2021信息技術(shù)安全技術(shù)服務(wù)器安全技術(shù)要求和測評(píng)準(zhǔn)則

信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評(píng)

準(zhǔn)則

目次

前言.......................................................................................I

1范圍.....................................................................................1

2規(guī)范性引用文件..........................................................................1

3術(shù)語、定義和縮略語......................................................................1

4概述....................................................................................2

5安全技術(shù)要求............................................................................2

5.1安全功能要求.......................................................................2

5.1.1設(shè)備標(biāo)簽......................................................................2

5.1.2硬件接口安全..................................................................2

5.1.3固件安全......................................................................2

5.1.4驅(qū)動(dòng)程序安全..................................................................3

5.1.5可靠運(yùn)行支持..................................................................3

5.1.6自身安全管理..................................................................3

5.2安全保障要求.......................................................................4

5.2.1開發(fā)............................................................................4

5.2.2指導(dǎo)性文檔......................................................................5

5.2.3生命周期支持...................................................................5

5.2.4測試............................................................................6

5.2.5脆弱性評(píng)定.....................................................................6

5.2.6維護(hù)............................................................................6

6安全測評(píng)準(zhǔn)則............................................................................7

6.1測試環(huán)境............................................................................7

6.2安全功能要求測評(píng)...................................................................7

6.2.1設(shè)備標(biāo)簽........................................................................7

6.2.2硬件接口安全...................................................................7

6.2.3固件安全........................................................................8

6.2.4驅(qū)動(dòng)程序安全...................................................................9

6.2.5可靠運(yùn)行支持...................................................................9

6.2.6自身安全管理...................................................................10

6.3安全保障要求測評(píng)...................................................................12

6.3.1開發(fā)...........................................................................12

6.3.2指導(dǎo)性文檔.....................................................................13

6.3.3生命周期支持...................................................................14

6.3.4測試...........................................................................15

6.3.5脆弱性評(píng)定.....................................................................17

6.3.6維護(hù)...........................................................................17

附錄A（資料性附錄）服務(wù)器操作系統(tǒng)安全要求..........................................18

I

信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評(píng)準(zhǔn)則

范圍

本標(biāo)準(zhǔn)規(guī)定了服務(wù)器的安全技術(shù)要求和測評(píng)準(zhǔn)則。

本標(biāo)準(zhǔn)適用于服務(wù)器的研制、生產(chǎn)、維護(hù)和測評(píng)。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是

不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20272信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

GB/T25069信息安全技術(shù)術(shù)語

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

GB/T20272和GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

服務(wù)器server

網(wǎng)絡(luò)環(huán)境下為客戶端計(jì)算機(jī)提供特定應(yīng)用服務(wù)的計(jì)算機(jī)系統(tǒng)。

注1：本標(biāo)準(zhǔn)計(jì)算機(jī)系統(tǒng)指服務(wù)器硬件系統(tǒng)部分，主要包含獨(dú)立計(jì)算單元、存儲(chǔ)單元、網(wǎng)絡(luò)傳輸單元、監(jiān)控管理單元、

供電單元及驅(qū)動(dòng)程序等。

注2：改寫GB/T9813.3—2017,定義3.1。

3.1.2

服務(wù)器引導(dǎo)固件serverbootfirmware

負(fù)責(zé)服務(wù)器芯片組的初始化和配置，收集、匯總硬件資源信息并引導(dǎo)進(jìn)入操作系統(tǒng)的程序。

3.1.3

帶外管理模塊out-of-bandmanagementmoduIe

通過專用物理通道對(duì)服務(wù)器進(jìn)行控制管理和維護(hù)的獨(dú)立管理單元。

示例：x86平臺(tái)的BMC、Power平臺(tái)的FSP等。

帶外管理模塊固件out-of-bandmanagementmoduIefirmware

存在于帶外管理模塊中，用于實(shí)現(xiàn)其功能的程序。

1

3.1.5

驅(qū)動(dòng)程序driverprogram

為操作系統(tǒng)或應(yīng)用程序提供操作或控制服務(wù)器中特定設(shè)備的軟件程序。

3.2縮略語

下列縮略語適用于本文件。

CPU：中央處理器（centralprocessingunit）

4概述

服務(wù)器的安全要求對(duì)提高其業(yè)務(wù)運(yùn)行能力，保證其服務(wù)提供的安全性和可持續(xù)性至關(guān)重要。由于服務(wù)

器整體安全受到如硬件系統(tǒng)、操作系統(tǒng)等多方面的約束，任何一方面安全保護(hù)能力的不足或互補(bǔ)不到位都將

影響服務(wù)器整體的安全性。本標(biāo)準(zhǔn)主要對(duì)服務(wù)器硬件系統(tǒng)提出了安全技術(shù)要求和安全測評(píng)準(zhǔn)則，服務(wù)器配置的

操作系統(tǒng)相關(guān)安全要求參見附錄A。服務(wù)器安全技術(shù)要求分為安全功能要求和安全保障要求。其中安全功能要

求是對(duì)服務(wù)器應(yīng)具備的安全功能提出的具體要求，包括設(shè)備標(biāo)簽、硬件接口安全、固件安全、驅(qū)動(dòng)程序安全、

可靠運(yùn)行支持和自身安全管理等；安全保障要求是對(duì)服務(wù)器生命周期過程提出的具體要求，包括開發(fā)、指導(dǎo)

性文檔、生命周期支持、測試、脆弱性評(píng)定和維護(hù)等。根據(jù)安全技術(shù)要求，本標(biāo)準(zhǔn)給出了相應(yīng)的安全測評(píng)準(zhǔn)則。

根據(jù)服務(wù)器安全技術(shù)發(fā)展情況及應(yīng)用需求，結(jié)合服務(wù)器安全功能的強(qiáng)弱，以及安全保障要求的高低，本標(biāo)

準(zhǔn)將服務(wù)器安全技術(shù)要求劃分為基本級(jí)和增強(qiáng)級(jí)，其中增強(qiáng)級(jí)的新增部分用“宋體加粗”表示。附錄B以表格

的形式列舉了第5章基本級(jí)和增強(qiáng)級(jí)的安全技術(shù)要求。

5安全技術(shù)要求

5.1安全功能要求

5.1.1設(shè)備標(biāo)簽

應(yīng)在服務(wù)器顯著位置設(shè)置標(biāo)簽，以標(biāo)識(shí)服務(wù)器設(shè)備信息（包括設(shè)備型號(hào)、設(shè)備唯一識(shí)別碼、生產(chǎn)廠商

等）。

5.1.2硬件接口安全

應(yīng)對(duì)具備維護(hù)或調(diào)試功能的外部硬件接口采取安全控制措施，如采用專用工具、認(rèn)證等。

5.1.3固件安全

5.1.3.1完整性保護(hù)

完整性保護(hù)功能應(yīng)滿足以下要求：

a）對(duì)服務(wù)器引導(dǎo)固件、帶外管理模塊固件提供存儲(chǔ)區(qū)完整性保護(hù)機(jī)制；

b）訪問服務(wù)器引導(dǎo)固件時(shí)，應(yīng)先進(jìn)行授權(quán)控制；

c）基于可信根，在服務(wù)器啟動(dòng)時(shí)，對(duì)于服務(wù)器引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器進(jìn)行完整

性檢測，并在檢測到其完整性被破壞后，采取相應(yīng)安全措施，如停止啟動(dòng)、自動(dòng)恢復(fù)、報(bào)警等。

2

5.1.3.2更新安全

更新安全功能應(yīng)滿足以下要求：

1）提供服務(wù)器引導(dǎo)固件和帶外管理模塊固件更新的用戶授權(quán)機(jī)制，應(yīng)在獲得用戶授權(quán)后方可進(jìn)行;

2）服務(wù)器引導(dǎo)固件和帶外管理模塊固件更新時(shí)，應(yīng)對(duì)其鏡像文件的真實(shí)性和完整性進(jìn)行校驗(yàn)，驗(yàn)證

通過后方可允許更新；

3）基于可信根，對(duì)待更新的服務(wù)器引導(dǎo)固件鏡像文件進(jìn)行校驗(yàn)，驗(yàn)證通過后方可允許更新。

5.1.3.3固件恢復(fù)

固件恢復(fù)功能應(yīng)滿足以下要求：

a）提供服務(wù)器引導(dǎo)固件和帶外管理模塊固件手動(dòng)恢復(fù)機(jī)制；

b）提供服務(wù)器引導(dǎo)固件和帶外管理模塊固件自動(dòng)恢復(fù)機(jī)制，在檢測到固件被破壞后，采取相應(yīng)的

自動(dòng)恢復(fù)措施，如替換已破壞的固件，啟用備用固件等。

5.1.4驅(qū)動(dòng)程序安全

應(yīng)具備服務(wù)器驅(qū)動(dòng)程序的真實(shí)性和完整性驗(yàn)證機(jī)制。

注：驅(qū)動(dòng)程序是指由服務(wù)器廠商提供的驅(qū)動(dòng)程序。

5.1.5可靠運(yùn)行支持

可靠運(yùn)行支持應(yīng)滿足以下要求：

a）對(duì)服務(wù)器的電源、風(fēng)扇、硬盤等部分關(guān)鍵部件進(jìn)行冗余設(shè)計(jì)，硬盤、風(fēng)扇、電源支持熱插拔功能；

b）對(duì)服務(wù)器部分關(guān)鍵部件的溫度、電壓，以及風(fēng)扇轉(zhuǎn)速等進(jìn)行安全監(jiān)控，當(dāng)監(jiān)測數(shù)值超過預(yù)先設(shè)定

的閾值時(shí)應(yīng)報(bào)警；

c）提供服務(wù)器CPU、硬盤、內(nèi)存等部分關(guān)鍵部件故障定位的機(jī)制；

d）對(duì)服務(wù)器硬盤、內(nèi)存等部分關(guān)鍵部件提供故障隔離機(jī)制，當(dāng)某一部件出現(xiàn)故障時(shí)，服務(wù)器仍可

提供計(jì)算服務(wù)。

5.1.6自身安全管理

5.1.6.1身份標(biāo)識(shí)與鑒別

1）帶外管理模塊固件中身份標(biāo)識(shí)與鑒別功能應(yīng)滿足以下要求：a）對(duì)用

戶身份進(jìn)行標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性；

b）提供默認(rèn)口令修改機(jī)制；

c）用戶設(shè)置口令時(shí)，應(yīng)對(duì)口令的復(fù)雜度進(jìn)行驗(yàn)證，確?？诹铋L度不少于8位，包含的字符類型不

少于2種；

d）具備鑒別失敗處理功能，如限制連續(xù)的非法登錄嘗試次數(shù)措施；e）

具備登錄連接超時(shí)自動(dòng)退出機(jī)制；

f）鑒別信息采取加密方式存儲(chǔ)。

2）服務(wù)器引導(dǎo)固件中身份標(biāo)識(shí)與鑒別功能應(yīng)滿足以下要求：a）提供

默認(rèn)口令修改機(jī)制；

3

b）鑒別信息采取加密方式存儲(chǔ)。

5.1.6.2授權(quán)與訪問控制

1）帶外管理模塊固件中授權(quán)與訪問控制安全功能應(yīng)滿足以下要求：a）依據(jù)最

小權(quán)限的原則，為默認(rèn)用戶預(yù)置訪問控制策略；

b）在用戶訪問受控資源或功能時(shí)，依據(jù)設(shè)置的控制策略進(jìn)行授權(quán)和訪問控制；

c）不存在未聲明的功能接口。

2）服務(wù)器引導(dǎo)固件不存在未聲明的功能接口。

5.1.6.3安全審計(jì)

帶外管理模塊固件中安全審計(jì)功能應(yīng)滿足以下要求：a）

審計(jì)事件至少包括：

1）用戶的登錄和注銷、系統(tǒng)開關(guān)機(jī)、用戶創(chuàng)建、刪除、口令修改；

2）核心安全配置的變更，如訪問控制策略、自動(dòng)更新策略、安全監(jiān)控策略等；

3）固件更新和恢復(fù)記錄。

b）在審計(jì)記錄中至少包括以下內(nèi)容：事件發(fā)生日期和時(shí)間、用戶名、事件描述（包括類型、操作結(jié)

果）、IP地址或主機(jī)名（采用遠(yuǎn)程管理方式時(shí)）；

c）對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到非預(yù)期的刪除、修改或覆蓋等；d）

提供審計(jì)記錄轉(zhuǎn)存或輸出功能。

5.1.6.4遠(yuǎn)程管理

帶外管理模塊固件中遠(yuǎn)程管理安全功能應(yīng)滿足以下要求：

a）提供開放端口和服務(wù)列表，并明示其用途；

b）采用安全的網(wǎng)絡(luò)協(xié)議或接口對(duì)傳輸數(shù)據(jù)進(jìn)行保護(hù)；

c）對(duì)遠(yuǎn)程管理終端的接入進(jìn)行限制，如設(shè)定網(wǎng)絡(luò)地址范圍。

5.2安全保障要求

5.2.1開發(fā)

5.2.1.1安全架構(gòu)

開發(fā)者對(duì)服務(wù)器安全功能的安全架構(gòu)描述應(yīng)包含以下內(nèi)容：

a）與產(chǎn)品設(shè)計(jì)文檔中對(duì)安全功能描述的范圍和抽象描述級(jí)別相一致；

b）充分描述服務(wù)器安全功能采取的自我保護(hù)、不可旁路的安全機(jī)制。

5.2.1.2功能規(guī)范

開發(fā)者對(duì)服務(wù)器安全功能規(guī)范的描述應(yīng)包含以下內(nèi)容：a）

描述功能規(guī)范到5.1中安全功能要求的追溯關(guān)系；

b）描述服務(wù)器所有安全功能接口的目的、使用方法及相關(guān)參數(shù)；

c）描述安全功能實(shí)施過程中，與安全功能接口執(zhí)行相關(guān)的行為；

d）描述安全功能接口執(zhí)行時(shí)，引起的直接錯(cuò)誤消息。

4

注：安全功能接口是指服務(wù)器向外部實(shí)體（如管理員、外部系統(tǒng)）提供的操作界面。

5.2.1.3產(chǎn)品設(shè)計(jì)

開發(fā)者對(duì)服務(wù)器安全功能設(shè)計(jì)的描述應(yīng)包含以下內(nèi)容：

a）根據(jù)子系統(tǒng)描述服務(wù)器安全功能的結(jié)構(gòu)，并標(biāo)識(shí)安全功能的所有子系統(tǒng)；b）

描述安全功能子系統(tǒng)的行為，以及相互作用關(guān)系；

c）提供安全子系統(tǒng)和安全功能接口間的對(duì)應(yīng)關(guān)系。

5.2.2指導(dǎo)性文檔

5.2.2.1操作用戶指南

開發(fā)者為所有操作用戶角色提供的操作用戶指南應(yīng)包含以下內(nèi)容：

a）描述每一種操作用戶角色能訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

b）對(duì)預(yù)留的外部硬件接口進(jìn)行說明，包括接口名稱、接口類型、功能等；

c）描述服務(wù)器安全功能及接口的操作方法，包括配置參數(shù)的安全值等；

d）標(biāo)識(shí)和描述服務(wù)器運(yùn)行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤等；

e）描述實(shí)現(xiàn)5.1安全功能要求應(yīng)執(zhí)行的安全策略。

5.2.2.2準(zhǔn)備程序

開發(fā)者對(duì)服務(wù)器準(zhǔn)備程序的描述應(yīng)包含以下內(nèi)容：

a）描述與開發(fā)者交付程序相一致的安全接收所交付服務(wù)器必需的所有步驟；

b）描述安全安裝服務(wù)器，及其運(yùn)行環(huán)境支撐所必需的所有步驟。

5.2.3生命周期支持

5.2.3.1配置管理能力

開發(fā)者的配置管理能力應(yīng)滿足以下要求：

a）為服務(wù)器引導(dǎo)固件和帶外管理模塊固件的不同版本提供唯一標(biāo)識(shí)；

b）使用配置管理系統(tǒng)對(duì)組成服務(wù)器的所有配置項(xiàng)進(jìn)行維護(hù)，并進(jìn)行唯一標(biāo)識(shí)；c）

提供配置管理文檔，配置管理文檔描述用于唯一標(biāo)識(shí)配置項(xiàng)的方法；

d）配置管理系統(tǒng)提供自動(dòng)方式來支持服務(wù)器配置項(xiàng)的生成，通過自動(dòng)化措施確保配置項(xiàng)僅接受授

權(quán)變更；

e）配置管理文檔包括一個(gè)配置管理計(jì)劃，描述如何使用配置管理系統(tǒng)開發(fā)服務(wù)器，包括修改過或

新建的作為服務(wù)器組成部分的配置項(xiàng)。開發(fā)者實(shí)施的配置管理應(yīng)與配置管理計(jì)劃相一致。

5.2.3.2配置管理范圍

開發(fā)者建立并維護(hù)的服務(wù)器配置項(xiàng)列表應(yīng)包含以下內(nèi)容：

a）服務(wù)器本身、服務(wù)器的組成部分和安全保障要求的評(píng)估證據(jù)；

b）對(duì)于每一個(gè)安全功能相關(guān)的配置項(xiàng)，配置項(xiàng)列表應(yīng)簡要說明該配置項(xiàng)的開發(fā)者。

5.2.3.3交付程序

開發(fā)者應(yīng)使用一定的交付程序交付服務(wù)器，交付過程的描述應(yīng)包含為維護(hù)服務(wù)器安全性所必需的所有

程序。

5

5.2.3.4開發(fā)安全

開發(fā)者應(yīng)對(duì)服務(wù)器開發(fā)環(huán)境提供必要安全措施，從物理的、程序的、人員的和其他方面采取必要的

安全措施，確保服務(wù)器設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性。

5.2.3.5生命周期定義

開發(fā)者應(yīng)為服務(wù)器的開發(fā)和維護(hù)提供必要控制，并提供生命周期定義文檔，用于描述開發(fā)和維護(hù)服

務(wù)器的模型。

5.2.4測試

5.2.4.1測試覆蓋

開發(fā)者對(duì)測試覆蓋的分析和描述應(yīng)包含以下內(nèi)容：

a）表明測試文檔中所標(biāo)識(shí)的測試與功能規(guī)范中所描述的服務(wù)器安全功能接口之間的對(duì)應(yīng)性；

b）表明a）中的對(duì)應(yīng)性是完備的，并證實(shí)功能規(guī)范中的所有安全功能接口均進(jìn)行了測試。

5.2.4.2測試深度

開發(fā)者對(duì)測試深度的分析和描述應(yīng)包含以下內(nèi)容：

a）證實(shí)測試文檔中的測試與服務(wù)器設(shè)計(jì)中的安全功能子系統(tǒng)、實(shí)現(xiàn)模塊之間的一致性；

b）證實(shí)服務(wù)器設(shè)計(jì)中的所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊均進(jìn)行過測試。

5.2.4.3功能測試

開發(fā)者應(yīng)對(duì)服務(wù)器安全功能進(jìn)行測試，并將結(jié)果文檔化。功能測試文檔應(yīng)包含以下內(nèi)容：

a）測試計(jì)劃，標(biāo)識(shí)要執(zhí)行的測試，并描述執(zhí)行每個(gè)測試的方案，這些方案包括對(duì)于其他測試結(jié)果的任

何順序依賴性；

b）預(yù)期的測試結(jié)果，表明測試成功后的預(yù)期輸出；c）

實(shí)際測試結(jié)果和預(yù)期的測試結(jié)果的對(duì)比一致性。

5.2.4.4獨(dú)立測試

開發(fā)者應(yīng)提供一組與其安全功能測試時(shí)使用的同等資源，以用于安全功能的抽樣測試。

5.2.4.5安全性測試

開發(fā)者應(yīng)對(duì)服務(wù)器引導(dǎo)固件、帶外管理模塊固件的安全性進(jìn)行測試，并將結(jié)果文檔化。安全性測試

文檔至少應(yīng)包含測試計(jì)劃，已識(shí)別的嚴(yán)重安全缺陷列表及修復(fù)情況。

5.2.5脆弱性評(píng)定

測評(píng)者應(yīng)基于已標(biāo)識(shí)的潛在脆弱性對(duì)服務(wù)器進(jìn)行脆弱性評(píng)定，以確保服務(wù)器能夠抵抗以下攻擊行

為：

a）具有基本攻擊潛力的攻擊者的攻擊；

b）具有中等攻擊潛力的攻擊者的攻擊。

5.2.6維護(hù)

開發(fā)者在服務(wù)器維護(hù)階段應(yīng)滿足以下要求:

6

a）建立并執(zhí)行服務(wù)器安全缺陷、漏洞的應(yīng)急響應(yīng)機(jī)制和流程；

b）發(fā)現(xiàn)服務(wù)器存在安全缺陷、漏洞時(shí)，應(yīng)按照既定程序及時(shí)采取修復(fù)或替代方案等補(bǔ)救措施。

6安全測評(píng)準(zhǔn)則

6.1測試環(huán)境

服務(wù)器安全測試環(huán)境參見圖1。圖1中，服務(wù)器是測評(píng)對(duì)象，并應(yīng)部署與其兼容的操作系統(tǒng)以支撐測試實(shí)

施；網(wǎng)絡(luò)管理終端主要用于服務(wù)器固件安全、可靠運(yùn)行支持、安全管理等測評(píng)；安全測試工具主要用于在測試

實(shí)施過程中，為服務(wù)器安全功能和安全性的測評(píng)提供支撐，常見的安全測試工具包含網(wǎng)絡(luò)抓包工具、漏洞掃描工

具、滲透測試工具等。

安全測試工具

圖1服務(wù)器安全測試環(huán)境

測試實(shí)施前，應(yīng)參考圖1搭建測試環(huán)境。

6.2安全功能要求測評(píng)

6.2.1設(shè)備標(biāo)簽

設(shè)備標(biāo)簽的測評(píng)方法如下：

a）測評(píng)方法：

1）核查服務(wù)器設(shè)備標(biāo)簽粘貼的位置；

2）核查設(shè)備標(biāo)簽標(biāo)識(shí)的內(nèi)容。

b）預(yù)期結(jié)果：

1）服務(wù)器設(shè)備標(biāo)簽粘貼在機(jī)箱顯著位置，且用戶較方便查看；

2）服務(wù)器設(shè)備標(biāo)簽中包含了設(shè)備型號(hào)、設(shè)備唯一識(shí)別碼、生產(chǎn)廠商等信息。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.2硬件接口安全

硬件接口安全的測評(píng)方法如下：

7

a）測評(píng)方法：

核查服務(wù)器具備維護(hù)或調(diào)試功能的外部硬件接口是否采取安全控制措施（如采用專用工具、

認(rèn)證等），并驗(yàn)證其有否有效。

b）預(yù)期結(jié)果：

具備維護(hù)或調(diào)試功能的外部硬件接口采取了安全控制措施，且相關(guān)功能有效。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.3固件安全

6.2.3.1完整性保護(hù)

完整性保護(hù)的測評(píng)方法如下：

a）測評(píng)方法：

1）啟用服務(wù)器引導(dǎo)固件、帶外管理模塊固件存儲(chǔ)區(qū)保護(hù)機(jī)制，驗(yàn)證其完整性保護(hù)機(jī)制是否有效;

2）在帶外管理模塊固件訪問服務(wù)器引導(dǎo)固件時(shí)，驗(yàn)證其授權(quán)控制功能是否有效；

3）配置可信策略，啟動(dòng)服務(wù)器，驗(yàn)證是否通過可信根對(duì)服務(wù)器引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化

程序加載器完整性進(jìn)行了檢測；

4）模擬服務(wù)器引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性受到破壞，驗(yàn)證服務(wù)器啟動(dòng)

后相應(yīng)的安全措施（如停止啟動(dòng)、自動(dòng)恢復(fù)、報(bào)警等）是否有效。

b）預(yù)期結(jié)果：

1）服務(wù)器引導(dǎo)固件、帶外管理模塊固件的存儲(chǔ)區(qū)提供有效的完整性保護(hù)機(jī)制；

2）帶外管理模塊固件訪問服務(wù)器引導(dǎo)固件時(shí)采取了訪問控制機(jī)制，可防止非授權(quán)的訪問；

3）服務(wù)器采用了可信根機(jī)制，并在啟動(dòng)時(shí)對(duì)服務(wù)器引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器

的完整性進(jìn)行了檢測；

4）當(dāng)服務(wù)服務(wù)器檢測到引導(dǎo)固件和主引導(dǎo)分區(qū)/初始化程序加載器完整性破壞后，可根據(jù)提

供/配置的安全措施進(jìn)行響應(yīng)。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.3.2更新安全

更新安全的測評(píng)方法如下：

a）測評(píng)方法：

1）核查服務(wù)器引導(dǎo)固件和帶外管理模塊固件更新操作是否提供用戶授權(quán)機(jī)制，如更新確認(rèn)按

鈕，并驗(yàn)證其是否有效；

2）核查服務(wù)器引導(dǎo)固件和帶外管理模塊固件更新是否具備對(duì)其鏡像文件進(jìn)行真實(shí)性和完整性

的校驗(yàn)機(jī)制；

3）分別偽造服務(wù)器引導(dǎo)固件和帶外管理模塊固件的更新鏡像文件，驗(yàn)證更新驗(yàn)證機(jī)制對(duì)其真實(shí)

性驗(yàn)證是否有效；

4）分別模擬服務(wù)器引導(dǎo)固件和帶外管理模塊固件的更新鏡像文件受到破壞，測試更新驗(yàn)證機(jī)制

對(duì)其完整性驗(yàn)證是否有效；

5）配置可信策略，執(zhí)行服務(wù)器引導(dǎo)固件更新操作，驗(yàn)證是否通過可信根對(duì)待更新服務(wù)器引導(dǎo)

固件鏡像文件進(jìn)行了校驗(yàn)后才能執(zhí)行更新操作。

8

b）預(yù)期結(jié)果：

1）服務(wù)器引導(dǎo)固件和帶外管理模塊固件的更新操作提供了用戶授權(quán)，并在用戶授權(quán)后才能執(zhí)行

更新操作；

2）服務(wù)器引導(dǎo)固件和帶外管理模塊固件在更新時(shí)提供了對(duì)鏡像文件的真實(shí)性和完整性校驗(yàn)機(jī)

制；

3）服務(wù)器引導(dǎo)固件和帶外管理模塊固件的更新機(jī)制能識(shí)別偽造的鏡像文件，并提示更新失敗;

4）服務(wù)器引導(dǎo)固件和帶外管理模塊固件的更新機(jī)制能識(shí)別遭到破壞的鏡像文件，并提示更新

失?。?/p>

5）服務(wù)器采用了可信根機(jī)制，并通過可信根對(duì)服務(wù)器引導(dǎo)固件待更新鏡像文件校驗(yàn)通過后才

能執(zhí)行更新操作。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.3.3固件恢復(fù)

固件恢復(fù)的測評(píng)方法如下：

a）測評(píng)方法：

1）對(duì)服務(wù)器引導(dǎo)固件和帶外管理模塊固件分別進(jìn)行手工恢復(fù)操作，驗(yàn)證其是否能將備份固件進(jìn)

行成功恢復(fù)；

2）配置服務(wù)器引導(dǎo)固件和帶外管理模塊固件自動(dòng)恢復(fù)策略，觸發(fā)固件自動(dòng)恢復(fù)條件，驗(yàn)證其

自動(dòng)恢復(fù)功能是否有效。

b）預(yù)期結(jié)果：

1）服務(wù)器引導(dǎo)固件和帶外管理模塊固件均可通過手動(dòng)恢復(fù)機(jī)制進(jìn)行固件恢復(fù)；

2）服務(wù)器啟動(dòng)時(shí)，當(dāng)檢測到服務(wù)器引導(dǎo)固件和帶外管理模塊固件破壞或不可用后可按預(yù)期方

式進(jìn)行自動(dòng)恢復(fù)。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.4驅(qū)動(dòng)程序安全

驅(qū)動(dòng)程序安全的測評(píng)方法如下：a）

測評(píng)方法：

1）核查服務(wù)器隨機(jī)提供的驅(qū)動(dòng)程序是否提供了真實(shí)性和完整性驗(yàn)證機(jī)制，如基于數(shù)字簽名的驗(yàn)

證機(jī)制；

2）通過偽造或模擬破壞驅(qū)動(dòng)程序的方式，驗(yàn)證其安全機(jī)制是否有效。b）

預(yù)期結(jié)果：

服務(wù)器針對(duì)隨機(jī)的驅(qū)動(dòng)程序提供了真實(shí)性和完整性驗(yàn)證機(jī)制。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.5可靠運(yùn)行支持

可靠運(yùn)行支持的測評(píng)方法如下：a）

測評(píng)方法：

1）核查服務(wù)器是否對(duì)電源、風(fēng)扇、硬盤等部件進(jìn)行了冗余設(shè)計(jì)；

9

2）通過故障引入操作的方式，對(duì)電源、風(fēng)扇、硬盤等進(jìn)行熱插拔操作，驗(yàn)證其是否有效；

3）登錄相關(guān)監(jiān)控管理界面，查看部分關(guān)鍵部件的溫度、電壓，以及風(fēng)扇轉(zhuǎn)速等實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)；

4）針對(duì)3）中各項(xiàng)監(jiān)控對(duì)象，配置報(bào)警閾值并通過模擬異常狀態(tài)使各監(jiān)控超過閥值，驗(yàn)證報(bào)

警機(jī)制是否有效；

5）分別模擬服務(wù)器CPU、硬盤、內(nèi)存出現(xiàn)故障，驗(yàn)證服務(wù)器故障定位功能是否有效；

6）分別模擬服務(wù)器硬盤、內(nèi)存出現(xiàn)故障，驗(yàn)證部件故障隔離機(jī)制是否有效；

7）在6）的驗(yàn)證基礎(chǔ)上，故障部件隔離生效后，核查服務(wù)器運(yùn)行狀態(tài)是否正常。

b）預(yù)期結(jié)果：

1）服務(wù)器電源、風(fēng)扇、硬盤等采用了冗余設(shè)計(jì)；

2）服務(wù)器電源、風(fēng)扇、硬盤等進(jìn)行熱插拔操作后，服務(wù)器仍能正常運(yùn)行；

3）服務(wù)器提供監(jiān)控管理界面，可查看到部分關(guān)鍵部件的溫度、電壓，以及風(fēng)扇轉(zhuǎn)速等實(shí)時(shí)監(jiān)控

數(shù)據(jù)，且監(jiān)控?cái)?shù)據(jù)真實(shí)有效：

4）服務(wù)器對(duì)所監(jiān)測數(shù)值超過閾值時(shí)提供了報(bào)警的功能（如聲、光、網(wǎng)絡(luò)報(bào)文、日志記錄等）；

5）服務(wù)器可對(duì)出現(xiàn)的CPU、硬盤、內(nèi)存進(jìn)行提示和定位（比如通過聲、光、日志記錄等）；

6）服務(wù)器對(duì)硬盤、內(nèi)存等部件提供了故障隔離機(jī)制，并在部件冗余配置情況下，可有效隔

離出現(xiàn)故障的部件；

7）在6）的基礎(chǔ)上，故障部件隔離后，服務(wù)器仍能正常運(yùn)行。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.6自身安全管理

6.2.6.1身份標(biāo)識(shí)與鑒別

身份標(biāo)識(shí)與鑒別的測評(píng)方法如下：a）

測評(píng)方法：

1）登錄帶外管理模塊固件，查看已有的用戶列表，并嘗試創(chuàng)建同名用戶；

2）嘗試使用合法和非法用戶分別登錄帶外管理模塊固件，驗(yàn)證其身份鑒別功能是否有效；

3）嘗試修改服務(wù)器引導(dǎo)固件和帶外管理模塊固件中用戶默認(rèn)口令，驗(yàn)證是否可正常修改口令;

4）在帶外管理模塊中通過創(chuàng)建新用戶或修改用戶口令，驗(yàn)證是否對(duì)口令的復(fù)雜度進(jìn)行了校驗(yàn);

5）嘗試使用錯(cuò)誤的鑒別信息登錄，驗(yàn)證帶外管理模塊固件鑒別失敗處理功能是否有效；

6）登錄帶外管理模塊固件，配置會(huì)話超時(shí)時(shí)間，驗(yàn)證超時(shí)后是否正常退出會(huì)話；

7）核查服務(wù)器引導(dǎo)固件和帶外管理模塊固件中鑒別信息存儲(chǔ)方式。b）

預(yù)期結(jié)果：

1）無法創(chuàng)建同名用戶，身份標(biāo)識(shí)可保證唯一性；

2）合法用戶可正常登錄，非法用戶無法登錄；

3）可修改默認(rèn)口令，且口令長度不少于8位，包含的字符類型不少于2種的情況下才能修改

成功；

4）創(chuàng)建新用戶時(shí)自動(dòng)生成或設(shè)置的口令，以及修改用戶口令時(shí)，均對(duì)口令復(fù)雜度進(jìn)行了校驗(yàn)或

滿足復(fù)雜度的要求，即口令長度不少于8位，包含的字符類型不少于2種；

5）當(dāng)達(dá)到非法登錄嘗試次數(shù)時(shí)，采用了安全措施（如鎖定賬號(hào)或限制賬號(hào)登錄時(shí)限），可有效

防止暴力破解攻擊；

10

6）當(dāng)?shù)卿洉?huì)話超時(shí)后，系統(tǒng)將自動(dòng)退出會(huì)話并清除登錄會(huì)話信息；

7）服務(wù)器引導(dǎo)固件和帶外管理模塊固件中鑒別信息采用了加密存儲(chǔ)方式。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.6.2授權(quán)與訪問控制

授權(quán)與訪問控制的測評(píng)方法如下：a）

測評(píng)方法：

1）以默認(rèn)用戶登錄帶外管理模塊固件，核查各用戶操作權(quán)限范圍與預(yù)置訪問控制策略是否一致,

并滿足了最小權(quán)限原則；

2）配置帶外管理模塊固件的訪問控制策略，驗(yàn)證用戶授權(quán)與訪問控制策略是否有效；

3）通過滲透測試等方式，驗(yàn)證服務(wù)器引導(dǎo)固件和帶外管理模塊固件中是否存在未經(jīng)聲明的功能接

口。

b）預(yù)期結(jié)果：

1）默認(rèn)用戶權(quán)限滿足最小權(quán)限原則，與預(yù)置訪問控制策略一致；

2）用戶的權(quán)限范圍與配置的訪問控制策略相一致；

3）滲透測試未發(fā)現(xiàn)未經(jīng)聲明的功能接口。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.6.3安全審計(jì)

安全審計(jì)的測評(píng)方法如下：

a）測評(píng)方法：

1）在服務(wù)器帶外管理模塊上分別執(zhí)行登錄、注銷、系統(tǒng)開關(guān)機(jī)、用戶創(chuàng)建、刪除、口令修改等

操作，查看審計(jì)日志是否記錄其行為：

2）在服務(wù)器帶外管理模塊進(jìn)行核心安全配置變更操作（如訪問控制策略、自動(dòng)更新策略、安

全監(jiān)控策略等），查看審計(jì)日志是否記錄其行為；

3）在服務(wù)器帶外管理模塊上進(jìn)行固件更新和恢復(fù)操作，查看審計(jì)日志是否記錄其行為；

4）核查1）、2）、3）中審計(jì)記錄的詳細(xì)信息；

5）采用非授權(quán)用戶訪問，直接非法操作日志文件等方式，驗(yàn)證審計(jì)記錄保護(hù)措施是否可有效防止

非預(yù)期的刪除、修改或覆蓋等；

6）登錄服務(wù)器帶外管理模塊，驗(yàn)證審計(jì)記錄轉(zhuǎn)存或輸出功能是否有效。b）

預(yù)期結(jié)果：

1）在服務(wù)器帶外管理模塊上進(jìn)行的登錄、注銷、系統(tǒng)開關(guān)機(jī)、用戶創(chuàng)建、刪除、口令修改等操

作行為均記錄了其行為，并在審計(jì)記錄中可查看相關(guān)信息；

2）在帶外管理模塊上進(jìn)行的核心安全配置變更操作行為均記錄了其行為，并在審計(jì)記錄中可

查看相關(guān)信息；

3）在帶外管理模塊上進(jìn)行的固件更新和恢復(fù)操作行為均記錄了其行為，并在審計(jì)記錄中可查

看相關(guān)信息；

4）審計(jì)日志事件包含發(fā)生日期和時(shí)間、用戶名、事件描述（包括類型、操作結(jié)果）、IP地址

或身詔（利1園呈管外式時(shí)）等；

5）具備審計(jì)記錄保護(hù)措施，可避免非預(yù)期的刪除、修改或覆蓋等；

6）可轉(zhuǎn)存或輸出完整的審計(jì)記錄，如備份，或輸出到其他日志系統(tǒng)。

11

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.2.6.4遠(yuǎn)程管理

遠(yuǎn)程管理的測評(píng)方法如下：

a）測評(píng)方法：

1）通過相關(guān)文檔，核查服務(wù)器帶外管理模塊開放端口和服務(wù)列表，以及其用途的描述是否完整、

正確；

2）通過技術(shù)手段（如端口掃描、查看服務(wù)進(jìn)程等），核查是否不存在其它未說明的開放端口

和服務(wù)；

3）通過技術(shù)手段（如嗅探等）抓取網(wǎng)路傳輸數(shù)據(jù)包，核查網(wǎng)絡(luò)傳輸數(shù)據(jù)是否是密文；

4）配置遠(yuǎn)程管理終端接入限制策略，通過不同的IP地址或IP段的終端遠(yuǎn)程訪問帶外管理模

塊，驗(yàn)證其限制策略是否有效。

b）預(yù)期結(jié)果：

1）對(duì)服務(wù)器帶外管理模塊開放的所有端口和服務(wù)列表，以及其用途進(jìn)行了完整、正確的說明;

2）未發(fā)現(xiàn)未經(jīng)申明的端口和服務(wù)；

3）采用了安全的網(wǎng)絡(luò)協(xié)議，并對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行了加密處理；

4）可對(duì)遠(yuǎn)程終端的接入進(jìn)行限制。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3安全保障要求測評(píng)

6.3.1開發(fā)

6.3.1.1安全架構(gòu)

安全架構(gòu)的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的安全架構(gòu)證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

1）與服務(wù)器設(shè)計(jì)文檔中對(duì)安全功能的描述范圍和抽象描述級(jí)別是否相一致；

2）是否充分描述服務(wù)器采取的自我保護(hù)、不可旁路的安全機(jī)制。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.1.1中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.1.2功能規(guī)范

功能規(guī)范的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的功能規(guī)范證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

1）是否清晰描述了與5.1中定義的安全功能要求的關(guān)系;

12

2）是否標(biāo)識(shí)和描述服務(wù)器所有安全功能接口的目的、使用方法及相關(guān)參數(shù)；

3）描述安全功能實(shí)施過程中，是否描述與安全功能接口執(zhí)行相關(guān)的行為；

4）是否描述可能由安全功能接口的執(zhí)行而引起的所有直接錯(cuò)誤消息。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.1.2中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.1.3產(chǎn)品設(shè)計(jì)

產(chǎn)品設(shè)計(jì)的測評(píng)方法如下：

a）測試實(shí)施包括：

核查開發(fā)者提供的產(chǎn)品設(shè)計(jì)證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

1）是否根據(jù)子系統(tǒng)描述服務(wù)器結(jié)構(gòu)，是否標(biāo)識(shí)和描述服務(wù)器安全功能的所有子系統(tǒng)；

2）是否描述安全功能所有子系統(tǒng)的行為，以及相互作用關(guān)系；

3）提供的對(duì)應(yīng)關(guān)系是否能夠證實(shí)安全子系統(tǒng)和安全功能接口的應(yīng)對(duì)關(guān)系。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.1.3中所述要求。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.2指導(dǎo)性文檔

6.3.2.1操作用戶指南

操作用戶指南的測評(píng)方法：

a）測評(píng)方法：

核查開發(fā)者提供的操作用戶指南證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所

有要求：

1）是否描述用戶能夠訪問的功能和特權(quán)，包含適當(dāng)?shù)木拘畔ⅲ?/p>

2）是否描述對(duì)預(yù)留的外部硬件接口說明，說明信息至少包括接口名稱、接口類型、功能等;

3）是否描述服務(wù)器安全功能及接口的用戶操作方法，包括配置參數(shù)的安全值：

4）是否標(biāo)識(shí)和描述服務(wù)器運(yùn)行的所有可能狀態(tài)，包括操作導(dǎo)致的失敗或者操作性錯(cuò)誤；

5）是否描述保障服務(wù)器運(yùn)行環(huán)境安全要求必須執(zhí)行的安全策略。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.2.1中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.2.2準(zhǔn)備程序

準(zhǔn)備程序的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的準(zhǔn)備程序證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

13

1）是否描述與開發(fā)者交付程序相一致的安全接收所交付服務(wù)器必需的所有步驟；

2）是否描述安全安裝服務(wù)器及其運(yùn)行環(huán)境必需的所有步驟。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.2.2中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.3生命周期支持

6.3.3.1配置管理能力

配置管理能力的測評(píng)方法如下：a）

測評(píng)方法：

核查開發(fā)者提供的配置管理能力證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所

有要求：

1）是否為不同版本的服務(wù)器引導(dǎo)固件和帶外管理模塊固件提供唯一的標(biāo)識(shí)；

2）配置管理系統(tǒng)是否對(duì)所有的配置項(xiàng)進(jìn)行唯一的標(biāo)識(shí)，并對(duì)配置項(xiàng)進(jìn)行維護(hù)；

3）配置管理文檔是否描述了對(duì)配置項(xiàng)進(jìn)行唯一標(biāo)識(shí)的方法；

4）是否能通過自動(dòng)化配置管理系統(tǒng)支持服務(wù)器配置項(xiàng)的生成，是否僅通過自動(dòng)化措施對(duì)配置

項(xiàng)進(jìn)行授權(quán)變更；

5）配置管理計(jì)劃是否描述了用來接受修改過的或新建的作為服務(wù)器組成部分的配置項(xiàng)的程序;

6）配置管理計(jì)劃是否描述如何使用配置管理系統(tǒng)開發(fā)服務(wù)器，現(xiàn)場核查活動(dòng)是否與計(jì)劃一致。

b）預(yù)期結(jié)果：

開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容滿足5.2.3.1中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.3.2配置管理范圍

配置管理范圍測評(píng)方法如下：

a）測試方法：

核查開發(fā)者提供的配置管理范圍證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所

有要求：

1）是否包括了服務(wù)器本身、服務(wù)器的組成部分和安全保障要求的評(píng)估證據(jù)；

2）是否對(duì)所有安全功能相關(guān)的配置項(xiàng)的開發(fā)者進(jìn)行簡要說明。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.3.2中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.3.3交付程序

交付程序的測評(píng)方法如下:

a）測評(píng)方法：

14

核查開發(fā)者提供的交付程序證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

1）是否使用一定的交付程序交付服務(wù)器；

2）是否使用文檔描述交付過程，文檔中是否包含為維護(hù)服務(wù)器安全性所必需的所有程序。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容滿足5.2.3.3中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.3.4開發(fā)安全

開發(fā)安全的測評(píng)方法如下：a）

測評(píng)方法：

核查開發(fā)者提供的開發(fā)安全證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有

要求：

1）開發(fā)安全文檔是否描述在開發(fā)環(huán)境中，為保護(hù)系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性所必需的

所有物理的、程序的、人員的和其他方面的安全措施。

2）核查產(chǎn)品的開發(fā)環(huán)境，開發(fā)者是否使用了物理的、程序的、人員的和其他方面的安全措

施保證產(chǎn)品設(shè)計(jì)和實(shí)現(xiàn)的保密性和完整性，這些安全措施是否得到了有效的執(zhí)行。

b）預(yù)期結(jié)果：

開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容滿足5.2.3.4中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.3.5生命周期定義

生命周期定義的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的生命周期定義證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式

的所有要求：

1）是否使用生命周期模型對(duì)服務(wù)器的開發(fā)和維護(hù)進(jìn)行的必要控制；

2）生命周期定義文檔是否描述了用于開發(fā)和維護(hù)服務(wù)器的模型。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息應(yīng)和現(xiàn)場活動(dòng)證據(jù)內(nèi)容滿足5.2.3.5中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.4測試

6.3.4.1測試覆蓋

測試覆蓋的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的測試覆蓋證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

1）核查開發(fā)者提供的測試覆蓋文檔，在測試覆蓋證據(jù)中，是否表明測試文檔中所標(biāo)識(shí)的測試

15

與功能規(guī)范中所描述的服務(wù)器的安全功能是對(duì)應(yīng)的；

2）核查開發(fā)者提供的測試覆蓋分析結(jié)果，是否表明功能規(guī)范中的所有安全功能接口都進(jìn)

行了測試。

b）預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.4.1中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.4.2測試深度

測試深度的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的測試深度證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有

要求：

1）核查開發(fā)者提供的測試深度分析，是否表明測試文檔中對(duì)安全功能的測試與服務(wù)器設(shè)計(jì)中

的安全功能子系統(tǒng)、實(shí)現(xiàn)模塊之間的一致性；

2）是否能夠證實(shí)所有安全功能子系統(tǒng)、實(shí)現(xiàn)模塊都已經(jīng)進(jìn)行過測試。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.4.2中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.4.3功能測試

功能測試的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的功能測試證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要

求：

1）核查開發(fā)者提供的測試文檔，是否包括測試計(jì)劃、預(yù)期的測試結(jié)果和實(shí)際測試結(jié)果；

2）核查測試計(jì)劃是否標(biāo)識(shí)了要執(zhí)行的測試，是否描述了每個(gè)安全功能的測試方案以及測試方案

對(duì)其他測試結(jié)果的依賴關(guān)系；

3）核查預(yù)期的測試結(jié)果是否表明測試成功后的預(yù)期輸出；

4）核查實(shí)際的測試結(jié)果是否表明每個(gè)被測試的安全功能能按照規(guī)定進(jìn)行運(yùn)作。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.4.3中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.4.4獨(dú)立測試

獨(dú)立測試的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的測試集合是否與其自測系統(tǒng)功能時(shí)使用的測試集合相一致，以用于安全功能的

抽樣測試，并核查開發(fā)者提供的資源是否滿足內(nèi)容形式的所有要求。

b）預(yù)期結(jié)果：

16

開發(fā)者提供的信息滿足5.2.4.4中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.4.5安全性測試

安全性測試的測評(píng)方法如下：a）

測試實(shí)施包括：

核查開發(fā)者提供的安全性測試證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所

有要求：

1）核查開發(fā)者是否使用文檔描述服務(wù)器引導(dǎo)固件、帶外管理模塊固件安全性測試；

2）核查安全性測試文檔是否描述了針對(duì)已識(shí)別的嚴(yán)重安全缺陷列表及修復(fù)情況。b）

預(yù)期結(jié)果：

開發(fā)者提供的信息滿足5.2.4.5中所述要求。

c）結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.5脆弱性評(píng)定

脆弱性評(píng)定的測評(píng)方法如下：

a）測評(píng)方法：

1）從攻擊者可能破壞安全策略的明顯途徑出發(fā)，按照安全機(jī)制定義的安全強(qiáng)度級(jí)別對(duì)服務(wù)器潛

在威脅進(jìn)行脆弱性分析；

2）通過滲透測試判斷服務(wù)器是否能抵抗基本攻擊潛力的攻擊者的攻擊；

3）通過滲透測試判斷服務(wù)器是否能抵抗中等攻擊潛力的攻擊者的攻擊。b）

預(yù)期結(jié)果：

1）滲透測試結(jié)果應(yīng)表明服務(wù)器能夠抵抗基本攻擊潛力的攻擊者的攻擊；

2）滲透測試結(jié)果應(yīng)表明服務(wù)器能夠抵抗中等攻擊潛力的攻擊者的攻擊。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

6.3.6維護(hù)

維護(hù)的測評(píng)方法如下：

a）測評(píng)方法：

核查開發(fā)者提供的維護(hù)證據(jù)，并核查開發(fā)者提供的信息是否滿足證據(jù)的內(nèi)容和形式的所有要求:

1）核查開發(fā)者提供的維護(hù)規(guī)范及維護(hù)過程證據(jù)，是否包含服務(wù)器安全缺陷、漏洞應(yīng)急響應(yīng)相關(guān)

的流程規(guī)范；

2）現(xiàn)場核查開發(fā)者發(fā)現(xiàn)服務(wù)器存在的安全缺陷、漏洞時(shí)，是否按照既定程序及時(shí)采取修復(fù)或替

代方案等補(bǔ)救措施。

b）預(yù)期結(jié)果：

開發(fā)者提供的信息和現(xiàn)場活動(dòng)證據(jù)內(nèi)容應(yīng)滿足5.2.6中所述要求。c）

結(jié)果判定：

實(shí)際測評(píng)結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

17

附錄A

（資料性附錄）

服務(wù)器操作系統(tǒng)安全要求

操作系統(tǒng)安全性配置不當(dāng)將直接影響服務(wù)器硬件系統(tǒng)安全效能。因此，為減小對(duì)服務(wù)器硬件系統(tǒng)安全

效能的影響，用戶在配置服務(wù)器操作系統(tǒng)時(shí)，建議從以下幾