| 标准编号 | GB/T 25063-2010 (GB/T25063-2010) | | 中文名称 | 信息安全技术 服务器安全测评要求 | | 英文名称 | Information security technology -- Testing and evaluation requirement for server security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.020 | | 字数估计 | 35,371 | | 发布日期 | 2010-09-02 | | 实施日期 | 2011-02-01 | | 引用标准 | GB/T 5271.8-2001; GB 17859-1999; GB/T 21028-2007 | | 标准依据 | 国家标准批准发布公告2010年第4号(总第159号) | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | 本标准规定了服务器安全的测评要求, 包括第一级、第二级、第三级和第四级服务器安全测评要求。本标准没有规定第五级服务器安全测评的具体内容要求。本标准适用于测评机构从信息安全等级保护的角度对服务器安全进行的测评工作。信息系统的主管部门及运营使用单位、服务器软硬生产厂商也可参考使用。 | GB/T 25063-2010
Information security technology.Testing and evaluation requirement for server security
ICS 35.020
L80
中华人民共和国国家标准
信息安全技术
服务器安全测评要求
2010-09-02发布
2011-02-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义、缩略语 1
3.1 术语和定义 1
3.2 缩略语 1
4 第一级安全测评 2
4.1 硬件系统 2
4.2 操作系统 2
4.3 数据库管理系统 3
4.4 应用系统 3
4.5 运行安全 4
4.6 SSOS自身安全保护 4
4.7 SSOS设计和实现 4
4.8 SSOS安全管理 5
5 第二级安全测评 5
5.1 硬件系统 5
5.2 操作系统 6
5.3 数据库管理系统 7
5.4 应用系统 8
5.5 运行安全 9
5.6 SSOS自身安全保护 10
5.7 SSOS设计和实现 10
5.8 SSOS安全管理 10
6 第三级安全测评 11
6.1 硬件系统 11
6.2 操作系统 11
6.3 数据库管理系统 13
6.4 应用系统 15
6.5 运行安全 18
6.6 SSOS自身安全保护 18
6.7 SSOS设计和实现 19
6.8 SSOS安全管理 19
7 第四级安全测评 19
7.1 硬件系统 19
7.2 操作系统 20
7.3 数据库管理系统 22
7.4 应用系统 25
7.5 运行安全 27
7.6 SSOS自身安全保护 28
7.7 SSOS设计和实现 29
7.8 SSOS安全管理 29
8 第五级安全测评 29
参考文献 30
前言
本标准由全国信息安全标准化技术委员会提出并归口。
本标准起草单位:浪潮集团有限公司、公安部计算机信息系统安全产品质量监督检验中心。
本标准主要起草人:黄涛、孙大军、刘刚、沈亮、李清玉、颜斌、顾建、顾伟。
引 言
本标准是与GB/T 21028-2007相配套的测评标准,用以指导测评人员从信息安全等级保护的角
度对服务器安全进行的测评。
本标准按照GB/T 21028-2007关于服务器5个安全保护等级划分的要求,分别从硬件系统、操作
系统、数据库管理系统、应用系统、运行安全、SSOS自身安全保护、SSOS设计和实现和SSOS安全管理
等8个方面规定了服务器不同安全等级的测评要求。
关于不同安全等级中逐步增强的服务器安全测评要求,在第4章至第7章的描述中,每一级的新增
部分用“黑体字”表示。
信息安全技术
服务器安全测评要求
1 范围
本标准规定了服务器安全的测评要求,包括第一级、第二级、第三级和第四级服务器安全测评要求。
本标准没有规定第五级服务器安全测评的具体内容要求。
本标准适用于测评机构从信息安全等级保护的角度对服务器安全进行的测评工作。信息系统的主
管部门及运营使用单位、服务器软硬生产厂商也可参考使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版都不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001 信息技术 词汇 第8部分:安全(ISO/IEC 2382-8:1998,IDT)
GB 17859-1999 计算机信息系统 安全保护等级划分准则
GB/T 21028-2007 信息安全技术 服务器安全技术要求
3 术语和定义、缩略语
3.1 术语和定义
GB/T 5271.8-2001、GB 17859-1999和GB/T 21028-2007确立的以及下列术语和定义适用于
本标准。
3.1.1
检查 examination
测评人员对测评对象采用观察、查验、分析等方法进行静态评估的活动。
3.1.2
测试 test......
|