ICS35040

L80.

中華人民共和國國家標準

GB/T39680—2020

代替

GB/T21028—2007,GB/T25063—2010

信息安全技術

服務器安全技術要求和測評準則

Informationsecuritytechnology—

Techniquerequirementsandevaluationcriteriaforserversecurity

2020-12-14發(fā)布2021-07-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T39680—2020

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語定義和縮略語

3、………………………1

概述

4………………………2

安全技術要求

5……………2

安全功能要求

5.1………………………2

設備標簽

5.1.1………………………2

硬件接口安全

5.1.2…………………2

固件安全

5.1.3………………………2

驅動程序安全

5.1.4…………………3

可靠運行支持

5.1.5…………………3

自身安全管理

5.1.6…………………3

安全保障要求

5.2………………………4

開發(fā)

5.2.1……………4

指導性文檔

5.2.2……………………4

生命周期支持

5.2.3…………………5

測試

5.2.4……………5

脆弱性評定

5.2.5……………………6

維護

5.2.6……………6

安全測評準則

6……………6

測試環(huán)境

6.1……………6

安全功能要求測評

6.2…………………7

設備標簽

6.2.1………………………7

硬件接口安全

6.2.2…………………7

固件安全

6.2.3………………………8

驅動程序安全

6.2.4…………………9

可靠運行支持

6.2.5…………………9

自身安全管理

6.2.6…………………10

安全保障要求測評

6.3…………………12

開發(fā)

6.3.1……………12

指導性文檔

6.3.2……………………13

生命周期支持

6.3.3…………………13

Ⅰ

GB/T39680—2020

測試

6.3.4……………15

脆弱性評定

6.3.5……………………17

維護

6.3.6……………17

附錄資料性附錄服務器操作系統(tǒng)安全要求

A()………18

附錄資料性附錄服務器安全技術要求分級表

B()……………………19

參考文獻

……………………20

Ⅱ

GB/T39680—2020

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術服務器安全技術要求和信

GB/T21028—2007《》GB/T25063—2010《

息安全技術服務器安全測評要求與和相比主要技術變

》,GB/T21028—2007GB/T25063—2010,

化如下

:

整合了和兩項標準內容修改標準名稱為信息安全

———GB/T21028—2007GB/T25063—2010,《

技術服務器安全技術要求和測評準則

》;

修改了服務器安全等級劃分由原來的五級調整為基本級和增強級見第章

———,(5,GB/T21028—

的第章和的第章第章

20075GB/T25063—20104~8);

增加了安全功能要求中的固件安全技術要求和對應的測評準則見和

———(5.1.36.2.3);

增加了安全功能要求中的自身安全管理安全技術要求和對應的測評準則見和

———(5.1.66.2.6);

修改了操作系統(tǒng)安全技術要求見附錄的

———(A,GB/T21028—20075.1.1.2、5.2.1.2、5.3.1.2、5.4.

和的

1.2、5.5.1.2GB/T25063—20104.2、5.2、6.2、7.2);

刪除了數據庫管理系統(tǒng)的具體安全要求和相應的測評要求見的

———(GB/T21028—20075.1.1.3、

和的

5.2.1.3、5.3.1.3、5.4.1.3、5.5.1.3GB/T25063—20104.3、5.3、6.3、7.3);

刪除了應用系統(tǒng)的具體安全要求和相應的測評要求見的

———(GB/T21028—20075.1.1.4、5.2.1.

和的

4、5.3.1.4、5.4.1.4、5.5.1.4GB/T25063—20104.4、5.4、6.4、7.4)。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位浪潮電子信息產業(yè)股份有限公司聯(lián)想北京有限公司華為技術有限公司新華

:、()、、

三技術有限公司中國信息通信研究院藍盾信息安全技術股份有限公司中國網絡安全審查技術與認

、、、

證中心中國電力科學研究院公安部第三研究所中國信息安全測評中心中國電子技術標準化研究

、、、、

院國家計算機網絡與信息安全管理中心曙光信息產業(yè)北京有限公司蘇州浪潮智能科技有限公司

、、()、。

本標準主要起草人張東劉剛李汝鑫龐婷萬曉蘭張治兵劉強申永波宋桂香王恩東趙江

:、、、、、、、、、、、

宋好好孫彥毛軍捷李凌嚴敏輝葛小宇杜克宏雷鳴王暉倪平陸臻鄧雨張寶峰孫亞飛

、、、、、、、、、、、、、、

孔玉婷白欣璐曹柱查麗張?zhí)旌?/p>

、、、、。

本標準所代替標準的歷次發(fā)布版本發(fā)布情況為

:

———GB/T21028—2007;

———GB/T25063—2010。

Ⅲ

GB/T39680—2020

信息安全技術

服務器安全技術要求和測評準則

1范圍

本標準規(guī)定了服務器的安全技術要求和測評準則

。

本標準適用于服務器的研制生產維護和測評

、、。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

計算機通用規(guī)范第部分服務器

GB/T9813.3—20173:

信息安全技術操作系統(tǒng)安全技術要求

GB/T20272

信息安全技術術語

GB/T25069

3術語定義和縮略語

、

31術語和定義

.

和界定的以及下列術語和定義適用于本文件

GB/T9813.3—2017、GB/T20272GB/T25069。

311

..

服務器server

網絡環(huán)境下為客戶端計算機提供特定應用服務的計算機系統(tǒng)

。

注1計算機系統(tǒng)指服