信息平安手艺 服务器平安测评要求 GB/T 25063-201
日期:2010-10-04 / 人气: / 来源:网络
《信息安全技术 服务器安全测评要求(GB/T 25063-2010)》
中华人民共和国国家标准
Information Security Technology-Testing and Evaluation Requirement for Server Security
《信息安全技术 服务器安全测评要求(GB/T 25063-2010)》由全国信息安全标准化技术委员会提出并归口。本标准起草单位:浪潮集团有限公司、公安部计算机信息系统安全产品质量监督检验中心。本标准主要起草人:黄涛、孙大军、刘刚、沈亮、李清玉、颜斌、顾建、顾伟。
前言
引言
1范围
2规范性引用文件
3术语和定义、缩略语
3.1术语和定义
3.2缩略语
4第一级安全测评
4.1硬件系统
4.2操作系统
4.3数据库管理系统
4.4应用系统
4.5运行安全
4.6SSOS自身安全保护
4.7SSOS设计和实现
4.8SSOS安全管理
5第二级安全测评
5.1硬件系统
5.2操作系统
5.3数据库管理系统
5.4应用系统
5.5运行安全
5.6SSOS自身安全保护
5.7SSOS设计和实现
5.8SSOS安全管理
6第三级安全测评
6.1硬件系统
6.2操作系统
6.3数据库管理系统
6.4应用系统
6.5运行安全
6.6SSOS自身安全保护
6.7SSOS设计和实现
6.8SSOS安全管理
7第四级安全测评
7.1硬件系统
7.2操作系统
7.3数据库管理系统
7.4应用系统
7.5运行安全
7.6SSOS自身安全保护
7.7SSOS设计和实现
7.8SSOS安全管理
8第五级安全测评
参考文献
(1)GB/T 18336.1—2008 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型(ISO/IEC 15408—1:2005,IDT)
(2)GB/T 18336.2—2008 信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求(ISO/IEC 15408—2:2005,IDT)
(3)GB/T 18336.3—2008 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求(ISO/IEC 15408—3:2005,IDT)
(4)GB/T 20272——2006 信息安全技术 操作系统安全技术要求
(5)GB/T 20273——2006 信息安全技术 数据库管理系统安全技术要求
(6)Trusted Computing Group TPM Main Specification Version 1.2:Part 1 Design Principles,May2004
部分内容:
4第一级安全测评
4.1硬件系统
4.1.1设备标签
对第一级设备标签的测评要求包括:
a)测评者应检查服务器机箱,查看其是否可在显著位置设置标签;
b)测评者应检查服务器是否设置了设备标签,以及该标签包含的信息;
c)依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028—2007中5.1.1.1.1规定的要求。
4.1.2设备可靠运行支持
对第一级设备可靠运行支持的测评要求包括:
a)测评者应根据服务器硬件配置清单,检查服务器主要部件(CPU、内存等)是否具有数据校验功能;
b)测评者应检查服务器硬件在启动过程中的自检信息及操作提示是否与使用说明书保持一致;
c)测评者应对安装于服务器中的至少一款应用软件进行操作,测试其响应情况;
d)依据以上检查和测试所获取的信息给出评价意见,确定是否符合GB/T21028—2007中
5.1.1.1.2规定的要求。
4.2操作系统
4.2.1身份鉴别
对第一级服务器中操作系统的身份鉴别功能的测评要求包括:
a)测评者应检查操作系统是否提供了远程管理功能,如提供了远程管理,查看鉴别信息在网络传输过程中的保护措施;
b)测评者应检查操作系统是否提供了身份鉴别措施(如用户名和口令等);
c)依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028—2007中5.1.1.2a)规定的要求。
4.2.2自主访问控制
对第一级服务器中操作系统的自主访问控制功能的测评要求包括:
a)测评者应检查操作系统的自主访问控制功能,查看其是否能对重要文件的访问权限进行限制,对系统不需要的服务、共享路径等可能被非授权访问的客体进行限制;
b)测评者应检查操作系统中匿名/默认用户的访问权限是否能被禁用或者限制(如限定在有限的范围内);
c)依据以上检查所获取的信息给出评价意见,确定是否符合GB/T21028—2007中5.1.1.2b)规定的要求。
PDF全文下载《信息安全技术 服务器安全测评要求 GB/T 25063-2010》
相关标准下载《信息安全技术 服务器安全技术要求 GB/T 21028-2007》
信息系统等级保护安全设计技术要求(GB/T 25070-2010 )
等级保护
作者:管理员
推荐内容 Recommended
- 江苏飞浩信息科技期待您的加入07-20
- 江苏飞浩科技欢迎您07-19
相关内容 Related
- 江苏飞浩信息科技期待您的加入07-20
- 江苏飞浩科技欢迎您07-19