6.2安全功能要求測評

6.2.1設備標簽

設備標簽的測評方法如下：

a)測評方法：

1)核查服務器設備標簽粘貼的位置；

2)核查設備標簽標識的內容。

b)預期結果：

1)服務器設備標簽粘貼在機箱顯著位置，且用戶方便查看；

2)服務器設備標簽中包括了設備型號、設備唯一識別碼、生產廠商等信息。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.2硬件接口安全

硬件接口安全的測評方法如下：

a)測評方法：

核查服務器具備維護或調試功能的外部硬件接口是否采取安全控制措施(如采用專用工具、認證等)，并驗證其是否有效。

b)預期結果：

具備維護或調試功能的外部硬件接口采取了安全控制措施，且相關功能有效。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.3固件安全

6.2.3.1完整性保護

完整性保護的測評方法如下：

a)測評方法：

1)啟用服務器引導固件、帶外管理模塊固件存儲區保護機制，驗證其完整性保護機制是否有效；

2)在帶外管理模塊固件訪問服務器引導固件時，驗證其授權控制功能是否有效；

3)配置可信策略，啟動服務器，驗證是否通過可信根對服務器引導固件和主引導分區/初始化程序加載器完整性進行了檢測；

4)模擬服務器引導固件和主引導分區/初始化程序加載器完整性受到破壞，驗證服務器啟動后相應的安全措施(如停止啟動、自動恢復、報警等)是否有效。

b)預期結果：

1)服務器引導固件、帶外管理模塊固件的存儲區提供了有效的完整性保護機制；

2)帶外管理模塊固件訪問服務器引導固件時采取了訪問控制機制，可防止非授權的訪問；

3)服務器采用了可信根機制，并在啟動時對服務器引導固件和主引導分區/初始化程序加載器的完整性進行了檢測；

4)當檢測到服務器引導固件和主引導分區/初始化程序加載器完整性被破壞后，可根據提供/配置的安全措施進行響應。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.3.2更新安全

更新安全的測評方法如下：

a)測評方法：

1)核查服務器引導固件和帶外管理模塊固件更新操作是否提供用戶授權機制，如更新確認按鈕等，并驗證其是否有效；

2)核查服務器引導固件和帶外管理模塊固件更新是否具備對其鏡像文件進行真實性和完整性進行校驗的安全機制；

3)分別偽造服務器引導固件和帶外管理模塊固件的更新鏡像文件，驗證更新機制對其真實性校驗是否有效；

4)分別模擬服務器引導固件和帶外管理模塊固件的更新鏡像文件受到破壞時，驗證更新機制對其完整性校驗是否有效；

5)配置可信策略，執行服務器引導固件更新操作，驗證是否基于可信根對待更新服務器引導固件鏡像文件校驗成功后才能執行更新操作。

b)預期結果：

1)服務器引導固件和帶外管理模塊固件的更新操作提供了用戶授權，并在用戶授權后才能執行更新操作；

2)服務器引導固件和帶外管理模塊固件在更新時提供了對鏡像文件的真實性和完整性校驗機制；

3)服務器引導固件和帶外管理模塊固件的更新機制能識別偽造的鏡像文件，并提示更新失敗；

4)服務器引導固件和帶外管理模塊固件的更新機制能識別到破壞的鏡像文件，并提示更新失敗；

5)服務器采用了可信根機制，并通過可信根對服務器引導固件待更新鏡像文件校驗通過后才能執行更新操作。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.3.3固件恢復

固件恢復的測評方法如下：

a)測評方法：

1)對服務器引導固件和帶外管理模塊固件分別進行手動恢復操作，驗證其是否能將備份固件進行成功恢復；

2)分別配置服務器引導固件和帶外管理模塊固件自動恢復策略，觸發固件自動恢復條件，驗證其自動恢復功能是否有效。

b)預期結果：

1)服務器引導固件和帶外管理模塊固件均可通過手動恢復機制進行固件恢復；

2)服務器啟動時，當檢測到服務器引導固件和帶外管理模塊固件被破壞或者不可用后，可按預期方式進行自動恢復。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.4驅動程序安全

驅動程序安全的測評方法如下：

a)測評方法：

通過偽造或模擬破壞驅動程序的方式，驗證其安全機制是否有效。

b)預期結果：

服務器廠商提供的驅動程序提供了真實性和完整性驗證機制。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.5可靠運行支持

可靠運行支持的測評方法如下：

a)測評方法：

1)核查服務器是否對電源、風扇、硬盤等部件進行了冗余設計；

2)通過故障引入操作的方式，對電源、風扇、硬盤等進行熱插拔操作，驗證其是否有效；

3)登錄相關監控管理界面，查看部分關鍵部件的溫度、電壓，以及風扇轉速等實時監控數據；

4)針對3)中各項監控對象，配置報警閾值，并通過模擬異常狀態使各監控數據超過閾值，驗證報警機制是否有效；

5)分別模擬服務器CPU、硬盤、內存出現故障， 驗證服務器故障定位功能是否有效；

6)分別模擬服務器硬盤、內存出現故障，驗證部件故障隔離機制生效后，服務器運行狀態是否正常。

b)預期結果：

1)服務器電源、風扇、硬盤等采用了冗余設計；

2)服務器電源、風扇、硬盤等進行熱插拔操作后，服務器仍能正常運行；

3)服務器提供監控管理界面，可查看到部分關鍵部件的溫度、電壓，以及風扇轉速等實時監控數據，且監控數據真實有效；

4)服務器對所監測數值超過閾值時，提供報警功能，如聲、光、網絡報文、日志記錄等；

5)服務器可對出現故障的CPU、硬盤、內存進行提示和定位， 如通過聲、光、日志記錄等；

6)服務器對硬盤、內存等部件提供了故障隔離機制，并在部件冗余配置情況下，可有效隔離出現故障的部件，且服務器仍能正常運行。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.6自身安全管理

6.2.6.1身份標識與鑒別

身份標識與鑒別的測評方法如下：

a)測評方法：

1)登錄帶外管理模塊固件，查看已有的用戶列表，并嘗試創建同名用戶；

2)嘗試使用合法和非法用戶分別登錄帶外管理模塊固件，驗證其身份鑒別功能是否有效；

3)嘗試修改服務器引導固件和帶外管理模塊固件中用戶默認口令，驗證是否可正常修改口令；

4)在帶外管理模塊中通過創建新用戶或修改用戶口令，驗證是否對口令的復雜度進行了校驗；

5)嘗試使用錯誤的鑒別信息登錄，驗證帶外管理模塊固件鑒別失敗處理功能是否有效；

6)登錄帶外管理模塊固件，配置會話超時時間，驗證超時后是否正常退出會話；

7)核查服務器引導固件和帶外管理模塊固件中鑒別信息存儲方式。

b)預期結果：

1)無法創建同名用戶，身份標識可保證唯一性；

2)合法用戶可正常登錄，非法用戶無法登錄；

3)可正常修改默認口令；

4)創建新用戶時自動生成或設置的口令，以及修改用戶口令時，均對口令復雜度進行了校驗或滿足復雜度的要求，即口令長度不少于8位，包含的字符類型不少于2種；

5)當達到非法登錄嘗試次數時，采用了安全措施，如鎖定賬號或限制賬號登錄時限等；

6)當登錄會話超時后，系統將自動退出會話并清除登錄會話信息；

7)服務器引導固件和帶外管理模塊固件中鑒別信息采用了加密存儲方式。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.6.2授權與訪問控制

授權與訪問控制的測評方法如下：

a)測評方法：

1)以默認用戶登錄帶外管理模塊固件，核查各用戶操作權限范圍與預置訪問控制策略是否一致，并滿足了最小權限原則；

2)配置帶外管理模塊固件的訪問控制策略，驗證用戶授權與訪問控制策略是否有效；

3)通過人工分析、滲透測試等方式，驗證服務器引導固件和帶外管理模塊固件中是否存在未聲明的功能接口。

b)預期結果：

1)默認用戶權限滿足最小權限原則，與預置訪問控制策略一致；

2)用戶的權限范圍與配置的訪問控制策略相一致；

3)未發現未聲明的功能接口。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.6.3安全審計

安全審計的測評方法如下：

a)測評方法：

1)在帶外管理模塊固件上分別執行登錄、注銷、系統開關機、用戶創建、刪除、口令修改等操作，查看審計日志是否記錄其行為；

2)在帶外管理模塊固件上進行核心安全配置變更操作，如訪問控制策略、自動更新策略、安全監控策略等，查看審計日志是否記錄其行為；

3)對服務器引導固件和帶外管理模塊固件進行固件更新和恢復操作，查看審計日志是否記錄其行為；

4)查看1)、2)、3)中審計記錄的詳細信息；

5)采用非授權用戶訪問、選擇性刪除記錄、模擬產生大量日志等方式，驗證審計記錄保護措施是否可有效防止非預期的刪除、修改或覆蓋等；

6)登錄服務器帶外管理模塊，驗證審計記錄轉存或輸出功能是否有效。

b)預期結果：

1)在服務器帶外管理模塊上進行的登錄、注銷、系統開關機、用戶創建、刪除、口令修改等操作行為均記錄了其行為，并在審計記錄中可查看相關信息；

2)在帶外管理模塊上進行的核心安全配置變更操作均記錄了其行為，并在審計記錄中可查看相關信息；

3)服務器引導固件和帶外管理模塊固件的更新和恢復操作均記錄了其行為，并在審計記錄中可查看相關信息；

4)審計日志事件包含發生日期和時間、用戶名、事件描述(包括類型、操作結果)、IP地址或主機名(采用遠程管理方式時)等；

5)具備審計記錄保護措施，可避免非預期的刪除、修改或覆蓋等；

6)可轉存或輸出完整的審計記錄，如備份，或輸出到其他日志系統等。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。

6.2.6.4遠程管理

遠程管理的測評方法如下：

a)測評方法：

1)通過相關文檔，核查服務器帶外管理模塊開放端口和服務列表，以及其用途的描述是否完整、正確；

2)通過端口掃描、查看服務進程等技術手段，核查是否存在其他未聲明的開放端口和服務；

3)通過嗅探等技術手段抓取網絡傳輸數據包，核查網絡傳輸數據是否為密文；

4)配置遠程管理終端接入限制策略，通過不同的IP地址或IP段的終端遠程訪問帶外管理模塊，驗證其限制策略是否有效。

b)預期結果：

1)對服務器帶外管理模塊開放的所有端口和服務列表，以及其用途進行了完整、正確的說明；

2)未發現未申明的端口和服務；

3)采用了安全的網絡協議，并對網絡傳輸數據進行了加密處理；

4)可對遠程終端的接入進行限制，只有合法遠程終端才允許訪問。

c)結果判定：

實際測評結果與相關預期結果一致則判定為符合，其他情況判定為不符合。