信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評

準(zhǔn)則

目錄

前言.....................................................................................III

引言......................................................................................IV

信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評準(zhǔn)則................................................1

1范圍.....................................................................................1

2規(guī)范性引用文件..........................................................................1

3術(shù)語、定義和縮略語......................................................................1

3.1術(shù)語和定義..........................................................................1

3.2縮略語..............................................................................2

4總體描述................................................................................2

5安全技術(shù)要求............................................................................2

5.1安全功能要求........................................................................2

5.1.1設(shè)備標(biāo)簽........................................................................2

5.1.2硬件接口安全...................................................................2

5.1.3固件安全........................................................................3

5.1.4軟件安全........................................................................3

5.1.5可靠運行支持....................................................................3

5.1.6安全管理.......................................................................4

5.2安全保障要求........................................................................5

5.2.1安全管理制度及組織.............................................................5

5.2.2開發(fā).......................................................................5

5.2.3指導(dǎo)性文檔.....................................................................5

5.2.4生命周期支持...................................................................6

5.2.5測試...........................................................................6

5.2.6脆弱性評定.....................................................................7

5.2.7維護...........................................................................7

6安全測評準(zhǔn)則............................................................................7

6.1測試環(huán)境...........................................................................7

6.2安全功能要求測評...................................................................8

6.2.1設(shè)備標(biāo)簽......................................................................8

6.2.2硬件接口安全..................................................................8

6.2.3固件安全......................................................................9

6.2.4軟件安全......................................................................10

6.2.5可靠運行支持.................................................................11

6.2.6安全管理......................................................................12

6.3安全保障要求測評..................................................................14

6.3.1安全管理制度和組織............................................................14

6.3.2開發(fā)..........................................................................14

6.3.3指導(dǎo)性文檔.....................................................................15

6.3.4生命周期支持..................................................................16

6.3.5測試..........................................................................18

6.3.6代碼安全性測試................................................................19

6.3.7脆弱性評定.....................................................................19

6.3.8維護..........................................................................19

6.4測評結(jié)論...........................................................................20

附錄A.....................................................................................................................................................................21

參考文獻.................................................................................22

信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評準(zhǔn)則

1范圍

本標(biāo)準(zhǔn)規(guī)定了服務(wù)器的安全技術(shù)要求、測評準(zhǔn)則和安全等級劃分。本

標(biāo)準(zhǔn)適用于服務(wù)器的研制、生產(chǎn)、維護和測評。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20272信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

GB/T20273信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求

GB/T25069-2010信息安全技術(shù)術(shù)語

GB/T36639-2018信息安全技術(shù)可信計算規(guī)范服務(wù)器可信支撐平臺

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

GB/T20272>GB/T20273>GB/T25069-2010、GB/T36639-2018界定的以及下列術(shù)語和定義適用于

本文件。

3.1.1

服務(wù)器server

是網(wǎng)絡(luò)環(huán)境下為用戶提供計算服務(wù)的計算機系統(tǒng)，一般包含獨立計算單元、存儲單元、網(wǎng)絡(luò)傳輸單元、

監(jiān)控管理單元、供電單元及配套軟件。

3.1.2

服務(wù)器引導(dǎo)固件serverbootfirmware

負責(zé)服務(wù)器芯片組的初始化和配置，收集、匯總硬件資源信息并引導(dǎo)進入操作系統(tǒng)的程序。

3.1.3

帶外管理模塊out-of-bandmanagementmoduIe

是通過專用物理通道對服務(wù)器進行控制管理和維護的獨立管理單元。

注：例如，x86平臺的BMC、Power平臺的FSP等。

3.1.4

帶外管理模塊固件out-of-bandmanagementmoduIefirmware

存在于帶外管理模塊中，用于實現(xiàn)其功能的程序。

3.1.5

檢查examination

測評者對測評對象采用觀察、查驗、分析等方法進行靜態(tài)評估的活動。

3.1.6

測試testing

測評者遵循相關(guān)的流程，對測評對象采用預(yù)定的方法/工具使其產(chǎn)生特定行為的活動。

3.2縮略語

下列縮略語適用于本文件。

CPU：中央處理器(centralprocessingunit)

CISC：復(fù)雜指令集計算機(complexinstructionsetcomputer)

RISC：精簡指令集計算機(reducedinstructionsetcomputer)

EPIC：顯示并行指令集計算機(explicitlyparallelinstructioncomputer)

PCI-E:高速外圍設(shè)備互聯(lián)(peripheralcomponentinterconnectexpress)

4總體描述

服務(wù)器是網(wǎng)絡(luò)環(huán)境下為用戶或終端提供計算服務(wù)的計算機系統(tǒng)，一般應(yīng)包含獨立計算單元、存儲單

元、網(wǎng)絡(luò)傳輸單元、監(jiān)控管理單元、供電單元及配套軟件(如驅(qū)動程序)等。為用戶或終端提供的計算服

務(wù)可以表現(xiàn)為硬件計算能力，也可以是集成相關(guān)軟件后形成的應(yīng)用計算、數(shù)據(jù)計算、圖形計算等能力。其中，硬

件計算能力是服務(wù)器提供的最基本計算服務(wù)。服務(wù)器的類型可以從多個角度來劃分：根據(jù)服務(wù)器CPU指令集分

類，主要分為CISC、RISC、EPIC；根據(jù)服務(wù)器支持的CPU個數(shù)分類，主要分為單路、雙路、多路(如四路、八

路)等；根據(jù)服務(wù)器的外型分類，主要分為塔式、機架式、刀片式和機柜式等。

本標(biāo)準(zhǔn)將服務(wù)器安全技術(shù)要求分為安全功能要求和安全保障要求兩部分。其中安全功能要求是對服務(wù)

器應(yīng)具備的安全功能提出的具體要求，包括設(shè)備標(biāo)簽、硬件接口安全、固件安全、軟件安全、可靠運行支持和

自身安全管理；安全保障要求是對服務(wù)器生命周期過程提出的具體要求，包括安全管理制度及組織、開發(fā)、指

導(dǎo)性文檔、生命周期支持、測試、脆弱性評估和維護等。

根據(jù)服務(wù)器安全技術(shù)發(fā)展情況及應(yīng)用需求，結(jié)合服務(wù)器安全功能的強弱，以及安全保障要求的高低，將服

務(wù)器安全技術(shù)要求劃分為基本級和增強級。(具體見“附錄A”)。

5安全技術(shù)要求

5.1安全功能要求

5.1.1設(shè)備標(biāo)簽

應(yīng)在服務(wù)器顯著位置設(shè)置標(biāo)簽，以標(biāo)識服務(wù)器設(shè)備信息(包括但不限于設(shè)備型號、設(shè)備唯一識別碼、生

產(chǎn)日期、生產(chǎn)廠商等)。

5.1.2硬件接口安全

硬件接口安全功能應(yīng)滿足以下要求：

a)對預(yù)留的外部硬件接口進行說明，說明信息包括但不限于接口類型、電氣規(guī)格、功能、開放端

2

GB/TXXXXX—XXXX

口和服務(wù)列表（如果適用）等；

b）對具備維護或調(diào)試功能的外部硬件接口采取安全控制措施，如禁用、采用專用工具、認證等，

以防止非授權(quán)使用。

5.1.3固件安全

5.1.3.1完整性保護

固件完整性保護安全功能應(yīng)滿足以下要求：

a）對服務(wù)器引導(dǎo)固件、帶外管理模塊固件提供存儲區(qū)保護機制，防止非授權(quán)操作破壞固件的完整性；

b）對帶外管理模塊固件訪問服務(wù)器引導(dǎo)固件存儲區(qū)的通道進行安全防護，防止非授權(quán)訪問；

c）依據(jù)GB/T36639-20185.2a）、b）和6.1的要求，基于物理可信根，在服務(wù)器啟動時構(gòu)建信

任鏈，防止服務(wù)器關(guān)鍵固件被篡改；

注：物理可信根是硬件和固件的集合，可以采用獨立封裝方式，也可以采用知識產(chǎn)權(quán)核和其他芯片集成的方

式。

d）在構(gòu)建信任鏈過程中，度量對象至少包含服務(wù)器引導(dǎo)固件、硬盤主引導(dǎo)扇區(qū)或引導(dǎo)文件等。

5.1.3.2更新安全

固件更新安全功能應(yīng)滿足以下要求：

a）對待更新的服務(wù)器引導(dǎo)固件和帶外管理模塊固件鏡像文件的真實性和完整性進行校驗，驗證通過

后方可允許執(zhí)行；

b）固件更新時，應(yīng)在獲得用戶授權(quán)后方可進行，并以明顯方式告知用戶更新的開始與結(jié)束；

c）依據(jù)GB/T36639-20185.2b）的要求，基于物理可信根，對待更新的服務(wù)器引導(dǎo)固件鏡像文

件進行校驗后，方可進行固件更新。

5.1.3.3固件恢復(fù)

服務(wù)器引導(dǎo)固件和帶外管理模塊固件的固件恢復(fù)安全功能應(yīng)滿足以下要求：

a）提供固件鏡像文件手動恢復(fù)機制，以便固件破壞后進行人工恢復(fù)；

b）提供固件鏡像文件自動恢復(fù)機制，在檢測到固件破壞后，根據(jù)預(yù)定的策略進行自動恢復(fù)。

5.1.4軟件安全

服務(wù)器配套軟件安全滿足以下要求：

a）應(yīng)對服務(wù)器配套驅(qū)動程序的真實性和完整性提供校驗機制，以驗證其來源的真實性和完整性；

b）服務(wù)器配套的操作系統(tǒng)（若有），宜符合GB/T20272第三級及以上的要求；

c）服務(wù)器配套的數(shù)據(jù)庫管理系統(tǒng)（若有），宜符合GB/T20273第三級及以上的要求；

d）除上述外配套軟件外，應(yīng)對其他配套軟件采取安全措施，確保其來源的真實性和完整性。

5.1.5可靠運行支持

服務(wù)器可靠運行支持應(yīng)滿足以下要求：

a）對服務(wù)器關(guān)鍵部件（包括電源、風(fēng)扇、硬盤、內(nèi)存等）進行冗余設(shè)計，硬盤、風(fēng)扇、電源支持熱

插拔功能；

b）對服務(wù)器關(guān)鍵部件的溫度、電壓、功耗，風(fēng)扇轉(zhuǎn)速等進行安全監(jiān)控，當(dāng)監(jiān)測數(shù)值超過預(yù)先設(shè)定的

閾值時應(yīng)報警；

3

c）提供服務(wù)器關(guān)鍵部件（包括但不限于CPU,硬盤、內(nèi)存等）故障定位的機制；

d）對服務(wù)器關(guān)鍵冗余部件（如從CPU、硬盤、內(nèi)存、PCI-E設(shè)備等）提供故障隔離機制，當(dāng)某一

部件出現(xiàn)故障時，服務(wù)器仍可提供計算服務(wù)。

5.1.6安全管理

5.1.6.1身份標(biāo)識與鑒別

服務(wù)器身份標(biāo)識與鑒別應(yīng)滿足以下要求：

a）對服務(wù)器引導(dǎo)固件和帶外管理模塊固件中用戶身份進行標(biāo)識和鑒別，身份標(biāo)識具有唯一性；

b）服務(wù)器引導(dǎo)固件和帶外管理模塊固件提供默認賬號口令修改機制；

c）帶外管理模塊固件中用戶設(shè)置口令時，應(yīng)對口令的復(fù)雜度進行驗證，確保用戶口令滿足一定復(fù)雜

度要求；

d）帶外管理模塊固件具備鑒別失敗處理功能，如配置并啟用結(jié)束會話、限制連續(xù)的非法登錄嘗試次

數(shù)等措施；

e）帶外管理模塊固件具備登錄連接超時自動退出機制；

f）服務(wù)器引導(dǎo)固件和帶外管理模塊固件對用戶身份鑒別信息的存儲采取必要安全措施，保證其保密

性。

5.1.6.2授權(quán)與訪問控制

服務(wù)器授權(quán)與訪問控制安全功能應(yīng)滿足以下要求：

a）依據(jù)最小權(quán)限的原則，為服務(wù)器引導(dǎo)固件和帶外管理模塊固件中默認用戶預(yù)置訪問控制策略；

b）在帶外管理模塊固件中用戶訪問受控資源或功能時，依據(jù)設(shè)置的控制策略進行授權(quán)和訪問控制;

c）服務(wù)器引導(dǎo)固件和帶外管理模塊固件中不存在隱藏的特權(quán)頁面和功能。

5.1.6.3安全審計

服務(wù)器帶外管理模塊安全審計功能應(yīng)滿足以下要求：

a）審計事件至少包括：

1）用戶的登錄和注銷、系統(tǒng)開關(guān)機、用戶創(chuàng)建、刪除、密碼修改；

2）核心安全配置（如訪問控制策略、自動更新策略、安全監(jiān)控策略等）的變更；

3）固件更新和恢復(fù)記錄；

b）在審計記錄中至少應(yīng)包括以下內(nèi)容：事件發(fā)生日期和時間、用戶名、事件描述（包括類型、操作

結(jié)果）、IP地址或主機名（采用遠程管理方式時）；

c）對審計記錄進行保護，避免受到非預(yù)期的刪除、修改或覆蓋等；

d）提供審計記錄備份或輸出功能。

5.1.6.4遠程管理

服務(wù)器帶外管理模塊的遠程管理安全功能應(yīng)滿足以下要求：

a）提供開放端口和服務(wù)列表，并明示其用途；

GB/TXXXXX—XXXX

b）采用安全的網(wǎng)絡(luò)協(xié)議或接口對傳輸數(shù)據(jù)進行保護；

c）對遠程管理終端的接入進行限制，如設(shè)定網(wǎng)絡(luò)地址范圍；

d）提供密鑰保護機制，保證密鑰使用過程的安全性。

5.2安全保障要求

5.2.1安全管理制度及組織

開發(fā)者應(yīng)提供完備的安全管理制度及組織描述，其描述應(yīng)滿足以下要求：

a）指定組織內(nèi)的高級管理人員擔(dān)任安全責(zé)任人；

b）對安全管理活動中的主要管理內(nèi)容建立安全管理制度和操作規(guī)程；

c）定義、識別和維護服務(wù)器在設(shè)計、開發(fā)和維護階段的相關(guān)安全角色，明確角色相對應(yīng)的安全職責(zé),

并滿足最小授權(quán)、職責(zé)分離原則；

d）明確重要崗位人員的安全責(zé)任和要求，并定期對其進行安全培訓(xùn)。

5.2.2開發(fā)

5.2.2.1安全架構(gòu)

開發(fā)者應(yīng)提供服務(wù)器安全功能的安全架構(gòu)描述，安全架構(gòu)描述應(yīng)滿足以下要求：

a）與服務(wù)器設(shè)計文檔中對安全功能的描述范圍相一致；

b）充分描述服務(wù)器采取的自我保護、不可旁路的安全機制。

5.2.2.2功能規(guī)范

開發(fā)者應(yīng)提供完備的功能規(guī)范說明，功能規(guī)范說明應(yīng)滿足以下要求：a）

描述5.1中定義的安全功能；

b）標(biāo)識和描述服務(wù)器所有安全功能接口的目的、使用方法及相關(guān)參數(shù)；c）

描述安全功能實施過程中，與安全功能接口相關(guān)的所有行為；

d）描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

5.2.2.3產(chǎn)品設(shè)計

開發(fā)者應(yīng)提供服務(wù)器設(shè)計文檔，服務(wù)器設(shè)計文檔應(yīng)滿足以下要求：

a）標(biāo)識和描述服務(wù)器安全功能的所有子系統(tǒng)，并描述子系統(tǒng)間的相互作用；b）

提供子系統(tǒng)和安全功能接口間的對應(yīng)關(guān)系；

c）通過實現(xiàn)模塊描述安全功能，標(biāo)識和描述實現(xiàn)模塊的目的、相關(guān)接口及返回值等，并描述實現(xiàn)

模塊間的相互作用及調(diào)用的接口；

d）提供實現(xiàn)模塊和子系統(tǒng)間的對應(yīng)關(guān)系。

5.2.2.4實現(xiàn)表示

開發(fā)者應(yīng)提供服務(wù)器安全功能的實現(xiàn)表示，實現(xiàn)表示應(yīng)滿足以下要求：a）

詳細定義服務(wù)器安全功能，包括軟件/固件、設(shè)計數(shù)據(jù)等實例；b）提

供實現(xiàn)表示與服務(wù)器設(shè)計描述間的對應(yīng)關(guān)系。

5.2.3指導(dǎo)性文檔

5

5.2.3.1用戶指南

開發(fā)者應(yīng)提供明確和合理的用戶指南，對每一種用戶角色的描述應(yīng)滿足以下要求：

a）描述用戶能夠訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b）描述服務(wù)器安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值等；

c）標(biāo)識和描述服務(wù)器運行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯誤；d）

描述實現(xiàn)服務(wù)器安全目的必須執(zhí)行的安全策略。

5.2.3.2準(zhǔn)備程序

開發(fā)者應(yīng)提供服務(wù)器及其準(zhǔn)備程序，準(zhǔn)備程序描述應(yīng)滿足以下要求：

a）描述與開發(fā)者交付程序相一致的安全接收所交付服務(wù)器必需的所有步驟；

b）描述安全安裝服務(wù)器及其運行環(huán)境必需的所有步驟。

5.2.4生命周期支持

5.2.4.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a）為服務(wù)器引導(dǎo)固件和帶外管理模塊固件的不同版本提供唯一的標(biāo)識；

b）使用配置管理系統(tǒng)對組成服務(wù)器的所有配置項進行維護，并進行唯一標(biāo)識；

c）提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識配置項的方法；

d）配置管理系統(tǒng)提供自動方式來支持服務(wù)器配置項的生成，通過自動化措施確保配置項僅接受授

權(quán)變更；

e）配置管理文檔包括一個配置管理計劃，描述如何使用配置管理系統(tǒng)開發(fā)服務(wù)器，包括修改過或

新建的作為服務(wù)器組成部分的配置項。開發(fā)者實施的配置管理應(yīng)與配置管理計劃相一致。

5.2.4.2配置管理范圍

開發(fā)者應(yīng)提供服務(wù)器配置項列表，并說明配置項的開發(fā)者。配置項列表應(yīng)包含以下內(nèi)容：

a）服務(wù)器本身、服務(wù)器的組成部分和安全保障要求的評估證據(jù)；

b）對于每一個安全功能相關(guān)的配置項，配置項列表應(yīng)簡要說明該配置項的開發(fā)者；

c）實現(xiàn)表示、安全缺陷報告及其解決狀態(tài)。

5.2.4.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付服務(wù)器，并將交付過程文檔化。在給用戶方交付服務(wù)器時，交付文

檔應(yīng)描述為維護服務(wù)器安全功能所必需的所有程序。

5.2.4.4開發(fā)安全

開發(fā)者應(yīng)提供開發(fā)安全文檔。開發(fā)安全文檔應(yīng)描述在服務(wù)器的開發(fā)環(huán)境中，為保護服務(wù)器設(shè)計和實

現(xiàn)的保密性和完整性所必需的所有物理的、程序的、人員的和其他方面的安全措施。

5.2.4.5生命周期定義

開發(fā)者應(yīng)建立一個生命周期模型對服務(wù)器的開發(fā)和維護進行的必要控制，并提供生命周期定義文檔

描述用于開發(fā)和維護服務(wù)器的模型。

5.2.5測試

6

GB/TXXXXX—XXXX

5.2.5.1測試覆蓋

開發(fā)者應(yīng)提供測試覆蓋文檔，測試覆蓋描述應(yīng)滿足以下要求：

a）表明測試文檔中所標(biāo)識的測試與功能規(guī)范中所描述的服務(wù)器的安全功能間的對應(yīng)性；

b）表明上述對應(yīng)性是完備的，并證實功能規(guī)范中的所有安全功能接口都進行了測試。

5.2.5.2測試深度

開發(fā)者應(yīng)提供測試深度的分析。測試深度分析描述應(yīng)滿足以下要求：

a）證實測試文檔中的測試與服務(wù)器設(shè)計中的安全功能子系統(tǒng)和實現(xiàn)模塊之間的一致性；

b）證實服務(wù)器設(shè)計中的所有安全功能子系統(tǒng)、實現(xiàn)模塊都已經(jīng)進行過測試。

5.2.5.3功能測試

開發(fā)者應(yīng)測試服務(wù)器安全功能，將結(jié)果文檔化并提供測試文檔。測試文檔應(yīng)包括以下內(nèi)容：

a）測試計劃，標(biāo)識要執(zhí)行的測試，并描述執(zhí)行每個測試的方案，這些方案包括對于其他測試結(jié)果的任

何順序依賴性；

b）預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；

c）實際測試結(jié)果和預(yù)期的測試結(jié)果的對比一致性。

5.2.5.4獨立測試

開發(fā)者應(yīng)提供一組與開發(fā)安全功能中同等的一系列資源，以用于功能的抽樣性測試。

5.2.5.5代碼安全性測試

開發(fā)者應(yīng)對服務(wù)器引導(dǎo)固件和帶外管理模塊固件代碼進行安全性測試，將結(jié)果文檔化并提供代碼安全

性測試文檔，確保代碼中不包含潛在的嚴(yán)重安全缺陷。

5.2.6脆弱性評定

開發(fā)者應(yīng)基于已標(biāo)識的潛在脆弱性，對服務(wù)器進行脆弱性評定測試，將結(jié)果文檔化并提供脆弱決策評

定文檔。脆弱性評定文檔應(yīng)包括以下內(nèi)容：

a）具有基本攻擊潛力的攻擊者的攻擊；

b）具有增強型基本攻擊潛力的攻擊者的攻擊。

5.2.7維護

開發(fā)者在服務(wù)器維護階段應(yīng)滿足以下要求：

a）建立并執(zhí)行服務(wù)器安全缺陷、漏洞的應(yīng)急響應(yīng)機制和流程；

b）發(fā)現(xiàn)服務(wù)器存在安全缺陷、漏洞時，應(yīng)及時采取修復(fù)或替代方案等補救措施。

6安全測評準(zhǔn)則

6.1測試環(huán)境

服務(wù)器安全測試環(huán)境參見圖1。圖1中，服務(wù)器是測評對象，并應(yīng)部署與其兼容的操作系統(tǒng)以支撐測試實

施；遠程管理終端主要用于服務(wù)器固件安全、可靠運行支持、安全管理等測評；網(wǎng)絡(luò)抓包工具主要用于服務(wù)器

遠程管理時對網(wǎng)絡(luò)傳輸數(shù)據(jù)安全性的測評；滲透測試工具主要用于對服務(wù)器可能存在的特權(quán)頁面和功能的測評，

以及為脆弱性評定提供支持。

7

服分器

交投機

網(wǎng)絡(luò)抓包工具遠程管理終端滲透測試工具

圖1服務(wù)器安全測試環(huán)境

測試實施前，應(yīng)參考圖1搭建測試環(huán)境。

6.2安全功能要求測評

6.2.1設(shè)備標(biāo)簽

設(shè)備標(biāo)簽測評包含以下要求：

a）測試實施應(yīng)包括：

1）檢查服務(wù)器設(shè)備標(biāo)簽粘貼的位置；

2）查看并記錄設(shè)備標(biāo)簽中相關(guān)信息；

3）查看產(chǎn)品相關(guān)資料，與步驟2中記錄的信息進行比對。

b）預(yù)期結(jié)果：

1）在步驟1中，服務(wù)器設(shè)備標(biāo)簽粘貼在機箱顯著位置，且用戶較方便查看；

2）在步驟2中，服務(wù)器設(shè)備標(biāo)簽中至少包含了設(shè)備型號、設(shè)備唯一識別碼、生產(chǎn)日期、生產(chǎn)廠

商等信息；

3）在步驟3中，對比結(jié)果為一致。

c）結(jié)果判定：

如果3）符合預(yù)期結(jié)果，則符合5.1.1要求，否則為不符合。

6.2.2硬件接口安全

硬件接口安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）檢查是服務(wù)器接口說明的資料和服務(wù)器外部所有接口，查看其所有外部硬件接口說明情況;

2）檢查相關(guān)說明材料對接口類型、電氣規(guī)格、用途、開放端口列表（如果適用）等的描述；

3）對2）中描述的具備維護或調(diào)試功能的外部硬件接口和安全控制措施，測試其功能的有效

性。

b）預(yù)期結(jié)果：

8

GB/TXXXXX—XXXX

1）在步驟1中，所提供的服務(wù)器用戶手冊或規(guī)格說明材料中對服務(wù)器所有外部硬件接口都有說

明信息，不存在其他未說明的外部物理接口；

2）在步驟2中，所提供的相關(guān)說明材料中對外部物理接口的描述信息至少包含了接口類型、電

氣規(guī)格、功能、開放端口列表（如果適用）等；

3）在步驟3中，測試結(jié)果為有效。

c）結(jié)果判定：

如果1）-3）符合預(yù)期結(jié)果，則符合5.1.2要求，否則為不符合。

6.2.3固件安全

6.2.3.1完整性保護

固件完整性保護安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）檢查相關(guān)設(shè)計文檔，查看服務(wù)器引導(dǎo)固件、帶外管理模塊固件存儲區(qū)域是否包含保護機制設(shè)計;

2）通過非正常授權(quán)方式訪問固件存儲區(qū)域，嘗試篡改固件存儲區(qū)域內(nèi)容；

3）檢查相關(guān)設(shè)計文檔，查看帶外管理模塊固件對服務(wù)器引導(dǎo)固件存儲區(qū)訪問通道的安全性設(shè)計內(nèi)

容；

4）從帶外管理模塊固件通過非正常授權(quán)方式嘗試訪問服務(wù)器引導(dǎo)固件存儲區(qū)域；

5）檢查相關(guān)設(shè)計文檔，查看服務(wù)器基于物理可信根實現(xiàn)信任鏈的構(gòu)建的設(shè)計內(nèi)容；

6）檢查物理可信根是否滿足國家相關(guān)規(guī)定；

7）根據(jù)用戶操作指南，登錄服務(wù)器引導(dǎo)固件配置管理界面，檢測物理可信根相關(guān)信息，并測

試其基本功有效性；

8）檢查服務(wù)器用戶指南及相關(guān)文檔，查看信任鏈構(gòu)建過程中度量對象涵蓋范圍；

9）啟動服務(wù)器，測試各度量對象存儲的完整性數(shù)據(jù)，及相關(guān)度量日志數(shù)據(jù)，檢查與7）中描

述的信息一致性情況。

b）預(yù)期結(jié)果：

1）在步驟1中，設(shè)計文檔中包含了服務(wù)器引導(dǎo)固件、帶外管理模塊固件存儲區(qū)域保護機制設(shè)計,

且描述完整無誤；

2）在步驟2中，通過非授權(quán)訪問篡改固件存儲區(qū)域內(nèi)容失??；

3）在步驟3中，設(shè)計文檔包含了帶外管理模塊固件訪問服務(wù)器引導(dǎo)固件存儲區(qū)的通道進行了安

全防護設(shè)計，且描述完整無誤；

4）在步驟4中，通過非授權(quán)訪問服務(wù)器引導(dǎo)固件存儲區(qū)失??；

5）在步驟5中，包含基于物理可信根實現(xiàn)信任鏈的構(gòu)建的設(shè)計內(nèi)容，且描述完整無誤；

6）在步驟6中，物理可信根滿足國家相關(guān)規(guī)定；

7）在步驟7中，能夠查看到物理可信根硬件根相關(guān)信息，相關(guān)基本功能測試有效；

8）在步驟8中，設(shè)計文檔及用戶手冊中包含了信任鏈構(gòu)建過程中度量對象的描述，且描述完

整無誤：

9）在步驟9中，通過查看各度量對象存儲完整性信息和度量日志信息，與7）中描述一致。

c）結(jié)果判定：

1）如果1）-4）符合預(yù)期結(jié)果，則符合5.1.3.1a）、b）的要求，否則為不符合；

2）如果5）-9）符合預(yù)期結(jié)果，則符合5.1.3.1c）、d）的要求，否則為不符合。

6.2.3.2更新安全

9

固件更新安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）檢查相關(guān)文檔，查看是否提供服務(wù)器引導(dǎo)固件和帶外管理模塊固件更新驗證機制；

2）偽造服務(wù)器引導(dǎo)固件更新文件和帶外管理模塊固件更新文件，測試更新驗證機制有效性；

3）隨意修改服務(wù)器引導(dǎo)固件更新文件和帶外管理模塊固件更新文件，測試更新驗證機制對其完

整性驗證有效性；

4）執(zhí)行固件更新操作，檢查該操作用戶授權(quán)控制，以及更新的開始和結(jié)束的提示信息；

5）檢查相關(guān)文檔，查看服務(wù)器引導(dǎo)固件更新機制關(guān)于基于物理可信根實現(xiàn)描述情況；

6）登錄服務(wù)器引導(dǎo)固件管理界面，將物理可信根狀態(tài)設(shè)置為禁用，測試基于物理可信根驗證

引導(dǎo)固件更新機制有效性；

7）登錄服務(wù)器引導(dǎo)固件管理界面，將物理可信根狀態(tài)設(shè)置為啟用，測試基于物理可信根驗證

引導(dǎo)固件更新機制有效性。

b）預(yù)期結(jié)果：

1）在步驟1中，相關(guān)文檔中包含服務(wù)器引導(dǎo)固件、帶外管理模塊固件更新驗證機制內(nèi)容；

2）在步驟2中，測試更新固件文件時有真實性驗證，更新失敗；

3）在步驟3中，測試更新固件文件時有完整性驗證，更新失敗；

4）在步驟4中，測試更新固件時，具備操作用戶授權(quán)驗證機制，開始更新和更新結(jié)束時有提示

信息;

5）在步驟5中，相關(guān)文檔包含基于物理可信根實現(xiàn)引導(dǎo)固件更新相關(guān)內(nèi)容，且描述完整無誤;

6）在步驟6中，測試結(jié)果為無法更新；

7）在步驟7中，測試結(jié)果為可正常更新。

c）結(jié)果判定：

1）如果1）-4）符合預(yù)期結(jié)果，則符合5.1.3.2a）、b）的要求，否則為不符合；

2）如果5）-7）符合預(yù)期結(jié)果，則符合5.1.3.2c）的要求，否則為不符合。

6.2.3.3固件恢復(fù)

固件恢復(fù)安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）根據(jù)用戶手冊，對服務(wù)器引導(dǎo)固件和帶外管理模塊固件進行手工恢復(fù)操作，測試其有效性；

2）配置服務(wù)器引導(dǎo)固件和帶外管理模塊固件自動更新策略；

3）觸發(fā)固件自動更新條件，測試其自動更新功能的有效性。

b）預(yù)期結(jié)果：

1）在步驟1中，服務(wù)器引導(dǎo)固件和帶外管理模塊固件手動恢復(fù)成功；

2）在步驟2中，服務(wù)器引導(dǎo)固件、帶外管理固件提供自動恢復(fù)配置策略；

3）在步驟3中，自動更新成功。

c）結(jié)果判定：

1）如果1）符合預(yù)期結(jié)果，則符合5.1.3.3a）的要求，否則為不符合；

2）如果2）-3）符合預(yù)期結(jié)果，則符合5.1.3.3b）的要求，否則為不符合。

6.2.4軟件安全

軟件安全測評應(yīng)包含以下要求:

a）測試實施應(yīng)包括：

10

GB/TXXXXX—XXXX

1）檢查相關(guān)文檔，查看配套軟件列表與測試對象內(nèi)容的一致性；

2）偽造一份數(shù)字簽名證書對驅(qū)動程序進行簽名，嘗試安裝該驅(qū)動程序:

3）篡改驅(qū)動程序文件，嘗試安裝該驅(qū)動程序；

4）配套軟件列表中若包含操作系統(tǒng)，查看操作系統(tǒng)相關(guān)安全證明材料，檢查是否達到

GB/T20272第三級的要求；

5）配套軟件列表中若包含數(shù)據(jù)庫管理系統(tǒng)，查看數(shù)據(jù)庫管理系統(tǒng)相關(guān)安全證明材料，檢查是

否達到GB/T20273第三級的要求；

6）檢查服務(wù)器配套的其他軟件安全措施，這些安全措施包括第三方軟件提供的正式授權(quán)文件,

和/或第三方測評機構(gòu)出具的安全資質(zhì)證明材料，和/或測試基于數(shù)字簽名的安全機制有

效性。

b）預(yù)期結(jié)果:

1）在步驟1中，所提供的軟件列表和被測試對象一致；

2）在步驟2中，提示驅(qū)動程序不合法/已破壞，安裝失敗;

3）在步驟3中，提示驅(qū)動程序不合法/已破壞，安裝失敗;

4）在步驟4中，操作系統(tǒng)相關(guān)安全證明材料達到要求；

5）在步驟5中，操作系統(tǒng)相關(guān)安全證明材料達到要求；

6）在步驟6中，具備相關(guān)證明材料，和/或安全機制有效。

c）結(jié)果判定:

1）如果1）-3）符合預(yù)期結(jié)果，則符合，5.1.4a）的要求，否則為不符合；

2）如果4）-6）符合預(yù)期結(jié)果，則符合，5.1.4b）-d）的要求，否則為不符合。

6.2.5可靠運行支持

可靠運行支持安全測評包含以下要求:

a）測試實施應(yīng)包括：

1）檢查服務(wù)器電源、風(fēng)扇、硬盤、內(nèi)存等冗余配置；

2）通過故障引入操作等方式，進行電源、風(fēng)險、硬盤、內(nèi)存等熱插拔操作判斷有效性；

3）登錄服務(wù)器監(jiān)控管理模塊，查看關(guān)鍵部件的溫度、電壓、功耗，以及風(fēng)扇轉(zhuǎn)速等實時更新情

況。安全監(jiān)控的功能；

4）針對3）中各項監(jiān)控對象，配置報警閾值并通過模擬異常狀態(tài)使各監(jiān)控超過閥值，查看報

警情況；

5）分別模擬服務(wù)器CPU、硬盤、內(nèi)存出現(xiàn)故障，查看服務(wù)器識別、定位故障情況；

6）在關(guān)鍵部件出現(xiàn)故障后，操作部件隔離，隔離狀態(tài)包括但不限于設(shè)備斷開、停止供電、接

口關(guān)閉等；同時查看服務(wù)器運行過程調(diào)用冗余部件情況；

7）在6）的測試基礎(chǔ)上，故障部件隔離生效后，檢查服務(wù)器運行狀態(tài)；

8）在7）的基礎(chǔ)上，操作故障部件恢復(fù)，查看運行狀態(tài)。

b）預(yù)期結(jié)果

1）在步驟1中，電源、風(fēng)險、硬盤、內(nèi)存等支持冗余配置；

2）在步驟2中，硬盤、風(fēng)扇、電源支持熱插拔功能，測試熱插拔能夠提供保障能力有效；

3）在步驟3中，服務(wù)器能提供關(guān)鍵部件安全監(jiān)控，數(shù)據(jù)直觀、易讀，具備實時性；

4）在步驟4中，服務(wù)器對所監(jiān)控的關(guān)鍵部件監(jiān)測數(shù)值超過預(yù)先設(shè)定的閾值時提供報警（通過聲、

光、網(wǎng)絡(luò)報文等方式皆可）；

5）在步驟5中，能夠?qū)PU、硬盤、內(nèi)存出現(xiàn)故障提示，并進行定位（比如通過聲、光、日

志記錄等方式提供了明確的提示信息）；

11

6）在步驟6中，能夠手動或自動方式對故障部件進行有效隔離，同時調(diào)用冗余部件；

7）在步驟7中，故障部件隔離后，冗余部件正常運行；

8）在步驟8中，故障部件恢復(fù)后，可正常運行。

c）結(jié)果判定：

1）如果1）-4）符合預(yù)期結(jié)果，則符合5.1.5a）-b）的要求，否則為不符合；

2）如果5）-8）符合預(yù)期結(jié)果，則符合5.1.5c）-e）的要求，否則為不符合。

6.2.6安全管理

6.2.6.1身份標(biāo)識與鑒別

身份標(biāo)識與鑒別安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）用管理員賬戶登錄服務(wù)器引導(dǎo)固件和帶外管理模塊固件，查看已有的用戶列表，并嘗試新建

同名用戶；

2）登錄服務(wù)器引導(dǎo)固件和帶外管理模塊固件，修改默認口令；

3）在帶外管理模塊中修改口令時，根據(jù)其提供的復(fù)雜度要求，嘗試設(shè)置不同復(fù)雜度要求的口令;

4）嘗試使用錯誤登錄信息，查看返回信息及操作失敗限制次數(shù)；

5）登錄帶外管理模塊固件，設(shè)置會話超時時間，判斷超時后的現(xiàn)象；

6）通過訪問服務(wù)器引導(dǎo)固件和帶外管理模塊固件,查看鑒別信息存儲形式。

b）預(yù)期結(jié)果：

1）在步驟1中，創(chuàng)建同名用號失??；

2）在步驟2中，修改默認密碼成功；

3）在步驟3中，修改口令符合密碼復(fù)雜要求才能修改成功，（如至少8位包含數(shù)字、字母、和

/或特殊字符）；

4）在步驟4中，提供鑒別失敗處理功能返回信息（如限制非法登錄次數(shù)，登錄失敗次數(shù)超過

設(shè)定值則結(jié)束會話等）；

5）在步驟5中，閑置超過設(shè)定時間后，系統(tǒng)自動退出到登錄界面；

6）在步驟6中，鑒別信息為非明文形式存儲。

c）結(jié)果判定：

如果1）-6）符合預(yù)期結(jié)果，則符合5.1.6.1的要求，否則為不符合。

6.2.6.2授權(quán)與訪問控制

授權(quán)與訪問控制安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）以提供的默認用戶列表分別登錄服務(wù)器引導(dǎo)固件和帶外管理模塊固件管理界面，查看其操

作權(quán)限范圍；

2）在帶外管理模塊固件系統(tǒng)中手動配置訪問控制策略，并測試效果；

3）通過測試環(huán)境中的滲透測試工具，查看測試結(jié)果。

b）預(yù)期結(jié)果：

1）在步驟1中，默認用戶權(quán)限滿足最小權(quán)限原則，與預(yù)置控制策略一致；

2）在步驟2中，根據(jù)設(shè)置的控制策略對用戶進行授權(quán)和訪問控制操作有效；

3）在步驟3中，不存在未經(jīng)聲明的特殊權(quán)限頁面和功能。

12

GB/TXXXXX—XXXX

c）結(jié)果判定：

如果1）-3）符合預(yù)期結(jié)果，則符合5.1.6.2的要求，否則為不符合。

6.2.6.3安全審計

安全審計安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）在服務(wù)器帶外管理模塊上分別執(zhí)行登錄、注銷、系統(tǒng)開關(guān)機、用戶創(chuàng)建、刪除、密碼修改等

操作，查看審計日志是否記錄上述操作；

2）在服務(wù)器帶外管理模塊進行核心安全配置變更操作（如訪問控制策略、自動更新策略、安全

監(jiān)控策略等），查看審計日志是否記錄上述操作；

3）在服務(wù)器帶外管理模塊上進行固件更新和恢復(fù)，查看審計日志是否記錄上述操作；

4）查看1）-2）中審計記錄主要內(nèi)容；

5）檢查審計日志保護措施，以某個系統(tǒng)用戶試圖刪除、修改或覆蓋審計記錄；

6）登錄服務(wù)器帶外管理模塊測試審計信息備份、輸出等功能。

b）預(yù)期結(jié)果：

1）在步驟1中，上述操作記錄在審計日志中；

2）在步驟2中，核心安全配置變更記錄在審計日志中；

3）在步驟3中，固件更新和恢復(fù)記錄在審計日志中；

4）在步驟4中，審計日志事件包含發(fā)生日期和時間、用戶名、事件描述（包括類型、操作結(jié)

果）、IP地址或主機名（采用遠程管理方式時）等；

5）在步驟5中，無法刪除、修改、覆蓋審計記錄，預(yù)設(shè)的審計保護措施有效；

6）在步驟6中，有審計信息備份功能及輸出到其他日志系統(tǒng)的功能。

c）結(jié)果判定：

1）如果1）、4）-5）符合預(yù)期結(jié)果，則符合5.1.6.4a）1）,4）-6）的要求，否則為不符合；

2）如果2）-3）符合預(yù)期結(jié)果，則符合5.1.6.4a）2）-3）的要求，否則為不符合。

6.2.6.4遠程管理

遠程管理安全測評包含以下要求：

a）測試實施應(yīng)包括：

1）檢查相關(guān)文檔中對服務(wù)器外開放端口、服務(wù)、協(xié)議列表及用途說明；

2）通過網(wǎng)絡(luò)抓包工具抓獲網(wǎng)路傳輸數(shù)據(jù)；

3）登錄遠程管理終端，配置網(wǎng)絡(luò)接入地址控制策略；

4）采用控制策略規(guī)定外的地址登錄遠管理終端；

5）檢查相關(guān)文檔，查看服務(wù)器遠程管理相關(guān)密鑰管理設(shè)計內(nèi)容；

6）搭建測試環(huán)境，測試密鑰存儲和傳輸?shù)陌踩浴?/p>

b）預(yù)期結(jié)果：

1）在步驟1中，文檔中包含服務(wù)器對外開放的端口、協(xié)議、服務(wù)及用途說明；

2）在步驟2中，抓獲的遠程管理數(shù)據(jù)為非明文形式；

3）在步驟4中，拒絕連接接入；

4）在步驟5、6中，文檔中有密鑰安全性設(shè)計，測試結(jié)果與設(shè)計相符。

c）結(jié)果判定：

1）如果1）-3）符合預(yù)期結(jié)果，則符合5.1.6.4a）-c）的要求，否則為不符合；

13

2）如果4）符合預(yù)期結(jié)果，則符合5.1.6.4d）的要求，否則為不符合。

6.3安全保障要求測評

6.3.1安全管理制度和組織

安全管理制度和組織安全測評包含以下要求：

a）測試實施應(yīng)包括：

檢查開發(fā)者所提供的安全管理制度和組織相關(guān)材料。

b）預(yù)期結(jié)果：

1）組織內(nèi)任用高級管理人員擔(dān)任安全責(zé)任人；

2）有安全管理和日常管理的相關(guān)規(guī)章制度和操作規(guī)程；

3）有按照規(guī)章制度執(zhí)行相關(guān)操作的記錄；

4）有服務(wù)器主要崗位的安全職責(zé)定義，職責(zé)定義是否考慮最小授權(quán)、職責(zé)分離原則，是否對相

關(guān)崗位執(zhí)行工作進行記錄；

5）進行相關(guān)安全培訓(xùn)有記錄.

c）結(jié)果判定：

如果b）中1）-5）符合預(yù)期結(jié)果，則符合5.2.1的要求，否則為不符合。

6.3.2開發(fā)

6.3.2.1安全架構(gòu)

安全架構(gòu)安全測評包含以下要求：

a）測試實施應(yīng)包括：

檢查開發(fā)者提供的安全架構(gòu)證據(jù)信息，檢查是否滿足證據(jù)的內(nèi)容和形式的所有要求：

1）與服務(wù)器設(shè)計文檔中對安全功能的描述范圍是否相一致；

2）是否充分描述服務(wù)器采取的自我保護、不可旁路的安全機制。

b）預(yù)期結(jié)果：

a）中1）-2）檢查結(jié)果均為肯定。

c）結(jié)果判定：

如果符合預(yù)期結(jié)果，則符合5.2.2.I的要求，否則為不符合。

6.3.2.2功能規(guī)范

功能規(guī)范安全測評包含以下要求：

a）測試實施應(yīng)包括：

檢查開發(fā)者提供的功能規(guī)范證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

1）是否清晰描述5.1中定義的安全功能；

2）是否標(biāo)識和描述服務(wù)器所有安全功能接口的目的、使用方法及相關(guān)參數(shù)；

3）描述安全功能實施過程中，是否描述與安全功能接口相關(guān)的所有行為；

4）是否描述可能由安全功能接口的調(diào)用而引起的所有直接錯誤消息。

b）預(yù)期結(jié)果：

a）中1）-4）檢查結(jié)果均為肯定。

c）結(jié)果判定：

如果符合預(yù)期結(jié)果，則符合5.2.2.2的要求，否則為不符合。

14

GB/TXXXXX—XXXX

6.3.2.3產(chǎn)品設(shè)計

產(chǎn)品設(shè)計安全測評包含以下要求：

a）測試實施應(yīng)包括：

檢查開發(fā)者提供的服務(wù)器設(shè)計證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有

要求：

1）是否標(biāo)識和描述服務(wù)器安全功能的所有子系統(tǒng)；

2）是否描述安全功能所有子系統(tǒng)間的相互作用；

3）提供的對應(yīng)關(guān)系是否能夠證實設(shè)計中描述的所有行為映射到調(diào)用的安全功能接口；

4）是否根據(jù)實現(xiàn)模塊描述安全功能；

5）是否描述所有實現(xiàn)模塊的安全功能要求相關(guān)接口、接口的返回值、與其他模塊間的相互作

用及調(diào)用的接口；

6）是否提供實現(xiàn)模塊和子系統(tǒng)間的對應(yīng)關(guān)系。

b）預(yù)期結(jié)果：

1）a）中1）-3）檢查結(jié)果均為肯定；

2）a）中4）-6）檢測結(jié)果均為肯定。

c）結(jié)果判定：

1）如果b）中1）符合預(yù)期結(jié)果，則符合5.2.2.3的要求a）-b）,否則為不符合。

2）如果b）中2）符合預(yù)期結(jié)果，則符合5.2.2.3的要求c）-d）,否則為不符合。

6.3,2.4實現(xiàn)表示

產(chǎn)品實現(xiàn)表示安全測評包含以下要求：

a）測試實施應(yīng)包括：

檢查開發(fā)者提供的實現(xiàn)表示證據(jù)，并檢查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有

要求：

1）是否通過軟件/固件代碼、設(shè)計數(shù)據(jù)等實例詳細定義服務(wù)器安全功能；

2）是否提供實現(xiàn)表示與服務(wù)器設(shè)計描述間的對應(yīng)關(guān)系。

b）預(yù)期結(jié)果：

a）中1）-2）檢查結(jié)果均為肯定。

c）結(jié)果判定：

如果符合預(yù)期結(jié)果，則符合5.2.2.4的要求，否則為不符合。

6.3.3