效能的影响，用户在配置服务器操作系统时，建议从以下几方面考虑操作系统安全要求：a）应结合自身业务需求和相关安全规范要求，操作系统应符合GB/T 20272相关要求；b）对于增强级服务器，操作系统宜符合GB/T 20272第

32、三级要求；c）对于增强级服务器，操作系统应支持部件隔离机制，以支撑本标准5.1.5 d）的故障隔离机制 发挥效能；d）对于增强级服务器，操作系统应基于可信根，对操作系统引导程序、内核程序、关键系统服务 及配置进行可信验证；e）当通过操作系统对服务器引导固件和带外管理模块固件进行更新时，应采取相应的安全措施， 防止非授权更新操作，并对固件的真实性和完整性进行验证；f）当通过操作系统对服务器引导固件和带外管理模块固件进行安全配置时，应首先进行身份鉴别。18附录B（资料性附录）服务器安全等级划分表B.1给出了基本级和增强级的服务器安全等级划分。表B.1服务器安全等级划分安全技术要求基本级增强级安全功

33、能 要求设备标签5. 1. 15. 1. 1硬件接口安全5. 1.25. 1.2固件安全完整性保护5. 1. 3. 1 a)、b)5. 1. 3. 1更新安全5. 1.3.2 a)、b)固件恢复5. 1. 3. 3 a)驱动程序安全5. 1.45. 1.4可靠运行支持5. 1. 5 a)、b)5. 1.5安全管理身份标识与鉴别5. 1.6. 15. 1.6. 1授权与访问控制安全审计5. 1.6.3 a)l)、b)d)远程管理5. 1. 6. 4安全保障 要求开发安全架构5. 2. 1. 15.2. 1. 1功能规范5.2. 1.25.2. 1.2产品设计5. 2. 1. 35.2. 1.3指

34、导性文档操作用户指南5. 2. 2. 15. 2. 2. 1准备程序5. 2. 2. 25. 2. 2. 2生命周期支持配置管理能力5. 2. 3. 1 a)c)5. 2. 3. 1配置管理范围5. 2. 3. 25. 2. 3. 2交付程序5. 2. 3. 35. 2. 3. 3开发安全5. 2. 3. 4生命周期定义5. 2. 3. 5测试测试覆盖5. 2. 4. 1 a)5. 2. 4. 1测试深度5. 2. 4. 2功能测试5. 2. 4. 35. 2. 4. 3独立测试5. 2. 4. 45. 2. 4. 4安全性测试5. 2. 4. 5脆弱性评定5. 2. 5 a)维护5. 2.6

35、注：“”表示不适用。1920信息安全技术服务器安全技术要求和测评准则1范围本标准规定了服务器的安全技术要求和测评准则。本标准适用于服务器的研制、生产、维护和测评。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20272信息安全技术操作系统安全技术要求GB/T 25069信息安全技术术语3术语、定义和缩略语3.1 术语和定义GB/T 20272和GB/T 25069界定的以及下列术语和定义适用于本文件。3. 1. 1服务器server网络环境下为客户端计算机提供

36、特定应用服务的计算机系统。注1：本标准计算机系统指服务器硬件系统部分，主要包含独立计算单元、存储单元、网络传输单元、监控管理单元、 供电单元及驱动程序等。注 2：改写 GB/T 9813. 32017,定义 3.1。3. 1.2服务器引导固件server boot f i rmware负责服务器芯片组的初始化和配置，收集、汇总硬件资源信息并引导进入操作系统的程序。3. 1.3带外管理模块 out-of -band management modu I e通过专用物理通道对服务器进行控制管理和维护的独立管理单元。示例：x86平台的BMC Power平台的FSP等。3. 1.4带外管理模块固件 ou

37、t-of-band management module f i rmware存在于带外管理模块中，用于实现其功能的程序。3. 1.5驱动程序 dr i ver program为操作系统或应用程序提供操作或控制服务器中特定设备的软件程序。3. 2缩略语下列缩略语适用于本文件。CPU：中央处理器（central processing unit）4概述服务器的安全要求对提高其业务运行能力，保证其服务提供的安全性和可持续性至关重要。由于服务 器整体安全受到如硬件系统、操作系统等多方面的约束，任何一方面安全保护能力的不足或互补不到位都将 影响服务器整体的安全性。本标准主要对服务器硬件系统提出了安全技术要

38、求和安全测评准则， 服务器配置的 操作系统相关安全要求参见附录A。服务器安全技术要求分为安全功能要求和安全保障要求。其中安全功能要 求是对服务器应具备的安全功能提出的具体要求，包括设备标签、硬件接口安全、固件安全、驱动程序安全、可靠运行支持和自身安全管理等；安全保障要求是对服务器生命周期过程提出的具体要求，包括开发、指导 性文档、生命周期支持、测试、脆弱性评定和维护等。根据安全技术要求，本标准给出了相应的安全测评准则。根据服务器安全技术发展情况及应用需求，结合服务器安全功能的强弱，以及安全保障要求的高低， 本标 准将服务器安全技术要求划分为基本级和增强级，其中增强级的新增部分用“宋体加粗”表示

39、。附录B以表格 的形式列举了第5章基本级和增强级的安全技术要求。5 安全技术要求5.1 安全功能要求5.1.1 设备标签应在服务器显著位置设置标签，以标识服务器设备信息（包括设备型号、设备唯一识别码、生产厂 商 等）。5.1.2 硬件接口安全应对具备维护或调试功能的外部硬件接口采取安全控制措施，如采用专用工具、认证等。5.1.3 固件安全5.1.4 1.3. 1 完整性保护完整性保护功能应满足以下要求：a）对服务器引导固件、带外管理模块固件提供存储区完整性保护机制；b）访问服务器引导固件时，应先进行授权控制；c）基于可信根，在服务器启动时，对于服务器引导固件和主引导分区/初始化程序加载器进行完

40、整 性检测，并在检测到其完整性被破坏后，采取相应安全措施，如停止启动、自动恢复、报 警等。5. 1.3. 2更新安全更新安全功能应满足以下要求：1）提供服务器引导固件和带外管理模块固件更新的用户授权机制，应在获得用户授权后方可进 行;2）服务器引导固件和带外管理模块固件更新时，应对其镜像文件的真实性和完整性进行校验，验 证 通过后方可允许更新；3）基于可信根，对待更新的服务器引导固件镜像文件进行校验，验证通过后方可允许更新。固件恢复固件恢复功能应满足以下要求：a）提供服务器引导固件和带外管理模块固件手动恢复机制；b）提供服务器引导固件和带外管理模块固件自动恢复机制，在检测到固件被破坏后，采取相

41、应 的 自动恢复措施，如替换已破坏的固件，启用备用固件等。5. 1.4驱动程序安全应具备服务器驱动程序的真实性和完整性验证机制。注：驱动程序是指由服务器厂商提供的驱动程序。可靠运行支持可靠运行支持应满足以下要求：a）对服务器的电源、风扇、硬盘等部分关键部件进行冗余设计，硬盘、风扇、电源支持热插拔功 能；b）对服务器部分关键部件的温度、电压，以及风扇转速等进行安全监控，当监测数值超过预先设 定 的阈值时应报警；c）提供服务器CPU、硬盘、内存等部分关键部件故障定位的机制；d）对服务器硬盘、内存等部分关键部件提供故障隔离机制，当某一部件出现故障时，服务器仍 可 提供计算服务。自身安全管理身份标识与

42、鉴别1）带外管理模块固件中身份标识与鉴别功能应满足以下要求：a）对用户身份进行标识和鉴别，身份标识具有唯一性；b）提供默认口令修改机制；c）用户设置口令时，应对口令的复杂度进行验证，确保口令长度不少于8位，包含的字符类型不少于2种；d）具备鉴别失败处理功能，如限制连续的非法登录尝试次数措施；e）具备登录连接超时自动退出机制；f）鉴别信息采取加密方式存储。2）服务器引导固件中身份标识与鉴别功能应满足以下要求：a）提供默认口令修改机制；b）鉴别信息采取加密方式存储。5. 授权与访问控制1）带外管理模块固件中授权与访问控制安全功能应满足以下要求：a）依据最小权限的原则，为默认用户预置访问控制策略；b

43、）在用户访问受控资源或功能时，依据设置的控制策略进行授权和访问控制；C）不存在未声明的功能接口。2） 服务器引导固件不存在未声明的功能接口。5. 1.6.3 安全审计带外管理模块固件中安全审计功能应满足以下要求：a）审计事件至少包括：1）用户的登录和注销、系统开关机、用户创建、删除、口令修改；2）核心安全配置的变更，如访问控制策略、自动更新策略、安全监控策略等；3）固件更新和恢复记录。b）在审计记录中至少包括以下内容：事件发生日期和时间、用户名、事件描述（包括类型、操作 结 果）、IP地址或主机名（采用远程管理方式时）；C）对审计记录进行保护，避免受到非预期的删除、修改或覆盖等；d）提供审计记

44、录转存或输出功能。6. 远程管理带外管理模块固件中远程管理安全功能应满足以下要求：a）提供开放端口和服务列表，并明示其用途；b）采用安全的网络协议或接口对传输数据进行保护；c）对远程管理终端的接入进行限制，如设定网络地址范围。5.2安全保障要求5.2.1 开发5. 2.1.1 安全架构开发者对服务器安全功能的安全架构描述应包含以下内容：a）与产品设计文档中对安全功能描述的范围和抽象描述级别相一致；b）充分描述服务器安全功能采取的自我保护、不可旁路的安全机制。功能规范开发者对服务器安全功能规范的描述应包含以下内容：a）描述功能规范到5.1中安全功能要求的追溯关系；b）描述服务器所有安全功能接口的

45、目的、使用方法及相关参数；c）描述安全功能实施过程中，与安全功能接口执行相关的行为；d）描述安全功能接口执行时，引起的直接错误消息。注：安全功能接口是指服务器向外部实体（如管理员、外部系统）提供的操作界面。5.2. 1.3产品设计开发者对服务器安全功能设计的描述应包含以下内容：a）根据子系统描述服务器安全功能的结构，并标识安全功能的所有子系统；b）描述安全功能子系统的行为，以及相互作用关系；c）提供安全子系统和安全功能接口间的对应关系。指导性文档5.2. 2.1操作用户指南开发者为所有操作用户角色提供的操作用户指南应包含以下内容：a）描述每一种操作用户角色能访问的功能和特权，包含适当的警示信息；b）对预留的外部硬件接口进行说明，包括接口名称、接口类型、功能等；c）描述服务器安全功能及接口的操作方法，包括配置参数的安全值等；d）标识和描述服务器运行的所有可能状态，包括操作导致的失败或者操作性错误等；e）描述实现5. 1安全功能要求应执行的安全策略。5. 2. 2. 2 准备程序开发者对服务器准备程序的描述应包含以下内容：a）描述与开发者交付程序相一致的安全接收所交付服务器必需的所有步骤；b）描述安全安装服务器，及其运行环境支撑所必需的所有步骤。生命周期支持5. 2. 3.1