搜索结果: GB/T 21028-2007, GB/T21028-2007, GBT 21028-2007, GBT21028-2007
标准编号 | GB/T 21028-2007 (GB/T21028-2007) | 中文名称 | 信息安全技术 服务器安全技术要求 | 英文名称 | Information security technology. Security techniques requirement for server | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 33,324 | 发布日期 | 2007-06-29 | 实施日期 | 2007-12-01 | 起草单位 | 浪潮电子信息产业股份有限公司 | 归口单位 | 全国信息安全标准化技术委员会 | 标准依据 | 中国国家标准公告2007年第7号(总第107号)-国标委 | 提出机构 | National Safety Standardization Technical Committee | 发布机构 | Administration of Quality Supervision, Inspection and Quarantine of People's Republic of China; Standardization Administration of China | 范围 | 本标准依据GB 17859-1999的五个安全保护等级的划分, 规定了服务器所需要的安全技术要求, 以及每一个安全保护等级的不同安全技术要求。本标准适用于按GB 17859-1999的五个安全保护等级的要求所进行的等级化服务器的设计、实现、选购和使用.按GB 17859-1999的五个安全保护等级的要求对服务器安全进行的测试、管理可参照使用。 |
GB/T 21028-2007: 信息安全技术 服务器安全技术要求
GB/T 21028-2007 英文名称: Information security technology -- Security techniques requirement for server
中华人民共和国国家标准
GB/T 21028-2007
信息安全技术 服务器安全技术要求
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准依据GB 17859-1999的五个安全保护等级的划分,规定了服务器所需要的安全技术要求,
以及每一个安全保护等级的不同安全技术要求。
本标准适用于按GB 17859-1999的五个安全保护等级的要求所进行的等级化服务器的设计、实
现、选购和使用。按GB 17859-1999的五个安全保护等级的要求对服务器安全进行的测试、管理可参
照使用。
2 规范性引用文件
下列文件中的条款通过在本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所
有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研
究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20520-2006 信息安全技术 公钥基础设施 时间戳规范
3 术语、定义和缩略语
4 服务器安全功能要求
4.1 设备安全
4.1.1 设备标签
根据不同安全等级对服务器设备标签的不同要求,设备标签分为:
a) 设备标签:服务器设备应提供在显著位置设置标签(如编号、用途、负责人等)的功能,以方便查
找和明确责任;
b) 部件标签:服务器关键部件(包括硬盘、主板、内存、处理器、网卡等)应在其上设置标签,以防
止随意更换或取走。
4.1.2 设备可靠运行支持
根据不同安全等级对设备可靠运行支持的不同要求,可靠运行支持分为:
a) 基本运行支持:服务器硬件配置应满足软件系统基本运行的要求,关键部件应有数据校验
能力;
b) 安全可用支持:服务器硬件配置应满足安全可用的要求,关键部件均安全可用;
c) 不间断运行支持:为满足服务器不间断运行要求,关键部件应具有容错、冗余或热插拔等安全
功能,服务器应按照业务连续性要求提供双机互备的能力。
4.1.3 设备工作状态监控
构成服务器的关键部件,包括电源、风扇、机箱、磁盘控制等应具备可管理接口,通过该接口或其他
措施收集硬件的运行状态,如处理器工作温度、风扇转速、系统核心电压等,并对其进行实时监控,当所
监测数值超过预先设定的故障阈值时,提供报警、状态恢复等处理。
4.1.4 设备电磁防护
应根据电磁防护强度与服务器安全保护等级相匹配的原则,按国家有关部门的规定分等级实施。
4.2 运行安全
4.2.1 安全监控
4.2.1.1 主机安全监控
根据不同安全等级对服务器主机安全监控的不同要求,主机安全监控分为:
a) 提供服务器硬件、软件运行状态的远程监控功能;
b) 对命令执行、进程调用、文件使用等进行实时监控,在必要时应提供监控数据分析功能。
4.2.1.2 网络安全监控
服务器应在其网络接口部件处对进出的网络数据流进行实时监控。根据不同安全等级对网络安全
监控的不同要求,网络安全监控应:
a) 不依赖于服务器操作系统,且不因服务器出现非断电异常情况而不可用;
b) 对进出服务器的网络数据流,按既定的安全策略和规则进行检测;
c) 支持用户自定义网络安全监控的安全策略和规则;
d) 具有对网络应用行为分类监控的功能,并根据安全策略提供报警和阻断的能力;
e) 提供集中管理功能,以便接收网络安全监控集中管理平台下发的安全策略和规则,以及向网络
安全监控集中管理平台提供审计数据源。
4.2.2 安全审计
4.2.2.1 安全审计的响应
安全审计SSF应按以下要求响应审计事件:
a) 审计日志记录:当检测到有安全侵害事件时,将审计数据记入审计日志;
b) 实时报警生成:当检测到有安全侵害事件时,生成实时报警信息,并根据报警开关的设置有选
择地报警;
c) 违例进程终止:当检测到有安全侵害事件时,将违例进程终止;
d) 服务取消:当检测到有安全侵害事件时,取消当前的服务;
e) 用户账号断开与失效:当检测到有安全侵害事件时,将当前的用户账号断开,并使其失效。
4.2.2.2 安全审计数据产生
安全审计SSF应按以下要求产生审计数据:
a) 为下述可审计事件产生审计记录:
---审计功能的开启和关闭;
---使用身份鉴别机制;
---将客体引入用户地址空间(例如:打开文件、程序初始化);
---删除客体;
---系统管理员、系统安全员、审计员和一般操作员所实施的操作;
---其他与系统安全有关的事件或专门定义的可审计事件。
b) 对于每一个事件,其审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功,及
其他与审计相关的信息。
c) 对于身份鉴别事件,审计记录应包含请求的来源(例如:末端标识符)。
d) 对于客体被引入用户地址空间的事件及删除客体事件,审计记录应包含客体名及客体的安
全级。
4.2.2.3 安全审计分析
根据不同安全等级对安全审计分析的不同要求,安全审计分析分为:
a) 潜在侵害分析:用一系列规则监控审计事件,并根据这些规则指出对SSP的潜在侵害。这些
规则包括:
---由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合;
---任何其他的规则。
b) 基于异常检测的描述:维护用户所具有的质疑等级---历史使用情况,以表明该用户的现行
活动与已建立的使用模式的一致性程度。当用户的质疑等级超过阈值条件时,能指出将要发
生对安全性的威胁。
c) 简单攻击探测:能检测到对SSF的实施有重大威胁的签名事件的出现。为此,SSF应维护指
出对SSF侵害的签名事件的内部表示,并将检测到的系统行为记录与签名事件进行比较,当
发现两者匹配时,指出一个对SSF的攻击即将到来。
d) 复杂攻击探测:在上述简单攻击探测的基础上,能检测到多步入侵情况,并根据已知的事件序
列模拟出完整的入侵情况,指出发现对SSF的潜在侵害的签名事件或事件序列的时间。
4.2.2.4 安全审计查阅
根据不同安全等级对安全审计查阅的不同要求,安全审计查阅分为:
a) 基本审计查阅:提供从审计记录中读取信息的能力,即为授权用户提供获得和解释审计信息的
能力。当用户是人时,必须以人类可懂的方式表示信息;当用户是外部IT实体时,必须以电子
方式无歧义地表示审计信息。
b) 有限审计查阅:在基本审计查阅的基础上,应禁止具有读访问权限以外的用户读取审计信息。
c) 可选审计查阅:在有限审计查阅的基础上,应具有根据准则来选择要查阅的审计数据的功能,
并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。
4.2.2.5 安全审计事件选择
应根据以下属性选择可审计事件:
a) 客体身份、用户身份、主体身份、主机身份、事件类型;
b) 作为审计选择性依据的附加属性。
4.2.2.6 安全审计事件存储
根据不同安全等级对安全审计事件存储的不同要求,安全审计事件存储分为:
a) 受保护的审计踪迹存储:审计踪迹的存储受到应有的保护,能检测或防止对审计记录的修改;
b) 审计数据的可用性确保:在意外情况出现时,能检测或防止对审计记录的修改,以及在发生审
计存储已满、存储失败或存储受到攻击时,确保审计记录不被破坏;
c) 审计数据可能丢失情况下的措施:当审计跟踪超过预定的门限时,应采取相应的措施,进行审
计数据可能丢失情况的处理;
d) 防止审计数据丢失:在审计踪迹存储记满时,应采取相应的防止审计数据丢失的措施,可选择
“忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最
老的审计记录”和“一旦审计存储失败所采取的其他行动”等措施,防止审计数据丢失。
4.2.3 恶意代码防护
根据不同安全等级对恶意代码防护的不同要求,恶意代码防护分为:
a) 主机软件防护:应在服务器中设置防恶意代码软件,对所有进入服务器的恶意代码采取相应的
防范措施,防止恶意代码侵袭;
b) 整体防护:主机软件防护应与防恶意代码集中管理平台协调一致,及时发现和清除进入系统
内部的恶意代码。
4.2.4 备份与故障恢复
为了实现服务器安全运行,需要在正常运行时定期地或按某种条件进行适当备份,并在发生故障时
进行相应恢复的功能,根据不同安全等级对备份与故障恢复的不同要求,服务器的备份与恢复功能
分为:
a) 用户自我信息备份与恢复:应提供用户有选择地对操作系统、数据库系统和应用系统中重要信
息进行备份的功能;当由于某种原因引起系统故障时,应能提供用户按自我信息备份所保留的
备份信息进行恢复的功能;
b) 增量信息备份与恢复:提供定时对操作系统、数据库系统和应用系统中新增信息进行备份的
功能;当由于某种原因引起系统中的某些信息丢失或破坏时,提供用户按增量信息备份所保留
的信息进行信息恢复的功能;
c) 局部系统备份与恢复:应提供定期对操作系统、数据库系统和应用系统中的某些重要的局部系
统的运行状态进行备份的功能;当由于某种原因引起系统某一局部发生故障时,应提供用户按
局部系统备份所保留的运行状态进行局部系统恢复的功能;
d) 全系统备份与恢复:应提供对重要的服务器的全系统运行状态进行备份的功能;当由于某种
原因引起服务器全系统发生故障时,应对用户按全系统备份所保留的运行状态进行全系统恢
复提供支持;
e) 紧耦合集群结构:对关键服务器采用多服务器紧耦合集群结构,确保其中某一个服务器发生故
障中断运行时,业务应用系统能在其余的服务器上不间断运行;
f) 异地备份与恢复:对关键的服务器,应根据业务连续性的不同要求,设置异地备份与恢复功能,
确保服务器因灾难性故障中断运行时,业务应用系统能在要求的时间范围内恢复运行。
4.2.5 可信技术支持
通过在服务器上设置基于密码的可信技术支持模块,为在服务器上建立从系统引导、加载直到应用
服务的可信任链,确保各种运行程序的真实性,并对服务器用户的身份鉴别、连接设备的鉴别,以及运用
密码机制实现数据的保密性、完整性保护等安全功能提供支持。
4.2.6 可信时间戳
服务器应为其运行提供可靠的时钟和时钟同步系统,并按GB/T 20520-2006的要求提供可信时
间戳服务。
4.3 数据安全
4.3.1 身份鉴别
4.3.1.1 用户标识与鉴别
4.3.1.1.1 用户标识
根据不同安全等级对用户标识与鉴别的不同要求,用户标识分为:
a) 基本标识:应在SSF实施所要求的动作之前,先对提出该动作要求的用户进行标识;
b) 唯一性标识:应确保所标识用户在服务器生存周期内的唯一性,并将用户标识与安全审计相
关联;
c) 标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
4.3.1.1.2 用户鉴别
根据不同安全等级对用户标识与鉴别的不同要求,用户鉴别分为:
a) 基本鉴别:应在SSF实施所要求的动作之前,先对提出该动作要求的用户成功地进行鉴别;
b) 不可伪造鉴别:应检测并防止使用伪造或复制的鉴别信息;一方面,要求SSF应检测或防止由
任何别的用户伪造的鉴别数据,另一方面,要求SSF应检测或防止当前用户从任何其他用户
处复制的鉴别数据的使用;
c) 一次性使用鉴别:应提供一次性使用鉴别数据的鉴别机制,即SSF应防止与已标识过的鉴别
机制有关的鉴别数据的重用;
d) 多机制鉴别:应提供不同的鉴别机制,用于鉴别特定事件的用户身份,并根据不同安全等级所
描述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份;
e) 重新鉴别:应有能力规定需要重新鉴别用户的事件,即在需要重新鉴别的条件成立时,对用户
进行重新鉴别。例如,终端用户操作超时被断开后,重新连接时需要进行重鉴别;
f) 鉴别信息管理:应对用户鉴别信息进行管理、维护,确保其不被非授权地访问、修改或删除。
4.3.1.1.3 鉴别失败处理
SSF应为不成功的鉴别尝试(包括尝试次数和时间的阈值)定义一个值,并明确规定达到该值时所
应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的
情况,并进行预先定义的处理。
4.3.1.2 用户-主体绑定
在SSOS安全功能控制范围之内,对一个已标识和鉴别的用户,应通过用户-主体绑定将该用户与
为其服务的主体(如进程)相关联,从而将该用户......
|