2022信息安全技术服务器安全技术要求和测评准则.docx

《2022信息安全技术服务器安全技术要求和测评准则.docx》由会员分享，可在线阅读，更多相关《2022信息安全技术服务器安全技术要求和测评准则.docx（30页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息安全技术服务器安全技术要求和测评准则GB/T XXXXXXXXX5. 2. 5.1测试覆盖开发者应提供测试覆盖文档，测试覆盖描述应满足以下要求：a）表明测试文档中所标识的测试与功能规范中所描述的服务器的安全功能间的对应性；b）表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试。5. 2. 5. 2 测试深度开发者应提供测试深度的分析。测试深度分析描述应满足以下要求：a）证实测试文档中的测试与服务器设计中的安全功能子系统和实现模块之间的一致性；b）证实服务器设计中的所有安全功能子系统、实现模块都已经进行过测试。5. 2. 5. 3 功能测试开发者应测试服务器安全功能，将结

2、果文档化并提供测试文档。测试文档应包括以下内容：a）测试计划，标识要执行的测试，并描述执行每个测试的方案，这些方案包括对于其他测试结果 的任 何顺序依赖性；b）预期的测试结果，表明测试成功后的预期输出；c）实际测试结果和预期的测试结果的对比一致性。5. 2. 5. 4 独立测试开发者应提供一组与开发安全功能中同等的一系列资源，以用于功能的抽样性测试。5. 2. 5.5 代码安全性测试开发者应对服务器引导固件和带外管理模块固件代码进行安全性测试，将结果文档化并提供代码安全 性测试文档，确保代码中不包含潜在的严重安全缺陷。脆弱性评定开发者应基于已标识的潜在脆弱性，对服务器进行脆弱性评定测试，将结果

3、文档化并提供脆弱决策 评 定文档。脆弱性评定文档应包括以下内容：a）具有基本攻击潜力的攻击者的攻击；b）具有增强型基本攻击潜力的攻击者的攻击。5. 2. 7维护开发者在服务器维护阶段应满足以下要求：a）建立并执行服务器安全缺陷、漏洞的应急响应机制和流程；b）发现服务器存在安全缺陷、漏洞时，应及时采取修复或替代方案等补救措施。6安全测评准则5.1 测试环境服务器安全测试环境参见图1。图1中，服务器是测评对象，并应部署与其兼容的操作系统以支撑测 试实 施；远程管理终端主要用于服务器固件安全、可靠运行支持、安全管理等测评；网络抓包工具主要 用于服务器 远程管理时对网络传输数据安全性的测评；渗透测试工

4、具主要用于对服务器可能存在的特权页面和功能的测评， 以及为脆弱性评定提供支持。服务器远程管理终端图1服务器安全测试环境测试实施前，应参考图1搭建测试环境。5.2 安全功能要求测评6. 2.1设备标签设备标签测评包含以下要求：a）测试实施应包括：1）检查服务器设备标签粘贴的位置；2）查看并记录设备标签中相关信息；3）查看产品相关资料，与步骤2中记录的信息进行比对。b）预期结果：1）在步骤1中，服务器设备标签粘贴在机箱显著位置，且用户较方便查看；2）在步骤2中，服务器设备标签中至少包含了设备型号、设备唯一识别码、生产日期、生产厂 商等信息；3）在步骤3中，对比结果为一致。c）结果判定：如果3）符合

5、预期结果，则符合要求，否则为不符合。7. 2.2硬件接口安全硬件接口安全测评包含以下要求：a）测试实施应包括：1）检查是服务器接口说明的资料和服务器外部所有接口，查看其所有外部硬件接口说明情 况;2）检查相关说明材料对接口类型、电气规格、用途、开放端口列表（如果适用）等的描述；3）对2）中描述的具备维护或调试功能的外部硬件接口和安全控制措施，测试其功能的有效 性。b）预期结果:GB/T XXXXXXXXX1）在步骤1中，所提供的服务器用户手册或规格说明材料中对服务器所有外部硬件接口都有说明信息，不存在其他未说明的外部物理接口；2）在步骤2中，所提供的相关说明材料中对外部物理接口的描述信息至少包

6、含了接口类型、电 气规格、功能、开放端口列表（如果适用）等；3）在步骤3中，测试结果为有效。c）结果判定：如果1）-3）符合预期结果，则符合要求，否则为不符合。6. 2. 3固件安全6. 2. 3.1完整性保护固件完整性保护安全测评包含以下要求:a）测试实施应包括：1）检查相关设计文档，查看服务器引导固件、带外管理模块固件存储区域是否包含保护机制 设计;2）通过非正常授权方式访问固件存储区域，尝试篡改固件存储区域内容；3）检查相关设计文档，查看带外管理模块固件对服务器引导固件存储区访问通道的安全性设 计内 容；4）从带外管理模块固件通过非正常授权方式尝试访问服务器引导固件存储区域；5）检查相关

7、设计文档，查看服务器基于物理可信根实现信任链的构建的设计内容；6）检查物理可信根是否满足国家相关规定；7）根据用户操作指南，登录服务器引导固件配置管理界面，检测物理可信根相关信息，并 测 试其基本功有效性；8）检查服务器用户指南及相关文档，查看信任链构建过程中度量对象涵盖范围；9）启动服务器，测试各度量对象存储的完整性数据，及相关度量日志数据，检查与7）中描 述的信息一致性情况。b)预期结果:1)2)3)在步骤1中，设计文档中包含了服务器引导固件、带外管理模块固件存储区域保护机制设计,且描述完整无误；在步骤2中，通过非授权访问篡改固件存储区域内容失败；在步骤3中，设计文档包含了带外管理模块固件

8、访问服务器引导固件存储区的通道进行了安 全防护设计，且描述完整无误；4)5)6)7)8)9)在步骤4在步骤5 在步骤6 在步骤7在步骤8整无误;在步骤9中，通过非授权访问服务器引导固件存储区失败；中，包含基于物理可信根实现信任链的构建的设计内容，且描述完整无误；中，物理可信根满足国家相关规定；中，能够查看到物理可信根硬件根相关信息，相关基本功能测试有效；中，设计文档及用户手册中包含了信任链构建过程中度量对象的描述，且描述完中，通过查看各度量对象存储完整性信息和度量日志信息，与7）中描述一致。c)结果判定：1）如果1）-4）符合预期结果，则符合5. 1.3. 1 a）、b）的要求，否则为不符合；

9、2）如果5）-9）符合预期结果，则符合5. 1. 3.1 c） d）的要求，否则为不符合。6. 2. 3. 2 更新安全固件更新安全测评包含以下要求:a）测试实施应包括:1）检查相关文档，查看是否提供服务器引导固件和带外管理模块固件更新验证机制;2）伪造服务器引导固件更新文件和带外管理模块固件更新文件，测试更新验证机制有效性;3）随意修改服务器引导固件更新文件和带外管理模块固件更新文件，测试更新验证机制对其完 整性验证有效性；4）执行固件更新操作，检查该操作用户授权控制，以及更新的开始和结束的提示信息；5）检查相关文档，查看服务器引导固件更新机制关于基于物理可信根实现描述情况；6）登录服务器引

10、导固件管理界面，将物理可信根状态设置为禁用，测试基于物理可信根验 证 引导固件更新机制有效性；7）登录服务器引导固件管理界面，将物理可信根状态设置为启用，测试基于物理可信根验 证 引导固件更新机制有效性。b）预期结果:1)2)3)4)在步骤1 在步骤2 在步骤3 在步骤4 信息；中, 中, 中, 中,相关文档中包含服务器引导固件、带外管理模块固件更新验证机制内容；测试更新固件文件时有真实性验证，更新失败；测试更新固件文件时有完整性验证，更新失败；测试更新固件时，具备操作用户授权验证机制，开始更新和更新结束时有提示5）在步骤5中，相关文档包含基于物理可信根实现引导固件更新相关内容，且描述完整无误

11、;6）在步骤6中，测试结果为无法更新；7）在步骤7中，测试结果为可正常更新。c）结果判定:1）如果1）-4）符合预期结果，则符合5. 1.3.2 a）、b）的要求，否则为不符合;2）如果5）-7）符合预期结果，则符合5. 1. 3. 2 c）的要求，否则为不符合。6. 2. 3. 3固件恢复固件恢复安全测评包含以下要求：a）测试实施应包括：1）根据用户手册，对服务器引导固件和带外管理模块固件进行手工恢复操作，测试其有效性;2）配置服务器引导固件和带外管理模块固件自动更新策略；3）触发固件自动更新条件，测试其自动更新功能的有效性。b）预期结果：1）在步骤1中，服务器引导固件和带外管理模块固件手动

12、恢复成功；2）在步骤2中，服务器引导固件、带外管理固件提供自动恢复配置策略；3）在步骤3中，自动更新成功。c）结果判定：1）如果1）符合预期结果，则符合5. 1.3.3 a）的要求，否则为不符合；2）如果2） -3）符合预期结果，则符合5. 1. 3. 3 b）的要求，否则为不符合。6. 2.4软件安全软件安全测评应包含以下要求: a）测试实施应包括：10GB/T XXXXXXXXX1）检查相关文档，查看配套软件列表与测试对象内容的一致性；2）伪造一份数字签名证书对驱动程序进行签名，尝试安装该驱动程序；3）篡改驱动程序文件，尝试安装该驱动程序；4）配套软件列表中若包含操作系统，查看操作系统相关

13、安全证明材料，检查是否达到 GB/T20272第三级的要求；5）配套软件列表中若包含数据库管理系统，查看数据库管理系统相关安全证明材料，检查 是 否达到GB/T20273第三级的要求；6）检查服务器配套的其他软件安全措施，这些安全措施包括第三方软件提供的正式授权文件, 和/或第三方测评机构出具的安全资质证明材料，和/或测试基于数字签名的安全机 制有 效性。b）预期结果:1)2)3)4)5)6)在步骤1在步骤2在步骤3中，所提供的软件列表和被测试对象一致;中,中,在步骤4中,在步骤5中,在步骤6中,提示驱动程序不合法/已破坏，安装失败; 提示驱动程序不合法/已破坏，安装失败; 操作系统相关安全证

14、明材料达到要求； 操作系统相关安全证明材料达到要求； 具备相关证明材料，和/或安全机制有效。c）结果判定:1）如果1）-3）符合预期结果，则符合，5.1.4 a）的要求，否则为不符合；2）如果4） -6）符合预期结果，则符合，5. 1.4 b） -d）的要求，否则为不符合。可靠运行支持可靠运行支持安全测评包含以下要求: a）测试实施应包括：1）检查服务器电源、风扇、硬盘、内存等冗余配置；2）通过故障引入操作等方式，进行电源、风险、硬盘、内存等热插拔操作判断有效性；3）登录服务器监控管理模块，查看关键部件的温度、电压、功耗，以及风扇转速等实时更新 情 况。安全监控的功能；4）针对3）中各项监控对

15、象，配置报警阈值并通过模拟异常状态使各监控超过阀值，查看报 警情况；5）分别模拟服务器CPU、硬盘、内存出现故障，查看服务器识别、定位故障情况；6）在关键部件出现故障后，操作部件隔离，隔离状态包括但不限于设备断开、停止供电、 接 口关闭等；同时查看服务器运行过程调用冗余部件情况；7）在6）的测试基础上，故障部件隔离生效后，检查服务器运行状态；8）在7）的基础上，操作故障部件恢复，查看运行状态。b）预期结果1）在步骤1中，电源、风险、硬盘、内存等支持冗余配置；2）在步骤2中，硬盘、风扇、电源支持热插拔功能，测试热插拔能够提供保障能力有效；3）在步骤3中，服务器能提供关键部件安全监控，数据直观、易

16、读，具备实时性；4）在步骤4中，服务器对所监控的关键部件监测数值超过预先设定的阈值时提供报警（通过声、 光、网络报文等方式皆可）；5）在步骤5中，能够对CPU、硬盘、内存出现故障提示，并进行定位（比如通过声、光、日 志记录等方式提供了明确的提示信息）；116）在步骤6中，能够手动或自动方式对故障部件进行有效隔离，同时调用冗余部件；7）在步骤7中，故障部件隔离后，冗余部件正常运行；8）在步骤8中，故障部件恢复后，可正常运行。c）结果判定：1）如果1）-4）符合预期结果，则符合5.1.5 a）-b）的要求，否则为不符合；2）如果5）-8）符合预期结果，则符合5. 1.5 c）-e）的要求，否则为不

17、符合。6. 2. 6安全管理6. 2, 6.1身份标识与鉴别身份标识与鉴别安全测评包含以下要求：a）测试实施应包括：1）用管理员账户登录服务器引导固件和带外管理模块固件，查看已有的用户列表，并尝试新 建 同名用户；2）登录服务器引导固件和带外管理模块固件，修改默认口令；3）在带外管理模块中修改口令时，根据其提供的复杂度要求，尝试设置不同复杂度要求的口 令;4）尝试使用错误登录信息，查看返回信息及操作失败限制次数；5）登录带外管理模块固件，设置会话超时时间，判断超时后的现象；6）通过访问服务器引导固件和带外管理模块固件,查看鉴别信息存储形式。b）预期结果：1）在步骤1中，创建同名用号失败；2）在

18、步骤2中，修改默认密码成功；3）在步骤3中，修改口令符合密码复杂要求才能修改成功，（如至少8位包含数字、字母、和 /或特殊字符）；4）在步骤4中，提供鉴别失败处理功能返回信息（如限制非法登录次数，登录失败次数超过 设定值则结束会话等）；5）在步骤5中，闲置超过设定时间后，系统自动退出到登录界面；6）在步骤6中，鉴别信息为非明文形式存储。c）结果判定：如果1）-6）符合预期结果，则符合5. 1.6. 1的要求，否则为不符合。6. 2, 6. 2授权与访问控制授权与访问控制安全测评包含以下要求：a）测试实施应包括：1）以提供的默认用户列表分别登录服务器引导固件和带外管理模块固件管理界面，查看其操

19、作权限范围；2）在带外管理模块固件系统中手动配置访问控制策略，并测试效果；3）通过测试环境中的渗透测试工具，查看测试结果。b）预期结果：1）在步骤1中，默认用户权限满足最小权限原则，与预置控制策略一致；2）在步骤2中，根据设置的控制策略对用户进行授权和访问控制操作有效；3）在步骤3中，不存在未经声明的特殊权限页面和功能。12GB/T XXXXXXXXXc）结果判定：如果1）-3）符合预期结果，则符合5. 1.6. 2的要求，否则为不符合。6. 2. 6. 3 安全审计安全审计安全测评包含以下要求：a）测试实施应包括：1）在服务器带外管理模块上分别执行登录、注销、系统开关机、用户创建、删除、密码

20、修改等 操作，查看审计日志是否记录上述操作；2）在服务器带外管理模块进行核心安全配置变更操作（如访问控制策略、自动更新策略、安全 监控策略等），查看审计日志是否记录上述操作；3）在服务器带外管理模块上进行固件更新和恢复，查看审计日志是否记录上述操作；4）查看1） -2）中审计记录主要内容；5）检查审计日志保护措施，以某个系统用户试图删除、修改或覆盖审计记录；6）登录服务器带外管理模块测试审计信息备份、输出等功能。b）预期结果：1）在步骤1中，上述操作记录在审计日志中；2）在步骤2中，核心安全配置变更记录在审计日志中；3）在步骤3中，固件更新和恢复记录在审计日志中；4）在步骤4中，审计日志事件包

21、含发生日期和时间、用户名、事件描述（包括类型、操作结 果）、IP地址或主机名（采用远程管理方式时）等；5）在步骤5中，无法删除、修改、覆盖审计记录，预设的审计保护措施有效；6）在步骤6中，有审计信息备份功能及输出到其他日志系统的功能。c）结果判定：1）如果1）、4） -5）符合预期结果，则符合5. 1.6.4a）l） , 4） -6）的要求，否则为不符合;2）如果2）-3）符合预期结果，则符合5.1.6. 4 a） 2）-3）的要求，否则为不符合。6. 2. 6. 4 远程管理远程管理安全测评包含以下要求：a）测试实施应包括：1）检查相关文档中对服务器外开放端口、服务、协议列表及用途说明；2）

22、通过网络抓包工具抓获网路传输数据；3）登录远程管理终端，配置网络接入地址控制策略；4）采用控制策略规定外的地址登录远管理终端；5）检查相关文档，查看服务器远程管理相关密钥管理设计内容；6）搭建测试环境，测试密钥存储和传输的安全性。b）预期结果：1）在步骤1中，文档中包含服务器对外开放的端口、协议、服务及用途说明；2）在步骤2中，抓获的远程管理数据为非明文形式；3）在步骤4中，拒绝连接接入；4）在步骤5、6中，文档中有密钥安全性设计，测试结果与设计相符。c）结果判定：1）如果1）-3）符合预期结果，则符合5. 1.6.4 a）-c）的要求，否则为不符合;132）如果4）符合预期结果，则符合5.

23、1. 6. 4 d）的要求，否则为不符合。6.3安全保障要求测评6. 3.1安全管理制度和组织安全管理制度和组织安全测评包含以下要求：a）测试实施应包括：检查开发者所提供的安全管理制度和组织相关材料。b）预期结果：1）组织内任用高级管理人员担任安全责任人；2）有安全管理和日常管理的相关规章制度和操作规程；3）有按照规章制度执行相关操作的记录；4）有服务器主要岗位的安全职责定义，职责定义是否考虑最小授权、职责分离原则，是否对 相 关岗位执行工作进行记录；5）进行相关安全培训有记录。c）结果判定：如果b）中1）-5）符合预期结果，则符合的要求，否则为不符合。6. 3. 2开发6. 3. 2.1 安

24、全架构安全架构安全测评包含以下要求：a）测试实施应包括：检查开发者提供的安全架构证据信息，检查是否满足证据的内容和形式的所有要求：1）与服务器设计文档中对安全功能的描述范围是否相一致；1. 是否充分描述服务器采取的自我保护、不可旁路的安全机制。b）预期结果：2. 中1）-2）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合的要求，否则为不符合。6. 3. 2. 2功能规范功能规范安全测评包含以下要求：a）测试实施应包括：检查开发者提供的功能规范证据，并检查开发者提供的信息是否满足证据的内容和形式的所有 要 求：1）是否清晰描述5.1中定义的安全功能；2）是否标识和描述服务器所有安全功能

25、接口的目的、使用方法及相关参数；3）描述安全功能实施过程中，是否描述与安全功能接口相关的所有行为；4）是否描述可能由安全功能接口的调用而引起的所有直接错误消息。b）预期结果：a）中1） -4）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合的要求，否则为不符合。14GB/T XXXXXXXXX7. 3. 2. 3产品设计产品设计安全测评包含以下要求：a）测试实施应包括：检查开发者提供的服务器设计证据，并检查开发者提供的信息是否满足证据的内容和形式的所 有 要求：1） 是否标识和描述服务器安全功能的所有子系统；2） 是否描述安全功能所有子系统间的相互作用；3） 提供的对应关系是否能够证实

26、设计中描述的所有行为映射到调用的安全功能接口；4）是否根据实现模块描述安全功能；5）是否描述所有实现模块的安全功能要求相关接口、接口的返回值、与其他模块间的相互 作 用及调用的接口；6） 是否提供实现模块和子系统间的对应关系。b）预期结果：1） a）中1）-3）检查结果均为肯定；2） a）中4）-6）检测结果均为肯定。c）结果判定：1）如果b）中1）符合预期结果，则符合的要求a） -b）,否则为不符合。2）如果b）中2）符合预期结果，则符合的要求c） -d）,否则为不符合。6.3. 2.4实现表示产品实现表示安全测评包含以下要求：a）测试实施应包括：检查开发者提供的实现表示证据，并检查开发者提

27、供的信息是否满足证据的内容和形式的所有 要求：.1）是否通过软件/固件代码、设计数据等实例详细定义服务器安全功能；2）是否提供实现表示与服务器设计描述间的对应关系。b）预期结果：a）中1）-2）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合5. 2. 2. 4的要求，否则为不符合。指导性文档6. 3. 3. 1用户指南用户指南安全测评包含以下要求：a）测试实施应包括：检查开发者提供的用户指南证据，并检查开发者提供的信息是否满足证据的内容和形式的所有 要 求：1）是否描述用户能够访问的功能和特权，包含适当的警示信息；2）是否描述服务器安全功能及接口的用户操作方法，包括配置参数的安全值；

28、3）是否标识和描述服务器运行的所有可能状态，包括操作导致的失败或者操作性错误；b）预期结果:15164）是否描述实现服务器安全目的必需执行的安全策略。a）中1）-4）检查结果均为肯定。c）结果判定：前言III引言IV信息安全技术服务器安全技术要求和测评准则11范围12规范性引用文件13术语、定义和缩略语13. 1术语和定义13.2缩略语24总体描述25安全技术要求25. 1安全功能要求25. 1. 1设备标签25.1.2 硬件接口安全25.1.3 固件安全35.1.4 软件安全35.1.5 可靠运行支持35. 1.6安全管理45.2安全保障要求55. 2.1安全管理制度及组织56. 2.2开发

29、57. 2.3指导性文档58. 2.4生命周期支持69. 2.5测试610. 2.6脆弱性评定711. 2.7维护76安全测评准则712. 1测试环境76.2 安全功能要求测评86. 2. 1设备标签87. 2.2硬件接口安全88. 2.3固件安全99. 2.4软件安全1010. 2. 5可靠运行支持1111. 2.6安全管理126.3 安全保障要求测评146. 3.1安全管理制度和组织147. 3.2开发14GB/T XXXXXXXXX如果符合预期结果，则符合5.2.3. 1的要求，否则为不符合。6. 3. 3. 2 准备程序准备程序安全测评包含以下要求：a）测试实施应包括：检查开发者提供的

30、准备程序证据，并检查开发者提供的信息是否满足证据的内容和形式的所有 要 求：1）是否描述与开发者交付程序相一致的安全接收所交付服务器必需的所有步骤；2）是否描述安全安装服务器及其运行环境必需的所有步骤。b）预期结果：a）中1）-2）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合5. 2. 3. 2的要求，否则为不符合。6. 3.4生命周期支持7. 3. 4. 1配置管理能力配置管理能力安全测评包含以下要求：a）测试实施应包括：检查开发者提供的配置管理能力证据，并检查开发者提供的信息是否满足内容和形式的所有要求: 1）检查开发者是否为不同版本的服务器引导固件和带外管理模块固件提供唯一的

31、标识； 2）现场检查配置管理系统是否对所有的配置项作出唯一的标识，且对配置项进行了维护； 3）检查开发者提供的配置管理文档，是否描述了对配置项进行唯一标识的方法；4）现场检查是否能够通过自动化配置管理系统支持服务器配置项的生成，是否仅通过自动 化 措施对配置项进行授权变更；5）检查配置管理计划是否描述了用来接受修改过的或新建的作为服务器组成部分的配置项的 程序；6）检查配置管理计划是否描述如何使用配置管理系统开发服务器，现场核查活动是否与计划 一致。b）预期结果：1） a）中1）-3）检查结果均为肯定；2） a）中4）-6）检查结果均为肯定。c）结果判定：1）如果b）中1）符合预期结果，则符合

32、5. 2. 3. 2 a） -c）的要求，否则为不符合；2）如果b）中2）符合预期结果，则符合5.2.3,2 d） -e）的要求，否则为不符合。6. 3. 4. 2配置管理范围配置管理范围安全测评包含以下要求：a）测试实施应包括：检查开发者提供的配置管理范围证据，并检查开发者提供的信息是否满足内容和形式的所有b）预期结果：17 a）栗求-4）检查结果均为肯定。c）结果假定检查开发者提供的服务器配置项列表，是否包括了服务器本身、服务器的组成部分和安全保 障要求的评估证据；2）配置项列表是否描述了组成服务器的全部配置项及相应的开发者；3）检查开发者是否将实现表示、安全缺陷报告及其解决状态纳入配置管

33、理范围。b）预期结果：1） a）中1）-2）检查结果均为肯定。2） a）中3）检测结果为肯定。c）结果判定：1）如果b）中1）符合预期结果，则符合5. 2. 4. 2 a） -b）的要求，否则为不符合。2）如果b）中2）符合预期结果，则符合5. 2. 4. 2 c）的要求，否则为不符合。6. 3. 4. 3交付程序交付程序安全测评包含以下要求：a）测试实施应包括：检查开发者提供的交付程序证据，并检查开发者提供的信息是否满足内容和形式的所有要求:1）现场检查开发者是否使用一定的交付程序交付服务器；2）检查开发者是否使用文档描述交付过程，文档中是否包含以下内容：在给用户方交付服务 器 各版本时，为

34、维护安全所必需的所有程序。b）预期结果：a）中1）-2）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合5. 2. 4. 3的要求，否则为不符合。6. 3. 4. 4开发安全开发安全安全测评包含以下要求：a）测试实施应包括：检查开发者提供的开发安全证据，并检查开发者提供的信息是否满足内容和形式的所有要求：检 查开发者提供的开发安全文档，该文档是否描述在开发环境中，为保护系统设计和实现的保密性和完 整 性所必需的所有物理的、程序的、人员的和其他方面的安全措施。b）预期结果：上述检查结果为肯定。c）结果判定：如果符合预期结果，则符合5. 2. 4. 4的要求，否则为不符合。6. 3. 4.

35、 5 生命周期定义生命周期定义安全测评包含以下要求：a）测试实施应包括：检查开发者提供的生命周期定义证据，并检查开发者提供的信息是否满足内容和形式的所有 要求：.1）现场检查开发者是否使用生命周期模型对服务器的开发和维护进行的必要控制；18GB/T XXXXXXXXX2）检查开发者提供生命周期定义文档是否描述了用于开发和维护服务器的模型。b）预期结果:19a）中1）-2）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合5. 2. 4. 5的要求，否则为不符合。6. 3. 5测试7. 3. 5.1测试覆盖测试覆盖安全测评包含以下要求：a）测试实施应包括：检查开发提供的测试覆盖证据，并检查

36、开发者提供的信息是否满足证据的内容和形式的所有要 求:1）检查开发者提供的测试覆盖文档，在测试覆盖证据中，是否表明测试文档中所标识的测试 与 功能规范中所描述的服务器的安全功能是对应的；2）检查开发者提供的测试覆盖分析结果，是否表明功能规范中的所有安全功能接口都进行了 测 试。b）预期结果：a）中1）-2）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合5. 2. 5. 1的要求，否则为不符合。8. 3. 5. 2 测试深度测试深度安全测评包含以下要求：a）测试实施应包括：检查开发者提供的测试深度证据，并检查开发者提供的信息是否满足证据的内容和形式的所有 要求：1）检查开发者提供的测试

37、深度分析，是否说明了测试文档中所标识的对安全功能的测试，并 足以表明与服务器设计中的安全功能子系统和实现模块之间的一致性；2）是否能够证实所有安全功能子系统、实现模块都已经进行过测试。b）预期结果：a）中1）-2）检查结果均为肯定。c）结果判定：如果符合预期结果，则符合的要求，否则为不符合。9. 3. 5. 3功能测试功能测试安全测评包含以下要求：a）测试实施应包括：检查开发者提供的功能测试证据，并检查开发者提供的信息是否满足内容和形式的所有要求：1）检查开发者提供的测试文档，是否包括测试计划；检查测试计划是否标识了要执行的测试，是否描述了每个安全功能的测试方案和测试方案对其他测试结果的依赖关

38、系；2）检查开发者提供的测试文档，是否包括并明确表述预期的测试结果；3）检查开发者提供的测试文档，是否包括实际测试结果。b）预期结果：a）中1）-3）检查结果均为肯定。18GB/T XXXXXXXXXc）结果判定：如果符合预期结果，则符合5. 2. 5. 3的要求，否则为不符合。6 . 3. 5. 4独立测试独立测试安全测评包含以下要求：a）测试实施应包括：检查开发者提供的测试集合是否与其自测系统功能时使用的测试集合相一致，以用于安全功能的抽 样 测试，并检查开发者提供的资源是否满足内容和形式的所有要求。b）预期结果：上述检查结果为肯定。c）结果判定：如果符合预期结果，则符合5.2. 5.4的

39、要求，否则为不符合。7 .3.6代码安全性测试代码安全性测试安全测评包含以下要求：a）测试实施应包括：检查开发者是否开展代码安全性测试，是否采取措施确保代码中不包含潜在的严重安全缺陷。b）预期结果：上述检查结果为肯定。c）结果判定：如果符合预期结果，则符合5. 2. 5. 5的要求，否则为不符合。6. 3. 7脆弱性评定脆弱性评定安全测评包含以下要求：a）测试实施应包括：检查开发者是否开展脆弱性评定，并检测开发者提供的信息是否东路证明的内容和形式的所有要 求:1）检查开发者提供的脆弱性评审文档，是否具有基本攻击潜力的攻击者的攻击；2）检查开发者提供的脆弱性评审文档，是否具有增强型基本攻击潜力的

40、攻击者的攻击。b）预期结果：1） a）中1）检查结果为肯定；2） a）中2）检查结果为肯定。c）结果判定：1） 如果b）中1）符合预期结果，则符合5. 2.6 a）的要求，否则为不符合；2）如果b）中2）符合预期结果，则符合5. 2.6 b）的要求，否则为不符合。6. 3. 8维护维护安全测评包含以下要求：a）测试实施应包括：检查开发者是否开展维护阶段的安全措施，并检测开发者提供的信息是否东路证明的内容和形式的 所有要求：1）检查开发者提供的维护规范及记录，是否有服务器安全缺陷、漏洞应急响应相关的流程 规范和人员保障；192）检测开发者提供的维护记录，是否有服务器安全缺陷、漏洞修复或补救措施有

41、效执行 的 证据。b）预期结果：a）中1） -2）检查结果为肯定。c）结果判定：如果符合预期结果，则符合的要求，否则为不符合。6. 4测评结论如果本标准6. 2章和6. 3章中的结果判定均为符合，则测评结论为“符合”，否则测评结论为“不符 合”。20GB/T XXXXXXXXX附录A（规范性附录）服务器安全等级划分根据服务器安全技术发展情况及应用需求，结合服务器安全功能的强弱，以及安全保障要求的高低，本标 准将服务器安全技术要求等级划分为基本级和增强级，具体见表A. 1。表A.1服务器安全等级划分安全技术要求基本级增强级安全功 能要求设备标签5. 1. 15. 1. 1硬件接口安全5. 1.2

42、5. 1.2固件安全完整性保护5. 1. 3. 1 a)、b)5. 1.3. 1更新安全5. 1.3.2 a)、b)固件恢复5. 1. 3. 3 a)软件安全5. 1.4 a)5. 1.4可靠运行支持5. 1.5 a)、b)5. 1.5安全管理身份标识与鉴别5. 1.6. 15. 1.6. 1授权与访问控制安全审计5. 1.6.3 a)l) b)-d)远程管理5. 1. 6. 4 a) c)安全保 障要求安全管理制度及组织5. 2. 15. 2. 1开发安全架构5. 2. 2. 15. 2. 2. 1功能规范5. 2. 2. 25. 2. 2. 2产品设计5. 2. 3. 3 a) b)5.

43、2. 3. 3头现表力、5.2. 2.4指导性文档操作用户指南5. 2. 3. 15. 2. 3. 1准备程序5. 2. 3. 25. 2. 3. 2生命周期支持配置管理能力5. 2. 4. 1 a) c)5. 2. 4. 1配置管理范围5. 2. 4.2 a)、b)5. 2. 4. 2交付程序5. 2. 4. 35. 2. 4. 3开发安全5. 2. 4. 4生命周期定义5. 2. 4. 5测试测试覆盖5. 2. 5. 1 a)5. 2. 5. 1测试深度5. 2. 5. 2功能测试5. 2. 5. 35. 2. 5. 3独立测试5. 2. 5. 45.2. 5.4代码安全性测试5. 2.

44、5. 5 a)5. 2. 5. 5脆弱性评定5. 2. 6 a)维护5. 2.7注：“”表示不适用。21226. 3.3指导性文档156. 3.4生命周期支持166. 3.5 测试186. 3.6代码安全性测试196. 3.7脆弱性评定196. 3.8 维护196.4测评结论20附录A21参考文献22信息安全技术服务器安全技术要求和测评准则1范围本标准规定了服务器的安全技术要求、测评准则和安全等级划分。本标准适用于服务器的研制、生产、维护和测评。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的

45、修改单）适用于本文件。GB/T 20272信息安全技术操作系统安全技术要求GB/T 20273信息安全技术数据库管理系统安全技术要求GB/T 25069-2010信息安全技术 术语GB/T 36639-2018信息安全技术可信计算规范服务器可信支撑平台3术语、定义和缩略语3.1术语和定义GB/T 20272 GB/T 20273 GB/T 25069-2010、GB/T 36639-2018界定的以及下列术语和定义适用于 本文件。3. 1. 1服务器server是网络环境下为用户提供计算服务的计算机系统，一般包含独立计算单元、存储单元、网络传输单元、监控管理单元、供电单元及配套软件。3. 1.2服务器引导固件server boot f i rmware负责服务器芯片组的初始化和配置，收集、汇总硬件资源信息并引导进入操作系统的程序。3. 1.3带外管理模块 out-of-band managemen