浪潮信息与中国网安中心联合发布《服务器安全新国标合规实践白皮书》
2022-01-12 17:25:34爱云资讯1225
近年来,云计算、大数据、移动互联网、物联网等新技术的广泛使用为行业发展注入了新的动力,但随之而来的还有更加复杂的网络安全问题,有效抵御安全威胁面临较大的挑战。
服务器作为信息化的基石,关系到网络安全的根本,2021年7月1日,服务器安全新国标《GB/T 39680-2020信息安全技术 服务器安全技术要求和测评准则》正式实施。当月,浪潮英信服务器获得了中国网络安全审查技术与认证中心颁发的IT产品信息安全认证证书,是行业内首家通过该认证的服务器产品。该认证依据的标准即为《GB/T 39680-2020信息安全技术 服务器安全技术要求和测评准则》。
新标准在原有相关要求基础上,重点加强了固件安全及自身安全管理相关的安全技术要求。浪潮服务器针对相关要求进行了重点设计,通过芯片写保护、安全启动、数字签名、备份恢复等技术减少固件被破坏或被篡改的风险,通过身份标识、访问控制、日志审计、安全加固等技术减少固件自身服务漏洞被利用造成的风险。
在固件程序安全方面,浪潮服务器通过对CPU及PCH芯片进行安全配置来保护BIOS(基本输入输出系统)存储区不被恶意篡改,同时保证服务器启动过程的完整性;BMC(基板管理控制器)在更新或升级相关固件时,通过数字签名技术保证固件文件的完整性,防止使用嵌入恶意代码的非官方版本镜像进行滥刷或误刷;在固件恢复方面,BMC及BIOS固件均通过双镜像方式支持自动备份恢复。
在固件自身服务的安全性方面,浪潮服务器BMC支持唯一标识的本地用户访问控制管理,支持默认密码修改及提示、密码复杂度及有效期设置,以提高身份鉴别功能的防护能力;BMC采用基于角色的本地用户精细化管理,默认支持“管理员”、“操作员”、“普通用户”角色,仅授予所需的最小访问权限,不允许修改其权限;BMC审计日志仅管理员权限用户可进行配置和查看,以防止非预期的改动。
《白皮书》中,浪潮信息将以上实践经验进行归纳总结,从硬件、固件、配套软件等层面给出了安全架构设计参考。
《白皮书》还对服务器安全提出了几点建议:组织应通过研发阶段安全保障活动,降低研发过程中引入安全风险的几率;安全建设应伴随产品生命周期的整个过程,通过一系列的组织、流程、工具、能力建设来支撑落地,并在实践过程中不断优化提升;此外,安全除了由产品自身安全能力来保障,还需要用户的积极配合,以使相关安全能力能够被正确的理解、部署及运转。
相关文章
- 引领大模型推理效率革命!浪潮存储发布国内首款推理加速存储AS3000G7
- 浪潮KaiwuDB 出席 2025 开放原子开源生态大会,开源社区项目挑战赛正式发布
- 数智浪潮奔涌青岛,华为中国政企用户峰会2025启幕在即
- 浪潮KaiwuDB 入选 Gartner DBMS “市场指南”及数据技术“成熟度曲线”双报告
- 浪潮KaiwuDB 受邀出席2025可信数据库发展大会,分享能源行业数据库应用创新
- 机器人替代机器:智库智能引领托盘仓储领域时代浪潮 ——专访江苏智库智能科技有限公司CEO 蔡传玉
- 传音控股本地化战略的跨区域成功:驱动东南亚、南亚数字化浪潮
- 浪潮KaiwuDB 连续三年入选中国信通院数据库产业图谱,持续筑牢可信数字底座
- 工业富联:AI浪潮中的“蜕变者”,下一个万亿巨头
- 中国工联院联合浪潮KaiwuDB 等单位编写《工业数据库规范》系列标准,推进工业数字底座建设
- 浪潮通信信息参编的TM Forum自智网络产业白皮书7.0发布
- AI浪潮下存储需求大增,江波龙以自研技术加速全产业链布局
- 医药数字化浪潮奔涌,新畅科技亮相第90届全国药品交易会引行业瞩目
- 浪潮瑶台预制模块化数据中心入选《中国-上海合作组织数字技术工具箱(2025)》
- 从“新三样”到空天地海,中国移动硬核科技矩阵引领AI+时代浪潮
- 来也科技发布多场景智能体矩阵,开启智能体规模化落地浪潮