服务器等保安全技术要求.docx

信息安全技术服务器安全技术要求Information security technology- Security techniques requirement for server目 次前 言 III引 言 V1 范围 12 规范性引用文件 13 术语、定义和缩略语 13.1 术语和定义 13.2 缩略语 24 服务器安全功能要求 24.1 设备安全 24.1.1 设备标签 24.1.2 设备可靠运行支持 24.1.3 设备工作状态监控 24.1.4 设备电磁防护 34.2 运行安全 34.2.1 安全监控 34.2.2 安全审计 34.2.3 恶意代码防护 44.2.4 备份与故障恢复 54.2.5 可信技术支持 54.2.6 可信时间戳 54.3 数据安全 54.3.1 身份鉴别 54.3.2 自主访问控制 64.3.3 标记 64.3.4 强制访问控制 74.3.5 数据完整性 84.3.6 数据保密性 84.3.7 数据流控制 94.3.8 可信路径 95 服务器安全分等级要求 95.1 第一级：用户自主保护级 95.1.1 安全功能要求 95.1.2 安全保证要求 105.2 第二级：系统审计保护级 115.2.1 安全功能要求 115.2.2 安全保证要求 135.3 第三级：安全标记保护级 135.3.1 安全功能要求 135.3.2 安全保证要求 165.4 第四级：结构化保护级 175.4.1 安全功能要求 175.4.2 安全保证要求 205.5 第五级：访问验证保护级 205.5.1 安全功能要求 205.5.2 安全保证要求 23附 录 A（资料性附录）有关概念说明 25A.1 组成与相互关系 25A.2 服务器安全的特殊要求 25A.3 关于主体、客体的进一步说明 25A.4 关于 SSOS、SSF、SSP、SFP 及其相互关系 26A.5 关于密码技术的说明 26A.6 关于电磁防护的说明 26参考文献 27II引 言本标准为设计、生产、制造、选配和使用所需要的安全等级的服务器提出了通用的安全技术要求， 主要从服务器安全保护等级划分的角度来说明其技术要求，即为实现 GB 17859-1999 的要求对服务器通用安全技术进行了规范。

服务器是信息系统的主要组成部分，是由硬件系统和软件系统两大部分组成的，为网络环境中的客户端计算机提供特定的应用服务的计算机系统服务器安全就是要对在服务器中存储、传输、处理和发布的数据信息进行安全保护，使其免遭由于人为的和自然的原因所带来的泄露、破坏和不可用的情况服务器是以硬件系统和操作系统为基础，分别由数据库管理系统提供数据存储功能，以及由应用系统提供应用服务接口功能因此，硬件系统和操作系统的安全便构成了服务器安全的基础服务器安全从服务器组成的角度来看，硬件系统、操作系统、数据库管理系统、应用系统的安全保护构成了服务器安全服务器的安全既要考虑服务器的安全运行保护，也要考虑对服务器中所存储、传输、处理和发布的数据信息的保护由于攻击和威胁既可能是针对服务器运行的，也可能是针对服务器中所存储、传输、处理和发布的数据信息的保密性、完整性和可用性的，所以对服务器的安全保护的功能要求，需要从系统安全运行和信息安全保护两方面综合进行考虑本标准依据 GB/T 20271-2006 关于信息系统安全保证要素的要求，从服务器的 SSOS 自身安全保护、SSOS 的设计和实现以及 SSOS 的安全管理等方面，对服务器的安全保证要求进行更加具体的描述。

本标准按照 GB 17859-1999，分五个等级对服务器的安全功能和安全保证提出详细技术要求其中， 第四章对服务器安全功能基本要求进行简要说明，第五章从安全功能要求和安全保证要求两个方面，按硬件系统、操作系统、数据库管理系统、应用系统和运行安全五个层次对服务器安全功能的分等级要求进行了详细说明在此基础上，本标准的第五章对服务器安全功能分等级要求分别从安全功能要求和安全保证要求两方面进行了详细说明在第五章的描述中除了引用以前各章的内容外，还引用了 GB/T 20271-2006 中关于安全保证技术要求的内容为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，在第 4 章的描述中，每一级新增部分用“宋体加粗”表示信息安全技术 服务器安全技术要求1 范围本标准依据 GB 17859-1999 的五个安全保护等级的划分，规定了服务器所需要的安全技术要求， 以及每一个安全保护等级的不同安全技术要求本标准适用于按 GB 17859-1999 的五个安全保护等级的要求所进行的等级化服务器的设计、实现、选购和使用按 GB 17859-1999 的五个安全保护等级的要求对服务器安全进行的测试、管理可参照使用。

2 规范性引用文件下列文件中的有关条款通过在本标准的引用而成为本标准的条款凡是注日期的引用文件，其后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T20272-2006信息安全技术操作系统安全技术要求GB/T20273-2006信息安全技术数据库管理系统安全技术要求GB/T20520-2006信息安全技术公钥基础设施 时间戳规范3 术语、定义和缩略语3.1 术语和定义GB 17859-1999、GB/T 20271-2006、GB/T 20272-2006 、GB/T 20273-2006 和 GB/T 20520-2006 确立的以及下列术语和定义适用于本标准3.1.1服务器 server服务器是信息系统的主要组成部分，是信息系统中为客户端计算机提供特定应用服务的计算机系统，由硬件系统（如处理器、存储设备、网络连接设备等）和软件系统（如操作系统、数据库管理系统、应用系统等）组成。

3.1.2服务器安全性 server security服务器所存储、传输、处理的信息的保密性、完整性和可用性的表征3.1.3服务器安全子系统(SSOS) security subsystem of server服务器中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体它建立了一个基本的服务器安全保护环境，并提供服务器安全要求的附加用户服务3.1.4安全要素 security element本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份3.1.5安全功能策略（SFP） security function policy为实现 SSOS 安全要素要求的功能所采用的安全策略3.1.6安全功能 security function为实现 SSOS 安全要素的内容，正确实施相应安全功能策略所提供的功能3.1.7SSOS 安全策略(SSP) SSOS security policy对 SS0S 中的资源进行管理、保护和分配的一组规则一个 SSOS 中可以有一个或多个安全策略3.1.8SSOS 安全功能(SSF) SSOS security function正确实施 SSOS 安全策略的全部硬件、固件、软件所提供的功能。

每一个安全策略的实现，组成一个 SSOS 安全功能模块一个 SSOS 的所有安全功能模块共同组成该 SSOS 的安全功能3.1.9SSF 控制范围（SSC） SSF scope of controlSSOS 的操作所涉及的主体和客体的范围3.1.10网络接口部件（NIC） network interface component是服务器的重要组成部分，是服务器对网络提供支持的接口3.2 缩略语SSOS 服务器安全子系统 security subsystem of server SSF SSOS 安全功能 SSOS security functionSFP 安全功能策略 security function policy SSC SSF 控制范围 SSF scope of controlSSP SSOS 安全策略 SSOS security policy4 服务器安全功能要求4.1 设备安全4.1.1 设备标签根据不同安全等级对服务器设备标签的不同要求，设备标签分为：a) 设备标记：服务器设备应提供在显著位置设置标签（如编号、用途、负责人等）的功能，以方便查找和明确责任；b) 部件标记：服务器关键部件（包括硬盘、主板、内存、处理器、网卡等）应在其上设置标签， 以防止随意更换或取走。

4.1.2 设备可靠运行支持根据不同安全等级对设备可靠运行支持的不同要求，可靠运行支持分为：a) 基本运行支持：服务器硬件配置应满足软件系统基本运行的要求，关键部件应有数据校验能力；b) 安全可用支持：服务器硬件配置应满足安全可用的要求，关键部件均安全可用；c) 不间断运行支持：为满足服务器不间断运行要求，关键部件应具有容错、冗余或热插拔等安全功能，服务器应按照业务连续性要求提供双机互备的能力4.1.3 设备工作状态监控构成服务器的关键部件，包括电源、风扇、机箱、磁盘控制等应具备可管理接口，通过该接口或其它措施收集硬件的运行状态，如处理器工作温度、风扇转速、系统核心电压等，并对其进行实时监控，当所监测数值超过预先设定的故障阈值时，提供报警、状态恢复等处理4.1.4 设备电磁防护应根据电磁防护强度与服务器安全保护等级相匹配的原则，按国家有关部门的规定分等级实施4.2 运行安全4.2.1 安全监控4.2.1.1 主机安全监控根据不同安全等级对服务器主机安全监控的不同要求，主机安全监控分为：a) 提供服务器硬件、软件运行状态的远程监控功能；b) 对命令执行、进程调用、文件使用等进行实时监控，在必要时应提供监控数据分析功能。

4.2.1.2 网络安全监控服务器应在其网络接口部件处对进出的网络数据流进行实时监控根据不同安全等级对网络安全监控的不同要求，网络安全监控应：a) 不依赖于服务器操作系统，且不因服务器出现非断电异常情况而不可用；b) 对进出服务器的网络数据流，按既定的安全策略和规则进行检测；c) 支持用户自定义网络安全监控的安全策略和规则；d) 具有对网络应用行为分类监控的功能，并根据安全策略提供报警和阻断的能力；e) 提供集中管理功能，以便接收网络安全监控集中管理平台下发的安全策略和规则，以及向网络安全监控集中管理平台提供审计数据源4.2.2 安全审计4.2.2.1 安全审计的响应安全审计 SSF 应按以下要求响应审计事件：a） 审计日志记录：当检测到有安全侵害事件时，将审计数据记入审计日志；b） 实时报警生成：当检测到有安全侵害事件时，生成实时报警信息，并根据报警开关的设置有选择地报警；c） 违例进程终。