标准规范下载简介
GB/T 39680-2020 信息安全技术 服务器安全技术要求和测评准则.pdf简介:
GB/T 39680-2020,全称《信息安全技术 服务器安全技术要求和测评准则》,是中国国家标准,由国家市场监督管理总局、国家标准化管理委员会发布。该标准主要针对服务器的安全设计、开发、运行和管理提出了详细的技术要求和测评准则,目的是为了保障服务器在信息系统的运行中具备足够的安全防护能力,防止非法访问、数据泄露、篡改等风险。
该标准涵盖了服务器的安全策略、访问控制、身份认证、数据加密、安全审计、应急响应等多个方面,对服务器的物理安全、网络安全、操作系统安全、应用安全等都有明确的规定。通过测评准则,该标准能够帮助企业和开发者评估其服务器的安全状况,确保其符合行业标准和最佳实践。
总的来说,GB/T 39680-2020 是信息安全领域中关于服务器安全的重要规范,对于提升服务器安全防护水平,保障信息系统的稳定运行具有重要意义。
GB/T 39680-2020 信息安全技术 服务器安全技术要求和测评准则.pdf部分内容预览:
6.3.4.3功能测试
功能测试的测评方法如下: 测评方法: 核查开发者提供的功能测试证据,并核查开发者提供的信息是否满足证据的内容和形式的所 有要求: 1)核查开发者提供的测试文档,是否包括了测试计划、预期测试结果和实际测试结果; 2)核查测试计划是否标识了要执行的测试,是否描述了每个安全功能的测试方案以及测试 方案对其他测试结果的依赖关系: 3)核查预期的测试结果是否表明了测试成功后的预期输出; 4)核查实际的测试结果是否表明了每个被测试的安全功能能按照规定进行运作。 预期结果: 开发者提供的信息满足5.2.4.3中所述要求。 C 结果判定: 实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合
6.3.4.4独立测试
独立测试的测评方法如下: a 测评方法: 核查开发者提供的测试集合是否与其自测系统功能时使用的测试集合相一致TZ 203-2008 客货共线铁路桥涵工程施工技术指南,以用于安全功 能的抽样测试,并核查开发者提供的资源是否满足内容形式的所有要求。 b) 预期结果: 开发者提供的信息满足5.2.4.4中所述要求 C 结果判定: 实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合
6.3.4.5安全性测试
安全性测试的测评方法如下: a) 测试实施包括: 核查开发者提供的安全性测试证据,并核查开发者提供的信息是否满足证据的内容和形式的 所有要求: 1)核查开发者是否使用文档描述了服务器引导固件、带外管理模块固件安全性测试 2)核查安全性测试文档是否描述了针对已识别的严重安全缺陷列表及修复情况 b)预期结果: 开发者提供的信息满足5.2.4.5中所述要求
结果判定: 实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合
实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合
GB/T396802020
脆弱性评定的测评方法如下: a) 测评方法: 1)从攻击者可能破坏安全策略的途径出发【中山市】《城市规划技术标准与准则》(2010版),按照安全机制定义的安全强度级别对服务器潜 在威胁进行脆弱性分析; 2) 通过渗透测试判断服务器是否能抵抗基本攻击潜力的攻击者的攻击; 3)通过渗透测试判断服务器是否能抵抗中等攻击潜力的攻击者的攻击。 b) 预期结果: 1)渗透测试结果应表明服务器能够抵抗基本攻击潜力的攻击者的攻击; 2)渗透测试结果应表明服务器能够抵抗中等攻击潜力的攻击者的攻击。 结果判定: 实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合
维护的测评方法如下: 测评方法: 核查开发者提供的维护证据,并核查开发者提供的信息是否满足证据的内容和形式的所有 要求: 1)核查开发者提供的维护规范及维护过程证据,是否包含了服务器安全缺陷、漏洞应急响应 相关的流程规范; 2)现场核查开发者发现服务器存在的安全缺陷、漏洞时,是否按照既定程序及时采取修复或 替代方案等补救措施。 b)预期结果: 开发者提供的信息和现场活动证据内容满足5.2.6中所述要求。 结果判定: 实际测评结果与相关预期结果一致则判定为符合,其他情况判定为不符合
附录A (资料性附录) 服务器操作系统安全要求 操作系统安全性配置不当将直接影响服务器硬件系统安全效能。因此,为减小对服务器硬件系统 安全效能的影响,用户在配置服务器操作系统时,宜从以下几方面考虑操作系统安全要求: a)应结合自身业务需求和相关安全规范要求,操作系统宜符合GB/T20272相关要求; b) 对于增强级服务器,操作系统宜符合GB/T20272第三级要求; C 对于增强级服务器,操作系统宜支持部件隔离机制,以支撑5.1.5d)的故障隔离机制发挥 效能; d 对于增强级服务器,操作系统宜基于可信根,对操作系统引导程序、内核程序、关键系统服务及 配置进行可信验证; e 当通过操作系统对服务器引导固件和带外管理模块固件进行更新时,宜采取相应的安全措施, 防止非授权更新操作,并对固件的真实性和完整性进行验证; f) 当通过操作系统对服务器引导固件和带外管理模块固件进行安全配置时,宜首先进行身份 鉴别
附录B (资料性附录) 服务器安全技术要求分级表
表B.1以表格形式列举了服务器两个等级相关的技术要求。
表B.1以表格形式列举了服务器两个等级相关的技术要求。
GB/T396802020
B.1服务器安全技术要求等级划分
JC∕T 2342-2015 氮化硅材料相含量分析方法GB/T39680—2020参考文献[1]GB/T18336(所有部分)信息技术安全技术信息技术安全性评估准则[2] GB/T22239—2019信息安全技术网络安全等级保护基本要求[3]GB/T36639—2018信息安全技术可信计算规范服务器可信支撑平台20