网络设备密码应用技术要求 服务器设备.pdfVIP

网络设备密码应用技术要求服务器设备

1范围

本文件规定了服务器设备在固件自身安全、身份鉴别、访问控制、网络通信安全、数据安全与计算

安全等方面的密码应用技术的要求。

本文件适用于在我国境内销售或提供的服务器设备，也可为网络运营者采购服务器设备时提供依据，

还适用于指导服务器设备的研发、测试等工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T32915—2016信息安全技术二元序列随机性检测方法

GB/T39680—2020信息安全技术服务器安全技术要求和测评准则

3术语和定义

GB/T25069—2022、GB/T39680—2020中界定的以及下列术语和定义适用于本文件。

3.1

重要数据importantdata

主要指支持服务器设备自身运行管理所涉及的重要信息，包括访问控制信息、身份鉴别信息、重要

日志信息、重要配置信息、重要个人信息和密钥等，具体参见附录A。

4缩略语

下列缩略语适用于本文件。

HTTPS：超文本传输安全协议（HypertextTransferProtocolSecure）

KVM：键盘、视频、鼠标（KeyboardVideoMouse）

RestAPI：表现层状态转化应用程序编程接口（RepresentationalStateTransferApplication

ProgrammingInterface）

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol）

SSH：安全外壳协议（SecureShell）

VNC：虚拟网络控制台（VirtualNetworkConsole）

5服务器设备密码应用技术要求

1

5.1基本要求

服务器设备基本要求如下：

a)设备使用的密码技术（指本文件规定范围内的密码应用技术）应支持使用安全强度较高的密码

算法，不宜使用安全强度弱的密码算法；

b)设备使用的密码技术（指本文件规定范围内的密码应用技术）应支持使用安全强度较高的密码

协议，不宜使用安全强度弱的密码协议。

5.2固件自身安全

服务器设备固件自身安全要求如下：

a）远程升级时，应使用密码技术保证固件升级包的完整性与来源真实性；

b）宜使用密码技术保证固件包的保密性；

c）宜使用密码技术保证固件包的完整性；

d）宜使用密码技术保证固件抵御常见的攻击，如反编译、重打包等。

5.3身份鉴别

服务器设备身份鉴别要求如下：

a）应使用密码技术对访问控制实体进行身份鉴别，可使用密码技术进行双向身份鉴别；

b）应支持使用密码技术保证身份鉴别信息传输过程中的保密性；

c）可使用密码技术保证身份鉴别信息传输过程中的完整性；

d）应支持使用密码技术保证身份鉴别信息存储过程中的保密性；

e）可使用密码技术保证身份鉴别信息存储过程中的完整性；

f）对于不需要还原的身份鉴别信息，应使用密码散列加随机盐值等不可逆密码技术处理后存储；

g）可使用密码技术对口令认证中身份鉴别信息进行加密后再传输；

h）可使用密码技术来抵御常见的重放攻击。

5.4访问控制

服务器设备访问控制要求如下：

a）可使用密码技术实现访问控制功能，如数字证书等；

b）可使用密码技术保证访问控制信息的完整性；

c）可使用密码技术保证访问控制信息的不可否认性；

d）可使用密码技术来抵御常见的越权攻击，如会话劫持等。

5.5网络通信安全

服务器设备网络通信安全要求如下：

a)应使用密码技术保证通信传输过程中重要数据的保密性,可使用通信数据加密后再传输的方式

保证信息不被泄露；

b）可使用密码技术保证通信传输过程中重要数据的完整性；

c）远