《信息安全技术 服务器安全技术要求和测评准则-编制说明》

1、任务来源

按照全国信息安全标准化技术委员会2018年信息安全标准项目立项通知

（信安秘字[2018]028号），全国信息安全标准化技术委员会启动了《信息安全

技术服务器安全技术要求和测评准则》的修订工作。本标准将同时对GB/T

21028-2007《信息安全技术服务器安全技术要求》和GB/T25063-2010《信息

安全技术服务器安全测评要求》进行修订，并将两项标准修订为一项标准。

本标准修订单位为浪潮电子信息产业股份有限公司、联想（北京）有限公司、

华为技术有限公司、曙光信息产业（北京）有限公司、中国信息通信研究院、公

安部第三研究所、中国信息安全测评中心、中国电子技术标准化研究院、中国网

络安全审查技术与认证中心、蓝盾信息安全技术股份有限公司、杭州华三通信技

术有限公司等，主办单位为浪潮电子信息产业股份有限公司，归口单位为全国信

息安全标准化技术委员会（SAC/TC260）。

2、编制背景

服务器作为信息系统的重要组成部分，承载着数据和业务处理、存储、传输

等任务，其安全性对于整个信息系统的安全至关重要。因此，2007年和2010年，

我国相继发布了GB/T21028-2007《信息安全技术服务器安全技术要求》和GB/T

25063-2010《信息安全技术服务器安全测评要求》两项服务器安全国家标准，

为我国服务器安全建设起到积极的作用。但是，近来年，随着云计算、大数据、

移动互联网、物联网等新技术的广泛使用，服务器作为其支撑平台，其作用显得

更加重要。同时，网络安全威胁也呈现下移趋势，也越来越复杂性和多变，有效

抵御威胁也面临较大的挑战。因此，在新的条件下，针对GB/T21028-2007《信

息安全技术服务器安全技术要求》和GB/T25063-2010《信息安全技术服务器

安全测评要求》两项标准进行修订就十分必要。按照《国家标准委关于印发<推

荐性标准集中复审工作方案>的通知》（国标委综合[2016]28号）要求，信安标委

于2016年开展了集中复审工作，并将复审结论上报国标委，建议修订78项信息安

全国家标准，这两项标准为需要修订的国家标准之一。

针对当前服务器安全相关内容进行系统的梳理和分析，并进行标准化，其根

本目的在于尽可能减少服务器自身的安全风险，提高业务运行和服务提供的安全

性和可持续性。本标准修订工作将吸取业界当前服务器安全领域最佳实践、新技

术突破及产品研制成果，对GB/T21028-2007《信息安全技术服务器安全技术

要求》和GB/T25063-2010《信息安全技术服务器安全测评要求》进行修订，

形成一项标准《信息安全技术服务器安全技术要求和测评准则》，主要对服务器

安全功能安全求和安全保障要求及相应测评准则进行了规范。

3、编制原则

本标准根据当前产业界服务器安全最佳实践，结合新技术发展和国内实际应

用情况，提出适合于我国国情，具有较强可操作性的服务器安全标准。通过该标

准的修订及实践，提升服务器自身安全能力，为服务器研制、生产、维护和测评

提供指导。

本标准的修订遵循以下原则：

a）符合性：应符合国家有关政策法规的要求；

b）兼容性：应与已颁布实施的相关安全标准相协调；

c）先进性：充分考虑我国服务器实际安全技术水平和发展应用，并保持一

定的前瞻性。

d）适用性：应结合产业对服务器安全实际应用需求

e）中立性：公正、中立，不与任何利益攸关方发生关联；

4、简要过程说明

本标准为自主修订，主要工作内容是将GB/T21028-2007《信息安全技术服

务器安全技术要求》和GB/T25063-2010《信息安全技术服务器安全测评要求》

技术内容修订为符合服务器产业实际需要的安全要求。

在本标准项目启动时已经组建了一个申报小组，成员单位有浪潮电子信息产

业股份有限公司、联想（北京）有限公司、华为技术有限公司、曙光信息产业（北

京）有限公司、中国信息通信研究院、公安部第三研究所、中国信息安全测评中

心、中国电子技术标准化研究院。

在2017年11月至2018年2月组织两次集中讨论、以及小范围沟通，形成

修订申报材料，包括申报书、建议书和标准草案。

2018年4月参加信安标委2018年第一次会议周提出修订立项建议，于2018

年7月在信安标委正式立项，新立项的标准修订计划包括对GB/T21028-2007《信

息安全技术服务器安全技术要求》和GB/T25063-2010《信息安全技术服务器

安全测评要求》的修订。

2018年8月信安标委下达标准计划任务后，浪潮电子信息产业股份有限公

司牵头组织首次标准草案意见讨论，由参编单位针对标准范围的修改和标准内容

的扩展进行讨论，并组织参编单位进行标准草案的意见反馈。

2018年9月，标准修订组经多次讨论修改形成标准草案讨论稿V2.0。

2018年9月27日，浪潮电子信息产业股份有限公司牵头组织标准编制会，

与联想（北京）有限公司、华为技术有限公司、中国信息通信研究院、中国电子

技术标准化研究院、中国网络安全审查技术与认证中心、蓝盾信息安全技术股份

有限公司、杭州华三通信技术有限公司等参编单位共同讨论标准范围、框架、技

术要求内容，并针对立项阶段的专家意见进行内容修改，会后形成标准草案讨论

稿V3.0。

2018年10月15日，标准修订组参加信安标委WG5组织的专家审查会，收

集专家意见，并针对专家意见修改形成标准草案V3.3。

2018年10月24日，标准修订组参加信安标委在青岛召开的2018年第二次

工作组“会议周”，收集WG5工作成员及专家的意见，并针对专家意见修改形成

标准征求意见稿V1.1。

2018年11月21日，标准修订组参加信安标委WG5在北京召开的专家审查

会，收集相关专家的意见，并针对专家意见修改形成标准征求意见稿V1.2及配

套的意见处理表和编制说明。

5、标准结构

本标准总体上将服务器安全技术要求分为安全功能要求和安全保障要求两

部分，并根据安全功能的强弱和安全保障的高低对安全技术要求进行了安全等级

划分，即分为基本级和增强级两个等级，最后针对安全技术要求提出了相应的测

评准则。

具体结构如下：

（1）服务器安全技术要求

a)安全功能要求：设备标签、硬件接口安全、固件安全（包含完整

性保护、更新安全、固件恢复）、软件安全、可靠运行支持、安

全管理（包含身份标识与鉴别、授权与访问控制、安全审计、远

程管理）

b)安全保障要求：安全管理制度和组织、开发、指导性文档、生命

周期支持、测试、脆弱性评定、维护

（2）安全测评准则

本标准与GB/T21028-2007《信息安全技术服务器安全技术要求》和GB/T

25063-2010《信息安全技术服务器安全测评要求》相比，主要修订内容如下：

（1）将原两项标准合并为一项。

（2）大幅度增加固件安全及自身安全管理相关内容，主要原因一是当前针

对服务器高级安全威胁主要目标为服务器引导固件及带外管理模块

固件及其他重要部件中的固件，一旦遭受恶意代码攻击，对整个服务

器安全带来极大的危害，急需加强这些方面的安全；二是GB/T

21028-2007针对固件安全及自身设备的管理安全考虑得极少。此部

分主要修改的内容如下：

a)保留原标准4.1.1设备标签部分，删除了原标准部件标签条款；

b)保留并修订了原标准4.1.2设备可靠运行支持部分，并把原标准

4.1.3设备工作状态监控整合到该部分，见本标准5.1.5可靠运

行支持；

c)删除原标准4.1.4设备电磁防护、4.2.1安全监控、4.2.3恶意

代码防护、4.2.4备份与故障恢复、4.2.6可信时间戳等章节；

d)新增了5.1.2硬件接口安全、5.1.3固件安全部分；

e)新增了固件安全管理部分，并从固件管理的实际安全需求出发，

将原本标准4.3数据安全章节相关内容和4.2.2安全审计相关内

容进行了裁剪和修改，并整合到该部分；该部分主要从身份标识

与鉴别、授权与访问控制、安全审计、远程管理等方面提出更合

理的安全功能要求。

（3）大幅度减少操作系统、数据库管理系统、应用系统的安全内容，主要

原因为这些软件系统目前已有成熟的国标可以采用。此部分主要修改

的内容如下：

a)删除4.3数据安全章节，整体调整为引用操作系统和数据库的标

准；

b)删除了应用系统相关内容；

c)规范性引用文件增加操作系统和数据库管理系统的引用。

（4）安全保障要求部分主要参考了GB/T18336.3-2015，并在此基础上增

加安全管理制度和组织、维护等内容，主要原因一是原参考标准

GB/T20271-2006标龄已较长，参考GB/T18336.3-2015对于本标准

更合适；二是增加的安全管理制度和组织、维护等内容为网络安全法

提出了相应的要求，同时，只有建立有效的安全管理制度和组织才能

真正保证安全保障活动开展的质量和可持续性。

（5）将GB/T21028-2007原划分为五个等级调整为两个等级，即基本级和

增强级。

a)划分两个等级主要是结合服务器安全技术发展情况及应用需求，

增强了标准的适用性和可操作性，可有效降低产业成本。

b)划分的依据：在安全功能方面的分级方面，基本级主要参考了网

络安全等级保护相关标准中第一级和第二级的相关功能要求，增

强级主要参考第三级的相关要求；在安全保障方面的分级方面，

基本级主要参考了GB/T18336.3-2015EAL1、EAL2的要求，增

强级主要参考了GB/T18336.3-2015EAL3的要求。

6、专利说明

无。

7、与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规的要求。

本标准与现有国家标准不矛盾、不冲突，也不重复。

8、重大分歧意见的处理经过和依据

本标准编制过程中未出现重大分歧。其他详见意见汇总处理表。

9、国家标准作为强制性国家标准或推荐性国家标准的建议

建议作为推荐性国家标准发布实施。

10、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、

过渡办法等内容）

该标准为服务器研制、生产、维护和测评提供了指导。该标准在具体贯彻实

施时，可要求相关测评认证机构采用该标准作