北京2022年1月12日 /美通社/ -- 日前�����,浪潮電子信息產業(yè)股份有限公司(簡稱浪潮信息)�、中國網(wǎng)絡安全審查技術與認證中心(簡稱中國網(wǎng)安中心)聯(lián)合發(fā)布了《服務器安全新國標合規(guī)實踐白皮書》(簡稱《白皮書》)���。《白皮書》指出��,服務器產品面臨的安全威脅復雜多樣�����,需要從硬件��、固件等多個層面進行安全防護��,以實現(xiàn)保密性����、完整性、可用性及不可抵賴性的安全目標。
近年來�����,云計算�、大數(shù)據(jù)、移動互聯(lián)網(wǎng)����、物聯(lián)網(wǎng)等新技術的廣泛使用為行業(yè)發(fā)展注入了新的動力,但隨之而來的還有更加復雜的網(wǎng)絡安全問題���,有效抵御安全威脅面臨較大的挑戰(zhàn)���。
服務器作為信息化的基石,關系到網(wǎng)絡安全的根本��,2021年7月1日�,服務器安全新國標《GB/T 39680-2020信息安全技術 服務器安全技術要求和測評準則》正式實施。當月���,浪潮英信服務器獲得了中國網(wǎng)絡安全審查技術與認證中心頒發(fā)的IT產品信息安全認證證書�,是行業(yè)內首家通過該認證的服務器產品���。該認證依據(jù)的標準即為《GB/T 39680-2020信息安全技術 服務器安全技術要求和測評準則》�。
新標準在原有相關要求基礎上,重點加強了固件安全及自身安全管理相關的安全技術要求��。浪潮服務器針對相關要求進行了重點設計����,通過芯片寫保護、安全啟動����、數(shù)字簽名、備份恢復等技術減少固件被破壞或被篡改的風險����,通過身份標識���、訪問控制����、日志審計�����、安全加固等技術減少固件自身服務漏洞被利用造成的風險。
在固件程序安全方面��,浪潮服務器通過對CPU及PCH芯片進行安全配置來保護BIOS(基本輸入輸出系統(tǒng))存儲區(qū)不被惡意篡改��,同時保證服務器啟動過程的完整性��;BMC(基板管理控制器)在更新或升級相關固件時�,通過數(shù)字簽名技術保證固件文件的完整性,防止使用嵌入惡意代碼的非官方版本鏡像進行濫刷或誤刷���;在固件恢復方面�,BMC及BIOS固件均通過雙鏡像方式支持自動備份恢復�����。
在固件自身服務的安全性方面�,浪潮服務器BMC支持唯一標識的本地用戶訪問控制管理,支持默認密碼修改及提示��、密碼復雜度及有效期設置�����,以提高身份鑒別功能的防護能力���;BMC采用基于角色的本地用戶精細化管理���,默認支持“管理員”�����、“操作員”�、“普通用戶”角色����,僅授予所需的最小訪問權限,不允許修改其權限��;BMC審計日志僅管理員權限用戶可進行配置和查看�����,以防止非預期的改動�����。
《白皮書》中�,浪潮信息將以上實踐經驗進行歸納總結�,從硬件��、固件�����、配套軟件等層面給出了安全架構設計參考�。
《白皮書》還對服務器安全提出了幾點建議:組織應通過研發(fā)階段安全保障活動��,降低研發(fā)過程中引入安全風險的幾率���;安全建設應伴隨產品生命周期的整個過程���,通過一系列的組織、流程����、工具、能力建設來支撐落地�����,并在實踐過程中不斷優(yōu)化提升�����;此外,安全除了由產品自身安全能力來保障���,還需要用戶的積極配合��,以使相關安全能力能夠被正確的理解�、部署及運轉�����。
