【国家标准(GB)】 信息安全技术 服务器安全技术要求

ICS 35.040
中华人民共和国国家标准
GB/T21028—2007
信息安全技术
服务器安全技术要求
Information security technology-Security technigues reguirement for server2007-06-29发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2007-12-01实施
1范围
2规范性引用文件
3术语、定义和缩略语
3. 1 术语和定义
3.2缩略语
4服务器安全功能要求
4.1设备安全·
4.1.1设备标签
设备可靠运行支持
设备工作状态监控：
设备电磁防护
4.2运行安全
安全监控
安全市计·
恶意代码防护
备份与故障恢复
可信技术支持
可信时间識
数据安全
身份鉴别
自主访问控制
标记·
强制访问控制
数据完整性
数据保密性
数据流控制
可信路径
5服务器安全分等级要求
5.1第一级：用户自主保护级
安全功能要求
5.1.2安全保证要求
5, 2第一级:系统审计保护级
5.2,1安全功能要求
5.2.2安全保证要求
6.3第三级：安全标记保护级
5. 3. 1 安全功能要求
GB/T 21028—2007
GB/T21028—2007
5.3.2安全保证要求，
5.4第四级：结构化保护级
5.4.1安全功能要求·
5.4,2安全保证要求，
5.5第五级：访间验证保护级
5.5.1安全功能要求
5.5.2安全保证要求
附录A（资料性附录）有关概念说明A.1组成与相互关系
A,2服务器安全的特殊要求
A.3关于主体、客体的进一步说明A，4关于SSOS、SSF,SSP.SFP及其相互关系5关于密码技术的说明
6关于电磁防护的说明
参考文献
本标准的附录A是资料性附录。
本标准由全国信息安全标准化技术委员会提出并归口。本标推负费起草单位：浪潮电子信息产业股份有限公司。本标雄参加起节单位：联想(北京)有限公司、天津曙光计算机产业有限公司。GB/T21028--2007
本标准主要起草人：孙丕恕、黄涛、孙大军，刘刚、周永利、颜斌、李清玉、景乾元、李志杰、曾宇。GB/T 21028-2007
本标准为设计，生产、制造，选配和使用所需要的安全等级的服务器提出了通用安全技术要求，主要从服务器安全保护等级划分的角度来说明其技术要求，即为实现GB17859—1999的要求对服务器通用安全技术进行了规范。
服务器是信息系统的主要组成部分，是由硬件系统和软件系统两大部分组成的，为网络环境中的客户端计算机提供特定应用服务的计算机系统服务器安全就是要对服务器中存储、传输、处理和发布的数据信息进行安全保护，使其免遗再于天为的和自然的因所带的泄溺破坏和不可用的情况。服务器是以硬件系统和操作系统基郁；分别由数据库管理系统提供数据凝储功能，以皮由应用系统提供应用服务接口功能。因此，梗件系统和操作系统的安全便构成了服务器安全的基础。服务器安全从服务器组成的角度来看，硬件紧统，操作系统、数据库管理系统、应用系统的安全保护构成了服务器安全。由于攻击和威胁既可能悬针对服务器运行的，也可能是针对服务器中所存储、传输.处理和发布的数据信息的保密性、完整性和可用性的，所以对服务器的安全保护的功能要求，需要从系统安全运行和信息安全保护两方面综合进行考虑。本标难依据GB/T20271一2006关于借息系统安全保征要素的要求，从服务器的SSOS白案全保护，SSOS的设开和实现以及SSOS的安全管理等方面，对服务器的安全保证要求进行更加具体的描述。
本标准按照GB17859—1999,分五个等级对服务器的安企功能和安全保证提出详细技术要求。其中，第4章对服务安全功能基本要求进行简要说明，第5章从安全功能要求和安全保证要求两个方面，按硬件系统、操作系统，数撬库管理系统、应用系统和运行安全五个层次对服务器安全功能的分等级要求进行了详细说明。在第5章的描述中除了引用前面各章的内容外，还引用了GB/T 20271--2006中关于安全保证技术要求的内窃。为清晰表呆每一个安企等级比较低一级安全等级的安全技术要求的增加和增强，在第5谨描述中，较低等级中没有出现或增强的内容用“黑体字\装示，1范围
信息安全技术服务器安全技术要求GB/T 21028—2007
本标准依据GB17859~-1999的五个安全保护等级的划分+规定了服务器所要的安全技术要求，以及每一个安全保护等级的不同安全技术要求，本标准适用于按G1317859-·1999的五个安全保护等级的要求所进行的等级化服务器的设计、实现，选购和使用。按GB17859一1999的五个安全保护等级的要求对服务器安全进行的测试，臀理可参照使用。
2规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859—1999计算机信息系统安全保护等级划分准则GB/T20271—2005信息安全技术信息系统通用安全技术要求GB/T20272—2006信息安全技术操作系统安全技术要求GB/T20273--2006信息安全技术数据库管理系统安全技术要求GB/T205202006信息安全技术公钥基础设施时间戳规范3术语.定文和缩略语
3.1术语和定义
GB 17859—1999,GB/T 20271—2006.GB/T 20272—2006,GB/F 20273—2006 和 GB/'I 20520—2006确立的以及下列术语和定义适用于本标准。:3.1.1
服务器server
服务器是信息系统的主要组成部分，是信息系统中为客户端计算机提供特定应用服务的计算机系统，由硬件系统（如处理器、存储设备、网络连接设备等）和软件系统（如操作系统、数据库管理系统、应用系统等)组成。
务器安全性server security
服务器所存储、传输、处理的信息的保密性、完整性和可用性的表征。3. 1. 3
服务器安全子系统（SSoS）securitysubsystemofserver服务器中安全保护装置的总称，包括硬件、固件，软件和负责执行安全策略的组合体。它建立了一个基本的服务器安全保护环境，并提供服务器安全要求的附加用户服务。3. 1. 4
安全要案security element
本标准中各安全保护等级的安企技术要求所包含的安全内容的组成成分。1
GB/T210282007
安全功能策略（SFP）securityfunclionpolicy为实现SSOS安全要素要求的功能所采用的安全策略。3. 1. 6
安全功能security functinn
为实现SSOS安全要索的内容，正确实施相应安全功能策略所提供的功能。3, 1.7
SSOS 安全策略(SSP) SsOS security ralicy对SSOS中的资源进行管理，保护和分配的一组规则。一个SSOS.中可以有一-个或多个安全策略。3. 1. 8
SSOS安全功能（SSE）SSQSetrityfunctlun正确实施SSOS安全策鑫的垒部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSOS安全动能模缺+→个/SSOS的所有安全功能模块共同组成该SSOS的安全功能。3. 1. 9
SSF控制范围(SScy.SSF scopeof comtrolSSOS的操作所涉及的主体和客体的范面。3.1.10
网络接口部件（Nic)networkImterfaeecompoment是服务器的重要组成部分，是服务器对网络提供支持的接口。3.2缩略语
SSOs服务安全子系统securitysubsystem af serverSSF
SSOs安全功能 SSOS security function安全功能策略securityfunctian policySSF控制范围 SSF scope of controlSSP
SSOS安全策略SSOSsecuritypolicy服务器安全功能募求
4.1设备安全
4.1.1设备标签
根据不同安全等级对服务器设备标签的不同要求，设备标签分为a）设备标签：服务器设备应提供在显著位置设置标签《编号、用途，负资人等）的功能，以方便查找和明确责任：
b）部件标签：服务器关键部件（包括硬盘，主板、内存、处理器，网卡等）应在其上设标签，以防止随意更换或取走。
4.1.2设备可靠运行支持
根据不同安全等级对设备可靠运行支持的不同要求，可运行支持分为：基本运行支持：服务器硬件配置应满足软件系统基本运行的要求，关键部件应有数据校验ay
能力；
安全可用支持：服务器硬件配置应满足安全可用的要求，关键部件均安全可用：c）不间断运行支持：为满足服务器不间断运行要求，关键部件应具有容错、余或热插拨等安全功能，服务器应按照业务连续性要求提供双机互备的能力。4.1.3设备工作状态监控
构成服务器的关链部件，包括电源、风扇、机箱、磁盘控制等应具备可管理接口，通过该接口或其他2
GB/T 21028—2007
措施收集硬件的运行状态，如处理器工作温度风扇转速、系统核心电压等，并对其进行实时监控，当所监测数值超过预先设定的故障阅值时，提供报馨，状态恢复等处理。4..4设备电磁防护
应根据电磁防护强度与服务器安全保护等级相匹配的原则，按国家有关部门的规定分等级实施。4.2运行安全
4.2.1安全监控
4.2.1.1主机安全监控
根据不同安全等级对服务器主机安全监控的不同要求，主机安全监控分为：a）提供服务器硬件、软件运行状态的远程监控功能；b）对命令执行、进程调用、文件使用等进行实时监控，在必要时应提供监控数据分析功能。4.2.1.2网络安全监控
服务器应在其网络接口部件处对进出的网络数据流进行实时控。根据不同安全等级对网络安企监控的不同要求，网络安全监控应：a）不依赖于服务器操作系统，且不因服务器出现非断电异常情况而不可用对逃山服务器的网络数据流，按既定的安全策略和规则进行检测，b
支持用户白定义网络安全监控的安全策略和规则e
具有对网络应用行为分类监控的功能，并根据安全策略提供报警和阻断的能力d
接供集中管理功能，以便接收网络安全监控集中管理平台下发的安策略和规则，以及向网络e>
安全监控集中管理平台提供弹计数据源。4.2.2安全审计
4.2. 2.1安全审计的响应
安金审计SSF应按以下要求响应审计事件：）审计日志记录，当检测到有安全侵害事件时，将审计数据记人审计日志；实时报警生成：当检测到有安全侵害事件时，生成实时报警信息，并根据报蓄开关的设置有选b）
择地报警：
c）违例进程终止：当检测到有安全侵害事件时，将违例进程终止：d）服务取消：当检测到有安全侵青事件时，取消当前的服务；e）用户账号断开与失效：当检测到有安全侵害事件时，将当前的用户账号断开，并使其失效：4.2.2.2安全审计数据产生
安全审计SSF应按以下要求产生审计数据：a）为卜述可审计事件产生审计记录：一审计功能的开启和关闭；
一使用身份鉴别机制;
一将客体引入用户地址空间（例如：打开文件、程序初始化）；一删除客体；此内容来自标准下载网
系统管理员、系统安全员、审计员和一般操作员所实施的操作；一一其他与系统安全有关的事件或专门定义的可审计事件。b）对于每一个事件，其审计记录应包括：事件的日期和时间、用，事件类型、事件是否成功，及其他与审计相关的信息。
对于身份鉴别事作，审计记录应包合请求的束源（例如：末谢标识符）。d）对于客体被引人用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全级，
GB/T 21028—2007
4.2.2.3安全审计分析
根据不同安全等级对安全审计分新的不同要求，安金审计分析分为）潜在侵害分析：用一系列规厕监控审计事件，并根据这些规则指出对SSP的潜在侵害。这些规则包括：
由已定义的可审计事件的了集所指示的潜在安全攻击的积累或组合一—任何其他的规则。
b）基于异检测的描述：维护用户所具有的质疑等级一——-历史使用情况，以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过阅值条件时，能指出将要发生对安全性的威胁。
c）简单攻击探测：能检测到对SSF的实施有重大威胁的签名事件的出现。为此，SSF应维护指出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当发现两者匹配时指出一个对 SSF 的攻击即将到来。d）复杂攻击探测：在上述简单攻击探测的基础上，能检测到多步人侵情况，并根据已知的事件序列模拟出完整的入侵情况，指出发现对SSF的潜在侵害的签名事件或事件序列的时。4.2.2.4安全审计查阅
根据不同安全等级对安全审计查阅的不同要求，安全中计查阅分为：a）基本审计查阅：提供从审计记录中读取信息的能力，即为授权用户提供获得和解释审计信息的能力，当用户是人时，必须以人类可懂的方式表示信息，当用户是外部IT实体时，必须以电子方式无歧义地表示审计信息。
6）有限审计查阅：在基本审计查阅的基础上，应禁止具有读访问权限以外的用户读取审计信息。）可选审计查阅：在有限审计查阅的基础上，应具有根据准则来选择要查阅的审计数据的功能，并根据某种逻辑关系的标准提供对审计数据进行搜索、分类.排序的能力。4.2.2.5安全审计事件选择
应根据以下属性选择可审计事件：a）客体身份,用户身份、主体身份、主机身份,事件类型；b）作为审计选择性依据的附加能。4.2.2.6安全审计事件存储
根据不同安全等级对安命审计事件存储的不同要求，安全审计事件存储分为：1）受保护的审计踪存储：计踪迹的存储受到应有的保护，能检谢或防止对审计记录的修改：b）审计数据的可用性确保：在意外情况出现时，能检测或防止对审计记录的修改，以及在发生中计存储已满，存储失败或存储受到攻击时，确保审计记录不被破坏；审计数据可能丢失情况下的措施：当审计跟踪超过预定的门限时，应采取相应的措施，进行审计数据可能丢失情况的处理；
d）防止审计数据丢失：在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，可选择“忽略可审计事件”“阻北除具有特殊权限外的其他用户产生可审计事件”“覆盖已存储的最老的审计记录”和“一且审计存储失败所采取的其他行动”等措施，防止审计数据丢失。4.2.3恶意代码防护
根据不同安全等级对恶意代码防护的不间要求，恶意代码防护分为：a）主机软件防护：应在服务器中设置防恶意代码软件，对所有进人服务器的恶意代码采取相应的防范措施，防止恶意代码慢装：b）整体防护；主机软件防护应与防恶意代码集中管理平台协调一致，及时发现和清除进入系统内部的恶意代码。
4.2.4备份与故障恢复
GB/T21028—2007
为了实现服务器安全运行，要在正常运行时定期地或按某种条件进行适当备份，并在发生故障时进行相应恢复的功能，根据不同安全等级对备份与故障核复的不同要求，服务器的备份与恢复功能分为：
a）用户自我信息备份与恢复：应提供用户有选择地对操作系统、数据库系统和应用系统中重要信息进行备份的以能，当由于荣种原因引起系统故障时，应能提供用户按自我信息备份所保留的备份信息进行该复的功能；
b）增量信息备份与恢复：概供定时对操作系统、数据库系统和应用系统中新增信息进行备份的功能；当由于某种原因引起系统中的某些信息丢失或破坏时，提供用户按增量信息备份所保留的信息进行信息恢复的功能
c）高部系统备份与恢复：应提供定期对操作系统、数据库系统和应用系统中的某些重要的局部系统的运行状态进行备份的功能；当由于某种原四引起系统某一局郝发牛故障吋，应提供用户按局部系统备份所保留的运行状态进行局部系统恢复的功能；d）全系统备份与恢复：应提供对重要的服务器的全系统运行状态进行备份的功能；当雨于某种原因引起服务器全系统发生故障时，应对用户按全系统备份所保留的运行状态进行全系统恢复提供支持：
紧耦合集群结构：对关链服务器采用多服务器紧耦合集群结构，确保其小某一个服务器发牛故e
障中断运行时，业务应用系统能在其余的服务器上不间断运行；f）异地备份与恢复：对关键的服务器，应根据业务连续性的不同要求，设置异地备份与恢复功能确保服务器因炎难性故障中断运行时，业务应用系统能在要求的时间范围内恢复运行。4.2.5可信技术支持
通过在服务器上设置基于密码的可信技术支持模块，为在服务器上群立从系统引导加载直到应用服务的可信任链，确保各种运行程序的真实性，并对服务器用户的身份鉴别、连接设备的鉴别，以及运用密码机制实现数据的保密性、完整性保护等安全功能提供支持。4.2.6可信时间戳
服务器应为其运行提供可靠的时钟和时钟同步系统，并按GB/T20520：-2006的要求提供可信时间截服务。
4.3数据安全
4. 3. 1身份鉴别
4. 3.1. 1用户标识与鉴别
4. 3. 1. 1. 1用户标识
根据不同安全等级对用户标识与整别的不同要求，用户标识分为：a）基本标识：应在SSE实施所要求的动作之前，先对提出该动作要求的用户进行标识；b）唯一性标识：应确保所标识用户在服务器生存周期内的唯-一性，并将用户标识与安全审计相关联；
）标识信息管理：应对用户标识信息进行管埋、维护，确保其不被非授权地访问间.修改或除。4.3,1.1.2用户鉴别
根据不同安全等级对用户标识与鉴别的不要求，用户鉴别分为：a）基本鉴别：应在SSF实施所要求的动作之前，先对提出该动作要求的用户成功地进行鉴别b）不可伪造鉴别：应检测并防止使用伪造或复制的鉴别信息，一方面，要求SSF应检测或防止且任何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其他用F处复制的鉴别数据的使用；
c）一次性使用鉴别：应提供一次性使用鉴别数据的鉴别机制，即SSF应防止与已标识过的鉴别5
GB/T 21028—2007
机制有关的鉴别数据的再用；
d）多机制鉴别：应提供不同的鉴别机制，用于鉴别特定事件的用户身份，并根据不同安全等级所描述的多种鉴别机制如何提供鉴别的规卿，来整别任何用户所声称的身份；e）重新鉴别：应有能力规定需要重新鉴别用户的事件，即在需要重新鉴别的条件成立时，对用户进行重新鉴别。例如，终端用户操作超时被断开后，重新连接时需要进行重鉴别：f）鉴别信息管理：应对用户鉴别信息进行誉理、维护，确保其不被非授权地访问、修改或删除。4.3.1.1,3鉴别失败处理
SSF应为不成功的鉴别尝试（包括尝试次数和时间的阅值)定义一个值，并明确规定达到该值时所应采取的动作。密别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情税，择进行预先定义的处理。4. 3. 1. 2用户一主体绑定
在SSOS安全功能控制范围之内，对一个口标识和鉴别的用户，应通过用户--主体绑定将该用户与为其服务的主体（如进程）相关联，从而将该用户的身份与该用户的所有可审计行为相关联，以实现用户行为的可查性
4.3.2自主访问控制
4.3.2. 1访问控制策略
SSF应按确定的自访问控制安全策略进行设计，实现对策略控制下的主体对客体操作的控制。可以有多个自主访间控制安全策略，但它们必须独立命名，且不能相五冲突。常用的自主访问控制策略包括：访问控制表访间控制，目录表访问掠制等。4. 3.2.2访问控制功能
SSF应实现采用一条命名的访问控制策略的特定功能，说明策略的使用和特征,以及该策略的控制范围。
无论采用柯种自主访问控制策略，SSF应有能力提供：一正安全属性惑命名的安全性组的客体上，效行访向控制SFP一一在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问间；一在基于安全屑性的拒绝主体对客体访间的规则的基础上，拒绝主体对客体的访问。4.3.2.3访问控制范围
根据不同安全等级对自主访问控制的不同要求，自主访问控制的覆盖范分为：a）子集访问控制：要求每个确定的自主访间控制，SSF应覆盖由安全系统所定义的主体，客体及其之间的操作，
完全访问控制：要求每个确定的自主访间控制，SSF应覆盖服务器中所有的主体、客体及其之6)
间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访问控制 SFP 益。4.3.2.4访问控制粒度
根据不同安金等级对访间控制的不同要求，自主访问控制的粒度分为：）粗粒度：主体为用户/用户组级.客体为文件，数据库表级：b）中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级；细粒度：主体为用户级，客体为文件、数据库表级和/或记录，字段/元案级。e
4.3.3标记
4.3.3.1主体标记
应为实施强制访问控制的主体指定敏感标记，这些缴感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。6
4.3.3.2客体标记
CE/T 21028—2007
应为实施强制访问控制的客体指定敏感标记，这些敏感标记是实施强制访问控制的依据。如：等级分类和非等级类别组合的敏感标记是实施多级安全模型的恭础。4.3.3.3标记的输出
当数据从SSC之内向其控制范国之外输出时，根据要可以保留或不保留数据的敏感标记。根据不同安全等级对标记输出的不同要求，标记的输出分为：a）不带敏感标记的用户数据输出：在SFP的控制下输出用户数据到SSC之外时，不带有与数据相关的敏感标记：
b）带有敏患标记的用户数据输出：在SFP的控制下输出用户数据到SSC之外时，应带有与数据相关的敏感标记，并确保敏感标记与所输出的数据相关联。4.3, 3.4标记的翰入
当数据从SSF控制范围之外间其控制范围之内输入时，应有相应的敏感标记，以便输人的数据能受到保护。根据不同安全等级对标记输人的不同要求，标记的输人分为：a）不带敏感标记的用户数据输人：5SF应做到：一-在SFP挖制下从SSC之外输人用户数据时，应执行访间控制SFP;一略去任何与从SSC之外输人的数据相关的敏感标记：一执行附加的输入控制规则，为输入数据设置敏感标记。h）带有敏感标记的用户数据输人：SSF应做到：在SFP控制下从SSC之外输入用户数据时，应执行讨问控制SFF-SSF应使用与输入的数据相关的敏感标记；一SSF应在嫩撼标记和接收的用户数据之问提供确切的联系：SSF应确保对输入的用户数据的嫩感标记的解释与原敏感标记的解释是一致的4.3,4强制访问控制
4.3.4.1访问控制策略
强制访问控制策略应包括策略控制下的主体、客体，及由策略益的被控制的主体与客体间的操作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访问控制策略有：
a）多级安全模型：基本思想是，在对主、客体进行标记的基础上SS(S控制范围内的所有主体对客体的直接或间接的访问应满起：向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记中的非等级类别包含了客体标记中的全部非等级类别，挂体才能读该客体；一向上写原则：仪当主体标记中的等级分类低于或等丁客体标记巾的等级分类，且主体标记中的非等级类别含于客体标记中的非等级类别，主体才能写该客体。b）基于角色的访问控制（BRAC》：基本息想是，按角色进行权限的分配和管理；通过对主体进行角色授了，使主体获得应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应角色权限。在基于角色的访问控制中，标记信息是对主体的授权信息。特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全跑患，对特权用户按最小授权原则进行管理。实现特权用户的权限分离；仅授予特权用户为完成白身任务所需要的最小权限：
4.3.4.2访问控制功能
SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供：一一在标记或命名的标记组的客体上,执行访问控制 SFP:按受控主体和受控容体之间的允许访问规则，快定允许受控主体对受控客体执行受控操作：2
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。