1、喧嚣ICS 35.020 L 80 和国国家标准-=:u工/、中华人民GB/T 25063-2010 信息安全技术服务器安全测评要求Information security technology 一Testing and evaluation requirement for server security 2011-02-01实施2010-09-02发布发布中华人民共和国国家质量监督检验检菇总局中国国家标准化管理委员会执MdJ41 防旬,数 中华人民共和国国家标准信息安全技术服务器安全测评要求GB/T 25063 -2010 晤中国标准出版社出版发行北京复兴门外三里河北街16号邮政编码:100
2、045网址电话:6852394668517548 中国标准出版社秦皇岛印刷厂印刷各地新华书店经销 开本880X 1230 1/16 印张2.25字数65千字2010年11月第一版2010年11月第一次印刷晤书号:155066 1-40582 定价33.00元如有印装差错由本社发行中心调换版权专有侵权必究举报电话:(010)68533533G/T 25063-2010 目次前言.回引言.凹1 范围-2 规范性引用文件3 术语和定义、缩略语13. 1 术语和定义3.2 缩略语14 第一级安全测评24.1 硬件系统24.2 操作系统24.3 数据库管理系统.3 4.4 应用系统34. 5 运行安全4
3、4.6 SSOS自身安全保护 4 4.7 SSOS设计和实现44.8 SSOS安全管理5 第二级安全测评.5.1 硬件系统5.2 操作系统5. 3 数据库管理系统5.4 应用系统85. 5 运行安全-5.6 SSOS自身安全保护105.7 SSOS设计和实现105.8 SSOS安全管理106 第三级安全测评6. 1 硬件系统6.2 操作系统6. 3 数据库管理系统.13 6.4 应用系统.6. 5 运行安全186.6 SSOS自身安全保护186.7 SSOS设计和实现196.8 SSOS安全管理197 第四级安全测评四7. 1 硬件系统四7.2 操作系统207.3 数据库管理系统nG/T 25
4、063-2010 FDinxUQdQdn3nu q。,qh?9臼9qd护H保现全实理E安和管词身计全测统全自设安当系安SSS主用行000级先应运出佼佼五性第UU4Fbnb句,。04-111118参E GB/T 25063-2010 目。自本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:浪潮集团有限公司、公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:黄涛、孙大军、刘刚、沈亮、李清玉、颜斌、顾建、顾伟。皿G/T 25063-2010 引本标准是与GB/T21028-2007相配套的测评标准,用以指导测评人员从信息安全等级保护的角度对服务器安全进行的测评。本标准按照
5、GB/T21028-2007关于服务器5个安全保护等级划分的要求,分别从硬件系统、操作系统、数据库管理系统、应用系统、运行安全、ssos自身安全保护、ssos设计和实现和ssos安全管理等8个方面规定了服务器不同安全等级的测评要求。关于不同安全等级中逐步增强的服务器安全测评要求,在第4章至第7章的描述中,每一级的新增部分用黑体字表示。N GB/T 25063-2010 信息安全技术服务器安全测评要求1 范围本标准规定了服务器安全的测评要求,包括第一级、第二级、第三级和第四级服务器安全测评要求。本标准没有规定第五级服务器安全测评的具体内容要求。本标准适用于测评机构从信息安全等级保护的角度对服务器
6、安全进行的测评工作。信息系统的主管部门及运营使用单位、服务器软硬生产厂商也可参考使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版都不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡不注日期的引用文件,其最新版本适用于本标准。GB/T 5271. 8-2001信息技术词汇第8部分:安全CISO/IEC2382-8:1998 ,IDT) GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 21028-2007 信息安全技术服务器安全技术要求3 术语
7、和定义、缩略语3. 1 术语和定义GB/T 5271. 8-2001、GB17859-1999和GB/T21028-2007确立的以及下列术语和定义适用于本标准。3. 1. 1 检查examination 测评人员对测评对象采用观察、查验、分析等方法进行静态评估的活动。3. 1. 2 测试testing 测评人员遵循相关的流程,对测评对象采用预定的方法/工具使其产生特定行为的活动。3. 1. 3 评价evaluation 测评人员依据检查和测试获取的信息,对测评对象进行综合分析,确定与技术要求是否一致的活动。3.2 缩略语SSOS 服务器安全子系统security subsystem of s
8、erver SSF SSOS安全功能SSOS security function SFP 安全功能策略security function policy SSC SSF控制范围SSF scope of control SSP SSOS安全策略SSOS security policy 1 G/T 25063-2010 4 第一级安全测评4. 1 硬件系统4. 1. 1 设备标签对第一级设备标签的测评要求包括:a) 测评者应检查服务器机箱,查看其是否可在显著位置设置标签;b) 测评者应检查服务器是否设置了设备标签,以及该标签包含的信息;c) 侬据以上检查所获取的信息给出评价意见,确定是否符合G/T2
9、1028-2007中5.1. 1. 1. 1规定的要求。4. 1. 2 设备可靠运行支持对第一级设备可靠运行支持的测评要求包括:a) 测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;b) 测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致;c) 测评者应对安装于服务器中的至少一款应用软件进行操作,测试其晌应情况;d) 侬据以上检查和测试所获取的信息给出评价意见,确定是否符合G/T21028-2007中5. 1. 1. 1.2规定的要求。4.2 操作系统4.2. 1 身份鉴别对第一级服务器中操作系统的身份鉴别功能的测评要求包括
10、:a) 测评者应检查操作系统是否提供了远程管理功能,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施;b) 测评者应检查操作系统是否提供了身份鉴别措施(如用户名和口令等); c) 侬据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 1. 2a)规定的要求。4.2.2 自主访问控制对第一级服务器中操作系统的自主访问控制功能的测评要求包括:a) 测评者应检查操作系统的自主访问控制功能,查看其是否能对重要文件的访问权眼进行限制,对系统不需要的服务、共享路径等可能被非授权访问的客体进行限制;b) 测评者应检查操作系统中匿名/默认用户的访问权限是否能被禁用或者
11、限制(如限定在有限的范围内kc) 依据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 1. 2b)规定的要求。4.2.3 数据完整性2 对第一级服务器中操作系统的数据完整性保护功能的测评要求包括:a) 测评者应检查操作系统内部在传输用户数据时实现数据完整性保护功能的情况zb) 测评者应模拟进行大数据量的数据传输或保存时出现异常中断情况,测试操作系统在异常情况下的回退功能以及保护数据完整性的情况;c) 侬据以上检查和测试所获取的信息给出评价意见,确定是否符合G/T21028-2007中5. 1. 1.2c)规定的要求。G/T 25063-2010 4.3 数据
12、库管理系统4.3. 1 身份鉴别对第一级服务器中数据库管理系统的身份鉴别功能的测评要求包括:a) 测评者应检查数据库管理系统是否提供了远程管理,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施;b) 测评者应检查数据库管理系统是否提供了身份鉴别措施(如用户名或口令等); c) 侬据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 1. 3a)规定的要求。4.3.2 自主访问控制对第一级服务器中数据库管理系统的自主访问控制功能的测评要求包括:a) 测评者应检查数据库管理系统的自主访问控制,查看其是否能明确主体对客体的访问权限(如目录表访问控制/存取控制表
13、访问控制等); b) 测评者应检查数据库管理系统中医名/默认用户的访问权限是否能被禁用或者眼制(如眼定在有眼的范围内); c) 依据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 1. 3b)规定的要求。4.3.3 数据完整性对第一级服务器中数据库管理系统的数据完整性保护功能的测评要求包括:a) 测评者应检查数据库管理系统内部在传输用户数据时实现数据完整性保护功能的情况;b) 测评者应模拟数据库管理系统操作时出现递交失败等异常中断情况,测试数据库管理系统在异常情况下的回退功能以及保护数据完整性的情况;c) 依据以上检查和测试所获取的信息给出评价意见,确定是否
14、符合G/T21028-2007中5.1. 1. 3c)规定的要求。4.4 应用系统4.4. 1 身份鉴别对第一级服务器中应用系统的身份鉴别功能的测评要求包括:a) 扭,g评者应检查应用系统是否提供专用的登录控制模块对登录用户进行身份标识和鉴别,具体采取什么鉴别控制措施;b) 测评者应检查应用系统是否具有身份标识(如建立账号)和鉴别(如口令等)功能;c) 测评者应检查应用是否提供了登录失败处理功能(如眼制非法登录次数,登录失败次数超过设定值则结束会话等); d) 测评者应检查关键应用系统,查看其是否采取措施防止鉴别信息传输过程中被窃昕;e) 侬据以上检查所获取的信息给出评价意见,确定是否符合G/
15、T21028-2007中5.1. 1. 4. 1规定的要求。4.4.2 自主访问控制对第一级服务器中应用系统的自主访问控制功能的测评要求包括:a) 测评者应检查应用系统提供的访问控制措施,包括具体措施、访问控制策略等;b) 测评者应测试系统是否提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;c) 测评者应检查系统是否有由授权主体设置用户对系统功能操作和对数据访问的权限的功能,是否限制默认用户访问权限;d) 测评者应通过不同权限的用户登录系统并进行一些操作,检查其权限是否与设定的权限一致;的依据以上检查和测试所获取的信息给出评价意见,确定是否符合G/T21028-2007中5. 1.
16、 1. 4. 2规定的要求。3 G/T 25063-2010 4.4.3 数据完整性对第一级服务器中应用系统的数据完整性保护功能的测评要求包括:a) 测评者应检查服务器应用系统用户数据在传输过程中是否具有完整性保证措施;b) 测评者应检查应用系统设计/验收支挡,查看其是否有关于用户数据在传输过程中采用的完整性保证措施的描述;c) 测评者应检查应用系统是否配备检测/验证重要用户数据在传输过程中完整性受到破坏的功能;d) 侬据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 1. 4. 3 规定的要求。4.5 运行安全4.5.1 恶意代码防护对第一级服务器中恶意代
17、码防护功能的测评要求包括:a) 测评者应检查关键服务器,查看是否安装了相应的恶意代码防护软件;b) 测评者应检查恶意代码软件防护软件的厂家、名称和恶意代码库版本号;c) 测评者应检查服务器在启动时恶意代码防护软件的运行情况;d) 侬据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 1. 5. 1 规定的要求。4.5.2 备份与故障恢复对第一级服务器中备份与故障恢复功能的测评要求包括:a) 测评者应检查服务器中的软硬件系统是否具有对重要信息和部件进行备份的功能以及对重要信息和部件进行恢复的功能;b) 测评者应检查服务器中软硬系统备份和恢复功能的配置是否正确;c
18、) 依据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 1. 5. 2规定的要求。4.6 SSOS自身安全保护对第一级服务器中SSOS自身安全保护的测评要求包括:a) 测评者应检查说明文挡,查看SSF防物理篡政的描述;b) 测评者应检查设计文挡,查看SSOS内SSF的安全结构定义形式;c) 测评者应检查设计文挡,查看SSOS内SSF数据传输时的保护机制的描述;d) 测评者应检查设计文档,查看在SSF发生确定故障的情况下系统采取保护措施的描述;的测评者应检查设计文挡,查看会话建立管理机制的描述;f) 测评者应检查SSOS自身安全保护功能的配置是否符合用户操作指
19、南的要求;g) 侬据以上检查所获取的信息给出评价意见,确定是否符合G/T21028-2007中5.1. 2. 1规定的要求。4.7 SSOS设计和实现4 对第一级服务器中SSOS设计和实现的测评要求包括:a) 测评者应检查版本号与SSOS样本的一致性情况;b) 测评者应检查分发文档,查看是否包含了SSOS的安装、生成和启动过程;c) 测评者应检查同产品一起交付的操作文档,查看是否包含了维护SSOS安全所必须的所有过程pd) 测评者应检查设计文挡,查看SSF的设计方法,以及接口、子系统的非形式化描述:GB/T 25063-2010 e) 测评者应检查指导性文档是否包括安全管理员指南和用户指南,以
20、及指南内容的完整性情况;f) 测评者应检查生存周期支持文挡,查看开发、操作和维护ssos的描述,以及用于描述产晶生存周期进行管理的活动记录;g) 测评者应检查自测文档的有效性和内容的完整性;h) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.1.2.2规定的要求。4.8 SSOS安全管理对第一级服务器中SSOS安全管理的测评要求包括:a) 测评者应检查开发人员的安全规章制度、开发人员的安全教育培训制度和记录;b) 测评者应检查开发场所的出入口控制制度和记录,开发环境的防火防盗措施和国家有关部门的许可文件;c) 测评者应检查开发主机使用管理和记录,设备的购置
21、、修理、处置的制度和记录,上同管理,计算机病毒管理和记录等;d) 测评者应检查产品代码、文档、样机进行受控管理的制度和记录;e) 侬据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.1. 2. 3规定的要求。5 第二级安全测评5. 1 硬件系统5. 1. 1 设备标签对第二级设备标签的测评要求包括:a) 测评者应检查服务器机箱,查看其是否可在显著位置设置标签;b) 测评者应检查服务器是否设置了设备标签,以及该标签包含的信息;c) 测评者应检查服务器关键部件(包括硬盘、主板、内存、处理器、网卡等组件、附件)是否设置了析、签zd) 测评者应检查服务器设备标签是否采取
22、有效的保护措施;e) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1.1.1规定的要求。5. 1. 2 设备可靠运行支持对第二级设备可靠运行支持的测评要求包括:a) 测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;b) 测评者应检查关键部件(包括硬盘、主板、内存、处理器、网卡等)与其标签配合的情况,以及机箱面板的保护措施;c) 测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致zd) 测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况;e) 依据以上检查和测试所获取
23、的信息给出评价意见,确定是否符合GB/T21028-2007中5. 2. 1. 1. 2规定的要求。5. 1.3 设备电磁防护对第二级设备电磁防护的测评要求包括:a) 测评者应检查服务器设备电磁防护指标是否符合国家规定的要求;b) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2. 1. 1. 3 规定的要求。5 GB/T 25063-2010 5.2 操作系统5.2. 1 身份鉴别对第二级服务器中操作系统的身份鉴别功能的测评要求包括:a) 测评者应检查操作系统是否提供了远程管理功能,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施;b) 测评者应
24、检查操作系统账户列表,查看管理员用户名分配是否能保持唯一性;c) 测评者应检查操作系统是否提供了身份鉴别措施(如用户名和强化管理的口令等); d) 测评者应检查操作系统是否提供鉴别失败处理功能,并能配置非法登录次数的限制值;e) 测评者应通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效;f) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2. 1. 2 a)规定的要求。5.2.2 自主访问控制对第二级服务器中操作系统的自主访问控制功能的测评要求包括:a) 测评者应检查操作系统的自主访问控制功能,查看其是否能对重要文件的访问权限进行限制
25、,对系统不需要的服务、共享路径等可能被非授权访问的客体进行限制;b) 测评者应检查操作系统中匿名/默认用户的访问权限是否能被禁用或者限制(如限定在有限的范围内hc) 测评者应栓查操作系统的访问控制列表,查看是否能通过访问控制到表获取到用户和权限的对应关系zd) 测评者应通过审计日志记录,检查日志记录与自主访问控制中的主体相关联的情况;的测评者应依据系统访问控制的安全策略,试图以未授权用户身份/角色访问客体,验证是否不能进行访问。f) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1.2b)规定的要求。5.2.3 安全审计对第二级服务器中操作系统的
26、安全审计功能的测评要求包括:a) 测评者应撞查安全审计功能的策略,以及审计日志的处理方式;b) 测评者应通过审计策略和记录,检查审计范围是否能够覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、重要用户行为、系统资源的异常使用、重要系统命令的使用(如删除害体)等;c) 测评者应检查审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件申请求的来源(如末端标识符)、事件的结果等内容;d) 测评者应检查审计跟踪设置是否提供定义审计跟踪极眼的闰值的功能,当存储空间被耗尽时,能否采取必要的保护措施;e) 侬据以上检查所获取的信息给出评价意见,确定是否
27、符合GB/T21028-2007中5.2.1. 2c)规定的要求。5.2.4 数据完整性6 对第二级服务器中操作系统的数据完整性保护功能的测评要求包括:a) 测评者应检查操作系统内部在传输鉴别信息和用户数据时实现数据完整性保护功能的情况;b) 测评者应检查操作系统在存储鉴别信息和重要用户数据时的完整性保护功能;c) 测评者应模拟进行大数据量的数据传输或保存时出现异常中断情况,测试操作系统在异常情况下的回退功能以及保护数据完整性的情况;d) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中GB/T 25063-2010 5.2. 1. 2d)规定的要求。5.
28、2.5 数据保密性对第二级服务器中操作系统的数据保密性功能的测评要求包括:a) 测评者应检查鉴别信息和敏感的用户数据是否采用加密或其他有效措施实现存储保密性;b) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1.2的规定的要求。5.3 数据库管理系统5.3.1 身份鉴别对第二级服务器中数据库管理系统的身份鉴别功能的测评要求包括:a) 测评者应检查数据库管理系统是否提供了远程管理,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施;b) 测评者应检查数据库管理系统账户列表,查看管理员用户名分配是否能保持唯一性zc) 测评者应检查数据库管理系统是否
29、提供了身份鉴别措施(如用户名或口令等); d) 测评者应检查数据库管理系统是否提供鉴别失败处理功能,并能配置非法登录次数的限制值;e) 测评者应通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效;f) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1.3a)规定的要求。5.3.2 自主访问控制对第二级服务器中数据库管理系统的自主访问控制功能的测评要求包括:a) 测评者应检查数据库管理系统的自主访问控制,查看其是否能明确主体对客体的访问权限(如目录表访问控制/存取控制表访问控制等); b) 测评者应检查数据库管理系统中匿名/默认用户的
30、访问权限是否能被禁用或者限制(如限定在有限的范围内hc) 测评者应检查数据库管理系统的访问控制列表,查看是否能通过访问控制列表获取到用户和权限的对应关系;d) 测评者应通过审计日志记录,检查其与自主访问控制中的主体相关联的情况;e) 测评者应侬据系统访问控制的安全策略,试图以未授权用户身份/角色访问客体,验证是否不能进行访问;f) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2. 1. 3 b)规定的要求。5.3.3 安全审计对第二级服务器中数据库管理系统的安全审计功能的测评要求包括:a) 测评者应检查安全审计功能的策略,以及审计日志的处理方式;b
31、) 测评者应通过审计策略和记录,检查审计范围是否能够覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、重要用户行为、系统资源的异常使用、重要系统命令的使用(如删除害体)等;c) 测评者应检查审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源(如末端标识符)、事件的结果等内容;d) 测评者应检查审计跟踪设置是否提供定义审计跟踪极限的闻值的功能,当存储空间被耗尽时,能否采取必要的保护措施;e) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1. 3c)规定的要求。7 GB/T 25063-
32、2010 5.3.4 数据完整性对第二级服务器中数据库管理系统的数据完整性保护功能的测评要求包括:a) 测评者应检查数据库管理系统内部在传输鉴别信息和用户数据时实现数据完整性保护功能的情况;b) 测评者应检查数据库管理系统在存储鉴别信息和重要用户数据时的完整性保护功能;c) 测评者应模拟数据库管理系统操作时出现递交失败等异常中断情况,测试数据库管理系统在异常情况下的回退功能以及保护数据完整性的情况;d) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2. 1. 3d)规定的要求。5.3.5 数据保密性对第二级服务器中数据库管理系统的数据保密性功能的测
33、评要求包括za) 测评者应检查鉴别信息和敏感的用户数据是否采用加密或其他有效措施实现存储保密性;b) 侬据以上检查所获取的信息给出评价意见,确定是否符合GB/T21 0282007中5.2.1. 3e)规定的要求。5.4 应用系统5.4.1 身份鉴别对第二级服务器中应用系统的身份鉴别功能的测评要求包括:a) 测评者应检查应用系统是否提供专用的登录控制模块对登录用户进行身份标识和鉴别,具体采取什么鉴别控制措施;b) 测评者应检查应用系统是否能保证用户标识的唯一性如UID、用户名或其他信息在系统中是唯一的,用该标识能唯一识别该用户); c) 测评者应检查应用系统是否具有身份标识(如建立账号)和鉴别
34、(如口令等)功能;d) 测评者应检查应用是否提供了登录失败处理功能如限制非法登录次数,登录失败次数超过设定值则结束会话等); e) 测评者应检查关键应用系统,查看其是否采取措施防止鉴别信息传输过程中被窃听;f) 测评者应通过己注册用户身份登录系统,查看登录是否成功,验证其身份标识和鉴别功能是否有效;g) 测评者应通过错误的用户名和口令试图登录系统,验证鉴别失败处理功能是否有效;h) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5. 2. 1. 4. 1规定的要求。5.4.2 自主访问控制8 对第二级服务器中应用系统的自主访问控制功能的测评要求包括:a)
35、 测评者应检查应用系统提供的访问控制措施,包括具体措施、访问控制策略等;b) 测评者应检查系统是否提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;c) 测评者应检查系统是否有由授权主体设置用户对系统功能操作和对数据访问的权限的功能,是否限制默认用户访问权限;d) 测评者应通过不同权限的用户登录系统并进行一些操作,检查其权限是否与设定的权限一致;e) 测评者应检查应用系统的访问控制到表,查看是否能通过访问控制列表获取到用户和权限的对应关系;f) 测评者应通过审计日志记录,检查日志记录与自主访问控制中的主体相关联的情况;g) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T2
36、1028-2007中5.2.1.4.2 规定的要求。GB/T 25063-2010 5.4.3 安全审计对第二级服务器中应用系统的安全审计功能的测评要求包括:a) 测评者应检查安全审计功能的策略,以及审计日志的处理方式;b) 测评者应通过审计策略和记录,检查审计范围是否能够覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、重要用户行为、系统资源的异常使用、重要系统命令的使用(如删除客体)等;c) 测评者应检查审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件申请求的来源(如末端标识符)、事件的结果等内容;d) 测评者应检查审计跟踪设置是否
37、提供定义审计跟踪极限的闰值的功能,当存储空间被耗尽时,能否采取必要的保护措施;e) 测评者应以某个用户试图产生一些重要的安全相关事件(如鉴别失败等),测试安全审计的覆盖情况和记录情况与要求是否一致;f) 测评者应以某个系统用户试图删除、修改或覆盖审计记录,测试安全审计的保护情况与要求是否一致;g) 侬据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2. 1. 4. 3规定的要求。5.4.4 数据完整性对第二级服务器中应用系统的数据完整性保护功能的测评要求包括:a) 测评者应检查服务器应用系统用户数据在传输过程中是否具有完整性保证措施;b) 测评者应检查应
38、用系统设计/验收文档,查看其是否有关于用户数据在传输过程中采用的完整性保证措施的描述;c) 测评者应检查应用系统是否配备检测/验证重要用户数据在传输过程中完整性受到破坏的功能;d) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1. 4. 4 规定的要求。5.4.5 数据保密性对第二级服务器中应用系统的数据保密性功能的测评要求包括:a) 测评者应检查鉴别信息和敏感的用户数据是否采用加密或其他有效措施实现存储保密性;b) 测评者应检查应用系统设计/验收支挡,查看其是否有关于其鉴别信息、敏感的用户数据采用加密或其他有效措施实现存储保密性的描述;c) 依据以
39、上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1. 4. 5规定的要求。5.5 运行安全5.5. 1 恶意代码防护对第二级服务器中恶意代码防护功能的测评要求包括:a) 测评者应检查关键服务器,查看是否安装了相应的恶意代码防护软件;b) 测评者应检查恶意代码软件防护软件的厂家、名称和恶意代码库版本号;c) 测评者应检查服务器在启动时恶意代码防护软件的运行情况;d) 测评者应检查恶意代码防护软件的事件日志,查看安全策略执行的有效性;e) 测评者应检查恶意代码防护软件是否由统一的管理平台进行集中管理;f) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T
40、21028-2007中5.2. 1. 5. 1规定的要求。9 GB/T 25063-2010 5.5.2 备份与故障恢复对第二级服务器中备份与故障恢复功能的测评要求包括:a) 测评者应检查服务器中的软硬件系统是否具有对重要信息和部件进行备份的功能以及对重要信息和部件进行恢复的功能;b) 测评者应检查服务器中软硬系统备份和恢复功能的配置是否正确;c) 测评者应检查服务器中关键部件是否采取了冗余措施;d) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.1.5.2 规定的要求。5.6 SSOS自身安全保护对第二级服务器中SSOS自身安全保护的测评要求包括:a
41、) 测评者应检查说明文档,查看SSF防物理篡改的描述;b) 测评者应检查设计文挡,查看SSOS内SSF的安全结构定义形式;c) 测评者应检查设计文档,查看SSOS内SSF数据传输时的保护机制和数据恢复的描述;d) 测评者应检查设计文档,查看在SSF发生确定故障的情况下系统采取保护措施的描述;e) 测评者应检查设计文档,查看会话建立管理机制的描述和审计记录;f) 测评者应检查SSOS自身安全保护功能的配置是否符合用户操作指南的要求;g) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.2.2.1规定的要求。5.7 SSOS设计和实现对第二级服务器中SSOS设计
42、和实现的测评要求包括:a) 测评者应桂查版本号与SSOS样本的一致性情况,以及在产品开发、测试和维护期间的日志记录;b) 测评者应检查分发文档,查看是否包含了SSOS的安装、生成和启动过程;c) 测评者应检查同产品一起交付的操作文档,查看是否包含了维护SSOS安全所必须的所有过程;d) 测评者应检查设计文档,查看SSF的设计方法,以及接口、子系统的非形式化描述;e) 测评者应检查指导性文档是否包括安全管理员指南和用户指南,以及指南内容的完整性情况;f) 测评者应检查生存周期支持文档,查看开发、操作和维护SSOS的描述,以及用于描述产品生存周期进行管理的活动记录:g) 测评者应检查自测文挡的有效
43、性和内容的完整性;h) 依据以上检查所获取的信息给出评价意见,确定是否符合GB)T21028-2007中5.2.2.2规定的要求。5.8 SSOS安全管理10 对第二级服务器中SSOS安全管理的测评要求包括:a) 测评者应检查开发人员的安全规章制度、开发人员的安全教育培训制度和记录;b) 测评者应检查开发场所的出人口控制制度和记录,开发环境的防火防盗措施和国家有关部门的许可文件;c) 测评者应检查开发主机使用管理和记录,设备的购置、修理、处置的制度和记录,上网管理,计算机病毒管理和记录等;d) 测评者应检查产品代码、文档、样机进行受控管理的制度和记录;e) 依据以上检查所获取的信息给出评价意见
44、,确定是否符合GB/T21028-2007中5.2.2.3规定的要求。GB/T 25063-2010 6 第三级安全测评6. 1 硬件系统6. 1. 1 设备标签对第三级设备标签的测评要求包括:a) 测评者应检查服务器机箱,查看其是否可在显著位置设置标签;b) 测评者应检查服务器是否设置了设备标签,以及该标签包含的信息;c) 测评者应检查服务器关键部件(包括硬盘、主板、内存、处理器、网卡等组件、附件)是否设置了标签zd) 测评者应检查服务器设备标签是否采取有效的保护措施;e) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.3. 1. 1. 1 规定的要求。
45、6. 1.2 设备可靠运行支持对第三级设备可靠运行支持的测评要求包括:a) 测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;b) 测评者应检查关键部件(包括硬盘、主板、内存、处理器、网卡等)与其标签配合的情况,以及机箱面板的保护措施zc) 测评者应检查硬盘、风扇和电源的热插拔功能,内存的窑错功能,以及电源、硬盘的冗余措施;d) 测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致;e) 测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况;f) 依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21
46、028-2007中5.3. 1. 1. 2规定的要求。6. 1.3 设备工作状态监控对第三级设备工作状态监控的测评要求包括:a) 测评者应检查服务器中电源、风扇、机箱、磁盘控制等关键部件是否具备可管理接口;b) 测评者应检查是否通过可管理接口实现了对关键部件的监控功能,并对其进行操作,验证其功能的有效性Fc) 测评者应模拟上述部件发生故障,测试其报警功能;d) 侬据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.3. 1. 1. 3规定的要求。6. 1. 4 设备电磁防护对第三级设备电磁防护的测评要求包括:a) 测评者应检查服务器设备电磁防护指标是否符合国家规定的要求;b) 依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028-2007中5.3. 1. 1. 4 规定的要求。6.2 操作系统6.2. 1 身份鉴别对第三级服务器中操作
