<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 39680-2020 信息安全技術 服務器安全技術要求和測評準則
    展開或關閉
    前言
    前言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語、定義和縮略語
    術語、定義和縮略語
    4 概述
    概述
    5 安全技術要求
    5.1安全功能要求 5.1安全保障要求
    6 安全測評準則
    6.1測試環境 6.2安全功能要求測評 6.3安全保障要求測評
    附錄A(資料性附件)
    服務器操作系統安全要求
    附錄B(資料性附件)
    服務器安全技術要求分級表
    參考文獻
    參考文獻

    5.1安全保障要求

    GB/T 39680-2020 信息安全技術 服務器安全技術要求和測評準則 /

    5.2.1開發

    5.2.1.1安全架構

    開發者對服務器安全功能的安全架構描述應包含以下內容:

    a)與產品設計文檔中對安全功能描述的范圍和抽象描述級別相一致;

    b)描述服務器安全功能采取的自我保護、不可旁路的安全機制,保證服務器安全功能不被破壞和干擾。

    5.2.1.2功能規范

    開發者對服務器安全功能規范的描述應包含以下內容:

    a)功能規范到5.1中安全功能要求的追溯關系;

    b)服務器所有安全功能接口的目的、使用方法及相關參數;

    c)安全功能實施過程中與安全功能接口執行相關的行為;

    d)安全功能接口執行時引起的直接錯誤消息。

    注:安全功能接口是服務器向外部實體(如管理員、外部系統等)提供的操作界面。

    5.2.1.3產品設計

    開發者對服務器安全功能設計的描述應包含以下內容:

    a)根據子系統描述服務器安全功能的結構,并標識安全功能的所有子系統;

    b)描述安全功能子系統的行為,以及相互作用關系;

    c)提供安全子系統和安全功能接口間的對應關系。

    5.2.2指導性文木

    5.2.2.1操作用戶指南

    開發者為所有操作用戶角色提供的操作用戶指南應包含以下內容:

    a)描述每一種操作用戶角色能訪問的功能和特權,包括適當的警示信息等;

    b)對預留的外部硬件接口進行說明,包括接口名稱、接口類型、功能等;

    c)描述服務器安全功能及接口的操作方法,包括配置參數的安全值等;

    d)標識和描述服務器運行的所有可能狀態,包括操作導致的失敗或者操作性錯誤等;

    e)描述實現5.1安全功能要求應執行的安全策略。

    5.2.2.2準備程序

    開發者對服務器準備程序的描述應包含以下內容:

    a)描述與開發者交付程序相一致的安全接收所交付服務器必需的所有步驟;

    b)描述安全安裝服務器及其運行環境支撐所必需的所有步驟。

    5.2.3生命周期支持

    5.2.3.1配置管理能力

    開發者的配置管理能力應滿足以下要求:

    a)為服務器引導固件和帶外管理模塊固件的不同版本提供唯一標識;

    b)使用配置管理系統對組成服務器的所有配置項進行維護,并進行唯一標識;

    c)提供配置管理文檔,配置管理文檔應描述用于唯一標識配置項的方法;

    d)配置管理系統提供自動方式來支持服務器配置項的生成,通過自動化措施確保配置項僅接受授權變更;

    e)配置管理文檔包括一個配置管理計劃,描述如何使用配置管理系統開發服務器,包括修改過的或新建的作為服務器組成部分的配置項。開發者實施的配置管理應與配置管理計劃相一致。

    5.2.3.2配置管理范圍

    開發者建立并維護的服務器配置項列表應包含以下內容:

    a)服務器本身、服務器的組成部分和安全保障要求的評估證據;

    b)對于每一個安全功能相關的配置項,配置項列表應簡要說明該配置項的開發者。

    5.2.3.3交付程序

    開發者應使用一定的交付程序交付服務器,交付過程的描述應包含為維護服務器安全性所必需的所有程序。

    5.2.3.4開發安全

    開發者應對服務器開發環境提供必要的安全措施,從物理的、程序的、人員的和其他方面采取必要的安全措施,確保服務器設計和實現的保密性和完整性。

    5.2.3.5生命周期定義

    開發者應為服務器的開發和維護提供必要控制,并提供生命周期定義文檔,該文檔用于描述開發和維護服務器的模型。

    5.2.4測試

    5.2.4.1測試覆蓋

    開發者對測試覆蓋的分析和描述應包含以下內容:

    a)表明測試文檔中所標識的測試與功能規范中所描述的服務器安全功能接口之間的對應性;

    b)表明a)中的對應性是完備的,并證實功能規范中的所有安全功能接口均進行了測試。

    5.2.4.2測試深度

    開發者對測試深度的分析和描述應包含以下內容:

    a)證實測試文檔中的測試與服務器設計中的安全功能子系統的一致性;

    b)證實服務器設計中的所有安全功能子系統進行了測試。

    5.2.4.3功能測試

    開發者應對服務器安全功能進行測試,并將結果文檔化。功能測試文檔應包含以下內容:

    a)測試計劃,標識要執行的測試,并描述執行每個測試的方案,這些方案包括對于其他測試結果的任何順序依賴性等;

    b)預期測試結果,表明測試成功后的預期輸出;

    5.2.4.4獨立測試

    開發者應提供一組與其安全功能測試時使用的同等資源,以用于安全功能的抽樣測試。

    5.2.4.5安全性測試

    開發者應對服務器引導固件、帶外管理模塊固件的安全性進行測試,并將結果文檔化。安全性測試文檔至少應包括測試計劃,已識別的嚴重安全缺陷列表及修復情況等。

    5.2.5脆弱性評定

    開發者應基于已標識的潛在脆弱性對服務器進行脆弱性評定,以確保服務器能夠抵抗以下攻擊行為:

    a)具有基本攻擊潛力的攻擊者的攻擊;

    b)具有中等攻擊潛力的攻擊者的攻擊。

    5.2.6維護

    開發者在服務器維護階段應滿足以下要求:

    a)建立并執行服務器安全缺陷、漏洞的應急響應機制和流程;

    b)發現服務器存在安全缺陷、漏洞時,應按照既定程序及時采取修復或替代方案等補救措施。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    X0_0X
    資深作者 858 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类