2010-10-04 01:04:08
来 源
中存储
网络安全
本标准规定了服务器安全的测评要求,包括第一级、第二级、第三级和第四级服务器安全测评要求。本标准适用于测评机构从信息安全等级保护的角度对服务器安全进行的测评工作。信息系统的主管部门及运营使用单位、服务器软硬生产厂商也可参考使用。

《信息安全技术 服务器安全测评要求(GB/T 25063-2010)》

中华人民共和国国家标准

Information Security Technology-Testing and Evaluation Requirement for Server Security

《信息安全技术 服务器安全测评要求(GB/T 25063-2010)》由全国信息安全标准化技术委员会提出并归口。本标准起草单位:浪潮集团有限公司、公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:黄涛、孙大军、刘刚、沈亮、李清玉、颜斌、顾建、顾伟。

前言 

引言 

1范围 

2规范性引用文件 

3术语和定义、缩略语 

3.1术语和定义 

3.2缩略语 

4第一级安全测评 

4.1硬件系统 

4.2操作系统 

4.3数据库管理系统 

4.4应用系统 

4.5运行安全 

4.6SSOS自身安全保护 

4.7SSOS设计和实现 

4.8SSOS安全管理 

5第二级安全测评 

5.1硬件系统 

5.2操作系统 

5.3数据库管理系统 

5.4应用系统 

5.5运行安全 

5.6SSOS自身安全保护 

5.7SSOS设计和实现 

5.8SSOS安全管理 

6第三级安全测评 

6.1硬件系统 

6.2操作系统 

6.3数据库管理系统 

6.4应用系统 

6.5运行安全 

6.6SSOS自身安全保护 

6.7SSOS设计和实现 

6.8SSOS安全管理 

7第四级安全测评 

7.1硬件系统 

7.2操作系统 

7.3数据库管理系统 

7.4应用系统 

7.5运行安全 

7.6SSOS自身安全保护 

7.7SSOS设计和实现 

7.8SSOS安全管理 

8第五级安全测评 

参考文献 

(1)GB/T 18336.1—2008 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型(ISO/IEC 15408—1:2005,IDT) 

(2)GB/T 18336.2—2008 信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求(ISO/IEC 15408—2:2005,IDT) 

(3)GB/T 18336.3—2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求(ISO/IEC 15408—3:2005,IDT) 

(4)GB/T 20272——2006 信息安全技术 操作系统安全技术要求 

(5)GB/T 20273——2006 信息安全技术 数据库管理系统安全技术要求 

(6)Trusted Computing Group TPM Main Specification Version 1.2:Part 1 Design Principles,May2004

部分内容:

4第一级安全测评 

4.1硬件系统 

4.1.1设备标签 

对第一级设备标签的测评要求包括: 

a)测评者应检查服务器机箱,查看其是否可在显著位置设置标签; 

b)测评者应检查服务器是否设置了设备标签,以及该标签包含的信息; 

c)依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028—2007中5.1.1.1.1规定的要求。 

4.1.2设备可靠运行支持 

对第一级设备可靠运行支持的测评要求包括: 

a)测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能; 

b)测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致; 

c)测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况; 

d)依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028—2007中 

5.1.1.1.2规定的要求。 

4.2操作系统 

4.2.1身份鉴别 

对第一级服务器中操作系统的身份鉴别功能的测评要求包括: 

a)测评者应检查操作系统是否提供了远程管理功能,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施; 

b)测评者应检查操作系统是否提供了身份鉴别措施(如用户名和口令等); 

c)依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028—2007中5.1.1.2a)规定的要求。 

4.2.2自主访问控制 

对第一级服务器中操作系统的自主访问控制功能的测评要求包括: 

a)测评者应检查操作系统的自主访问控制功能,查看其是否能对重要文件的访问权限进行限制,对系统不需要的服务、共享路径等可能被非授权访问的客体进行限制; 

b)测评者应检查操作系统中匿名/默认用户的访问权限是否能被禁用或者限制(如限定在有限的范围内); 

c)依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028—2007中5.1.1.2b)规定的要求。

PDF全文下载信息安全技术 服务器安全测评要求 GB/T 25063-2010

相关标准下载《信息安全技术 服务器安全技术要求 GB/T 21028-2007

声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。