信息安全技術(shù) 服務(wù)器安全技術(shù)要求和測評準則-編制說明

任務(wù)來源按照全國信息安全標準化技術(shù)委員會2018年信息安全標準項目立項通知（信安秘字[2018]028號），全國信息安全標準化技術(shù)委員會啟動了《信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評準則》的修訂工作。本標準將同時對GB/T21028-2007《信息安全技術(shù)服務(wù)器安全技術(shù)要求》和GB/T25063-2010《信息安全技術(shù)服務(wù)器安全測評要求》進行修訂，并將兩項標準修訂為一項標準。本標準修訂單位為浪潮電子信息產(chǎn)業(yè)股份有限公司、聯(lián)想（北京）有限公司、華為技術(shù)有限公司、曙光信息產(chǎn)業(yè)（北京）有限公司、中國信息通信研究院、公安部第三研究所、中國信息安全測評中心、中國電子技術(shù)標準化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、藍盾信息安全技術(shù)股份有限公司、杭州華三通信技術(shù)有限公司等，主辦單位為浪潮電子信息產(chǎn)業(yè)股份有限公司，歸口單位為全國信息安全標準化技術(shù)委員會（SAC/TC260）。編制背景服務(wù)器作為信息系統(tǒng)的重要組成部分，承載著數(shù)據(jù)和業(yè)務(wù)處理、存儲、傳輸?shù)热蝿?wù)，其安全性對于整個信息系統(tǒng)的安全至關(guān)重要。因此，2007年和2010年，我國相繼發(fā)布了GB/T21028-2007《信息安全技術(shù)服務(wù)器安全技術(shù)要求》和GB/T25063-2010《信息安全技術(shù)服務(wù)器安全測評要求》兩項服務(wù)器安全國家標準，為我國服務(wù)器安全建設(shè)起到積極的作用。但是，近來年，隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的廣泛使用，服務(wù)器作為其支撐平臺，其作用顯得更加重要。同時，網(wǎng)絡(luò)安全威脅也呈現(xiàn)下移趨勢，也越來越復(fù)雜性和多變，有效抵御威脅也面臨較大的挑戰(zhàn)。因此，在新的條件下，針對GB/T21028-2007《信息安全技術(shù)服務(wù)器安全技術(shù)要求》和GB/T25063-2010《信息安全技術(shù)服務(wù)器安全測評要求》兩項標準進行修訂就十分必要。按照《國家標準委關(guān)于印發(fā)<推薦性標準集中復(fù)審工作方案>的通知》（國標委綜合[2016]28號）要求，信安標委于2016年開展了集中復(fù)審工作，并將復(fù)審結(jié)論上報國標委，建議修訂78項信息安全國家標準，這兩項標準為需要修訂的國家標準之一。針對當前服務(wù)器安全相關(guān)內(nèi)容進行系統(tǒng)的梳理和分析，并進行標準化，其根本目的在于盡可能減少服務(wù)器自身的安全風險，提高業(yè)務(wù)運行和服務(wù)提供的安全性和可持續(xù)性。本標準修訂工作將吸取業(yè)界當前服務(wù)器安全領(lǐng)域最佳實踐、新技術(shù)突破及產(chǎn)品研制成果，對GB/T21028-2007《信息安全技術(shù)服務(wù)器安全技術(shù)要求》和GB/T25063-2010《信息安全技術(shù)服務(wù)器安全測評要求》進行修訂，形成一項標準《信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評準則》，主要對服務(wù)器安全功能安全求和安全保障要求及相應(yīng)測評準則進行了規(guī)范。編制原則本標準根據(jù)當前產(chǎn)業(yè)界服務(wù)器安全最佳實踐，結(jié)合新技術(shù)發(fā)展和國內(nèi)實際應(yīng)用情況，提出適合于我國國情，具有較強可操作性的服務(wù)器安全標準。通過該標準的修訂及實踐，提升服務(wù)器自身安全能力，為服務(wù)器研制、生產(chǎn)、維護和測評提供指導(dǎo)。本標準的修訂遵循以下原則：符合性：應(yīng)符合國家有關(guān)政策法規(guī)的要求；兼容性：應(yīng)與已頒布實施的相關(guān)安全標準相協(xié)調(diào)；先進性：充分考慮我國服務(wù)器實際安全技術(shù)水平和發(fā)展應(yīng)用，并保持一定的前瞻性。適用性：應(yīng)結(jié)合產(chǎn)業(yè)對服務(wù)器安全實際應(yīng)用需求中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；簡要過程說明本標準為自主修訂，主要工作內(nèi)容是將GB/T21028-2007《信息安全技術(shù)服務(wù)器安全技術(shù)要求》和GB/T25063-2010《信息安全技術(shù)服務(wù)器安全測評要求》技術(shù)內(nèi)容修訂為符合服務(wù)器產(chǎn)業(yè)實際需要的安全要求。在本標準項目啟動時已經(jīng)組建了一個申報小組，成員單位有浪潮電子信息產(chǎn)業(yè)股份有限公司、聯(lián)想（北京）有限公司、華為技術(shù)有限公司、曙光信息產(chǎn)業(yè)（北京）有限公司、中國信息通信研究院、公安部第三研究所、中國信息安全測評中心、中國電子技術(shù)標準化研究院。在2017年11月至2018年2月組織兩次集中討論、以及小范圍溝通，形成修訂申報材料，包括申報書、建議書和標準草案。2018年4月參加信安標委2018年第一次會議周提出修訂立項建議，于2018年7月在信安標委正式立項，新立項的標準修訂計劃包括對GB/T21028-2007《信息安全技術(shù)服務(wù)器安全技術(shù)要求》和GB/T25063-2010《信息安全技術(shù)服務(wù)器安全測評要求》的修訂。2018年8月信安標委下達標準計劃任務(wù)后，浪潮電子信息產(chǎn)業(yè)股份有限公司牽頭組織首次標準草案意見討論，由參編單位針對標準范圍的修改和標準內(nèi)容的擴展進行討論，并組織參編單位進行標準草案的意見反饋。2018年9月，標準修訂組經(jīng)多次討論修改形成標準草案討論稿V2.0。2018年9月27日，浪潮電子信息產(chǎn)業(yè)股份有限公司牽頭組織標準編制會，與聯(lián)想（北京）有限公司、華為技術(shù)有限公司、中國信息通信研究院、中國電子技術(shù)標準化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、藍盾信息安全技術(shù)股份有限公司、杭州華三通信技術(shù)有限公司等參編單位共同討論標準范圍、框架、技術(shù)要求內(nèi)容，并針對立項階段的專家意見進行內(nèi)容修改，會后形成標準草案討論稿V3.0。2018年10月15日，標準修訂組參加信安標委WG5組織的專家審查會，收集專家意見，并針對專家意見修改形成標準草案V3.3。2018年10月24日，標準修訂組參加信安標委在青島召開的2018年第二次工作組“會議周”，收集WG5工作成員及專家的意見，并針對專家意見修改形成標準征求意見稿V1.1。2018年11月21日，標準修訂組參加信安標委WG5在北京召開的專家審查會，收集相關(guān)專家的意見，并針對專家意見修改形成標準征求意見稿V1.2及配套的意見處理表和編制說明。標準結(jié)構(gòu)本標準總體上將服務(wù)器安全技術(shù)要求分為安全功能要求和安全保障要求兩部分，并根據(jù)安全功能的強弱和安全保障的高低對安全技術(shù)要求進行了安全等級劃分，即分為基本級和增強級兩個等級，最后針對安全技術(shù)要求提出了相應(yīng)的測評準則。具體結(jié)構(gòu)如下：服務(wù)器安全技術(shù)要求安全功能要求：設(shè)備標簽、硬件接口安全、固件安全（包含完整性保護、更新安全、固件恢復(fù)）、軟件安全、可靠運行支持、安全管理（包含身份標識與鑒別、授權(quán)與訪問控制、安全審計、遠程管理）安全保障要求：安全管理制度和組織、開發(fā)、指導(dǎo)性文檔、生命周期支持、測試、脆弱性評定、維護安全測評準則本標準與GB/T21028-2007《信息安全技術(shù)服務(wù)器安全技術(shù)要求》和GB/T25063-2010《信息安全技術(shù)服務(wù)器安全測評要求》相比，主要修訂內(nèi)容如下：將原兩項標準合并為一項。大幅度增加固件安全及自身安全管理相關(guān)內(nèi)容，主要原因一是當前針對服務(wù)器高級安全威脅主要目標為服務(wù)器引導(dǎo)固件及帶外管理模塊固件及其他重要部件中的固件，一旦遭受惡意代碼攻擊，對整個服務(wù)器安全帶來極大的危害，急需加強這些方面的安全；二是GB/T21028-2007針對固件安全及自身設(shè)備的管理安全考慮得極少。此部分主要修改的內(nèi)容如下：保留原標準4.1.1設(shè)備標簽部分，刪除了原標準部件標簽條款；保留并修訂了原標準4.1.2設(shè)備可靠運行支持部分，并把原標準4.1.3設(shè)備工作狀態(tài)監(jiān)控整合到該部分，見本標準5.1.5可靠運行支持；刪除原標準4.1.4設(shè)備電磁防護、4.2.1安全監(jiān)控、4.2.3惡意代碼防護、4.2.4備份與故障恢復(fù)、4.2.6可信時間戳等章節(jié)；新增了5.1.2硬件接口安全、5.1.3固件安全部分；新增了固件安全管理部分，并從固件管理的實際安全需求出發(fā)，將原本標準4.3數(shù)據(jù)安全章節(jié)相關(guān)內(nèi)容和4.2.2安全審計相關(guān)內(nèi)容進行了裁剪和修改，并整合到該部分；該部分主要從身份標識與鑒別、授權(quán)與訪問控制、安全審計、遠程管理等方面提出更合理的安全功能要求。大幅度減少操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用系統(tǒng)的安全內(nèi)容，主要原因為這些軟件系統(tǒng)目前已有成熟的國標可以采用。此部分主要修改的內(nèi)容如下：刪除4.3數(shù)據(jù)安全章節(jié)，整體調(diào)整為引用操作系統(tǒng)和數(shù)據(jù)庫的標準；刪除了應(yīng)用系統(tǒng)相關(guān)內(nèi)容；規(guī)范性引用文件增加操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的引用。安全保障要求部分主要參考了GB/T18336.3-2015，并在此基礎(chǔ)上增加安全管理制度和組織、維護等內(nèi)容，主要原因一是原參考標準GB/T20271-2006標齡已較長，參考GB/T18336.3-2015對于本標準更合適；二是增加的安全管理制度和組織、維護等內(nèi)容為網(wǎng)絡(luò)安全法提出了相應(yīng)的要求，同時，只有建立有效的安全管理制度和組織才能真正保證安全保障活動開展的質(zhì)量和可持續(xù)性。將GB/T21028-2007原劃分為五個等級調(diào)整為兩個等級，即基本級和增強級。劃分兩個等級主要是結(jié)合服務(wù)器安全技術(shù)發(fā)展情況及應(yīng)用需求，增強了標準的適用性和可操作性，可有效降低產(chǎn)業(yè)成本。劃分的依據(jù)：在安全功能方面的分級方面，基本級主要參考了網(wǎng)絡(luò)安全等級保護相關(guān)標準中第一級和第二級的相關(guān)功能要求，增強級主要參考第三級的相關(guān)要求；在安全保障方面的分級方面，基本級主要參考了GB/T18336.3-2015EAL1、EAL2的要求，增強級主要參考了GB/T18336.3-2015EAL3的要求。專利說明無。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系本標準符合現(xiàn)有法律法規(guī)的要求。本標準與現(xiàn)有國家標準不矛盾、不沖突，也不重復(fù)。重大分歧意見的處理經(jīng)過和依據(jù)本標準編制過程中未出現(xiàn)重大分歧。其他詳見意見匯總處理表。國家標準作為強制性國家標準或推薦性國家標準的建議建議作為推薦性國家標準發(fā)布實施。貫徹國家標準的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法等內(nèi)容）該標準為服務(wù)器研制、生產(chǎn)、維護和測評提供了指導(dǎo)。該標準在具體貫徹實施時，可要求相關(guān)測評認證機構(gòu)采用該標準作為服務(wù)器的測評依據(jù)，如可使用在政府采購設(shè)備的準入測試，網(wǎng)絡(luò)安全等級保護制度下不同保護等級的信息系統(tǒng)對服務(wù)器安全的選型測評，《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄（第一批）》中服務(wù)器測評和認證，國內(nèi)相關(guān)單