北京2022年1月12日 /美通社/ -- 日前���,浪潮電子信息產(chǎn)業(yè)股份有限公司(簡稱浪潮信息)�、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心(簡稱中國網(wǎng)安中心)聯(lián)合發(fā)布了《服務(wù)器安全新國標合規(guī)實踐白皮書》(簡稱《白皮書》)�����?����!栋灼分赋?,服務(wù)器產(chǎn)品面臨的安全威脅復(fù)雜多樣,需要從硬件���、固件等多個層面進行安全防護����,以實現(xiàn)保密性�、完整性、可用性及不可抵賴性的安全目標����。
近年來,云計算�、大數(shù)據(jù)、移動互聯(lián)網(wǎng)����、物聯(lián)網(wǎng)等新技術(shù)的廣泛使用為行業(yè)發(fā)展注入了新的動力,但隨之而來的還有更加復(fù)雜的網(wǎng)絡(luò)安全問題����,有效抵御安全威脅面臨較大的挑戰(zhàn)。
服務(wù)器作為信息化的基石����,關(guān)系到網(wǎng)絡(luò)安全的根本����,2021年7月1日���,服務(wù)器安全新國標《GB/T 39680-2020信息安全技術(shù) 服務(wù)器安全技術(shù)要求和測評準則》正式實施�����。當月�,浪潮英信服務(wù)器獲得了中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心頒發(fā)的IT產(chǎn)品信息安全認證證書�,是行業(yè)內(nèi)首家通過該認證的服務(wù)器產(chǎn)品。該認證依據(jù)的標準即為《GB/T 39680-2020信息安全技術(shù) 服務(wù)器安全技術(shù)要求和測評準則》����。
新標準在原有相關(guān)要求基礎(chǔ)上,重點加強了固件安全及自身安全管理相關(guān)的安全技術(shù)要求�。浪潮服務(wù)器針對相關(guān)要求進行了重點設(shè)計,通過芯片寫保護�����、安全啟動、數(shù)字簽名����、備份恢復(fù)等技術(shù)減少固件被破壞或被篡改的風(fēng)險�����,通過身份標識����、訪問控制、日志審計���、安全加固等技術(shù)減少固件自身服務(wù)漏洞被利用造成的風(fēng)險���。
在固件程序安全方面,浪潮服務(wù)器通過對CPU及PCH芯片進行安全配置來保護BIOS(基本輸入輸出系統(tǒng))存儲區(qū)不被惡意篡改�,同時保證服務(wù)器啟動過程的完整性;BMC(基板管理控制器)在更新或升級相關(guān)固件時�����,通過數(shù)字簽名技術(shù)保證固件文件的完整性�,防止使用嵌入惡意代碼的非官方版本鏡像進行濫刷或誤刷;在固件恢復(fù)方面,BMC及BIOS固件均通過雙鏡像方式支持自動備份恢復(fù)���。
在固件自身服務(wù)的安全性方面�,浪潮服務(wù)器BMC支持唯一標識的本地用戶訪問控制管理�,支持默認密碼修改及提示、密碼復(fù)雜度及有效期設(shè)置�,以提高身份鑒別功能的防護能力;BMC采用基于角色的本地用戶精細化管理����,默認支持“管理員”、“操作員”����、“普通用戶”角色,僅授予所需的最小訪問權(quán)限����,不允許修改其權(quán)限;BMC審計日志僅管理員權(quán)限用戶可進行配置和查看�����,以防止非預(yù)期的改動����。
《白皮書》中���,浪潮信息將以上實踐經(jīng)驗進行歸納總結(jié),從硬件����、固件�����、配套軟件等層面給出了安全架構(gòu)設(shè)計參考�。
《白皮書》還對服務(wù)器安全提出了幾點建議:組織應(yīng)通過研發(fā)階段安全保障活動,降低研發(fā)過程中引入安全風(fēng)險的幾率�����;安全建設(shè)應(yīng)伴隨產(chǎn)品生命周期的整個過程���,通過一系列的組織���、流程、工具�、能力建設(shè)來支撐落地����,并在實踐過程中不斷優(yōu)化提升�����;此外���,安全除了由產(chǎn)品自身安全能力來保障�,還需要用戶的積極配合���,以使相關(guān)安全能力能夠被正確的理解����、部署及運轉(zhuǎn)���。
