中华人民共和国国家标准信息安全技术服务器安全技术要求信息安全技术服务器安全技术要求征求意见稿发布实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布目次前言引言范围规范性引用文件术语定义和缩略语术语和定义缩略语服务器安全功能要求设备安全设备标签设备可靠运行支持设备工作状态监控设备电磁防护运行安全安全监控安全审计恶意代码防护备份与故障恢复可信技术支持可信时间戳数据安全身份鉴别自主访问控制标记强制访问控制数据完整性数据保密性数据流控制可信路径服务器安全分等级要求第一级用户自主保护级安全功能要求安全保证要求第二级系统审计保护级安全功能要求安全保证要求第三级安全标记保护级安全功能要求安全保证要求第四级结构化保护级安全功能要求安全保证要求第五级访问验证保护级安全功能要求安全保证要求附录资料性附录有关概念说明组成与相互关系服务器安全的特殊要求关于主体客体的进一步说明关于及其相互关系关于密码技术的说明关于电磁防护的说明参考文献前言略引言本标准为设计生产制造选配和使用所需要的安全等级的服务器提出了通用的安全技术要求主要从服务器安全保护等级划分的角度来说明其技术要求即为实现的要求对服务器通用安全技术进行了规范服务器是信息系统的主要组成部分是由硬件系统和软件系统两大部分组成的为网络环境中的客户端计算机提供特定的应用服务的计算机系统服务器安全就是要对在服务器中存储传输处理和发布的数据信息进行安全保护使其免遭由于人为的和自然的原因所带来的泄露破坏和不可用的情况服务器是以硬件系统和操作系统为基础分别由数据库管理系统提供数据存储功能以及由应用系统提供应用服务接口功能因此硬件系统和操作系统的安全便构成了服务器安全的基础服务器安全从服务器组成的角度来看硬件系统操作系统数据库管理系统应用系统的安全保护构成了服务器安全服务器的安全既要考虑服务器的安全运行保护也要考虑对服务器中所存储传输处理和发布的数据信息的保护由于攻击和威胁既可能是针对服务器运行的也可能是针对服务器中所存储传输处理和发布的数据信息的保密性完整性和可用性的所以对服务器的安全保护的功能要求需要从系统安全运行和信息安全保护两方面综合进行考虑本标准依据关于信息系统安全保证要素的要求从服务器的自身安全保护的设计和实现以及的安全管理等方面对服务器的安全保证要求进行更加具体的描述本标准按照分五个等级对服务器的安全功能和安全保证提出详细技术要求其中第四章对服务器安全功能基本要求进行简要说明第五章从安全功能要求和安全保证要求两个方面按硬件系统操作系统数据库管理系统应用系统和运行安全五个层次对服务器安全功能的分等级要求进行了详细说明在此基础上本标准的第五章对服务器安全功能分等级要求分别从安全功能要求和安全保证要求两方面进行了详细说明在第五章的描述中除了引用以前各章的内容外还引用了中关于安全保证技术要求的内容为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强在第章的描述中每一级新增部分用宋体加粗表示信息安全技术服务器安全技术要求范围本标准依据的五个安全保护等级的划分规定了服务器所需要的安全技术要求以及每一个安全保护等级的不同安全技术要求本标准适用于按的五个安全保护等级的要求所进行的等级化服务器的设计实现选购和使用按的五个安全保护等级的要求对服务器安全进行的测试管理可参照使用规范性引用文件下列文件中的有关条款通过在本标准的引用而成为本标准的条款凡是注日期的引用文件其后所有的修改单不包括勘误的内容或修订版均不适用于本标准然而鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件其最新版本适用于本标准计算机信息系统安全保护等级划分准则信息安全技术信息系统通用安全技术要求信息安全技术操作系统安全技术要求信息安全技术数据库管理系统安全技术要求信息安全技术公钥基础设施时间戳规范术语定义和缩略语术语和定义和确立的以及下列术语和定义适用于本标准服务器服务器是信息系统的主要组成部分是信息系统中为客户端计算机提供特定应用服务的计算机系统由硬件系统如处理器存储设备网络连接设备等和软件系统如操作系统数据库管理系统应用系统等组成服务器安全性服务器所存储传输处理的信息的保密性完整性和可用性的表征服务器安全子系统服务器中安全保护装置的总称包括硬件固件软件和负责执行安全策略的组合体它建立了一个基本的服务器安全保护环境并提供服务器安全要求的附加用户服务安全要素本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份安全功能策略为实现安全要素要求的功能所采用的安全策略安全功能为实现安全要素的内容正确实施相应安全功能策略所提供的功能安全策略对中的资源进行管理保护和分配的一组规则一个中可以有一个或多个安全策略安全功能正确实施安全策略的全部硬件固件软件所提供的功能每一个安全策略的实现组成一个安全功能模块一个的所有安全功能模块共同组成该的安全功能控制范围的操作所涉及的主体和客体的范围网络接口部件是服务器的重要组成部分是服务器对网络提供支持的接口缩略语服务器安全子系统安全功能安全功能策略控制范围安全策略服务器安全功能要求设备安全设备标签根据不同安全等级对服务器设备标签的不同要求设备标签分为设备标记服务器设备应提供在显著位置设置标签如编号用途负责人等的功能以方便查找和明确责任部件标记服务器关键部件包括硬盘主板内存处理器网卡等应在其上设置标签以防止随意更换或取走设备可靠运行支持根据不同安全等级对设备可靠运行支持的不同要求可靠运行支持分为基本运行支持服务器硬件配置应满足软件系统基本运行的要求关键部件应有数据校验能力安全可用支持服务器硬件配置应满足安全可用的要求关键部件均安全可用不间断运行支持为满足服务器不间断运行要求关键部件应具有容错冗余或热插拔等安全功能服务器应按照业务连续性要求提供双机互备的能力设备工作状态监控构成服务器的关键部件包括电源风扇机箱磁盘控制等应具备可管理接口通过该接口或其它措施收集硬件的运行状态如处理器工作温度风扇转速系统核心电压等并对其进行实时监控当所监测数值超过预先设定的故障阈值时提供报警状态恢复等处理设备电磁防护应根据电磁防护强度与服务器安全保护等级相匹配的原则按国家有关部门的规定分等级实施运行安全安全监控主机安全监控根据不同安全等级对服务器主机安全监控的不同要求主机安全监控分为提供服务器硬件软件运行状态的远程监控功能对命令执行进程调用文件使用等进行实时监控在必要时应提供监控数据分析功能网络安全监控服务器应在其网络接口部件处对进出的网络数据流进行实时监控根据不同安全等级对网络安全监控的不同要求网络安全监控应不依赖于服务器操作系统且不因服务器出现非断电异常情况而不可用对进出服务器的网络数据流按既定的安全策略和规则进行检测支持用户自定义网络安全监控的安全策略和规则具有对网络应用行为分类监控的功能并根据安全策略提供报警和阻断的能力提供集中管理功能以便接收网络安全监控集中管理平台下发的安全策略和规则以及向网络安全监控集中管理平台提供审计数据源安全审计安全审计的响应安全审计应按以下要求响应审计事件审计日志记录当检测到有安全侵害事件时将审计数据记入审计日志实时报警生成当检测到有安全侵害事件时生成实时报警信息并根据报警开关的设置有选择地报警违例进程终止当检测到有安全侵害事件时将违例进程终止服务取消当检测到有安全侵害事件时取消当前的服务用户账号断开与失效当检测到有安全侵害事件时将当前的用户账号断开并使其失效安全审计数据产生安全审计应按以下要求产生审计数据为下述可审计事件产生审计记录审计功能的开启和关闭使用身份鉴别机制将客体引入用户地址空间例如打开文件程序初始化删除客体系统管理员系统安全员审计员和一般操作员所实施的操作其他与系统安全有关的事件或专门定义的可审计事件对于每一个事件其审计记录应包括事件的日期和时间用户事件类型事件是否成功及其他与审计相关的信息对于身份鉴别事件审计记录应包含请求的来源例如末端标识符对于客体被引入用户地址空间的事件及删除客体事件审计记录应包含客体名及客体的安全级安全审计分析根据不同安全等级对安全审计分析的不同要求安全审计分析分为潜在侵害分析用一系列规则监控审计事件并根据这些规则指出对的潜在侵害这些规则包括由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合任何其它的规则基于异常检测的描述维护用户所具有的质疑等级历史使用情况以表明该用户的现行活动与已建立的使用模式的一致性程度当用户的质疑等级超过阈值条件时能指出将要发生对安全性的威胁简单攻击探测能检测到对的实施有重大威胁的签名事件的出现为此应维护指出对侵害的签名事件的内部表示并将检测到的系统行为记录与签名事件进行比较当发现两者匹配时指出一个对的攻击即将到来复杂攻击探测在上述简单攻击探测的基础上能检测到多步入侵情况并根据已知的事件序列模拟出完整的入侵情况指出发现对的潜在侵害的签名事件或事件序列的时间安全审计查阅根据不同安全等级对安全审计查阅的不同要求安全审计查阅分为基本审计查阅提供从审计记录中读取信息的能力即为授权用户提供获得和解释审计信息的能力当用户是人时必须以人类可懂的方式表示信息当用户是外部实体时必须以电子方式无歧义地表示审计信息有限审计查阅在基本审计查阅的基础上应禁止具有读访问权限以外的用户读取审计信息可选审计查阅在有限审计查阅的基础上应具有根据准则来选择要查阅的审计数据的功能并根据某种逻辑关系的标准提供对审计数据进行搜索分类排序的能力安全审计事件选择应根据以下属性选择可审计事件客体身份用户身份主体身份主机身份事件类型作为审计选择性依据的附加属性安全审计事件存储根据不同安全等级对安全审计事件存储的不同要求安全审计事件存储分为受保护的审计踪迹存储审计踪迹的存储受到应有的保护能检测或防止对审计记录的修改审计数据的可用性确保在意外情况出现时能检测或防止对审计记录的修改以及在发生审计存储已满存储失败或存储受到攻击时确保审计记录不被破坏审计数据可能丢失情况下的措施当审计跟踪超过预定的门限时应采取相应的措施进行审计数据可能丢失情况的处理防止审计数据丢失在审计踪迹存储记满时应采取相应的防止审计数据丢失的措施可选择忽略可审计事件阻止除具有特殊权限外的其他用户产生可审计事件覆盖已存储的最老的审计记录和一旦审计存储失败所采取的其它行动等措施防止审计数据丢失恶意代码防护根据不同安全等级对恶意代码防护的不同要求恶意代码防护分为主机软件防护应在服务器中设置防恶意代码软件对所有进入服务器的恶意代码采取相应的防范措施防止恶意代码侵袭整体防护主机软件防护应与防恶意代码集中管理平台协调一致及时发现和清除进入系统内部的恶意代码备份与故障恢复为了实现服务器安全运行需要在正常运行时定期地或按某种条件进行适当备份并在发生故障时进行相应恢复的功能根据不同安全等级对备份与故障恢复的不同要求服务器的备份与恢复功能分为用户自我信息备份与恢复应提供用户有选择地对操