服务器脆弱性识别表格 依据《GB/T21028-2007 服务器安全技术要求》中 A 级服务器标准所列举内容编制。 项目 子项 内容 是否符合 备注 服 务 器 设 备 安 全 服 务 器 运 行 安 全 设 备 标签 服务器设备应提供在显著位置设置标签（如编号、用途、 负责人等）的功能，宜方便查找和明确责任 设 备 可 靠 运 行 支持 设 备 工 作 状 态 监控 设 备 电 磁 防护 主 机 安 全 监控 网 络 安 全 监控 安 全 审 计 的 响 应 服务器关键部件（包括硬盘、主板、内存、处理器、网 卡等）应在其上设置标签，以防止随意更换或取走 服务器硬件配置应满足软件系统基本运行要求，关键部 件应有数据校验能力 服务器硬件配置应满足安全可用要求，关键部件均安全 可用 为满足服务器不间断运行要求，关键部件应允许有容错、 冗余或热插拔等安全功能，服务器应按照业务连续性要 求提供双机互备能力 构成服务器的关键部件，包括电源、风扇、机箱、磁盘 控制等应具备可管理接口，通过该接口或其他措施收集 硬件的运行状态，如处理器工作温度、风扇转速、系统 核心电压等，并对其进行实时监控，当所监控数值超过 预先设定的故障阈值时，提供报警、状态恢复等处理 应根据电磁防护强度与服务器安全保护等级相匹配的原 则，按国家有关部门的规定分等级实施 提供服务器硬件、软件运行状态的远程监控功能 对命令执行，远程调度、文件使用等进行实时监控，在 必要时应提供监控数据分析能力 网络安全监控不依赖于服务器操作系统，且不因服务器 出现非断电异常情况而不可用 网络安全监控对进出服务器的网络数据流，按既定的安 全策略和规则进行检测 网络安全监控支持用户自定义网络安全监控的安全策略 和规则 网络安全监控具有对网络应用行为分类监控的功能，并 根据安全策略提供报警和阻断能力 网络安全监控提供集中管理功能，以便接收网络安全监 控集中管理平台下发的安全策略和规则，以及向网络安 全监控集中管理平台提供审计数据源 当检测到有安全侵害事件时，将审计数据记入审计日志 当检测到有安全侵害事件时，生成实时报警信息，并根 据报警开关的设置有选择地报警 当检测到有安全侵害事件时，将违例进程终止 当检测到有安全侵害事件时，取消当前服务 当检测到有安全侵害事件时，将当前的用户账号断开， 并使其失效 

安 全 审 计 数 据 产生 为下述可审计事件产生审计记录：审计功能的开启和关 闭、使用身份鉴别机制、将客体引入用户地址空间（例 如：打开文件、程序初始化）、删除客体、系统管理员（系 统安全员、审计员和一般操作员）所实施的操作、其他 与系统有关的事件或专门定义的可审计事件 对于每一个事件，其审计记录应包括：事件的日期和时 间、用户、事件类型、事件是否成功及其他与审计相关 的信息 对于身份鉴别事件，审计记录应包含请求的来源（例如： 末端标识符） 对于客体被引入客户地址空间的事件及时删除客体事 件，审计记录应包含客体名及客体的安全级 用一系列规则监控审计事件，并根据这些规则指出对 SSP 的潜在侵害，这些规则包括：有已定义的可审计事件的 子集所指示的潜在安全攻击的积累或组合、任何其他的 规则 维护用户所具有的质疑等级---历史使用情况，以表明该 用户的现行活动与已建立的使用模式的一致性程度。当 用户的质疑等级超过阈值条件时，能指出将要发生对安 全性的威胁 能检测到对 SSF 的实施有重大威胁的签名事件的出现。 为此，SSF 应维护指出对 SSF 侵害的签名事件的内部表 示，并将检测到的系统行为记录与签名事件进行比较， 当发现两者匹配时，指出一个对 SSF 的攻击即将到来 能检测到多步入侵情况，并根据已知的事件序列模拟出 完整的入侵情况，指出发现对 SSF 的潜在侵害的签名事 件或事件序列的时间 基本审计查询：提供从审计记录中读取信息的能力，即 为授权用户提供获得和解释审计信息的能力。当用户是 人时，必须以人类可懂的方式表示信息，当用户是外部 IT 实体时，必须以电子方式无歧义地表示审计信息 有限审计查询：在基本审计查询的基础上，应禁止具有 读访问权限以外的用户读取审计信息 可选审计查阅：在有限审计查阅的基础上，应具有根据 准则来选择要查阅的审计数据的功能，并根据某种逻辑 关系的标准提供对审计数据进行搜索、分类、排序的能 力 客体身份、用户身份、主机身份、事件类型 作为审计选择性依据的附加条件 受保护的审计踪迹存储：审计踪迹的存储受到应有的保 护，能检测或防止对审计记录的修改 审计数据的可用性确保：在意外情况出现时，能检测或 安 全 审 计 分析 安 全 审 计 查阅 安 全 审 计 事 件 选择 安 全 审 计 事 件 

存储 防止对检测记录的修改，以及在发生审计记录已满、存 储失败或存储受到攻击时，确保审计记录不被破坏 审计数据可能丢失情况下的措施：当审计跟踪超过预定 的门限时应采取相应的措施，进行审计数据可能丢失情 况下的处理 防止审计数据丢失：在审计踪迹存储记满时，应采取相 应的防止审计数据丢失的措施，可选择“忽略可审计事 件”、“阻止除具有特殊权限外的其他用户产生可审计事 件”、“覆盖已存储的最老的审计记录”和“一旦审计存 储失败所采取的其他行动”等措施，防止审计数据丢失 恶 意 代 码 防护 主机软件防护：应在服务器中设置防病毒恶意代码软件， 对所有进出服务器的恶意代码采取相应的防范措施，防 止恶意代码侵袭 整体防护：主机软件防护应与防恶意代码集中管理平台 协调一致，及时发现和清除进入系统内部的恶意代码 备 份 与 故 障 恢 复 用户自我信息备份与恢复：应提供用户有选择地操作系 统、数据库系统和应用系统中重要信息进行备份的功能； 当由于某种原因引起系统故障时，应能提供用户按自我 信息备份所保留的备份信息进行恢复的功能 增量信息备份与恢复：提供定时对操作系统、数据库系 统和应用系统中新增信息进行备份的功能，当由于某种 原因引起系统中的某些信息丢失或破坏时，提供用户按 增量信息备份所保留的备份信息进行信息恢复的功能 局部系统备份与恢复：应提供定期对操作系统、数据库 系统和应用系统中某些重要的局部系统的运行状态进行 备份的功能，当由于某种原因引起系统某一局部发生故 障时，应对用户按局部系统备份所保留的运行状态进行 局部系统恢复提供支持 全系统备份与恢复：应提供对重要的服务器的全系统运 行状态进行备份功能；当由于某种原因引起全系统发生 故障时，应对用户按全系统备份所保留的运行状态进行 全系统恢复提供支持 紧耦合集群结构：对关键服务器采用多服务器紧耦合集 群结构，确保其中某一个服务器发生故障中断运行时， 业务应用系统能在其余的服务器上不间断运行 异地备份和恢复：对关键的服务器，应根据业务连续性 的不同要求，设置异地备份与恢复功能，确保服务器因 灾难性故障中断运行时，业务应用系统能在要求的时间 范围内恢复运行 通过在服务器上设置基于密码的可信技术支持模块，为 在服务器上建立从系统引导、加载知道应用程序服务的 可信链接，确保各种运行程序的真实性，并对服务器用 户的身份鉴别、链接设备的鉴别，以及运用密码机制实 现数据的保密性完整性保护等安全功能提供支持 可 信 技 术 支持 

可 信 时 间 戳 用 户 标识 服务器应为其运行提供可靠的时钟和时钟同步系统，并 按 GB/T 20250-2006 的要求提供可信的时间戳服务 基本标识：应在 SSF 实施所要求的动作之前，先对提出 该动作要求的用户进行标识 唯一性标识：应确保所用户在服务器生存周期内的唯一 性，并将用户标识与安全审计相关联 标识信息管理：应对用户标识信息进行管理、维护，确 保其不被非授权地访问、修改和删除 用 户 鉴别 基本鉴别 不可伪造鉴别 一次性使用鉴别 多机制鉴别 重新鉴别 鉴别信息管理 SSF 因为不成功的鉴别尝试（包括尝试次数和时间的阈 值）定义一个值 在 SSOS 安全功能控制范围之内 子集访问控制 完全访问控制 粗粒度 中粒度 细粒度 不带敏感标记的用户输出 带有敏感标记的用户输出 鉴 别 失 败 处理 用 户 ---- 主 体 绑定 访 问 控 制 策略 访 问 控 制 功能 访 问 控 制 范围 访 问 控 制 粒度 主 体 标记 客 体 标记 标 记 的 输 出 标 记 不带敏感标记的用户输入 

带有敏感标记的用户输入 多级安全模型 基于角色的访问控制 特权用户管理 完整性检测 完整性检测和恢复 完整性检测 完整性检测和恢复 子集信息保护 完全信息保护 特殊信息保护 的 输 入 访 问 控 制 策略 存 储 数 据 完 整 性 传 输 数 据 的 完 整性 处 理 数 据 的 完 整性 传 输 数 据 保 密 性 保 护 处 理 数 据 保 密 性 保 护 客 体 安 全 重用 数 据 流 控 制 可 信 路径