GB/T 39680-2020信息安全技术服务器安全技术要求和测评准则

ICS35040

L80.

中华人民共和国国家标准

GB/T39680—2020

代替

GB/T21028—2007,GB/T25063—2010

信息安全技术

服务器安全技术要求和测评准则

Informationsecuritytechnology—

Techniquerequirementsandevaluationcriteriaforserversecurity

2020-12-14发布2021-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T39680—2020

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

概述

4………………………2

安全技术要求

5……………2

安全功能要求

5.1………………………2

设备标签

5.1.1………………………2

硬件接口安全

5.1.2…………………2

固件安全

5.1.3………………………2

驱动程序安全

5.1.4…………………3

可靠运行支持

5.1.5…………………3

自身安全管理

5.1.6…………………3

安全保障要求

5.2………………………4

开发

5.2.1……………4

指导性文档

5.2.2……………………4

生命周期支持

5.2.3…………………5

测试

5.2.4……………5

脆弱性评定

5.2.5……………………6

维护

5.2.6……………6

安全测评准则

6……………6

测试环境

6.1……………6

安全功能要求测评

6.2…………………7

设备标签

6.2.1………………………7

硬件接口安全

6.2.2…………………7

固件安全

6.2.3………………………8

驱动程序安全

6.2.4…………………9

可靠运行支持

6.2.5…………………9

自身安全管理

6.2.6…………………10

安全保障要求测评

6.3…………………12

开发

6.3.1……………12

指导性文档

6.3.2……………………13

生命周期支持

6.3.3…………………13

Ⅰ

GB/T39680—2020

测试

6.3.4……………15

脆弱性评定

6.3.5……………………17

维护

6.3.6……………17

附录资料性附录服务器操作系统安全要求

A()………18

附录资料性附录服务器安全技术要求分级表

B()……………………19

参考文献

……………………20

Ⅱ

GB/T39680—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术服务器安全技术要求和信

GB/T21028—2007《》GB/T25063—2010《

息安全技术服务器安全测评要求与和相比主要技术变

》,GB/T21028—2007GB/T25063—2010,

化如下

:

整合了和两项标准内容修改标准名称为信息安全

———GB/T21028—2007GB/T25063—2010,《

技术服务器安全技术要求和测评准则

》;

修改了服务器安全等级划分由原来的五级调整为基本级和增强级见第章

———,(5,GB/T21028—

的第章和的第章第章

20075GB/T25063—20104~8);

增加了安全功能要求中的固件安全技术要求和对应的测评准则见和

———(5.1.36.2.3);

增加了安全功能要求中的自身安全管理安全技术要求和对应的测评准则见和

———(5.1.66.2.6);

修改了操作系统安全技术要求见附录的

———(A,GB/T21028—20075.1.1.2、5.2.1.2、5.3.1.2、5.4.

和的

1.2、5.5.1.2GB/T25063—20104.2、5.2、6.2、7.2);

删除了数据库管理系统的具体安全要求和相应的测评要求见的

———(GB/T21028—20075.1.1.3、

和的

5.2.1.3、5.3.1.3、5.4.1.3、5.5.1.3GB/T25063—20104.3、5.3、6.3、7.3);

删除了应用系统的具体安全要求和相应的测评要求见的

———(GB/T21028—20075.1.1.4、5.2.1.

和的

4、5.3.1.4、5.4.1.4、5.5.1.4GB/T25063—20104.4、5.4、6.4、7.4)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位浪潮电子信息产业股份有限公司联想北京有限公司华为技术有限公司新华

:、()、、

三技术有限公司中国信息通信研究院蓝盾信息安全技术股份有限公司中国网络安全审查技术与认

、、、

证中心中国电力科学研究院公安部第三研究所中国信息安全测评中心中国电子技术标准化研究

、、、、

院国家计算机网络与信息安全管理中心曙光信息产业北京有限公司苏州浪潮智能科技有限公司

、、()、。

本标准主要起草人张东刘刚李汝鑫庞婷万晓兰张治兵刘强申永波宋桂香王恩东赵江

:、、、、、、、、、、、

宋好好孙彦毛军捷李凌严敏辉葛小宇杜克宏雷鸣王晖倪平陆臻邓雨张宝峰孙亚飞

、、、、、、、、、、、、、、

孔玉婷白欣璐曹柱查丽张天涵

、、、、。

本标准所代替标准的历次发布版本发布情况为

:

———GB/T21028—2007;

———GB/T25063—2010。

Ⅲ

GB/T39680—2020

信息安全技术

服务器安全技术要求和测评准则

1范围

本标准规定了服务器的安全技术要求和测评准则

。

本标准适用于服务器的研制生产维护和测评

、、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

计算机通用规范第部分服务器

GB/T9813.3—20173:

信息安全技术操作系统安全技术要求

GB/T20272

信息安全技术术语

GB/T25069

3术语定义和缩略语

、

31术语和定义

.

和界定的以及下列术语和定义适用于本文件

GB/T9813.3—2017、GB/T20272GB/T25069。

311

..

服务器server

网络环境下为客户端计算机提供特定应用服务的计算机系统

。

注1计算机系统指服