- 您的位置:
- 标准下载网 >>
- 标准分类 >>
- 国家标准(GB) >>
- GB/T 25063-2010 信息安全技术 服务器安全测评要求
【国家标准(GB)】 信息安全技术 服务器安全测评要求
本网站 发布时间:
2024-08-22 16:17:58
- GB/T25063-2010
- 现行
标准号:
GB/T 25063-2010
标准名称:
信息安全技术 服务器安全测评要求
标准类别:
国家标准(GB)
标准状态:
现行-
发布日期:
2010-09-02 出版语种:
简体中文下载格式:
.rar .pdf下载大小:
11.71 MB
标准内容部分标准内容:
ICS35.020
中华人民共和宝标雅
GB/T25063—2010
信息安全技术
服务器安全测评要求
InformationsecuritytechnologyTesting and evaluation requirement for server security2010-09-02发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2011-02-01实施
华人民
共和国
国家标准
信息安全技术
服务器安全测评要求
GB/T 25063—2010
中国标准出版社出版发行
北京复兴门外三里河北街16号
邮政编码:100045
网址 www. spc. net. cn
电话:68523946
68517548
中国标准出版社秦皇岛印刷厂印剧各地新华书店经销
开本880×1230
2010年11月第
字数65千字bZxz.net
2010年11月第一次印刷
书号:155066·1-40582
如有印装差错
由本社发行中心调换
版权专有
侵权必究
举报电话:010)68533533
规范性引用文件
术语和定义、缩略语
术语和定义
缩略语
一级安全测评
硬件系统
操作系统
数据库管理系统
应用系统
运行安全
SSOS自身安全保护
SSOS设计和实现
SSOS安全管理
二级安全测评
硬件系统
操作系统
数据库管理系统
应用系统
运行安全
SSOS自身安全保护
SSOS设计和实现
SSOS安全管理
第三级安全测评。
硬件系统·
操作系统
数据库管理系统.
应用系统
运行安全
SSOS自身安全保护
SSOS设计和实现·
SSOS安全管理
第四级安全测评..
硬件系统
操作系统-
数据库管理系统
GB/T25063—2010
GB/T25063—2010
应用系统·
运行安全
SSOS自身安全保护
SSOS设计和实现
SSOS安全管理
第五级安全测评.
参考文献
本标准由全国信息安全标准化技术委员会提出并归口。GB/T25063—2010
本标准起草单位:浪潮集团有限公司、公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:黄涛、孙大军、刘刚、沈亮、李清玉、颜斌、顾建、顾伟。GB/T25063—2010
本标准是与GB/T21028一2007相配套的测评标准,用以指导测评人员从信息安全等级保护的角度对服务器安全进行的测评。
本标准按照GB/T21028-
3一2007关于服务器5个安全保护等级划分的要求,分别从硬件系统、操作系统、数据库管理系统、应用系统、运行安全、SSOS自身安全保护、SSOS设计和实现和SSOS安全管理等8个方面规定了服务器不同安全等级的测评要求。关于不同安全等级中逐步增强的服务器安全测评要求,在第4章至第7章的描述中,每一级的新增部分用“黑体字”表示。
1范围
信息安全技术
服务器安全测评要求
GB/T25063—2010
本标准规定了服务器安全的测评要求,包括第一级、第二级、第三级和第四级服务器安全测评要求。本标准没有规定第五级服务器安全测评的具体内容要求。本标准适用于测评机构从信息安全等级保护的角度对服务器安全进行的测评工作。信息系统的主管部门及运营使用单位、服务器软硬生产厂商也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版都不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡不注日期的引用文件,其最新版本适用于本标准GB/T5271.8—2001信息技术词汇第8部分:安全(ISO/IEC2382-8:1998,IDT)GB17859一1999计算机信息系统安全保护等级划分准则GB/T21028一2007信息安全技术服务器安全技术要求3术语和定义、缩略语
3.1术语和定义
GB/T5271.8—2001、GB17859—1999和GB/T21028—2007确立的以及下列术语和定义适用于本标准。
examination
测评人员对测评对象采用观察、查验、分析等方法进行静态评估的活动。3.1.2
testing
测评人员遵循相关的流程,对测评对象采用预定的方法/工具使其产生特定行为的活动。3.1.3
evaluation
测评人员依据检查和测试获取的信息,对测评对象进行综合分析,确定与技术要求是否一致的活动。
3.2缩略语
SSOS服务器安全子系统
security subsystem of serverSSOSsecurityfunction
SSOS安全功能S
SFP安全功能策略
security function poliey
SSF控制范围
SSF scope of control
SSOS安全策略
SSOS security policy
GB/T25063—2010
4第一级安全测评
4.1硬件系统
4.1.1设备标签
对第一级设备标签的测评要求包括:a)
测评者应检查服务器机箱,查若其是否可在显著位置设置标签;b)
测评者应检查服务器是否设置了设备标签,以及该标签包含的信息;依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.1.1规定的要求。
4.1.2设备可靠运行支持
对第一级设备可靠运行支持的测评要求包括:a)
测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;
测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致:测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况;d)
依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.1.2规定的要求,
4.2操作系统
4.2.1身份鉴别
对第一级服务器中操作系统的身份鉴别功能的测评要求包括:a)测评者应检查操作系统是否提供了远程管理功能,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施;
测评者应检查操作系统是否提供了身份鉴别措施(如用户名和口令等);依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.2a)规c)
定的要求。
4.2.2自主访问控制
对第一级服务器中操作系统的自主访问控制功能的测评要求包括:测评者应检查操作系统的自主访问控制功能,查看其是否能对重要文件的访问权限进行限制,a)
对系统不需要的服务、共享路径等可能被非授权访问的客体进行限制;b)
测评者应检查操作系统中匿名/默认用户的访问权限是否能被禁用或者限制(如限定在有限的范围内);
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.2b)规e)
定的要求。
4.2.3数据完整性
对第一级服务器中操作系统的数据完整性保护功能的测评要求包括:a)
测评者应检查操作系统内部在传输用户数据时实现数据完整性保护功能的情况;b)
测评者应模拟进行大数据量的数据传输或保存时出现异常中断情况,测试操作系统在异常情况下的回退功能以及保护数据完整性的情况;c)依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.2c)规定的要求。
4.3数据库管理系统
4.3.1身份鉴别
对第一级服务器中数据库管理系统的身份鉴别功能的测评要求包括:GB/T25063—2010
测评者应检查数据库管理系统是否提供了远程管理,如提供了远程管理,查着鉴别信息在网络传输过程中的保护措施:
测评者应检查数据库管理系统是否提供了身份鉴别措施(如用户名或口令等):e
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.3a)规定的要求。
4.3.2自主访问控制
对第一级服务器中数据库管理系统的自主访问控制功能的测评要求包括:a)
测评者应检查数据库管理系统的自主访问控制,查看其是否能明确主体对客体的访问权限(如目录表访问控制/存取控制表访问控制等);测评者应检查数据库管理系统中匿名/默认用户的访问权限是否能被禁用或者限制(如限定b)
在有限的范围内);
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.3b)规定的要求。
4.3.3数据完整性
对第一级服务器中数据库管理系统的数据完整性保护功能的测评要求包括:测评者应检查数据库管理系统内部在传输用户数据时实现数据完整性保护功能的情况;a)
测评者应模拟数据库管理系统操作时出现递交失败等异常中断情况,测试数据库管理系统在b)
异常情况下的回退功能以及保护数据完整性的情况;依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中c
5.1.1.3c)规定的要求,
4.4应用系统
4.4.1身份鉴别
对第一级服务器中应用系统的身份鉴别功能的测评要求包括:测评者应检查应用系统是否提供专用的登录控制模块对登录用户进行身份标识和鉴别,具体a)
采取什么鉴别控制措施;
测评者应检查应用系统是否具有身份标识(如建立账号)和鉴别(如口令等)功能;测评者应检查应用是否提供了登录失败处理功能(如限制非法登录次数,登录失败次数超过设e)
定值则结束会话等);
测评者应检查关键应用系统,查看其是否采取措施防止鉴别信息传输过程中被窃听;d)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.4.1规e)
定的要求。
4.4.2自主访问控制
对第一级服务器中应用系统的自主访问控制功能的测评要求包括:a)
测评者应检查应用系统提供的访问控制措施,包括具体措施、访问控制策略等;测评者应测试系统是否提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;b)
测评者应检查系统是否有由授权主体设置用户对系统功能操作和对数据访问的权限的功能,e
是否限制默认用户访问权限;
测评者应通过不同权限的用户登录系统并进行一些操作,检查其权限是否与设定的权限一致;d)
依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.4.2规定的要求。
GB/T25063—2010
4.4.3数据完整性
对第一级服务器中应用系统的数据完整性保护功能的测评要求包括:测评者应检查服务器应用系统用户数据在传输过程中是否具有完整性保证措施;a)
测评者应检查应用系统设计/验收文档,查看其是否有关于用户数据在传输过程中采用的完b)
整性保证措施的描述;
c)测评者应检查应用系统是否配备检测/验证重要用户数据在传输过程中完整性受到破坏的功能;
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.4.3规定的要求。
4.5运行安全
4.5.1恶意代码防护
对第一级服务器中恶意代码防护功能的测评要求包括:测评者应检查关键服务器,查看是否安装了相应的恶意代码防护软件;a)
测评者应检查恶意代码软件防护软件的厂家、名称和恶意代码库版本号;b)
测评者应检查服务器在启动时恶意代码防护软件的运行情况;e)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.5.1d)
规定的要求。
4.5.2备份与故障恢复
对第一级服务器中备份与故障恢复功能的测评要求包括:a)测评者应检查服务器中的软硬件系统是否具有对重要信息和部件进行备份的功能以及对重要信息和部件进行恢复的功能;
测评者应检查服务器中软硬系统备份和恢复功能的配置是否正确依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.5.2规c)
定的要求。
4.6SSOS自身安全保护
对第一级服务器中SSOS自身安全保护的测评要求包括:a)
测评者应检查说明文档,查着SSF防物理某改的描述;测评者应检查设计文档,查看SSOS内SSF的安全结构定义形式;b)
测评者应检查设计文档,查看SSOS内SSF数据传输时的保护机制的描述;测评者应检查设计文档,查看在SSF发生确定故障的情况下系统采取保护措施的描述;测评者应检查设计文档,查着会话建立管理机制的描述:测评者应检查SSOS自身安全保护功能的配置是否符合用户操作指南的要求;依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.2.1规g
定的要求。
4.7SSOS设计和实现
对第一级服务器中SSOS设计和实现的测评要求包括:a)
测评者应检查版本号与SSOS样本的一致性情况:测评者应检查分发文档,查看是否包含了SSOS的安装、生成和启动过程;b)
测评者应检查同产品一起交付的操作文档,查看是否包含了维护SSOS安全所必须的所有过程;
测评者应检查设计文档,查着SSF的设计方法,以及接口、子系统的非形式化描述;4
GB/T25063—2010
测评者应检查指导性文档是否包括安全管理员指南和用户指南,以及指南内容的完整性情况;e
测评者应检查生存周期支持文档,查若开发、操作和维护SSOS的描述,以及用于描述产品生存周期进行管理的活动记录:
测评者应检查自测文档的有效性和内容的完整性:h)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.2.2规定的要求。
4.8SSOS安全管理
对第一级服务器中SSOS安全管理的测评要求包括:测评者应检查开发人员的安全规章制度、开发人员的安全教育培训制度和记录;a)
测评者应检查开发场所的出入口控制制度和记录,开发环境的防火防盗措施和国家有关部门b)
的许可文件;
测评者应检查开发主机使用管理和记录,设备的购置、修理、处置的制度和记录,上网管理,计算机病毒管理和记录等;
测评者应检查产品代码、文档、样机进行受控管理的制度和记录:e)
依据以上检查所获取的信息给出评价意见.确定是否符合GB/T21028一2007中5.1.2.3规定的要求。
5第二级安全测评
5.1硬件系统
5.1.1设备标签
对第二级设备标签的测评要求包括:a)
测评者应检查服务器机箱,查看其是否可在显著位置设置标签:b)
测评者应检查服务器是否设置了设备标签,以及该标签包含的信息:e)
测评者应检查服务器关键部件(包括硬盘、主板、内存、处理器、网卡等组件、附件)是否设置了标签;
测评者应检查服务器设备标签是否采取有效的保护措施;e)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.2.1.1.1规定的要求。
5.1.2设备可靠运行支持
对第二级设备可靠运行支持的测评要求包括:a)测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;
测评者应检查关键部件(包括硬盘、主板、内存、处理器、网卡等)与其标签配合的情况.以及机箱面板的保护措施;
测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致;d)
测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况;依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.2.1.1.2规定的要求。
设备电磁防护
对第二级设备电磁防护的测评要求包括:a)测评者应检查服务器设备电磁防护指标是否符合国家规定的要求;b)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.2.1.1.3规定的要求。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和宝标雅
GB/T25063—2010
信息安全技术
服务器安全测评要求
InformationsecuritytechnologyTesting and evaluation requirement for server security2010-09-02发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2011-02-01实施
华人民
共和国
国家标准
信息安全技术
服务器安全测评要求
GB/T 25063—2010
中国标准出版社出版发行
北京复兴门外三里河北街16号
邮政编码:100045
网址 www. spc. net. cn
电话:68523946
68517548
中国标准出版社秦皇岛印刷厂印剧各地新华书店经销
开本880×1230
2010年11月第
字数65千字bZxz.net
2010年11月第一次印刷
书号:155066·1-40582
如有印装差错
由本社发行中心调换
版权专有
侵权必究
举报电话:010)68533533
规范性引用文件
术语和定义、缩略语
术语和定义
缩略语
一级安全测评
硬件系统
操作系统
数据库管理系统
应用系统
运行安全
SSOS自身安全保护
SSOS设计和实现
SSOS安全管理
二级安全测评
硬件系统
操作系统
数据库管理系统
应用系统
运行安全
SSOS自身安全保护
SSOS设计和实现
SSOS安全管理
第三级安全测评。
硬件系统·
操作系统
数据库管理系统.
应用系统
运行安全
SSOS自身安全保护
SSOS设计和实现·
SSOS安全管理
第四级安全测评..
硬件系统
操作系统-
数据库管理系统
GB/T25063—2010
GB/T25063—2010
应用系统·
运行安全
SSOS自身安全保护
SSOS设计和实现
SSOS安全管理
第五级安全测评.
参考文献
本标准由全国信息安全标准化技术委员会提出并归口。GB/T25063—2010
本标准起草单位:浪潮集团有限公司、公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:黄涛、孙大军、刘刚、沈亮、李清玉、颜斌、顾建、顾伟。GB/T25063—2010
本标准是与GB/T21028一2007相配套的测评标准,用以指导测评人员从信息安全等级保护的角度对服务器安全进行的测评。
本标准按照GB/T21028-
3一2007关于服务器5个安全保护等级划分的要求,分别从硬件系统、操作系统、数据库管理系统、应用系统、运行安全、SSOS自身安全保护、SSOS设计和实现和SSOS安全管理等8个方面规定了服务器不同安全等级的测评要求。关于不同安全等级中逐步增强的服务器安全测评要求,在第4章至第7章的描述中,每一级的新增部分用“黑体字”表示。
1范围
信息安全技术
服务器安全测评要求
GB/T25063—2010
本标准规定了服务器安全的测评要求,包括第一级、第二级、第三级和第四级服务器安全测评要求。本标准没有规定第五级服务器安全测评的具体内容要求。本标准适用于测评机构从信息安全等级保护的角度对服务器安全进行的测评工作。信息系统的主管部门及运营使用单位、服务器软硬生产厂商也可参考使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版都不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡不注日期的引用文件,其最新版本适用于本标准GB/T5271.8—2001信息技术词汇第8部分:安全(ISO/IEC2382-8:1998,IDT)GB17859一1999计算机信息系统安全保护等级划分准则GB/T21028一2007信息安全技术服务器安全技术要求3术语和定义、缩略语
3.1术语和定义
GB/T5271.8—2001、GB17859—1999和GB/T21028—2007确立的以及下列术语和定义适用于本标准。
examination
测评人员对测评对象采用观察、查验、分析等方法进行静态评估的活动。3.1.2
testing
测评人员遵循相关的流程,对测评对象采用预定的方法/工具使其产生特定行为的活动。3.1.3
evaluation
测评人员依据检查和测试获取的信息,对测评对象进行综合分析,确定与技术要求是否一致的活动。
3.2缩略语
SSOS服务器安全子系统
security subsystem of serverSSOSsecurityfunction
SSOS安全功能S
SFP安全功能策略
security function poliey
SSF控制范围
SSF scope of control
SSOS安全策略
SSOS security policy
GB/T25063—2010
4第一级安全测评
4.1硬件系统
4.1.1设备标签
对第一级设备标签的测评要求包括:a)
测评者应检查服务器机箱,查若其是否可在显著位置设置标签;b)
测评者应检查服务器是否设置了设备标签,以及该标签包含的信息;依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.1.1规定的要求。
4.1.2设备可靠运行支持
对第一级设备可靠运行支持的测评要求包括:a)
测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;
测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致:测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况;d)
依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.1.2规定的要求,
4.2操作系统
4.2.1身份鉴别
对第一级服务器中操作系统的身份鉴别功能的测评要求包括:a)测评者应检查操作系统是否提供了远程管理功能,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施;
测评者应检查操作系统是否提供了身份鉴别措施(如用户名和口令等);依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.2a)规c)
定的要求。
4.2.2自主访问控制
对第一级服务器中操作系统的自主访问控制功能的测评要求包括:测评者应检查操作系统的自主访问控制功能,查看其是否能对重要文件的访问权限进行限制,a)
对系统不需要的服务、共享路径等可能被非授权访问的客体进行限制;b)
测评者应检查操作系统中匿名/默认用户的访问权限是否能被禁用或者限制(如限定在有限的范围内);
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.2b)规e)
定的要求。
4.2.3数据完整性
对第一级服务器中操作系统的数据完整性保护功能的测评要求包括:a)
测评者应检查操作系统内部在传输用户数据时实现数据完整性保护功能的情况;b)
测评者应模拟进行大数据量的数据传输或保存时出现异常中断情况,测试操作系统在异常情况下的回退功能以及保护数据完整性的情况;c)依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.2c)规定的要求。
4.3数据库管理系统
4.3.1身份鉴别
对第一级服务器中数据库管理系统的身份鉴别功能的测评要求包括:GB/T25063—2010
测评者应检查数据库管理系统是否提供了远程管理,如提供了远程管理,查着鉴别信息在网络传输过程中的保护措施:
测评者应检查数据库管理系统是否提供了身份鉴别措施(如用户名或口令等):e
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.3a)规定的要求。
4.3.2自主访问控制
对第一级服务器中数据库管理系统的自主访问控制功能的测评要求包括:a)
测评者应检查数据库管理系统的自主访问控制,查看其是否能明确主体对客体的访问权限(如目录表访问控制/存取控制表访问控制等);测评者应检查数据库管理系统中匿名/默认用户的访问权限是否能被禁用或者限制(如限定b)
在有限的范围内);
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.3b)规定的要求。
4.3.3数据完整性
对第一级服务器中数据库管理系统的数据完整性保护功能的测评要求包括:测评者应检查数据库管理系统内部在传输用户数据时实现数据完整性保护功能的情况;a)
测评者应模拟数据库管理系统操作时出现递交失败等异常中断情况,测试数据库管理系统在b)
异常情况下的回退功能以及保护数据完整性的情况;依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中c
5.1.1.3c)规定的要求,
4.4应用系统
4.4.1身份鉴别
对第一级服务器中应用系统的身份鉴别功能的测评要求包括:测评者应检查应用系统是否提供专用的登录控制模块对登录用户进行身份标识和鉴别,具体a)
采取什么鉴别控制措施;
测评者应检查应用系统是否具有身份标识(如建立账号)和鉴别(如口令等)功能;测评者应检查应用是否提供了登录失败处理功能(如限制非法登录次数,登录失败次数超过设e)
定值则结束会话等);
测评者应检查关键应用系统,查看其是否采取措施防止鉴别信息传输过程中被窃听;d)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.4.1规e)
定的要求。
4.4.2自主访问控制
对第一级服务器中应用系统的自主访问控制功能的测评要求包括:a)
测评者应检查应用系统提供的访问控制措施,包括具体措施、访问控制策略等;测评者应测试系统是否提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;b)
测评者应检查系统是否有由授权主体设置用户对系统功能操作和对数据访问的权限的功能,e
是否限制默认用户访问权限;
测评者应通过不同权限的用户登录系统并进行一些操作,检查其权限是否与设定的权限一致;d)
依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.4.2规定的要求。
GB/T25063—2010
4.4.3数据完整性
对第一级服务器中应用系统的数据完整性保护功能的测评要求包括:测评者应检查服务器应用系统用户数据在传输过程中是否具有完整性保证措施;a)
测评者应检查应用系统设计/验收文档,查看其是否有关于用户数据在传输过程中采用的完b)
整性保证措施的描述;
c)测评者应检查应用系统是否配备检测/验证重要用户数据在传输过程中完整性受到破坏的功能;
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.4.3规定的要求。
4.5运行安全
4.5.1恶意代码防护
对第一级服务器中恶意代码防护功能的测评要求包括:测评者应检查关键服务器,查看是否安装了相应的恶意代码防护软件;a)
测评者应检查恶意代码软件防护软件的厂家、名称和恶意代码库版本号;b)
测评者应检查服务器在启动时恶意代码防护软件的运行情况;e)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.5.1d)
规定的要求。
4.5.2备份与故障恢复
对第一级服务器中备份与故障恢复功能的测评要求包括:a)测评者应检查服务器中的软硬件系统是否具有对重要信息和部件进行备份的功能以及对重要信息和部件进行恢复的功能;
测评者应检查服务器中软硬系统备份和恢复功能的配置是否正确依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.1.5.2规c)
定的要求。
4.6SSOS自身安全保护
对第一级服务器中SSOS自身安全保护的测评要求包括:a)
测评者应检查说明文档,查着SSF防物理某改的描述;测评者应检查设计文档,查看SSOS内SSF的安全结构定义形式;b)
测评者应检查设计文档,查看SSOS内SSF数据传输时的保护机制的描述;测评者应检查设计文档,查看在SSF发生确定故障的情况下系统采取保护措施的描述;测评者应检查设计文档,查着会话建立管理机制的描述:测评者应检查SSOS自身安全保护功能的配置是否符合用户操作指南的要求;依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.2.1规g
定的要求。
4.7SSOS设计和实现
对第一级服务器中SSOS设计和实现的测评要求包括:a)
测评者应检查版本号与SSOS样本的一致性情况:测评者应检查分发文档,查看是否包含了SSOS的安装、生成和启动过程;b)
测评者应检查同产品一起交付的操作文档,查看是否包含了维护SSOS安全所必须的所有过程;
测评者应检查设计文档,查着SSF的设计方法,以及接口、子系统的非形式化描述;4
GB/T25063—2010
测评者应检查指导性文档是否包括安全管理员指南和用户指南,以及指南内容的完整性情况;e
测评者应检查生存周期支持文档,查若开发、操作和维护SSOS的描述,以及用于描述产品生存周期进行管理的活动记录:
测评者应检查自测文档的有效性和内容的完整性:h)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.1.2.2规定的要求。
4.8SSOS安全管理
对第一级服务器中SSOS安全管理的测评要求包括:测评者应检查开发人员的安全规章制度、开发人员的安全教育培训制度和记录;a)
测评者应检查开发场所的出入口控制制度和记录,开发环境的防火防盗措施和国家有关部门b)
的许可文件;
测评者应检查开发主机使用管理和记录,设备的购置、修理、处置的制度和记录,上网管理,计算机病毒管理和记录等;
测评者应检查产品代码、文档、样机进行受控管理的制度和记录:e)
依据以上检查所获取的信息给出评价意见.确定是否符合GB/T21028一2007中5.1.2.3规定的要求。
5第二级安全测评
5.1硬件系统
5.1.1设备标签
对第二级设备标签的测评要求包括:a)
测评者应检查服务器机箱,查看其是否可在显著位置设置标签:b)
测评者应检查服务器是否设置了设备标签,以及该标签包含的信息:e)
测评者应检查服务器关键部件(包括硬盘、主板、内存、处理器、网卡等组件、附件)是否设置了标签;
测评者应检查服务器设备标签是否采取有效的保护措施;e)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.2.1.1.1规定的要求。
5.1.2设备可靠运行支持
对第二级设备可靠运行支持的测评要求包括:a)测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;
测评者应检查关键部件(包括硬盘、主板、内存、处理器、网卡等)与其标签配合的情况.以及机箱面板的保护措施;
测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致;d)
测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况;依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.2.1.1.2规定的要求。
设备电磁防护
对第二级设备电磁防护的测评要求包括:a)测评者应检查服务器设备电磁防护指标是否符合国家规定的要求;b)
依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028一2007中5.2.1.1.3规定的要求。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
标准图片预览 标准图片预览:
- 热门标准
- 国家标准(GB)标准计划
- GB4806.9-2023 食品安全国家标准 食品接触用金属材料及制品
- GB/T39648-2020 纺织品 色牢度试验 数字图像技术评级
- GB/T25811-2010 染料试验用标准漂白涤纶布
- GB/T2910.16-2024 纺织品 定量化学分析 第16部分:聚丙烯纤维与某些其他纤维的混合物(二甲苯法)
- GB/T26863-2022 火电站监控系统术语
- GB/T36434-2018 复杂机械手表机心万年历和打簧机构零部件的名称
- GB/T43423-2023 空间数据与信息传输系统 深空光通信编码与同步
- GB/T30966.6-2022 风力发电机组 风力发电场监控系统通信 第6部分:状态监测的逻辑节点类和数据类
- GB/T23639-2009 节能耐腐蚀钢制电缆桥架
- GB/T24204-2009 高炉炉料用铁矿石 低温还原粉化率的测定 动态试验法
- GB50030-2013 氧气站设计规范
- GB/T5009.68-2003 食品容器内壁过氯乙烯涂料卫生标准的分析方法
- GB/T23315-2009 粘扣带
- GB/T29529-2013 泵的噪声测量与评价方法
- GB/T32113-2015 口腔护理产品中氯酸盐的测定离子色谱法
请牢记:“bzxz.net”即是“标准下载”四个汉字汉语拼音首字母与国际顶级域名“.net”的组合。 ©2009 标准下载网 www.bzxz.net 本站邮件:[email protected]
网站备案号:湘ICP备2023016450号-1
网站备案号:湘ICP备2023016450号-1