GBT 21028-2007 信息安全技术 服务器安全技术要求

根据不同安全等级对设备可靠运行支持的不同要求，可靠运行支持分为： 基本运行支持：服务器硬件配置应满足软件系统基本运行的要求，关键部件应有数据校验 能力； b） 安全可用支持：服务器硬件配置应满足安全可用的要求，关键部件均安全可用； ) 不间断运行支持：为满足服务器不间断运行要求，关键部件应具有容错、穴余或热插拔等安全 功能，服务器应按照业务连续性要求提供双机互备的能力

4.1.3设备工作状态监控

构成服务器的关键部件，包括电源、风扇、机箱、磁盘控制等应具备可管理接口学校标准，通过该接口或其他

施收集硬件的运行状态，如处理器工作温度、风扇转速、系统核心电压等，并对其进行实时监控， 测数值超过预先设定的故障阈值时，提供报警、状态恢复等处理

4. 1.4设备电磁防护

应根据电磁防护强度与服务器安全保护等级相匹配的原则，按国家有关部门的规定分等级实施。 4.2运行安全

4. 2. 1安全监搁

根据不同安全等级对服务器主机安全监控的不同要求，主机安全监控分为： a）提供服务器硬件、软件运行状态的远程监控功能； b）对命令执行、进程调用、文件使用等进行实时监控，在必要时应提供监控数据分析功能

1.2.1.2网络安全监控

服务器应在其网络接口部件处对进出的网络数据流进行实时监控。根据不同安全等级对网络安全 监控的不同要求，网络安全监控应： a）不依赖于服务器操作系统，且不因服务器出现非断电异常情况而不可用； b) 对进出服务器的网络数据流，按既定的安全策略和规则进行检测； c）支持用户自定义网络安全监控的安全策略和规则； 具有对网络应用行为分类监控的功能，并根据安全策略提供报警和阻断的能力； 提供集中管理功能，以便接收网络安全监控集中管理平台下发的安全策略和规则，以及向网络 安全监控集中管理平台提供审计数据源。

4. 2. 2 安全审计

安全审计SSF应按以下要求响应审计事件： a）审计日志记录：当检测到有安全侵害事件时，将审计数据记人审计日志； b 实时报警生成：当检测到有安全侵害事件时，生成实时报警信息，并根据报警开关的设置有选 择地报警； c）违例进程终止：当检测到有安全侵害事件时，将违例进程终止； d）服务取消：当检测到有安全侵害事件时，取消当前的服务； e) 用户账号断开与失效：当检测到有安全侵害事件时，将当前的用户账号断开，并使其失效。

4.2.2.2安全审计数据产生

安全审计SSF应按以下要求产生审计数据： a）为下述可审计事件产生审计记录： 一一审计功能的开启和关闭； 一使用身份鉴别机制； 一将客体引人用户地址空间（例如：打开文件、程序初始化）； 删除客体； 一系统管理员、系统安全员、审计员和一般操作员所实施的操作； 一其他与系统安全有关的事件或专门定义的可审计事件。 b）对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及 其他与审计相关的信息。 对于身份鉴别事件，审计记录应包含请求的来源（例如：末端标识符）。 d）对于客体被引人用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安 全级。

4. 2.2.3安全审计分析

根据不同安全等级对安全审计分析的不同要求，安全审计分析分为： a）潜在侵害分析：用一系列规则监控审计事件，并根据这些规则指出对SSP的潜在侵害。这些 规则包括： 由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合； 任何其他的规则。 b）基于异常检测的描述：维护用户所具有的质疑等级一历史使用情况，以表明该用户的现行 活动与已建立的使用模式的一致性程度。当用户的质疑等级超过阅值条件时，能指出将要发 生对安全性的威胁。 c) 简单攻击探测：能检测到对SSF的实施有重大威胁的签名事件的出现。为此，SSF应维护指 出对SSF侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当 发现两者匹配时，指出一个对SSF的攻击即将到来。 d 复杂攻击探测：在上述简单攻击探测的基础上，能检测到多步人侵情况，并根据已知的事件序 列模拟出完整的入侵情况，指出发现对SSE的潜在侵害的签名事件或事件序列的时间。

4.2.2.4安全审计查阅

根据不同安全等级对安全审计查阅的不同要求，安全审计查阅分为： a）基本审计查阅：提供从审计记录中读取信息的能力，即为授权用户提供获得和解释审计信息的 能力。当用户是人时，必须以人类可懂的方式表示信息；当用户是外部IT实体时，必须以电子 方式无歧义地表示审计信息。 b）有限审计查阅：在基本审计查阅的基础上，应禁止具有读访问权限以外的用户读取审计信息。 可选审计查阅：在有限审计查阅的基础上，应具有根据准则来选择要查阅的审计数据的功能， 并根据某种逻辑关系的标准提供对审计数据进行搜索、分类、排序的能力。

4. 2. 2.5 安全审计事件

应根据以下属性选择可审计事件： a）客体身份、用户身份、主体身份、主机身份、事件类型； b）作为审计选择性依据的附加属性。

应根据以下属性选择可审计事件：

4. 2. 2. 6 安全审计事件

a）： 受保护的审计踪迹存储：审计踪迹的存储受到应有的保护，能检测或防止对审计记录的修改； 审计数据的可用性确保：在意外情况出现时，能检测或防止对审计记录的修改，以及在发生审 计存储已满、存储失败或存储受到攻击时，确保审计记录不被破坏； c) 审计数据可能丢失情况下的措施：当审计跟踪超过预定的门限时，应采取相应的措施，进行审 计数据可能丢失情况的处理； d) 防止审计数据丢失：在审计踪逐存储记满时，应采取相应的防止审计数据丢失的措施，可选择 “忽略可审计事件”、“阻止除具有特殊权限外的其他用户产生可审计事件”、“覆盖已存储的最 老的审计记录”和“一目审计存储失败所采取的其他行动”等措施，防止审计数据丢失。

4.2.3恶意代码防护

根据不同安全等级对恶意代码防护的不同要求，恶意代码防护分为： ） 主机软件防护：应在服务器中设置防恶意代码软件，对所有进人服务器的恶意代码采取相应的 防范措施，防止恶意代码侵袭； 6） 整体防护：主机软件防护应与防恶意代码集中管理平台协调一致，及时发现和清除进入系统 内部的恶意代码。

4.2.4备份与故障恢复

为了实现服务器安全运行，需要在正常运行时定期地或按某种条件进行适当备份，并在发生故障时 行相应恢复的功能，根据不同安全等级对备份与故障恢复的不同要求，服务器的备份与恢复功能 为： a) 用户自我信息备份与恢复：应提供用户有选择地对操作系统、数据库系统和应用系统中重要信 息进行备份的功能；当由于某种原因引起系统故障时，应能提供用户按自我信息备份所保留的 备份信息进行恢复的功能； b） 增量信息备份与恢复：提供定时对操作系统、数据库系统和应用系统中新增信息进行备份的 功能；当由于某种原因引起系统中的某些信息丢失或破坏时，提供用户按增量信息备份所保留 的信息进行信息恢复的功能； 局部系统备份与恢复：应提供定期对操作系统、数据库系统和应用系统中的某些重要的局部系 统的运行状态进行备份的功能；当由于某种原因引起系统某一局部发生故障时，应提供用户按 局部系统备份所保留的运行状态进行局部系统恢复的功能； d）全系统备份与恢复：应提供对重要的服务器的全系统运行状态进行备份的功能；当由手某种 原因引起服务器全系统发生故障时，应对用户按全系统备份所保留的运行状态进行全系统恢 复提供支持； e) 紧耦合集群结构：对关键服务器采用多服务器紧耦合集群结构，确保其中某一个服务器发生故 障中断运行时，业务应用系统能在其余的服务器上不间断运行： f): 异地备份与恢复：对关键的服务器，应根据业务连续性的不同要求，设置异地备份与恢复功能 确保服务器因灾难性故障中断运行时，业务应用系统能在要求的时间范围内恢复运行。

4.2.5可信技术支持

通过在服务器上设置基于密码的可信技术支持模块，为在服务器上建立从系统引导、加载直到 务的可信任链，确保各种运行程序的真实性，并对服务器用户的身份鉴别、连接设备的鉴别，以及 码机制实现数据的保密性、完整性保护等安全功能提供支持，

4.3.1.1用户标识与鉴别

根据不同安全等级对用户标识与鉴别的不同要求，用户标识分为： a）基本标识：应在SSF实施所要求的动作之前，先对提出该动作要求的用户进行标识； b）唯一性标识：应确保所标识用户在服务器生存周期内的唯一性，并将用户标识与安全审计相 关联； c）标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。

4. 3. 1. 1. 2 用户鉴别

GB/T 21028—2007

机制有关的鉴别数据的重用； d 多机制鉴别：应提供不同的鉴别机制，用于鉴别特定事件的用户身份，并根据不同安全等级所 描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份； e 重新鉴别：应有能力规定需要重新鉴别用户的事件，即在需要重新鉴别的条件成立时，对用户 进行重新鉴别。例如，终端用户操作超时被断开后，重新连接时需要进行重鉴别；

4. 3. 1. 1. 3鉴别失败处理

应采取的动作。鉴别失败的处理应包括检测出现相关的不成功鉴别尝试的次数与所规定的数目相同的 情况并进行预先定义的处理。

4.3.1.2用户一主体绑定

4.3.2自主访问控制

SSF应按确定的自主访问控制安全策略进行设计，实现对策略控制下的主体对客体操作的控 以有多个自主访问控制安全策略，但它们必须独立命名，且不能相互冲突。常用的自主访问控制第 ：访问控制表访问控制、自录表访问控制等。

4. 3. 2. 2 访问控制功能

SSF应实现采用一条命名的访问控制策略的特定功能，说明策略的使用和特 范围。 无论采用何种自主访问控制策略，SSF应有能力提供： 在安全属性或命名的安全属性组的客体上，执行访问控制SFP； 在基于安全属性的允许主体对客体访问的规则的基础上，允许主体对客体的访问； 在基于安全属性的拒绝主体对客体访问的规则的基础上，拒绝主体对客体的访问。

4.3.2.3访问控制范围

根据不同安全等级对自主访问控制的不同要求，自主访问控制的覆盖范围分为： a）： 子集访问控制：要求每个确定的自主访间控制，SSF应覆盖由安全系统所定义的主体、客体及 其之间的操作； b 完全访问控制：要求每个确定的自主访问控制，SSF应覆盖服务器中所有的主体、客体及其之 间的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的所有操作将至少 被一个确定的访问控制SFP覆盖。

4.3.2.4访问控制粒度

根据不同安全等级对访问控制的不同要求，自主访问控制的粒度分为： a）粗粒度：主体为用户/用户组级，客体为文件、数据库表级； b）中粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段级； c）细粒度：主体为用户级，客体为文件、数据库表级和/或记录、字段/元素级。

4. 3 3. 1主体标词

分类和非等级类别组合的敏感标记是实施多级安 全模型的础

4. 3. 3 2 客体标记

4. 3. 3.3标记的输出

GB/T 21028—2007

4.3.3.4标记的输入

4.3.4强制访问控制

4.3.4强制访问控制

.3.4.1访问控制策略

强制访问控制策略应包括策略控制下的主体、客体，及由策略覆盖的被控制的主体与 作。可以有多个访问控制安全策略，但它们必须独立命名，且不能相互冲突。当前常见的强制访问控制 策略有： a 多级安全模型：基本思想是，在对主、客体进行标记的基础上，SSOS控制范围内的所有主体对 客体的直接或间接的访问应满足： 向下读原则：仅当主体标记中的等级分类高于或等于客体标记中的等级分类，且主体标记 中的非等级类别包含了客体标记中的全部非等级类别，主体才能读该客体； 一向上写原则：仅当主体标记中的等级分类低于或等于客体标记中的等级分类，且主体标记 中的非等级类别包含于客体标记中的非等级类别，主体才能写该客体。 b）基于角色的访问控制（BRAC)：基本思想是，按角色进行权限的分配和管理；通过对主体进行 角色授予，使主体获得相应角色的权限；通过撤消主体的角色授予，取消主体所获得的相应角 色权限。在基于角色的访问控制中，标记信息是对主体的授权信息。 特权用户管理：基本思想是，针对特权用户权限过于集中所带来的安全隐患，对特权用户按最 小授权原则进行管理。实现特权用户的权限分离；仅授予特权用户为完成自身任务所需要的 最小权限，

4. 3.4.2 访问控制功能

SSF应明确指出采用一条命名的强制访问控制策略所实现的特定功能。SSF应有能力提供： 在标记或命名的标记组的客体上，执行访问控制SFP； 按受控主体和受控客体之间的允许访问规则，决定允许受控主体对受控客体执行受控操作

一一按受控主体和受控客体之间的拒绝访问规则，决定拒绝受控主体对受控客体执行受控操作

4.3.4.3访问控制范围

根据不同安全等级对强制访问控制范围的不同要求，强制访问控制的覆盖范围分为： a）子集访问控制：对每个确定的强制访问控制，SSF应覆盖服务器中由安全功能所定义的主体 客体及其之间的操作； b 完全访问控制：对每个确定的强制访问控制，SSF应覆盖服务器中所有的主体、客体及其之间 的操作，即要求SSF应确保SSC内的任意一个主体和任意一个客体之间的操作将至少被一个 确定的访问控制SFP覆盖，

4.3.4.4访问控制粒度

根据不同安全等级对强制访问控制粒度的不同要求，强制访问控制的粒度分为： a）中粒度：主体为用户级客为文件、数据库表级和/或记录：字段级； b）细粒度：主体为用房级客体为文件、数据库表级和/或记录、字段和/或元素级

4.3.4.5访问控制环填

强制访问控制应考虑以下不同的系统运行环境： a 单一安全域环境在单一安全域环境实施的强制访问控制应在该环境中维持统一的标记信息 和访问规则；当被控客体输出到安全域以外时，应将其标记信息同时输出； b 多安全域环境在多安全域环境实施统一安全策略的强制访问控制时，应在这些安全域中维 持统一的标记信息和访问规则；当被控制客体在这些安全域之间移动时，应将其标记信息一起 移动。

应对存储在SSC内的用户数据进行完整性保护。根据不同安全等级对用户数据完整性保护的不 同要求，存储数据的完整性分为： a）完整性检测：SS应对存储在SSC内的用户数据在读取操作时进行完整性检测，以发现数据 完整性被破坏的况； b） 完整性检测和恢复：SSF应对存储在SSC内的用户数据在读取操作时进行完整性检测，并在 检测到完整性错误旺采取必要的恢复措施

4.3.5.2传输数据的完整性

当用户数据在SSF和SSF间传输时应提供完整性保护。根据不同安金等级对用户数据完整性保 护的不同要求，传输数据的完整性分为： 完整性检：SSF应对服务器内部传输的用户数据进行完整性检测，及时发现以某种方式传送 或接收的用户数据被篡改、删除、插人等情况发生； 完整性检测和恢复：SSF应对服务器内部传输的用户数据进行完整性检测，及时发现以某种 方式传送或接收的用户数据被篡改、删除、插入等情况发生，并在检测到完整性错误时，采取必 要的恢复措施。

4.3.5.3处理数据的完整性

对服务器中处理的数据，应通过“回退”进行完整性保护，即SSF应执行数据处理完整性SFP，以允 许对所定义的操作序列进行回退

4.3. 6 数据保密性

对存储在SSC内的用户数据，应根据不同数据类型的不同保密性要求，进行不同程度的保密性保 护，确保除具有访间权限的合法用户外，其余任何用户不能获得该数据。

4.3.6.2传输数据保密性保护

对在不同SSF之间或不 ，应根据不同数据类型的 要求，进行不同程度的保密性保护 中不被泄漏和窃取。

4.3.6.3客体安全重用

在对资源进行动态管理的系统中，客体资源（寄存器、内存、磁盘等记录介质）中的剩余信息不应引 起信息的泄漏。根据不同安全等级对用户数据保密性保护的不同要求，客体安全重用分为： a）子集信息保护：由SSOS安全控制范围之内的某个子集的客体资源，在将其释放后再分配给某 一用户或代表该用户运行的进程时，应不会泄漏该客体中的原有信息 b）完全信息保护：由SSOS安全控制范围之内的所有客体资源，在将其释放后再分配给某一用户 或代表该用户运行的进程时，应不会泄漏该客体中的原有信息； 特殊信息保护：在完全信息保护的基础上，对于某些需要特别保护的信息，应采用专门的方法 对客体资源中的孕

4. 3.7数据流控制

在以数据流方式实现数据流动的服务器中，应采用数据流控制机制实现对数据流动的安全控制 止具有高等级安全的数据信息向低等级的区域流动

用户与SSF间的可信路径应： a）提供真实的端点标识，并保护通信数据免遭修改和泄漏； b）利用可信路径的通信可以由SSF自身、本地用户或远程用户发起 c）对原发用户的鉴别或需要可信路径的其他服务均使用可信路径。

5服务器安全分等级要求

5.1第一级：用户自主保护级

5. 1. 1 安全功能要求

5.1.1.1硬件系统

5. 1. 1. 1 硬件系统

5. 1. 1. 1. 1 设备标签

按4.1.1中设备标签的要求，设计和实现服务器设备标签的安全功能， 5. 1. 1. 1.2设备可靠运行支持

1.1.2设备可靠运行支

按4.1.2中基本运行支持的要求，设计和实现服务器设备可靠运行支持的安全功能，服务器硬 配制应满足软件系统运行的要求，关键部件（包括CPU、内存等）应具有数据校验功能。

5. 1. 1. 1 3设备电磁防护

按4.1.4的要求，设计和实现服务器设备电磁防护功能，防止电磁信息泄漏，以及屏蔽外界 扰

5.1.1.2操作系统

按GB/T20272一2006中4.1.1的要求，从以下方面来设计、实现或选购用户自主保护级服务器所 需要的操作系统： a）身份鉴别：根据4.3.1的描述，确保登录操作系统的用户身份的唯一性和真实性； b）自主访问控制：根据4.3.2的描述，对操作系统的访问进行控制，允许合法操作，拒绝非法 操作；

5. 1. 1.3数据库管理系统

按GB/T20273一2006中5.1.1的要求，从以下方面来设计、实现或选购用户自主保护级服务号 要的数据库管理系统：

身份鉴别：根据4.3.1的描述，确保登录数据库管理系统的用户身份的唯一性和真实性； 自主访问控制：根据4.3.2的描述，对数据库管理系统的访问进行控制，允许合法操作，拒绝非 法操作； C) 数据完整性：根据4.3.5的描述，对数据库管理系统内部传输的用户数据应提供保证用户数据 完整性的功能。

5.1.1.4应用系统

根据4.3.1的描述，按GB/T20271~2006中6.1.3.1的要求，从以下方面设计和实现应用系统的 身份鉴别功能： a）身份标识：凡需进入应角系统的用，应先进行标识（建立账号）应用系统的用户标识一般使 用用户名或用户标识符（ID）； b）： 身份鉴别：采用口签进行鉴别，并在每次用户登录应用系统时进行鉴别；口令应是不可见的， 并在存储时有安全保护；对注册到应用系统中的用户，应通过用户一主体绑定功能将用户与为 其服务的主体相关联。

1.1.4.2自主访间制

根据4.3.2的描述，按GB/T202712006中6.1.3.2的要求，从以下方面设计和实现应用系统的 自主访问控制功能： a）允许命名用户以用户和/或用户组的身份规定控制对客体的共享，并阻止非授权用户对客体的 共享； b)自主访间控谢的粒度应是粗粒度,

5. 1. 1. 4. 3数据穿整性

根据4.3.5的描迷，按GB/T20271一2006中6.1.3.3的要求，设计和实现应用系统的数 功能，对应用系统内部进行的数据传输，如进程间的通信，应保证其完整性。 5. 1. 1.5运行安金

5. 1. 1. 5. 1 恶意代码防护

5.1.1.5.1恶意代码防护 按4.2.3中主机款防护的要求，设计和实现恶意代码防护功能。 5.1.1.5.2备份与故障恢 按4.2.4中用户自裁值息备份与恢复的要求，设计和实现服务器备份与故障恢复的功能

5.1.2安全保证要求

6.1.2.2SSOS设计和实

配置管理：按GB/T20271一2006中6.1.5.1的要求，实现服务器用户自主保护级的配置 管理：

b）分发和操作：按GB/T20271一2006中6.1.5.2的要求，实现服务器用户自主保护级的分发和 操作； c 开发：按GB/T20271一2006中6.1.5.3的要求，实现服务器用户自主保护级的开发； d）指导性文档：按GB/T202712006中6.1.5.4的要求，实现服务器用户自主保护级的指导性 文档； e) 生命周期支持：按GB/T20271一2006中6.1.5.5的要求，实现服务器用户自主保护级的生命 周期支持； f）测试.按GB/T202712006中6.1.5.6的要求，实现服务器用户自主保护级的测试

5.1.2.3SSOS安全管理

第二级：系统审计保护红

5. 2. 1 安全功能要求

5. 2. 1. 1 硬件系统

5. 2. 1. 1. 1设备标签

5.2.1.1.2设备可靠运行支持

.1.2中基本运行支持和安全可用支持的要求公差标准，设计和实现服务器设备可靠运行支持的安全功 器硬件最低配制应满足软件系统运行的要求；关键部件（包括硬盘、主板、内存、处理器、网卡等） 示签配合，保证其安全性，以防止更换和取走；机箱面板应提供保护措施，如加锁保护。

5.2.1.1.3设备电磁防护

按4.1.4的要求，设计和实现服务器设备电磁防护功能，防止电磁信息泄漏，以及屏蔽外界电磁 干扰。

5. 2. 1. 2 操作系统

按GB/T20272一2006中4.2.1的要求灌注桩标准规范范本，从以下方面来设计、实现或选购系统审计保护级服务器所 需要的操作系统： a）身份鉴别：根据4.3.1的描述，确保登录操作系统的用户身份的唯一性和真实性 b）自主访问控制：根据4.3.2的描述，对操作系统的访问进行控制，允许合法操作，拒绝非法 操作； 安全审计：根据4.2.2的描述，提供操作系统安全审计功能； d）数据完整性：根据4.3.5的描述，对操作系统内部存储、处理和传输的用户数据应提供保证用 户数据完整性的功能；

5.2.1.3数据库管理系统

按GB/T20273一2006中5.2.1的要求，从以下方面来设计、实现或选购系统审计保护级服务器所 要的数据库管理系统： a）身份鉴别：根据4.3.1的描述，确保登录数据库管理系统的用户身份的唯一性和真实性； b) 自主访问控制：根据4.3.2的描述，对数据库管理系统的访问进行控制，允许合法操作，拒绝非 法操作； c） 安全审计：根据4.2.2的描述，提供数据库管理系统安全审计功能； d）数据完整性：根据4.3.5的描述，对数据库管理系统内部存储、处理和传输的用户数据应提供 保证用户数据完整性的功能； 数据保密性：根据4.3.6的描述，设计和实现数据库管理系统的用户数据保密性保护功能，