1、ICS 35040L 80 a日中华人民共和国国家标准GBT 2 1 0282007信息安全技术服务器安全技术要求2007-06-29发布Information security technology-Security techniques requirement for server2007-12-01实施宰瞀髁紫瓣警糌瞥鐾发布中国国家标准化管理委员会捉19目 次GBT 21028-2007前言引言1范围“l2规范性引用文件13术语、定义和缩略语l31术语和定义132缩略语z4服务器安全功能要求”241设备安全z411设备标签z412设备可靠运行支持z413设备工作状态监控2414设备电磁防
2、护342运行安全3421安全监控。3422安全审计“3423恶意代码防护“44。2。4备份与故障恢复“5425可信技术支持5426可信时间戳。543数据安全“5431身份鉴别5432自主访问控制6433标记b434强制访问控制7435数据完整性”8436数据保密性8437数据流控制9438可信路径95服务器安全分等级要求951第一级;用户自主保护级9511安全功能要求9512安全保证要求“lo52第二级:系统审计保护级ll521安全功能要求ll522安全保证要求1353第三级:安全标记保护级13531安全功能要求13IGST 21028-2007532安全保证要求1654第四级:结构化保护级一
3、17541安全功能要求”17542安全保证要求一205。5第五级:访问验证保护级20551安全功能要求20552安全保证要求23附录A(资料性附录)有关概念说明25A1组成与相互关系25A2服务器安全的特殊要求25A3关于主体、客体的进一步说明25A4关于SsOS、SSF、SSP、SFP及其相互关系“26A5关于密码技术的说明26A6关于电磁防护的说明26参考文献27前 言GBT 21028-2007本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准负责起草单位:浪潮电子信息产业股份有限公司。本标准参加起草单位;联想(北京)有限公司、天津曙光计算机产业有限公司。
4、本标准主要起草人:孙丕怒,黄涛、孙大军、刘刚、周永利、颜斌、李清玉、景乾元、李志杰、曾宇。GBT 2 1 028-2007引 言本标准为设计、生产、制造、选配和使用所需要的安全等级的服务器提出了通用安全技术要求,主要从服务器安全保护等级划分的角度来说明其技术要求,即为实现GB 17859-1999的要求对服务器通用安全技术进行了规范。服务器是信息系统的主要组成部分,是由硬件系统和软件系统两大部分组成的,为网络环境中的客户端计算机提供特定应用服务的计算机系统。服务器安全就是要对服务器中存储、传输、处理和发布的数据信息进行安全保护,使其免遭由于人为的和自然的原因所带来的泄漏、破坏和不可用的情况。服
5、务器是以硬件系统和操作系统为基础,分别由数据库管理系统提供数据存储功能,以及由应用系统提供应用服务接口功能。因此,硬件系统和操作系统的安全便构成了服务器安全的基础。服务器安全从服务器组成的角度来看,硬件系统、操作系统、数据库管理系统、应用系统的安全保护构成了服务器安全。由于攻击和威胁既可能是针对服务器运行的。也可能是针对服务器中所存储、传输、处理和发布的数据信息的保密性、完整性和可用性的,所以对服务器的安全保护的功能要求,需要从系统安全运行和信息安全保护两方面综合进行考虑。本标准依据GBT 20271-2006关于信息系统安全保证要素的要求,从服务器的SSOS自身安全保护、SSOS的设计和实现
6、以及SSOS的安全管理等方面,对服务器的安全保证要求进行更加具体的描述。本标准按照GB 17859-1999,分五个等级对服务器的安全功能和安全保证提出详细技术要求。其中,第4章对服务器安全功能基本要求进行简要说明,第5章从安全功能要求和安全保证要求两个方面,按硬件系统、操作系统、数据库管理系统、应用系统和运行安全五个层次对服务器安全功能的分等级要求进行了详细说明。在第5章的描述中除了引用前面各章的内容外,还引用了GBT 20271-2006中关于安全保证技术要求的内容。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,在第5章的描述中,较低等级中没有出现或增强的内容用“黑
7、体字”表示。信息安全技术服务器安全技术要求GBT 2 1028-20071范固本标准依据GB 17859-1999的五个安全保护等级的划分,规定了服务器所需要的安全技术要求,以及每一个安全保护等级的不同安全技术要求。本标准适用于按GB 17859-1999的五个安全保护等级的要求所进行的等级化服务器的设计、实现、选购和使用。按GB 17859-1999的五个安全保护等级的要求对服务器安全进行的测试、管理可参照使用。2规范性引用文件下列文件中的条款通过在本标准的引用丽成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协
8、议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859-1999计算机信息系统安全保护等级划分准则GBT 20271-2005信息安全技术信息系统通用安全技术要求GBT 20272-2006信息安全技术操作系统安全技术要求GBT 20273-2006信息安全技术数据库管理系统安全技术要求GBT 20520-2006信息安全技术公钥基础设施时间戳规范3术语、定义和缩略语31术语和定义GB 17859-1999、GBT 20271-2006、GBT 20272-2006、GBT 20273-2006和GBT 205202006确立的以及下列术语和
9、定义适用于本标准。311服务器rver服务器是信息系统的主要组成部分,是信息系统中为客户端计算机提供特定应用服务的计算机系统,由硬件系统(如处理器、存储设备、网络连接设备等)和软件系统(如操作系统、数据库管理系统、应用系统等)组成。312服务器安全性server security服务器所存储、传输、处理的信息的保密性、完整性和可用性的表征。313服务器安全子系统(SSOS)security subsystem of server服务器中安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的服务器安全保护环境,并提供服务器安全要求的附加用户服务。314安全要素se
10、curity element本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成分。GBT 210282007315安全功能策略(SFP)security function policy为实现SSOS安全要素要求的功能所采用的安全策略。316安全功能security function为实现ssOs安全要素的内容,正确实施相应安全功能策略所提供的功能。317SSOS安全策略(SSP)SSOS security policy对SSOS中的资源进行管理、保护和分配的一组规则。一个SSOS中可以有一个或多个安全策略。318$SOS安全功能(SSF)SSOS security function正
11、确实施SSOS安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现,组成一个ssOs安全功能模块。一个ssOs的所有安全功能模块共同组成该SsOs的安全功能。319SSF控制范围(ssC)SSF scope of controlSSOS的操作所涉及的主体和客体的范豳。3110网络接口部件(NIC)network Interface component是服务器的重要组成部分,是服务器对网络提供支持的接口。32缩略语ssOs服务器安全子系统 security subsystem of serverSSF SSOS安全功能SSOS securityunctionSFP 安全功能策略sec
12、urity function policySSC SSF控制范围SSF scope of controlSSP SSOS安全策略SSOS security policy4服务器安全功能要求41设备安全411设备标签根据不同安全等级对服务器设备标签的不同要求,设备标签分为:a)设备标签:服务器设备应提供在显著位置设置标签(如编号、用途、负责人等)的功能,以方便查找和明确责任;b)部件标签:服务器关键部件(包括硬盘、主板、内存、处理器、网卡等)应在其上设置标签,以防止随意更换或取走。412设备可靠运行支持根据不同安全等级对设备可靠运行支持的不同要求,可靠运行支持分为:a)基本运行支持:服务器硬件配
13、置应满足软件系统基本运行的要求,关键部件应有数据校验能力;b)安全可用支持:服务器硬件配置应满足安全可用的要求。关键部件均安全可用;c)不间断运行支持:为满足服务器不间断运行要求,关键部件应具有容错、冗余或热插拔等安全功能,服务器应按照业务连续性要求提供双机互备的能力。413设备工作状态监控构成服务器的关键部件,包括电源、风扇、机箱、磁盘控制等应具备可管理接口,通过该接口或其他2GBT 21028-2007措施收集硬件的运行状态,如处理器工作温度、风扇转速、系统核心电压等,并对其进行实对监控。当所监测数值超过预先设定的故障阈值时,提供报警、状态恢复等处理。414设备电磁防护应根据电磁防护强度与
14、服务器安全保护等级相匹配的原则,按国家有关部门的规定分等级实施。4。2运行安全421安全监控4211主机安全监控根据不同安全等级对服务器主机安全监控的不同要求,主机安全监控分为:a)提供服务器硬件、软件运行状态的远程监控功能lb)对命令执行、进程调用、文件使用等进行实时监控,在必要时应提供监控数据分析功能。4212圈络安全监控服务器应在其网络接口部件处对进出的网络数据流进行实时监控。根据不同安全等级对网络安全监控的不同要求,网络安全监控应:a)不依赣于服务器操作系统,且不因服务器出现非断电异常情况而不可用Ib) 对进出服务器的网络数据流,按既定的安全策略和规则进行检测;c)支持用户白定义网络安
15、全监控的安全策略和规则Id) 具有对网络应用行为分类监控的功能,并根据安全策略提供报警和阻断的能力le)提供集中管理功能,以便接收网络安全监控集中管理平台下发的安全策略和规则,以及向网络安全监控集中管理平台提供审计数据源。422安全审计4221安全审计的响应安全审计SSF应接以下要求响应审计事件:a)审计日志记录:当检测到有安全侵害事件时,将审计数据记人审计日志b)实时报警生成:当检测到有安全侵害事件时,生成实时报警信息,并根据报警开关的设置有选择地报警Ic)违例进程终止:当检测到有安全侵害事件时,将违例进程终止;d)服务取消;当检测到有安全侵害事件时,取消当前的服务e)用户账号断开与失效:当
16、检测到有安全侵害事件时,将当前的用户账号断开,并使其失效。4222安全审计数据产生安全审计SSF应按以下要求产生审计数据:a) 为下述可审计事件产生审计记录:审计功能的开启和关闭使用身份鉴别机制;将客体引人用户地址空间(例如:打开文件、程序初始化)删除客体l系统管理员、系统安全员、审计员和一般操作员所实施的操作;其他与系统安全有关的事件或专门定义的可审计事件。b)对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及其他与审计相关的信息。c)对于身份鉴别事件,审计记录应包含请求的来源(例如:末端标识符)。d) 对于客体被引入用户地址空间的事件及删除客体事件,审计记
17、录应包含客体名及客体的安全级。3GBT 21028-20074223安全审计分析根据不同安全等级对安全审计分析的不同要求,安全审计分析分为:a)潜在侵害分析;用一系列规则监控审计事件,并根据这些规则指出对SSP的潜在侵害。这些规则包括:由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合任何其他的规则。b)基于异常检测的描述:维护用户所具有的质疑等级历史使用情况。以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过阈值条件时,能指出将要发生对安全性的威胁。c)简单攻击探测z能检测到对SSF的实施有重大威胁的签名事件的出现。为此SSF应维护指出对SSF侵害的签名事件的
18、内部表示,并将检测到的系统行为记录与签名事件进行比较,当发现两者匹配时,指出一个对SSF的攻击即将到来。d)复杂攻击探测:在上述简单攻击探测的基础上能检测到多步入侵情况,并根据已知的事件序列模拟出完整的入侵情况,指出发现对SSF的潜在侵害的签名事件或事件序列的时间。4224安全审计查阅根据不同安全等级对安全审计查阅的不同要求,安全审计查阅分为za)基本审计查阅:提供从审计记录中读取信息的能力,即为授权用户提供获得和解释审计信息的能力。当用户是人时,必须以人类可懂的方式表示信息I当用户是外部IT实体时,必须以电子方式无歧义地表示审计信息。b)有限审计查阅:在基本审计查阅的基础上,应禁止具有读访问
19、权限以外的用户读取审计信息。c)可选审计查阅:在有限审计查阅的基础上,应具有根据准则来选择要查阅的审计数据的功能,并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排卑的能力。4225安全审计事件选择应根据以下属性选择可审计事件:a)客体身份、用户身份、主体身份、主机身份、事件类型lb)作为审计选择性依据的附加属性。4226安全审计事件存储根据不同安全等级对安全审计事件存储的不同要求,安全审计事件存储分为:8)受保护的审计踪迹存储t审计踪迹的存储受到应有的保护,能检测或防止对审计记录的修改Ib)审计数据的可用性确保;在意外情况出现时,能检测或防止对审计记录的修改,以及在发生审计存储已满、存
20、储失败或存储受到攻击时,确保审计记录不被破坏c)审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审计数据可能丢失情况的处理d)防止审计数据丢失;在审计踪迹存储记满时,应采取相应的防止审计数据丢失的措施t可选择“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施,防止审计数据丢失。423恶意代码防护根据不同安全等级对恶意代码防护的不同要求,恶意代码防护分为:a)主机软件防护:应在服务器中设置防恶意代码软件,对所有进入服务器的恶意代码采取相应的防范措施,防止恶意代码侵袭;b)
21、整体防护:主机软件防护应与防恶意代码集中管理平台协调一致,及时发现和清除进入系统内部的恶意代码。4GBT 21028-2007424鲁份与故障恢复为了实现服务器安全运行,需要在正常运行时定期地或按某种条件进行适当备份,并在发生故障时进行相应恢复的功能,根据不同安全等级对备份与故障恢复的不同要求,服务器的备份与恢复功能分为:a)用户自我信息备份与恢复:应提供用户有选择地对操作系统、数据库系统和应用系统中重要信息进行备份的功能,当由于某种原因引起系统故障时,应能提供用户按自我信息备份所保留的备份信息进行恢复的功能b)增量信息备份与恢复:提供定时对操作系统、数据库系统和应用系统中新增信息进行备份的功
22、能当由于某种原因引起系统中的某些信息丢失或破坏时,提供用户按增量信息备份所保留的信息进行信息恢复的功能;c)局部系统备份与恢复:应提供定期对操作系统、数据库系统和应用系统中的某些重要的局部系统的运行状态进行备份的功能;当由于某种原因引起系统某一局部发生故障时,应提供用户按局部系统备份所保留的运行状态进行局部系统恢复的功能Id)全系统备份与恢复:应提供对重要的服务器的全系统运行状态进行备份的功能;当由于某种原因引起服务器全系统发生故障时,应对用户按全系统备份所保留的运行状态进行全系统恢复提供支持;e)紧耦合集群结构:对关键服务器采用多服务器紧耦合集群结构,确保其中某一个服务器发生故障中断运行时,
23、业务应用系统能在其余的服务器上不间断运行;f)异地备份与恢复:对关键的服务器,应根据业务连续性的不同要求。设置异地备份与恢复功能,确保服务器因灾难性故障中断运行时,业务应用系统能在要求的时间范围内恢复运行。425可信技术支持通过在服务器上设置基于密码的可信技术支持模块,为在服务器上建立从系统引导、加载直到应用服务的可信任链,确保各种运行程序的真实性,并对服务器用户的身份鉴别、连接设备的鉴别,以及运用密码机制实现数据的保密性、完整性保护等安全功能提供支持。426可信时间蕺服务器应为其运行提供可靠的时钟和时钟同步系统,并按GBT 20520-2006的要求提供可信时间戳服务。43数据安全431身份
24、鉴别4311用户标识与鉴别43111用户标识根据不同安全等级对用户标识与鉴别的不同要求,用户标识分为:a)基本标识:应在SSF实施所要求的动作之前,先对提出该动作要求的用户进行标识b)唯一性标识:应确保所标识用户在服务器生存周期内的唯一性,并将用户标识与安全审计相关联-c)标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。43112用户鉴别根据不同安全等级对用户标识与鉴99的不同要求,用户鉴别分为:a)基本鉴别:应在SSF实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别b)不可伪造鉴别:应检测并防止使用伪造或复制的鉴别信息;一方面,要求SSF应检测或
25、防止由任何别的用户伪造的鉴别数据,另一方面要求SSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用;c) 一次性使用鉴别;应提供一次性使用鉴别数据的鉴别机制,即SSF应防止与已标识过的鉴905GBT 210282007机制有关的鉴别数据的重用Id)多机制鉴别:应提供不同的鉴别机制。用于鉴别特定事件的用户身份,并根据不同安全等级所描述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份e)重新鉴别:应有能力规定需要重新鉴别用户的事件,即在需要重新鉴别的条件成立时,对用户进行重新鉴别。例如,终端用户操作超时被断开后,重新连接时需要进行重鉴别;f)鉴别信息管理;应对用户鉴别信息进行
26、管理、维护,确保其不被非授权地访问、修改或删除。43113鉴别失败处理SSF应为不成功的鉴别尝试(包括尝试次数和时间的阈值)定义一个值,并明确规定达到该值时所应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的情况。并进行预先定义的处理。4312用户一主体绑定在SSOS安全功能控制范围之内,对一个已标识和鉴别的用户。应通过用户主体绑定将该用户与为其服务的主体(如进程)相关联,从而将该用户的身份与该用户的所有可审计行为相关联,以实现用户行为的可查性。432自主访问控制4321访问控制策略SSF应按确定的自主访问控制安全策略进行设计。实现对策略控制下的主体对客体
27、操作的控制。可以有多个自主访问控制安全策略,但它们必须独立命名,且不能相互冲突。常用的自主访问控制策略包括:访问控制表访问控制、目录表访问控制等。4322访问控制功能SSF应实现采用一条命名的访问控制策略的特定功能,说明策略的使用和特征,以及该策略的控制范围。无论采用何种自主访问控制策略,SSF应有能力提供:在安全属性或命名的安全属性组的客体上,执行访问控制SFP;在基于安全属性的允许主体对客体访问的规则的基础上,允许主体对客体的访问,在基于安全属性的拒绝主体对客体访问的规则的基础上。拒绝主体对客体的访问。4323访问控制范围根据不同安全等级对自主访问控制的不同要求,自主访问控制的覆盖范围分为
28、:a)子集访问控制:要求每个确定的自主访问控制,SSF应覆盖由安全系统所定义的主体、客体及其之间的操作;b)完全访问控制:要求每个确定的自主访问控制,SSF应覆盖服务器中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少被一个确定的访闯控制SFP覆盖。4324访问控制粒度根据不同安全等级对访问控制的不同要求,自主访问控制的粒度分为:a)粗粒度:主体为用户用户组级,客体为文件、数据库表级b) 中粒度:主体为用户级,客体为文件、数据库表级和或记录、宇段级c)细粒度:主体为用户级,客体为文件、数据库表级和或记录、字段元素级。433标记4331主
29、体标记应为实施强制访问控制的主体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。6GBT 21028-20074332窖体标记应为实施强制访问控制的客体指定敏感标记,这些敏感标记是实施强制访问控制的依据。如:等级分类和非等级类别组合的敏感标记是实施多级安全模型的基础。4333标记的输出当数据从SSC之内向其控制范围之外输出时,根据需要可以保留或不保留数据的敏感标记。根据不同安全等级对标记输出的不同要求,标记的输出分为ta)不带敏感标记的用户数据输出:在SFP的控制下输出用户数据到SSC之外时,不带有与数据相关的敏感标记Ib)带
30、有敏感标记的用户数据输出:在SFP的控制下输出用户数据到sSC之外时,应带有与数据相关的敏感标记,并确保敏感标记与所输出的数据相关联。4334标记的输入当数据从SSF控制范围之外向其控制范围之内输入时,应有相应的敏感标记,以便输入的数据能受到保护。根据不同安全等级对标记输入的不同要求。标记的输入分为:a)不带敏感标记的用户数据输入:SSF应做到:在SFP控制下从SSC之外输入用户数据时,应执行访问控制sFP;略去任何与从SSC之外输入的数据相关的敏感标记;执行附加的输人控制规则,为输入数据设置敏感标记。b)带有敏感标记的用户数据输入:SSF应做到:在SFP控制下从SSC之外输入用户数据时,应执
31、行访问控制sFPissF应使用与输入的数据相关的敏感标记;SSF应在敏感标记和接收的用户数据之间提供确切的联系ssF应确保对输入的用户数据的敏感标记的解释与原敏感标记的解释是一致的。434强制访闫控制4341访问控制策略强制访问控制策略应包括策略控制下的主体、客体,及由策略覆盖的被控制的主体与客体间的操作。可以有多个访问控制安全策略,但它们必须独立命名,且不能相互冲突。当前常见的强制访问控制策略有:a)多级安全模型:基本思想是,在对主、客体进行标记的基础上,ssOs控制范围内的所有主体对客体的直接或间接的访问应满足:向下读原则:仅当主体标记中的等级分类高于或等于客体标记中的等级分类,且主体标记
32、中的非等级类别包含了客体标记中的全部非等级类别,主体才能读该客体;向上写原则:仅当主体标记中的等级分类低于或等于客体标记中的等级分类,且主体标记中的非等级类别包含于客体标记中的非等级类别,主体才能写该客体。b)基于角色的访问控制(BRAc):基本思想是,按角色进行权限的分配和管理;通过对主体进行角色授予,使主体获得相应角色的权限;通过撤消主体的角色授予,取消主体所获得的相应角色权限。在基于角色的访问控制中,标记信息是对主体的授权信息。c)特权用户管理;基本思想是。针对特权用户权限过于集中所带来的安全隐患,对特权用户按最小授权原则进行管理。实现特权用户的权限分离f仅授予特权用户为完成自身任务所需
33、要的最小权限。4342访问控制功能SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供:在标记或命名的标记组的客体上执行访问控制SFP,按受控主体和受控客体之问的允许访问规则,决定允许受控主体对受控客体执行受控操作;7GBT 2 1 028-2007按受控主体和受控客体之间的拒绝访问规则,决定拒绝受控主体对受控客体执行受控操作。4343访问控制范围根据不同安全等级对强制访问控制范围的不同要求,强制访问控制的覆盖范围分为:a)子集访问控制:对每个确定的强制访问控制,SSF应覆盖服务器中由安全功能所定义的主体、客体及其之间的操作fb)完全访问控制:对每个确定的强制访问
34、控制,SSF应覆盖服务器中所有的主体、客体及其之间的操作,即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的操作将至少被一个确定的访问控制SFP覆盖。4344访问控制粒度根据不同安全等级对强制访问控制粒度的不同要求。强制访问控制的粒度分为:a)中粒度:主体为用户级,客体为文件、数据库表级和或记录、字段级;b)细粒度:主体为用户级。客体为文件、数据库表级和或记录、字段和或元素级。4345访问控制环境强制访问控制应考虑以下不同的系统运行环境:a)单一安全域环境:在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息和访问规则I当被控客体输出到安全域以外时,应将其标记信息同时输出
35、b) 多安全域环境:在多安全域环境实施统一安全策略的强制访问控制时,应在这些安全域中维持统一的标记信息和访问规则,当被控制客体在这些安全域之间移动时。应将其标记信息一起移动。435数据完整性4351存储数据的完整性应对存储在SSC内的用户数据进行完整性保护。根据不同安全等级对用户数据完整性保护的不同要求,存储数据的完整性分为:a)完整性检测:SSF应对存储在SSC内的用户数据在读取操作时进行完整性检测,以发现数据完整性被破坏的情况Ib)完整性检测和恢复:SSF应对存储在SSC内的用户数据在读取操作时进行完整性检测,并在检测到完整性错误时,采取必要的恢复措施。4352传输数据的完整性当用户数据在
36、SSF和SSF间传输时应提供完整性保护。根据不同安全等级对用户数据完整性保护的不同要求,传输数据的完整性分为:a) 完整性检测:SSF应对服务器内部传输的用户数据进行完整性检测,及时发现以某种方式传送或接收的用户数据被篡改、删除、插入等情况发生b)完整性检测和恢复:SSF应对服务器内部传输的用户数据进行完整性检测,及时发现以某种方式传送或接收的用户数据被篡改、删除、插入等情况发生,并在检测到完整性错误时,采取必要的恢复措施。4353处理数据的完整性对服务器中处理的数据,应通过“回退”进行完整性保护。即SSF应执行数据处理完整性SFP,以允许对所定义的操作序列进行回退。436数据保密性4361存
37、储数据保密性保护对存储在SSC内的用户数据,应根据不同数据类型的不同保密性要求,进行不同程度的保密性保护,确保除具有访问权限的合法用户外,其余任何用户不能获得该数据。8GBT 21028-20074。3。62传输数据保密性保护对在不同SSF之间或不同SSF上的用户之间传输的用户数据,应根据不同数据类型的不同保密性要求,进行不同程度的保密性保护,确保数据在传输过程中不被泄漏和窃取。4363客体安全量用在对资源进行动态管理的系统中。客体资源(寄存器、内存、磁盘等记录介质)中的剩余信息不应引起信息的泄漏。根据不同安全等级对用户效据保密性保护的不同要求,客体安全重用分为:a) 子集信息保护:由ssOs
38、安全控制范围之内的某个子集的客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息b) 完全信息保护:由SSOS安全控制范围之内的所有客体资源,在将其释放后再分配给某一用户或代表该用户运行的进程时,应不会泄漏该客体中的原有信息c)特殊信息保护;在完全信息保护的基础上对于某些需要特别保护的信息,应采用专门的方法对客体资源中的残冒信息做彻底清除,如对剩磁的清除等。437数据流控制在以数据流方式实现数据流动的服务器中,应采用数据流控制机制实现对数据流动的安全控制,以防止具有高等级安全的数据信息向低等级的区域流动。438可信路径用户与SSF问的可信路径应:a)提供
39、真实的端点标识并保护通信效据免遭修改和泄漏b)利用可信路径的通信可以由SSF自身、本地用户或远程用户发起;c)对原发用户的鉴别或需要可信路径的其他服务均使用可信路径。5服务器安全分等级要求51第一级:用户自主保护缓511安全功能要求5111硬件系统51111设备标签按411中设备标签的要求,设计和实现服务器设备标签的安全功能。51112设备可靠运行支持按412中基本运行支持的要求,设计和实现服务器设备可靠运行支持的安全功能,服务器硬件最低配制应满足软件系统运行的要求,关键部件(包括CPU、内存等)应具有数据校验功能。51113设备电磁防护按414的要求,设计和实现服务器设备电磁防护功能防止电磁
40、信息泄漏以殛屏蔽外界电磁干扰。5112操作系统按GBT 202722006中411的要求,从以下方面来设计、实现或选购用户自主保护级服务器所需要的操作系统:a) 身份鉴别:根据431的描述,确保登录操作系统的用户身份的唯一性和真实性fb) 自主访问控制:根据432的描述,对操作系统的访问进行控制,允许合法操作,拒绝非法操作;c)数据完整性:根据435的描述,确保操作系统内部传输数据的完整性。5113数据库管理系统按GBT 202732006中511的要求,从以下方面来设计、实现或选购用户自主保护级服务器所需要的数据库管理系统:9GBT 2 1 028-2007a) 身份鉴别:根据431的描述,
41、确保登录数据库管理系统的用户身份的唯一性和真实性;b) 自主访问控制:根据432的描述,对数据库管理系统的访问进行控制,允许合法操作,拒绝非法操作c)数据完整性:根据435的描述,对数据库管理系统内部传输的用户数据应提供保证用户数据完整性的功能。5114应用系统51141身份鉴别根据431的描述,按GBT 20271-2006中6131的要求,从以下方面设计和实现应用系统的身份鉴别功能:a)身份标识:凡需进入应用系统的用户。应先进行标识(建立账号);应用系统的用户标识一般使用用户名或用户标识符(UID)b)身份鉴别;采用口令进行鉴别。并在每次用户登录应用系统时进行鉴别;口令应是不可见的,并在存
42、储时有安全保护;对注册到应用系统中的用户,应通过用户一主体绑定功能将用户与为其服务的主体相关联。51142自主访问控制根据432的描述,按GBT 202712006中6132的要求,从以下方面设计和实现应用系统的自主访问控制功能:a) 允许命名用户以用户和或用户组的身份规定控制对窖体的共享,并阻止非授权用户对客体的共享;b) 自主访问控制的粒度应是粗粒度。51143数据完整性根据435的描述,按GBT 202712006中6133的要求,设计和实现应用系统的数据完整性功能,对应用系统内部进行的数据传输。如进程间的通信,应保证其完整性。5115运行安全51151恶意代码防护按423中主机软件防护的要求。设计和实现恶意代码防护功能。51152备份与故障恢复按424中用户自我信息备份与恢复的要求,
