GB/T 39680-2020
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 39680-2020.Information security technology-Technique requirements and evaluation criteria for server security.
1范围
GB/T 39680规定了服务器的安全技术要求和测评准则。
GB/T 39680适用于服务器的研制生产、维护和测评。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9813.3-2017计算机通 用规范第3 部分:服务器
GB/T 20272信息安全技术操作 系统安全技术要求
GB/T 25069信息安全技术术语
3术语、定义和缩略语
3.1 术语和定义
GB/T 9813.3-2017.GB/T 20272和GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1.1
服务器 server
网络环境下为客户端计算机提供特定应用服务的计算机系统。
注1:计算机系统指服务器硬件系统,主要包含独立计算单元、存储单元、网络传输单元、监控管理单元、供电单元及驱动程序等。
注2:改写GB/T 9813.3-2017,定义3.1。
3.1.2
服务器引导固件 server boot firmware
负责服务器芯片组的初始化和配置,收集、汇总硬件资源信息并引导进人操作系统的程序。
3.1.3
带外管理模块 out-of-band management module
通过专用物理通道对服务器进行控制管理和维护的独立管理单元。
注:例如x86平台的基板管理控制器等。
3.1.4
带外管理模块固件 out-of-band management module firmware
存在于带外管理模块中,用于实现其功能的程序。
3.1.5
驱动程序 driver program
为操作系统或应用程序提供操作或控制服务器中特定设备的软件程序。
1范围
GB/T 39680规定了服务器的安全技术要求和测评准则。
GB/T 39680适用于服务器的研制生产、维护和测评。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 9813.3-2017计算机通 用规范第3 部分:服务器
GB/T 20272信息安全技术操作 系统安全技术要求
GB/T 25069信息安全技术术语
3术语、定义和缩略语
3.1 术语和定义
GB/T 9813.3-2017.GB/T 20272和GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1.1
服务器 server
网络环境下为客户端计算机提供特定应用服务的计算机系统。
注1:计算机系统指服务器硬件系统,主要包含独立计算单元、存储单元、网络传输单元、监控管理单元、供电单元及驱动程序等。
注2:改写GB/T 9813.3-2017,定义3.1。
3.1.2
服务器引导固件 server boot firmware
负责服务器芯片组的初始化和配置,收集、汇总硬件资源信息并引导进人操作系统的程序。
3.1.3
带外管理模块 out-of-band management module
通过专用物理通道对服务器进行控制管理和维护的独立管理单元。
注:例如x86平台的基板管理控制器等。
3.1.4
带外管理模块固件 out-of-band management module firmware
存在于带外管理模块中,用于实现其功能的程序。
3.1.5
驱动程序 driver program
为操作系统或应用程序提供操作或控制服务器中特定设备的软件程序。
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T39680—2020
代替GB/T21028—2007.GB/T25063—2010信息安全技术
服务器安全技术要求和测评准则Information security technology-Technique requirements and evaluation criteria for server security2020-12-14发布
国家市场监督管理总局
国家标准化管理委员会
2021-07-01实施
规范性引用文件
术语、定义和缩略语
安全技术要求
安全功能要求
设备标签
硬件接口安全
固件安全
驱动程序安全
可靠运行支持
自身安全管理
5.2安全保障要求
指导性文档
生命周期支持
脆弱性评定
安全测评准则
测试环境
安全功能要求测评
设备标签
硬件接口安全
固件安全
驱动程序安全
可靠运行支持
自身安全管理
安全保障要求测评
指导性文档
生命周期支持
GB/T39680—2020
GB/T39680—2020
脆弱性评定
6.3.6维护
附录A(资料性附录)
附录B(资料性附录)
参考文献
服务器操作系统安全要求
服务器安全技术要求分级表
本标准按照GB/T1.1一2009给出的规则起草。GB/T39680—2020
本标准代替GB/T21028—2007《信息安全技术服务器安全技术要求》和GB/T25063—2010《信息安全技术服务器安全测评要求》,与GB/T21028一2007和GB/T25063一2010相比,主要技术变化如下:
整合了GB/T21028—2007和GB/T25063—2010两项标准内容,修改标准名称为《信息安全技术服务器安全技术要求和测评准则》;修改了服务器安全等级划分,由原来的五级调整为基本级和增强级(见第5章,GB/T210282007的第5章和GB/T25063一2010的第4章~第8章);一增加了安全功能要求中的固件安全技术要求和对应的测评准则(见5.1.3和6.2.3);一增加了安全功能要求中的自身安全管理安全技术要求和对应的测评准则(见5.1.6和6.2.6);—修改了操作系统安全技术要求(见附录A,GB/T21028—2007的5.1.1.2、5.2.1.2、5.3.1.2、5.4,1.2、5.5.1.2和GB/T25063—2010的4.2、5.2、6.2、7.2);—删除了数据库管理系统的具体安全要求和相应的测评要求(见GB/T21028—2007的5.1.1.3、5.2.1.3、5.3.1.3、5.4.1.3、5.5.1.3和GB/T25063—2010的4.3、5.3、6.3、7.3);删除了应用系统的具体安全要求和相应的测评要求(见GB/T21028一2007的5.1.1.4、5.2.1.4、5.3.1.4、5.4.1.4、5.5.1.4和GB/T25063—2010的4.4、5.4、6.4、7.4)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:浪潮电子信息产业股份有限公司、联想(北京)有限公司、华为技术有限公司、新华三技术有限公司、中国信息通信研究院、蓝盾信息安全技术股份有限公司、中国网络安全审查技术与认证中心、中国电力科学研究院、公安部第三研究所、中国信息安全测评中心、中国电子技术标准化研究院、国家计算机网络与信息安全管理中心、曙光信息产业(北京)有限公司、苏州浪潮智能科技有限公司。本标淮主要起草人:张东、刘刚、李汝鑫、庞婷、方晓兰、张治兵、刘强、申永波、宋桂香、王恩东、赵江、宋好好、孙彦、毛军捷、李凌、严敏辉、葛小宇、杜克宏、雷鸣、王晖、倪平、陆臻、邓雨、张宝峰、孙亚飞、孔玉婷、白欣璐、曹柱、查丽、张天涵。本标准所代替标准的历次发布版本发布情况为:GB/T21028—2007;
—GB/T25063—2010
1范围
信息安全技术
服务器安全技术要求和测评准则本标准规定了服务器的安全技术要求和测评准则本标准适用于服务器的研制、生产、维护和测评。规范性引用文件
GB/T39680—2020
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T9813.3一2017计算机通用规范第3部分:服务器GB/T20272信息安全技术操作系统安全技术要求GB/T25069信息安全技术术语
术语、定义和缩略语
3.1术语和定义
GB/T9813.3—2017、GB/T20272和GB/T25069界定的以及下列术语和定义适用于本文件。3.1.1
服务器
server
网络环境下为客户端计算机提供特定应用服务的计算机系统注1:计算机系统指服务器硬件系统,主要包含独立计算单元、存储单元、网络传输单元、监控管理单元、供电单元及驱动程序等
注2:改写GB/T9813.3—2017.定义3.13.1.2
服务器引导固件
serverbootfirmware
负责服务器芯片组的初始化和配置,收集、汇总硬件资源信息并引导进人操作系统的程序。3.1.3
out-of-band management module带外管理模块
通过专用物理通道对服务器进行控制管理和维护的独立管理单元。注:例如x86平台的基板管理控制器等。3.1.4
带外管理模块固件
out-of-band management module firmware存在于带外管理模块中,用于实现其功能的程序。3.1.5
driverprogram
驱动程序
为操作系统或应用程序提供操作或控制服务器中特定设备的软件程序。GB/T39680—2020
4概述
服务器安全技术要求包括安全功能要求和安全保障要求。安全功能要求是对服务器应具备的安全功能提出的具体要求,包括设备标签、硬件接口安全、固件安全、驱动程序安全、可靠运行支持和自身安全管理等:安全保障要求是对服务器生命周期过程提出的具体要求,包括开发、指导性文档、生命周期支持、测试、脆弱性评定和维护等。根据安全技术要求,本标准给出了相应的安全测评准则。根据服务器安全技术发展情况及应用需求,结合服务器安全功能的强弱,以及安全保障要求的高低,本标准将服务器安全技术要求划分为基本级和增强级。与基本级内容相比,增强级中要求有所增加的内容在正文中通过“黑体”表示。服务器配置的操作系统宜考虑的安全要求参见附录A,服务器安全技术要求分级表参见附录B5安全技术要求
安全功能要求
5.1.1设备标签
应在服务器显著位置设置标签,并标识服务器设备信息,包括设备型号、设备唯一识别码、生产厂商等。
5.1.2硬件接口安全
应对具备维护或调试功能的外部硬件接口采取安全控制措施,如采用专用工具、认证等5.1.3固件安全
5.1.3.1完整性保护
完整性保护功能应满足以下要求:对服务器引导固件、带外管理模块固件提供存储区完整性保护机制;a)
b)访问服务器引导固件时,应先进行授权控制:c)
基于可信根,在服务器启动时,对于服务器引导固件和主引导分区/初始化程序加载器进行完整性检测,并在检测到其完整性被破坏后,采取相应安全措施,如停止启动、自动恢复、报警等5.1.3.2更新安全
更新安全功能应满足以下要求:a)提供服务器引导固件和带外管理模块固件更新的用户授权机制,应在获得用户授权后允许更新;
服务器引导固件和带外管理模块固件更新时.应对其镜像文件的真实性和完整性进行校验,验b)
证通过后充许更新;
基于可信根,对待更新的服务器引导固件镜像文件进行校验,验证通过后允许更新c
固件恢复
固件恢复功能应满足以下要求:a)提供服务器引导固件和带外管理模块固件手动恢复机制;b)提供服务器引导固件和带外管理模块固件自动恢复机制,在检测到固件被破坏后,采取相应的2
自动恢复措施,如恢复备用固件、启用备用部件等5.1.4驱动程序安全
服务器厂商提供的驱动程序应提供真实性和完整性验证机制。5.1.5可靠运行支持
可靠运行支持应满足以下要求:GB/T39680—2020
a)对服务器的电源、风扇、硬盘等部分关键部件进行穴余设计,硬盘、风扇、电源支持热插拔功能;b)对服务器部分关键部件的温度、电压,以及风扇转速等进行安全监控,当监测数值超过预先设定的國值时应报警:
提供服务器中央处理器(CPU)、硬盘、内存等部分关键部件的故障定位机制;c
d)对服务器硬盘、内存等部分关键部件提供故障隔离机制,当某一部件出现故障时,服务器仍可提供计算服务。
5.1.6自身安全管理
身份标识与鉴别
带外管理模块固件中身份标识与鉴别功能应满足以下要求5.1.6.1.1
对用户身份进行标识和鉴别,身份标识具有唯一性;b)提供默认口令修改机制;
用户设置口令时,应对口令的复杂度进行验证,确保口令长度不少于8位,包含的字符类型不c)
少于2种;
具备鉴别失败处理功能,如限制连续的非法登录尝试次数措施等;d)
具备登录连接超时自动退出机制;e)
f)鉴别信息采取加密方式存储。5.1.6.1.2服务器引导固件中身份标识与鉴别功能应满足以下要求:a)提供默认口令修改机制;
b)鉴别信息采取加密方式存储。2授权与访问控制
5.1.6.2.1
带外管理模块固件中授权与访问控制安全功能应满足以下要求依据最小权限的原则,为默认用户预置访问控制策略;a)
b):在用户访问受控资源或功能时,依据设置的控制策略进行授权和访问控制;不存在未声明的功能接口
5.1.6.2.2服务器引导固件不应存在未声明的功能接口。5.1.6.3安全审计
带外管理模块固件中安全审计功能应满足以下要求:a)审计事件至少包括:
1)用户的登录和注销、系统开关机、用户创建、删除、口令修改;2)核心安全配置的变更,如访问控制策略、自动更新策略、安全监控策略等;3)固件更新和恢复记录
b)在审计记录中至少包括以下内容:事件发生日期和时间、用户名、事件描述(包括类型、操作结3
GB/T39680—2020
果)、IP地址或主机名(采用远程管理方式时)。对审计记录进行保护,避免受到非预期的删除、修改或覆盖等。c)
提供审计记录转存或输出功能。5.1.6.4
远程管理
带外管理模块固件中远程管理安全功能应满足以下要求:提供开放端口和服务列表,并明示其用途:a)
采用安全的网络协议或接口对传输数据进行保护;对远程管理终端的接入进行限制,如设定网络地址范围等。c)
安全保障要求
5.2.1开发
安全架构
开发者对服务器安全功能的安全架构描述应包含以下内容:a)与产品设计文档中对安全功能描述的范围和抽象描述级别相一致;b)描述服务器安全功能采取的自我保护、不可旁路的安全机制,保证服务器安全功能不被破坏和干扰。
功能规范
开发者对服务器安全功能规范的描述应包含以下内容:功能规范到5.1中安全功能要求的追溯关系;a)
服务器所有安全功能接口的目的、使用方法及相关参数;b)
安全功能实施过程中与安全功能接口执行相关的行为;c
d)安全功能接口执行时引起的直接错误消息。注:安全功能接口是服务器向外部实体(如管理员、外部系统等)提供的操作界面。5.2.1.3产品设计
开发者对服务器安全功能设计的描述应包含以下内容:根据子系统描述服务器安全功能的结构,并标识安全功能的所有子系统;a)
b)描述安全功能子系统的行为,以及相互作用关系;c)提供安全子系统和安全功能接口间的对应关系。5.2.2指导性文档
5.2.2.1操作用户指南
开发者为所有操作用户角色提供的操作用户指南应包含以下内容:描述每一种操作用户角色能访问的功能和特权,包括适当的警示信息等;a)
b)对预留的外部硬件接口进行说明,包括接口名称、接口类型、功能等;c)描述服务器安全功能及接口的操作方法,包括配置参数的安全值等;d)标识和描述服务器运行的所有可能状态,包括操作导致的失败或者操作性错误等;描述实现5.1安全功能要求应执行的安全策略。e
5.2.2.2准备程序
开发者对服务器准备程序的描述应包含以下内容:a)描述与开发者交付程序相一致的安全接收所交付服务器必需的所有步骤;b)描述安全安装服务器及其运行环境支撑所必需的所有步骤。5.2.3生命周期支持
5.2.3.1配置管理能力
开发者的配置管理能力应满足以下要求:为服务器引导固件和带外管理模块固件的不同版本提供唯一标识:a
GB/T39680—2020
使用配置管理系统对组成服务器的所有配置项进行维护,并进行唯一标识;b)
提供配置管理文档,配置管理文档应描述用于唯一标识配置项的方法;配置管理系统提供自动方式来支持服务器配置项的生成,通过自动化措施确保配置项仅接受d)
授权变更;
配置管理文档包括一个配置管理计划·描述如何使用配置管理系统开发服务器,包括修改过的e)
或新建的作为服务器组成部分的配置项。开发者实施的配置管理应与配置管理计划相一致5.2.3.2
配置管理范围
开发者建立并维护的服务器配置项列表应包含以下内容:a)服务器本身、服务器的组成部分和安全保障要求的评估证据;b)对于每一个安全功能相关的配置项,配置项列表应简要说明该配置项的开发者。5.2.3.3交付程序
开发者应使用一定的交付程序交付服务器,交付过程的描述应包含为维护服务器安全性所必需的所有程序。
5.2.3.4开发安全
开发者应对服务器开发环境提供必要的安全措施,从物理的、程序的、人员的和其他方面采取必要的安全措施,确保服务器设计和实现的保密性和完整性。5.2.3.5生命周期定义
开发者应为服务器的开发和维护提供必要控制,并提供生命周期定义文档,该文档用于描述开发和维护服务器的模型。
5.2.4测试
5.2.4.1测试覆盖
开发者对测试覆盖的分析和描述应包含以下内容:与a)表明测试文档中所标识的测试与功能规范中所描述的服务器安全功能接口之间的对应性;b)表明a)中的对应性是完备的,并证实功能规范中的所有安全功能接口均进行了测试。5.2.4.2测试深度
开发者对测试深度的分析和描述应包含以下内容:5
GB/T39680—2020
证实测试文档中的测试与服务器设计中的安全功能子系统的一致性;b))
证实服务器设计中的所有安全功能子系统进行了测试5.2.4.3功能测试
开发者应对服务器安全功能进行测试,并将结果文档化。功能测试文档应包含以下内容:测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果a)
的任何顺序依赖性等;
预期测试结果,表明测试成功后的预期输出;b)
实际测试结果和预期测试结果的对比一致性5.2.4.4独立测试
开发者应提供一组与其安全功能测试时使用的同等资源,以用于安全功能的抽样测试5.2.4.5
安全性测试
开发者应对服务器引导固件、带外管理模块固件的安全性进行测试,并将结果文档化。安全性测试文档至少应包括测试计划,已识别的严重安全缺陷列表及修复情况等5.2.5脆弱性评定
开发者应基于已标识的潜在脆弱性对服务器进行脆弱性评定,以确保服务器能够抵抗以下攻击行为:
a)具有基本攻击潜力的攻击者的攻击;b)具有中等攻击潜力的攻击者的攻击。5.2.6维护
开发者在服务器维护阶段应满足以下要求:a)建立并执行服务器安全缺陷、漏洞的应急响应机制和流程;发现服务器存在安全缺陷、漏洞时.应按照既定程序及时采取修复或替代方案等补救措施b)
6安全测评准则
6.1测试环境
服务器安全测试环境参见图1,服务器为测评对象,并应部署与其兼容的操作系统以支撑测试实施:网络管理终端主要用于服务器固件安全、可靠运行支持、安全管理等测评:安全测试工具主要用于在测试实施过程中,为服务器安全功能和安全性的测评提供支撑,常见的安全测试工具包含网络抓包工具、漏洞扫描工具、渗透测试工具等6
安全功能要求测评
6.2.1设备标签
安全测民具
服务器
交海机
阿济管担终端
图1服务器安全测试环境
设备标签的测评方法如下:
a)测评方法:
1)核查服务器设备标签粘贴的位置;2)核查设备标签标识的内容。
b)预期结果:
服务器设备标签粘贴在机箱显著位置,且用户方便查看;1
GB/T39680—2020
2)服务器设备标签中包括了设备型号、设备唯一识别码、生产厂商等信息c
结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。硬件接口安全
硬件接口安全的测评方法如下:a)
测评方法:
核查服务器具备维护或调试功能的外部硬件接口是否采取安全控制措施(如采用专用工具、认证等),并验证其是否有效。
b)预期结果:
具备维护或调试功能的外部硬件接口采取了安全控制措施,且相关功能有效。c)
结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合,GB/T39680—2020
6.2.3固件安全此内容来自标准下载网
6.2.3.1完整性保护
完整性保护的测评方法如下:
a)测评方法:
1)启用服务器引导固件、带外管理模块固件存储区保护机制,验证其完整性保护机制是否有效;
2)在带外管理模块固件访问服务器引导固件时,验证其授权控制功能是否有效;3)配置可信策略,启动服务器,验证是否通过可信根对服务器引导固件和主引导分区/初始化程序加载器完整性进行了检测;模拟服务器引导固件和主引导分区/初始化程序加载器完整性受到破坏,验证服务器启动4)
后相应的安全措施(如停止启动、自动恢复、报警等是否有效。b)预期结果:
1)服务器引导固件、带外管理模块固件的存储区提供了有效的完整性保护机制;2)带外管理模块固件访问服务器引导固件时采取了访问控制机制,可防止非授权的访问;3)
服务器采用了可信根机制,并在启动时对服务器引导固件和主引导分区/初始化程序加载器的完整性进行了检测;
当检测到服务器引导固件和主引导分区/初始化程序加载器完整性被破坏后,可根据提4)
供/配置的安全措施进行响应。
c)结果判定
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。6.2.3.2更新安全
更新安全的测评方法如下:
a)测评方法:
1)核查服务器引导固件和带外管理模块固件更新操作是否提供用户授权机制,如更新确认按钮等,并验证其是否有效;
核查服务器引导固件和带外管理模块固件更新是否具备对其镜像文件进行真实性和完整2)
性进行校验的安全机制;
分别伪造服务器引导固件和带外管理模块固件的更新镜像文件,验证更新机制对其真实3)
性校验是否有效;
4)分别模拟服务器引导固件和带外管理模块固件的更新镜像文件受到破坏时,验证更新机制对其完整性校验是否有效;
配置可信策略,执行服务器引导固件更新操作,验证是否基于可信根对待更新服务器引导5)
固件镜像文件校验成功后才能执行更新操作。b)预期结果:
服务器引导固件和带外管理模块固件的更新操作提供了用户授权,并在用户授权后才能1
执行更新操作;
服务器引导固件和带外管理模块固件在更新时提供了对镜像文件的真实性和完整性校验机制;
服务器引导固件和带外管理模块固件的更新机制能识别伪造的镜像文件,并提示更新失败;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T39680—2020
代替GB/T21028—2007.GB/T25063—2010信息安全技术
服务器安全技术要求和测评准则Information security technology-Technique requirements and evaluation criteria for server security2020-12-14发布
国家市场监督管理总局
国家标准化管理委员会
2021-07-01实施
规范性引用文件
术语、定义和缩略语
安全技术要求
安全功能要求
设备标签
硬件接口安全
固件安全
驱动程序安全
可靠运行支持
自身安全管理
5.2安全保障要求
指导性文档
生命周期支持
脆弱性评定
安全测评准则
测试环境
安全功能要求测评
设备标签
硬件接口安全
固件安全
驱动程序安全
可靠运行支持
自身安全管理
安全保障要求测评
指导性文档
生命周期支持
GB/T39680—2020
GB/T39680—2020
脆弱性评定
6.3.6维护
附录A(资料性附录)
附录B(资料性附录)
参考文献
服务器操作系统安全要求
服务器安全技术要求分级表
本标准按照GB/T1.1一2009给出的规则起草。GB/T39680—2020
本标准代替GB/T21028—2007《信息安全技术服务器安全技术要求》和GB/T25063—2010《信息安全技术服务器安全测评要求》,与GB/T21028一2007和GB/T25063一2010相比,主要技术变化如下:
整合了GB/T21028—2007和GB/T25063—2010两项标准内容,修改标准名称为《信息安全技术服务器安全技术要求和测评准则》;修改了服务器安全等级划分,由原来的五级调整为基本级和增强级(见第5章,GB/T210282007的第5章和GB/T25063一2010的第4章~第8章);一增加了安全功能要求中的固件安全技术要求和对应的测评准则(见5.1.3和6.2.3);一增加了安全功能要求中的自身安全管理安全技术要求和对应的测评准则(见5.1.6和6.2.6);—修改了操作系统安全技术要求(见附录A,GB/T21028—2007的5.1.1.2、5.2.1.2、5.3.1.2、5.4,1.2、5.5.1.2和GB/T25063—2010的4.2、5.2、6.2、7.2);—删除了数据库管理系统的具体安全要求和相应的测评要求(见GB/T21028—2007的5.1.1.3、5.2.1.3、5.3.1.3、5.4.1.3、5.5.1.3和GB/T25063—2010的4.3、5.3、6.3、7.3);删除了应用系统的具体安全要求和相应的测评要求(见GB/T21028一2007的5.1.1.4、5.2.1.4、5.3.1.4、5.4.1.4、5.5.1.4和GB/T25063—2010的4.4、5.4、6.4、7.4)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:浪潮电子信息产业股份有限公司、联想(北京)有限公司、华为技术有限公司、新华三技术有限公司、中国信息通信研究院、蓝盾信息安全技术股份有限公司、中国网络安全审查技术与认证中心、中国电力科学研究院、公安部第三研究所、中国信息安全测评中心、中国电子技术标准化研究院、国家计算机网络与信息安全管理中心、曙光信息产业(北京)有限公司、苏州浪潮智能科技有限公司。本标淮主要起草人:张东、刘刚、李汝鑫、庞婷、方晓兰、张治兵、刘强、申永波、宋桂香、王恩东、赵江、宋好好、孙彦、毛军捷、李凌、严敏辉、葛小宇、杜克宏、雷鸣、王晖、倪平、陆臻、邓雨、张宝峰、孙亚飞、孔玉婷、白欣璐、曹柱、查丽、张天涵。本标准所代替标准的历次发布版本发布情况为:GB/T21028—2007;
—GB/T25063—2010
1范围
信息安全技术
服务器安全技术要求和测评准则本标准规定了服务器的安全技术要求和测评准则本标准适用于服务器的研制、生产、维护和测评。规范性引用文件
GB/T39680—2020
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T9813.3一2017计算机通用规范第3部分:服务器GB/T20272信息安全技术操作系统安全技术要求GB/T25069信息安全技术术语
术语、定义和缩略语
3.1术语和定义
GB/T9813.3—2017、GB/T20272和GB/T25069界定的以及下列术语和定义适用于本文件。3.1.1
服务器
server
网络环境下为客户端计算机提供特定应用服务的计算机系统注1:计算机系统指服务器硬件系统,主要包含独立计算单元、存储单元、网络传输单元、监控管理单元、供电单元及驱动程序等
注2:改写GB/T9813.3—2017.定义3.13.1.2
服务器引导固件
serverbootfirmware
负责服务器芯片组的初始化和配置,收集、汇总硬件资源信息并引导进人操作系统的程序。3.1.3
out-of-band management module带外管理模块
通过专用物理通道对服务器进行控制管理和维护的独立管理单元。注:例如x86平台的基板管理控制器等。3.1.4
带外管理模块固件
out-of-band management module firmware存在于带外管理模块中,用于实现其功能的程序。3.1.5
driverprogram
驱动程序
为操作系统或应用程序提供操作或控制服务器中特定设备的软件程序。GB/T39680—2020
4概述
服务器安全技术要求包括安全功能要求和安全保障要求。安全功能要求是对服务器应具备的安全功能提出的具体要求,包括设备标签、硬件接口安全、固件安全、驱动程序安全、可靠运行支持和自身安全管理等:安全保障要求是对服务器生命周期过程提出的具体要求,包括开发、指导性文档、生命周期支持、测试、脆弱性评定和维护等。根据安全技术要求,本标准给出了相应的安全测评准则。根据服务器安全技术发展情况及应用需求,结合服务器安全功能的强弱,以及安全保障要求的高低,本标准将服务器安全技术要求划分为基本级和增强级。与基本级内容相比,增强级中要求有所增加的内容在正文中通过“黑体”表示。服务器配置的操作系统宜考虑的安全要求参见附录A,服务器安全技术要求分级表参见附录B5安全技术要求
安全功能要求
5.1.1设备标签
应在服务器显著位置设置标签,并标识服务器设备信息,包括设备型号、设备唯一识别码、生产厂商等。
5.1.2硬件接口安全
应对具备维护或调试功能的外部硬件接口采取安全控制措施,如采用专用工具、认证等5.1.3固件安全
5.1.3.1完整性保护
完整性保护功能应满足以下要求:对服务器引导固件、带外管理模块固件提供存储区完整性保护机制;a)
b)访问服务器引导固件时,应先进行授权控制:c)
基于可信根,在服务器启动时,对于服务器引导固件和主引导分区/初始化程序加载器进行完整性检测,并在检测到其完整性被破坏后,采取相应安全措施,如停止启动、自动恢复、报警等5.1.3.2更新安全
更新安全功能应满足以下要求:a)提供服务器引导固件和带外管理模块固件更新的用户授权机制,应在获得用户授权后允许更新;
服务器引导固件和带外管理模块固件更新时.应对其镜像文件的真实性和完整性进行校验,验b)
证通过后充许更新;
基于可信根,对待更新的服务器引导固件镜像文件进行校验,验证通过后允许更新c
固件恢复
固件恢复功能应满足以下要求:a)提供服务器引导固件和带外管理模块固件手动恢复机制;b)提供服务器引导固件和带外管理模块固件自动恢复机制,在检测到固件被破坏后,采取相应的2
自动恢复措施,如恢复备用固件、启用备用部件等5.1.4驱动程序安全
服务器厂商提供的驱动程序应提供真实性和完整性验证机制。5.1.5可靠运行支持
可靠运行支持应满足以下要求:GB/T39680—2020
a)对服务器的电源、风扇、硬盘等部分关键部件进行穴余设计,硬盘、风扇、电源支持热插拔功能;b)对服务器部分关键部件的温度、电压,以及风扇转速等进行安全监控,当监测数值超过预先设定的國值时应报警:
提供服务器中央处理器(CPU)、硬盘、内存等部分关键部件的故障定位机制;c
d)对服务器硬盘、内存等部分关键部件提供故障隔离机制,当某一部件出现故障时,服务器仍可提供计算服务。
5.1.6自身安全管理
身份标识与鉴别
带外管理模块固件中身份标识与鉴别功能应满足以下要求5.1.6.1.1
对用户身份进行标识和鉴别,身份标识具有唯一性;b)提供默认口令修改机制;
用户设置口令时,应对口令的复杂度进行验证,确保口令长度不少于8位,包含的字符类型不c)
少于2种;
具备鉴别失败处理功能,如限制连续的非法登录尝试次数措施等;d)
具备登录连接超时自动退出机制;e)
f)鉴别信息采取加密方式存储。5.1.6.1.2服务器引导固件中身份标识与鉴别功能应满足以下要求:a)提供默认口令修改机制;
b)鉴别信息采取加密方式存储。2授权与访问控制
5.1.6.2.1
带外管理模块固件中授权与访问控制安全功能应满足以下要求依据最小权限的原则,为默认用户预置访问控制策略;a)
b):在用户访问受控资源或功能时,依据设置的控制策略进行授权和访问控制;不存在未声明的功能接口
5.1.6.2.2服务器引导固件不应存在未声明的功能接口。5.1.6.3安全审计
带外管理模块固件中安全审计功能应满足以下要求:a)审计事件至少包括:
1)用户的登录和注销、系统开关机、用户创建、删除、口令修改;2)核心安全配置的变更,如访问控制策略、自动更新策略、安全监控策略等;3)固件更新和恢复记录
b)在审计记录中至少包括以下内容:事件发生日期和时间、用户名、事件描述(包括类型、操作结3
GB/T39680—2020
果)、IP地址或主机名(采用远程管理方式时)。对审计记录进行保护,避免受到非预期的删除、修改或覆盖等。c)
提供审计记录转存或输出功能。5.1.6.4
远程管理
带外管理模块固件中远程管理安全功能应满足以下要求:提供开放端口和服务列表,并明示其用途:a)
采用安全的网络协议或接口对传输数据进行保护;对远程管理终端的接入进行限制,如设定网络地址范围等。c)
安全保障要求
5.2.1开发
安全架构
开发者对服务器安全功能的安全架构描述应包含以下内容:a)与产品设计文档中对安全功能描述的范围和抽象描述级别相一致;b)描述服务器安全功能采取的自我保护、不可旁路的安全机制,保证服务器安全功能不被破坏和干扰。
功能规范
开发者对服务器安全功能规范的描述应包含以下内容:功能规范到5.1中安全功能要求的追溯关系;a)
服务器所有安全功能接口的目的、使用方法及相关参数;b)
安全功能实施过程中与安全功能接口执行相关的行为;c
d)安全功能接口执行时引起的直接错误消息。注:安全功能接口是服务器向外部实体(如管理员、外部系统等)提供的操作界面。5.2.1.3产品设计
开发者对服务器安全功能设计的描述应包含以下内容:根据子系统描述服务器安全功能的结构,并标识安全功能的所有子系统;a)
b)描述安全功能子系统的行为,以及相互作用关系;c)提供安全子系统和安全功能接口间的对应关系。5.2.2指导性文档
5.2.2.1操作用户指南
开发者为所有操作用户角色提供的操作用户指南应包含以下内容:描述每一种操作用户角色能访问的功能和特权,包括适当的警示信息等;a)
b)对预留的外部硬件接口进行说明,包括接口名称、接口类型、功能等;c)描述服务器安全功能及接口的操作方法,包括配置参数的安全值等;d)标识和描述服务器运行的所有可能状态,包括操作导致的失败或者操作性错误等;描述实现5.1安全功能要求应执行的安全策略。e
5.2.2.2准备程序
开发者对服务器准备程序的描述应包含以下内容:a)描述与开发者交付程序相一致的安全接收所交付服务器必需的所有步骤;b)描述安全安装服务器及其运行环境支撑所必需的所有步骤。5.2.3生命周期支持
5.2.3.1配置管理能力
开发者的配置管理能力应满足以下要求:为服务器引导固件和带外管理模块固件的不同版本提供唯一标识:a
GB/T39680—2020
使用配置管理系统对组成服务器的所有配置项进行维护,并进行唯一标识;b)
提供配置管理文档,配置管理文档应描述用于唯一标识配置项的方法;配置管理系统提供自动方式来支持服务器配置项的生成,通过自动化措施确保配置项仅接受d)
授权变更;
配置管理文档包括一个配置管理计划·描述如何使用配置管理系统开发服务器,包括修改过的e)
或新建的作为服务器组成部分的配置项。开发者实施的配置管理应与配置管理计划相一致5.2.3.2
配置管理范围
开发者建立并维护的服务器配置项列表应包含以下内容:a)服务器本身、服务器的组成部分和安全保障要求的评估证据;b)对于每一个安全功能相关的配置项,配置项列表应简要说明该配置项的开发者。5.2.3.3交付程序
开发者应使用一定的交付程序交付服务器,交付过程的描述应包含为维护服务器安全性所必需的所有程序。
5.2.3.4开发安全
开发者应对服务器开发环境提供必要的安全措施,从物理的、程序的、人员的和其他方面采取必要的安全措施,确保服务器设计和实现的保密性和完整性。5.2.3.5生命周期定义
开发者应为服务器的开发和维护提供必要控制,并提供生命周期定义文档,该文档用于描述开发和维护服务器的模型。
5.2.4测试
5.2.4.1测试覆盖
开发者对测试覆盖的分析和描述应包含以下内容:与a)表明测试文档中所标识的测试与功能规范中所描述的服务器安全功能接口之间的对应性;b)表明a)中的对应性是完备的,并证实功能规范中的所有安全功能接口均进行了测试。5.2.4.2测试深度
开发者对测试深度的分析和描述应包含以下内容:5
GB/T39680—2020
证实测试文档中的测试与服务器设计中的安全功能子系统的一致性;b))
证实服务器设计中的所有安全功能子系统进行了测试5.2.4.3功能测试
开发者应对服务器安全功能进行测试,并将结果文档化。功能测试文档应包含以下内容:测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果a)
的任何顺序依赖性等;
预期测试结果,表明测试成功后的预期输出;b)
实际测试结果和预期测试结果的对比一致性5.2.4.4独立测试
开发者应提供一组与其安全功能测试时使用的同等资源,以用于安全功能的抽样测试5.2.4.5
安全性测试
开发者应对服务器引导固件、带外管理模块固件的安全性进行测试,并将结果文档化。安全性测试文档至少应包括测试计划,已识别的严重安全缺陷列表及修复情况等5.2.5脆弱性评定
开发者应基于已标识的潜在脆弱性对服务器进行脆弱性评定,以确保服务器能够抵抗以下攻击行为:
a)具有基本攻击潜力的攻击者的攻击;b)具有中等攻击潜力的攻击者的攻击。5.2.6维护
开发者在服务器维护阶段应满足以下要求:a)建立并执行服务器安全缺陷、漏洞的应急响应机制和流程;发现服务器存在安全缺陷、漏洞时.应按照既定程序及时采取修复或替代方案等补救措施b)
6安全测评准则
6.1测试环境
服务器安全测试环境参见图1,服务器为测评对象,并应部署与其兼容的操作系统以支撑测试实施:网络管理终端主要用于服务器固件安全、可靠运行支持、安全管理等测评:安全测试工具主要用于在测试实施过程中,为服务器安全功能和安全性的测评提供支撑,常见的安全测试工具包含网络抓包工具、漏洞扫描工具、渗透测试工具等6
安全功能要求测评
6.2.1设备标签
安全测民具
服务器
交海机
阿济管担终端
图1服务器安全测试环境
设备标签的测评方法如下:
a)测评方法:
1)核查服务器设备标签粘贴的位置;2)核查设备标签标识的内容。
b)预期结果:
服务器设备标签粘贴在机箱显著位置,且用户方便查看;1
GB/T39680—2020
2)服务器设备标签中包括了设备型号、设备唯一识别码、生产厂商等信息c
结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。硬件接口安全
硬件接口安全的测评方法如下:a)
测评方法:
核查服务器具备维护或调试功能的外部硬件接口是否采取安全控制措施(如采用专用工具、认证等),并验证其是否有效。
b)预期结果:
具备维护或调试功能的外部硬件接口采取了安全控制措施,且相关功能有效。c)
结果判定:
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合,GB/T39680—2020
6.2.3固件安全此内容来自标准下载网
6.2.3.1完整性保护
完整性保护的测评方法如下:
a)测评方法:
1)启用服务器引导固件、带外管理模块固件存储区保护机制,验证其完整性保护机制是否有效;
2)在带外管理模块固件访问服务器引导固件时,验证其授权控制功能是否有效;3)配置可信策略,启动服务器,验证是否通过可信根对服务器引导固件和主引导分区/初始化程序加载器完整性进行了检测;模拟服务器引导固件和主引导分区/初始化程序加载器完整性受到破坏,验证服务器启动4)
后相应的安全措施(如停止启动、自动恢复、报警等是否有效。b)预期结果:
1)服务器引导固件、带外管理模块固件的存储区提供了有效的完整性保护机制;2)带外管理模块固件访问服务器引导固件时采取了访问控制机制,可防止非授权的访问;3)
服务器采用了可信根机制,并在启动时对服务器引导固件和主引导分区/初始化程序加载器的完整性进行了检测;
当检测到服务器引导固件和主引导分区/初始化程序加载器完整性被破坏后,可根据提4)
供/配置的安全措施进行响应。
c)结果判定
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合。6.2.3.2更新安全
更新安全的测评方法如下:
a)测评方法:
1)核查服务器引导固件和带外管理模块固件更新操作是否提供用户授权机制,如更新确认按钮等,并验证其是否有效;
核查服务器引导固件和带外管理模块固件更新是否具备对其镜像文件进行真实性和完整2)
性进行校验的安全机制;
分别伪造服务器引导固件和带外管理模块固件的更新镜像文件,验证更新机制对其真实3)
性校验是否有效;
4)分别模拟服务器引导固件和带外管理模块固件的更新镜像文件受到破坏时,验证更新机制对其完整性校验是否有效;
配置可信策略,执行服务器引导固件更新操作,验证是否基于可信根对待更新服务器引导5)
固件镜像文件校验成功后才能执行更新操作。b)预期结果:
服务器引导固件和带外管理模块固件的更新操作提供了用户授权,并在用户授权后才能1
执行更新操作;
服务器引导固件和带外管理模块固件在更新时提供了对镜像文件的真实性和完整性校验机制;
服务器引导固件和带外管理模块固件的更新机制能识别伪造的镜像文件,并提示更新失败;
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。