日前�����,浪潮電子信息產(chǎn)業(yè)股份有限公司(簡(jiǎn)稱浪潮信息)����、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(簡(jiǎn)稱中國(guó)網(wǎng)安中心)聯(lián)合發(fā)布了《服務(wù)器安全新國(guó)標(biāo)合規(guī)實(shí)踐白皮書(shū)》(簡(jiǎn)稱《白皮書(shū)》)�。
日前���,浪潮電子信息產(chǎn)業(yè)股份有限公司(簡(jiǎn)稱浪潮信息)����、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心(簡(jiǎn)稱中國(guó)網(wǎng)安中心)聯(lián)合發(fā)布了《服務(wù)器安全新國(guó)標(biāo)合規(guī)實(shí)踐白皮書(shū)》(簡(jiǎn)稱《白皮書(shū)》)��?!栋灼?shū)》指出�,服務(wù)器產(chǎn)品面臨的安全威脅復(fù)雜多樣,需要從硬件���、固件等多個(gè)層面進(jìn)行安全防護(hù)�,以實(shí)現(xiàn)保密性�、完整性���、可用性及不可抵賴性的安全目標(biāo)。
近年來(lái)�,云計(jì)算、大數(shù)據(jù)����、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)的廣泛使用為行業(yè)發(fā)展注入了新的動(dòng)力����,但隨之而來(lái)的還有更加復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題,有效抵御安全威脅面臨較大的挑戰(zhàn)�����。
服務(wù)器作為信息化的基石�,關(guān)系到網(wǎng)絡(luò)安全的根本,2021年7月1日����,服務(wù)器安全新國(guó)標(biāo)《GB/T 39680-2020信息安全技術(shù)
服務(wù)器安全技術(shù)要求和測(cè)評(píng)準(zhǔn)則》正式實(shí)施。當(dāng)月����,浪潮英信服務(wù)器獲得了中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的IT產(chǎn)品信息安全認(rèn)證證書(shū)�����,是行業(yè)內(nèi)首家通過(guò)該認(rèn)證的服務(wù)器產(chǎn)品��。該認(rèn)證依據(jù)的標(biāo)準(zhǔn)即為《GB/T
39680-2020信息安全技術(shù) 服務(wù)器安全技術(shù)要求和測(cè)評(píng)準(zhǔn)則》�。
新標(biāo)準(zhǔn)在原有相關(guān)要求基礎(chǔ)上�,重點(diǎn)加強(qiáng)了固件安全及自身安全管理相關(guān)的安全技術(shù)要求。浪潮服務(wù)器針對(duì)相關(guān)要求進(jìn)行了重點(diǎn)設(shè)計(jì)�,通過(guò)芯片寫(xiě)保護(hù)、安全啟動(dòng)��、數(shù)字簽名����、備份恢復(fù)等技術(shù)減少固件被破壞或被篡改的風(fēng)險(xiǎn),通過(guò)身份標(biāo)識(shí)�����、訪問(wèn)控制��、日志審計(jì)���、安全加固等技術(shù)減少固件自身服務(wù)漏洞被利用造成的風(fēng)險(xiǎn)��。
在固件程序安全方面�,浪潮服務(wù)器通過(guò)對(duì)CPU及PCH芯片進(jìn)行安全配置來(lái)保護(hù)BIOS(基本輸入輸出系統(tǒng))存儲(chǔ)區(qū)不被惡意篡改�,同時(shí)保證服務(wù)器啟動(dòng)過(guò)程的完整性;BMC(基板管理控制器)在更新或升級(jí)相關(guān)固件時(shí)���,通過(guò)數(shù)字簽名技術(shù)保證固件文件的完整性����,防止使用嵌入惡意代碼的非官方版本鏡像進(jìn)行濫刷或誤刷�����;在固件恢復(fù)方面����,BMC及BIOS固件均通過(guò)雙鏡像方式支持自動(dòng)備份恢復(fù)。
在固件自身服務(wù)的安全性方面���,浪潮服務(wù)器BMC支持唯一標(biāo)識(shí)的本地用戶訪問(wèn)控制管理�,支持默認(rèn)密碼修改及提示���、密碼復(fù)雜度及有效期設(shè)置��,以提高身份鑒別功能的防護(hù)能力�;BMC采用基于角色的本地用戶精細(xì)化管理,默認(rèn)支持“管理員”�����、“操作員”�����、“普通用戶”角色���,僅授予所需的最小訪問(wèn)權(quán)限���,不允許修改其權(quán)限;BMC審計(jì)日志僅管理員權(quán)限用戶可進(jìn)行配置和查看����,以防止非預(yù)期的改動(dòng)。
《白皮書(shū)》中�,浪潮信息將以上實(shí)踐經(jīng)驗(yàn)進(jìn)行歸納總結(jié),從硬件���、固件�、配套軟件等層面給出了安全架構(gòu)設(shè)計(jì)參考��。
《白皮書(shū)》還對(duì)服務(wù)器安全提出了幾點(diǎn)建議:組織應(yīng)通過(guò)研發(fā)階段安全保障活動(dòng)�,降低研發(fā)過(guò)程中引入安全風(fēng)險(xiǎn)的幾率;安全建設(shè)應(yīng)伴隨產(chǎn)品生命周期的整個(gè)過(guò)程�����,通過(guò)一系列的組織�、流程、工具����、能力建設(shè)來(lái)支撐落地,并在實(shí)踐過(guò)程中不斷優(yōu)化提升���;此外��,安全除了由產(chǎn)品自身安全能力來(lái)保障��,還需要用戶的積極配合����,以使相關(guān)安全能力能夠被正確的理解、部署及運(yùn)轉(zhuǎn)�。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�����,皆為無(wú)意�。如您是字體廠商、圖片文字廠商等版權(quán)方��,且不允許本站使用您的字體和圖片文字等素材�����,請(qǐng)聯(lián)系我們��,本站核實(shí)后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟(jì)賠償�!敬請(qǐng)諒解�!
粵公網(wǎng)安備 44030402000264號(hào)