信息安全技术 服务器安全技术要求和测评准则目 次前言 I1 范围 12 规范性引用文件 13 术语、定义和缩略语 14 概述 25 安全技术要求 25.1 安全功能要求 25.1.1 设备标签 25.1.2 硬件接口安全 25.1.3 固件安全 25.1.4 驱动程序安全 35.1.5 可靠运行支持 35.1.6 自身安全管理 35.2 安全保障要求 45.2.1 开发 45.2.2 指导性文档 55.2.3 生命周期支持 55.2.4 测试 65.2.5 脆弱性评定 65.2.6 维护 66 安全测评准则 76.1 测试环境 76.2 安全功能要求测评 76.2.1 设备标签 76.2.2 硬件接口安全 76.2.3 固件安全 86.2.4 驱动程序安全 96.2.5 可靠运行支持 96.2.6 自身安全管理 106.3 安全保障要求测评 126.3.1 开发 126.3.2 指导性文档 136.3.3 生命周期支持 146.3.4 测试 156.3.5 脆弱性评定 176.3.6 维护 17附 录 A (资料性附录) 服务器操作系统安全要求 18I信息安全技术 服务器安全技术要求和测评准则1 范围本标准规定了服务器的安全技术要求和测评准则。
本标准适用于服务器的研制、生产、维护和测评2 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T 20272 信息安全技术 操作系统安全技术要求GB/T 25069 信息安全技术 术语3 术语、定义和缩略语3.1 术语和定义GB/T 20272和GB/T 25069界定的以及下列术语和定义适用于本文件3.1.1服务器 server网络环境下为客户端计算机提供特定应用服务的计算机系统注 1:本标准计算机系统指服务器硬件系统部分,主要包含独立计算单元、存储单元、网络传输单元、监控管理单元、供电单元及驱动程序等注 2:改写 GB/T 9813.3—2017,定义 3.13.1.2服务器引导固件 server boot firmware负责服务器芯片组的初始化和配置,收集、汇总硬件资源信息并引导进入操作系统的程序3.1.3带外管理模块 out-of-band management module通过专用物理通道对服务器进行控制管理和维护的独立管理单元示例:x86 平台的 BMC、Power 平台的FSP 等。
3.1.4带外管理模块固件 out-of-band management module firmware存在于带外管理模块中,用于实现其功能的程序13.1.5驱动程序 driver program为操作系统或应用程序提供操作或控制服务器中特定设备的软件程序3.2 缩略语下列缩略语适用于本文件CPU:中央处理器(central processing unit)4 概述服务器的安全要求对提高其业务运行能力,保证其服务提供的安全性和可持续性至关重要由于服务器整体安全受到如硬件系统、操作系统等多方面的约束,任何一方面安全保护能力的不足或互补不到位都将影响服务器整体的安全性本标准主要对服务器硬件系统提出了安全技术要求和安全测评准则, 服务器配置的操作系统相关安全要求参见附录A服务器安全技术要求分为安全功能要求和安全保障要求其中安全功能要求是对服务器应具备的安全功能提出的具体要求,包括设备标签、硬件接口安全、 固件安全、驱动程序安全、可靠运行支持和自身安全管理等;安全保障要求是对服务器生命周期过程提出的具体要求,包括开发、指导性文档、生命周期支持、测试、脆弱性评定和维护等根据安全技术要求,本标准给出了相应的安全测评准则。
根据服务器安全技术发展情况及应用需求,结合服务器安全功能的强弱,以及安全保障要求的高低, 本标准将服务器安全技术要求划分为基本级和增强级,其中增强级的新增部分用“宋体加粗”表示附录 B以表格的形式列举了第5章基本级和增强级的安全技术要求5 安全技术要求5.1 安全功能要求5.1.1 设备标签应在服务器显著位置设置标签,以标识服务器设备信息(包括设备型号、设备唯一识别码、生产厂 商等)5.1.2 硬件接口安全应对具备维护或调试功能的外部硬件接口采取安全控制措施,如采用专用工具、认证等5.1.3 固件安全5.1.3.1 完整性保护完整性保护功能应满足以下要求:a) 对服务器引导固件、带外管理模块固件提供存储区完整性保护机制; b) 访问服务器引导固件时,应先进行授权控制;c) 基于可信根,在服务器启动时,对于服务器引导固件和主引导分区/初始化程序加载器进行完整性检测,并在检测到其完整性被破坏后,采取相应安全措施,如停止启动、自动恢复、报 警等25.1.3.2 更新安全更新安全功能应满足以下要求:1) 提供服务器引导固件和带外管理模块固件更新的用户授权机制,应在获得用户授权后方可进 行;2) 服务器引导固件和带外管理模块固件更新时,应对其镜像文件的真实性和完整性进行校验,验 证通过后方可允许更新;3) 基于可信根,对待更新的服务器引导固件镜像文件进行校验,验证通过后方可允许更新。
5.1.3.3 固件恢复固件恢复功能应满足以下要求:a) 提供服务器引导固件和带外管理模块固件手动恢复机制;b) 提供服务器引导固件和带外管理模块固件自动恢复机制,在检测到固件被破坏后,采取相应 的自动恢复措施,如替换已破坏的固件,启用备用固件等5.1.4 驱动程序安全应具备服务器驱动程序的真实性和完整性验证机制注:驱动程序是指由服务器厂商提供的驱动程序5.1.5 可靠运行支持可靠运行支持应满足以下要求:a) 对服务器的电源、风扇、硬盘等部分关键部件进行冗余设计,硬盘、风扇、电源支持热插拔功 能;b) 对服务器部分关键部件的温度、电压,以及风扇转速等进行安全监控,当监测数值超过预先设 定的阈值时应报警;c) 提供服务器 CPU、硬盘、内存等部分关键部件故障定位的机制;d) 对服务器硬盘、内存等部分关键部件提供故障隔离机制,当某一部件出现故障时,服务器仍 可提供计算服务5.1.6 自身安全管理5.1.6.1 身份标识与鉴别1) 带外管理模块固件中身份标识与鉴别功能应满足以下要求: a) 对用户身份进行标识和鉴别,身份标识具有唯一性;b) 提供默认口令修改机制;c) 用户设置口令时,应对口令的复杂度进行验证,确保口令长度不少于 8 位,包含的字符类型不少于 2 种;d) 具备鉴别失败处理功能,如限制连续的非法登录尝试次数措施; e) 具备登录连接超时自动退出机制;f) 鉴别信息采取加密方式存储。
2) 服务器引导固件中身份标识与鉴别功能应满足以下要求: a) 提供默认口令修改机制;3b) 鉴别信息采取加密方式存储5.1.6.2 授权与访问控制1) 带外管理模块固件中授权与访问控制安全功能应满足以下要求: a) 依据最小权限的原则,为默认用户预置访问控制策略;b) 在用户访问受控资源或功能时,依据设置的控制策略进行授权和访问控制; c) 不存在未声明的功能接口2) 服务器引导固件不存在未声明的功能接口5.1.6.3 安全审计带外管理模块固件中安全审计功能应满足以下要求: a) 审计事件至少包括:1) 用户的登录和注销、系统开关机、用户创建、删除、口令修改;2) 核心安全配置的变更,如访问控制策略、自动更新策略、安全监控策略等;3) 固件更新和恢复记录b) 在审计记录中至少包括以下内容:事件发生日期和时间、用户名、事件描述(包括类型、操作 结果)、IP 地址或主机名(采用远程管理方式时);c) 对审计记录进行保护,避免受到非预期的删除、修改或覆盖等; d) 提供审计记录转存或输出功能5.1.6.4 远程管理带外管理模块固件中远程管理安全功能应满足以下要求: a) 提供开放端口和服务列表,并明示其用途;b) 采用安全的网络协议或接口对传输数据进行保护;c) 对远程管理终端的接入进行限制,如设定网络地址范围。
5.2 安全保障要求5.2.1 开发5.2.1.1 安全架构开发者对服务器安全功能的安全架构描述应包含以下内容:a) 与产品设计文档中对安全功能描述的范围和抽象描述级别相一致; b) 充分描述服务器安全功能采取的自我保护、不可旁路的安全机制5.2.1.2 功能规范开发者对服务器安全功能规范的描述应包含以下内容: a) 描述功能规范到 5.1 中安全功能要求的追溯关系;b) 描述服务器所有安全功能接口的目的、使用方法及相关参数; c) 描述安全功能实施过程中,与安全功能接口执行相关的行为; d) 描述安全功能接口执行时,引起的直接错误消息4注:安全功能接口是指服务器向外部实体(如管理员、外部系统)提供的操作界面5.2.1.3 产品设计开发者对服务器安全功能设计的描述应包含以下内容:a) 根据子系统描述服务器安全功能的结构,并标识安全功能的所有子系统; b) 描述安全功能子系统的行为,以及相互作用关系;c) 提供安全子系统和安全功能接口间的对应关系5.2.2 指导性文档5.2.2.1 操作用户指南开发者为所有操作用户角色提供的操作用户指南应包含以下内容:a) 描述每一种操作用户角色能访问的功能和特权,包含适当的警示信息; b) 对预留的外部硬件接口进行说明,包括接口名称、接口类型、功能等; c) 描述服务器安全功能及接口的操作方法,包括配置参数的安全值等;d) 标识和描述服务器运行的所有可能状态,包括操作导致的失败或者操作性错误等; e) 描述实现 5.1 安全功能要求应执行的安全策略。
5.2.2.2 准备程序开发者对服务器准备程序的描述应包含以下内容:a) 描述与开发者交付程序相一致的安全接收所交付服务器必需的所有步骤; b) 描述安全安装服务器,及其运行环境支撑所必需的所有步骤5.2.3 生命周期支持5.2.3.1 配置管理能力开发者的配置管理能力应满足以下要求:a) 为服务器引导固件和带外管理模块固件的不同版本提供唯一标识;b) 使用配置管理系统对组成服务器的所有配置项进行维护,并进行唯一标识; c) 提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;d) 配置管理系统提供自动方式来支持服务器配置项的生成,通过自动化措施确保配置项仅接受 授权变更;e) 配置管理文档包括一个配置管理计划,描述如何使用配置管理系统开发服务器,包括修改过 或新建的作为服务器组成部分的配置项开发者实施的配置管理应与配置管理计划相一致5.2.3.2 配置管理范围开发者建立并维护的服务器配置项列表应包含以下内容:a) 服务器本身、服务器的组成部分和安全保障要求的评估证据;b)。