网络安全技术 计算机基本输入输出系统（BIOS）安全技术规范 征求意见稿

1GB/TXXXXX—XXXX网络安全技术计算机基本输入输出系统（BIOS）安全技术规范本文件规定了计算机基本输入输出系统（BIOS）的安全功能要求、保障要求和测试方法。本文件适用于台式微型计算机、便携式计算机和服务器的基本输入输出系统（BIOS）的设计、研制和管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2022信息安全技术术语GB/T29240-2024网络安全技术终端计算机通用安全技术规范GB/T29829-2022信息安全技术可信计算密码支撑平台功能与接口规范3术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件。3.1基本输入输出系统basicinput/outputsystem固化在计算机主板中的一套软件系统，在计算机上电后，先于操作系统运行，实现硬件与外设的检测配置和操作系统的引导加载，并为操作系统提供硬件与外设的访问服务。3.2完整性度量integritymeasurement采用密码算法对被度量对象计算其杂凑值的过程。[来源：GB/T29829-2022，3.11，有修改]3.3镜像恢复imagerecovery在BIOS损坏或升级失败等情况下，完成对备份BIOS镜像文件完整性度量并在验证通过后，对BIOS进行恢复的过程。3.4可选只读存储器optionROM可存储程序与数据并嵌入计算机板卡中，以只读方式为计算机的运行提供特定功能和服务的存储器。3.5操作系统加载器operationsystemloader用于加载和引导操作系统启动的程序，如Shim、Grub等。2GB/TXXXXX—XXXX3.6安全启动secureboot在计算机启动过程中，BIOS对加载运行的软件模块进行签名验证。3.7可信启动trustedboot基于可信根构建完整的信任链，对计算机启动过程中的组件进行逐级验证和度量，确保启动过程的可信。3.8计算机终端computerterminal供个人使用的、能独立进行数据处理及提供网络服务访问的计算机。[来源：GB/T29240-2024，3.1]3.9可信根rootoftrust始终以预期方式运行的单元，是系统的可信基点,也是实施安全控制的基点。注：完整的可信根集至少具有一组最小的功能,以便能够描述影响平台可[来源：GB/T29829-2022，3.22]3.10密码模块securemodule实现了安全功能的硬件、软件和/或固件的集合，并且被包含在密码边界内。注：密码模块根据其组成，可分为硬件密码模块、固件密码模块、软件密码[来源：GB/T37092-2018，3.5]4缩略语下列缩略语适用于本文件。BIOS：基本输入输出系统（BasicInput/OutputSystem）BMC：基板管理控制器（BaseboardManagementController）CPU：中央处理器（CentralProcessingUnit）HTTPS：超文本传输安全协议（HyperTextTransferProtocolSecure）PCIe：外围组件互连快速总线（PeripheralComponentInterconnectExpress）PXE：预启动执行环境（PrebootExecutionEnvironment）ROM：只读存储器（Read-OnlyMemory）SATA：串行高级技术连接（SerialAdvancedTechnologyAttachment）USB：通用串行总线（UniversalSerialBus）UEFI：统一可扩展固件接口（UnifiedExtensibleFirmwareInterface）5概述5.1体系结构BIOS通常存储在计算机主板上的非易失性存储器中，负责计算设备的硬件初始化和配置，为操作系统提供了硬件抽象接口，管理硬件资源，屏蔽平台差异；负责引导操作系统，在操作系统运行时提供GB/TXXXXX—XXXX3硬件访问服务。BIOS处于硬件平台和系统软件之间的关键位置。在计算机启动过程中，BIOS需要通过完整性度量或签名验签的方式，对加载的部件驱动、操作系统加载器等关键软件，进行安全验证，实现计算机启动过程的安全。图1描述了BIOS在计算机软硬件的位置和主要功能模块。图1BIOS安全架构图BIOS包括预引导模块和主引导模块两部分，以镜像文件的方式存储在主板上的专用存储芯片中。计算机上电启动后，BIOS基于可信根或密码模块执行安全验证，存储验证结果、日志等。安全验证方法包括但不限于来源真实性检查和完整性度量；验证通过后，主引导模块将进行硬件的初始化和外设资源的分配，以确保后续操作系统的正常启动和运行；在此基础上，主引导模块还将对硬件设备的固件驱动、操作系统加载器等关键软件资源进行安全验证；验证通过后，BIOS将控制权交给操作系统内核。5.2分级说明根据BIOS安全技术发展情况及应用需求，结合BIOS安全功能的强弱,以及安全保障要求的高低,本文件将BIOS安全技术要求划分为基本级和增强级。与基本级内容相比,增强级中要求增加的内容在正文中通过“黑体”表示。BIOS安全技术规范分级应符合附录A，用户权限应符合附录B。6安全技术要求6.1安全功能要求6.1.1访问控制访问控制功能的要求如下：a)BIOS中不应存在能绕过BIOS的安全机制对计算机资源进行访问的功能；安全机制包括但不限于开机口令、权限鉴别等。b)BIOS应支持设置开机口令。开机口令验证不成功，则不能引导操作系统启动；c)在组织内部计算机使用场景下，BIOS中应至少支持设置系统管理员和普通用户两种角色：1)普通用户的权限如下：(1)应支持查看BIOS配置界面中的BIOS信息、主板信息、处理器信息、内存信息、硬盘信息、系统日期和时间；GB/TXXXXX—XXXX4(2)应支持对当前普通用户口令的设置和修改；(3)应支持查看当前普通用户的日志记录；(4)应仅支持查看设备的启动优先顺序选项。2)系统管理员的权限如下：(1)应支持查看BIOS配置界面中的BIOS信息、主板信息、处理器信息、内存信息、硬盘信息、系统日期和时间，并支持设置系统日期和时间；(2)应支持查看和设置设备的启动优先顺序选项；(3)应支持对开机口令的设置、修改和清除；(4)应支持对系统管理员口令的设置、修改和清除；(5)应支持对普通用户口令进行设置、重置和清除的功能；(6)针对服务器，应先设置管理员口令，再设置普通用户口令；若清除系统管理员口令，应同时清除普通用户口令；(7)在硬件支持的情况下，对计算机终端宜支持对硬盘口令的设置、修改和清除；(8)仅系统管理员可以对BIOS安全功能进行使能和关闭。安全功能包括但不限于安全启动或可信启动等；(9)应支持查看普通用户、系统管理员的日志记录；(10)宜支持对硬件设备接口的使能和关闭。d)BIOS应具有登录失败处理功能，能够在BIOS开机口令、普通用户口令和系统管理员口令验证失败后重新登录；登录失败次数超过阈值后，将锁定登录界面；e)BIOS开机口令、普通用户口令和系统管理员口令宜支持复杂度等设置功能。设置的口令符合的基本策略内容如下：1)口令长度不少于8个字符；2)口令至少包含数字、小写字母、大写字母以及特殊字符中的两类字符。f)针对计算机终端，BIOS宜支持至少两种不同权限鉴别方式；g)BIOS镜像更新和恢复默认配置后，应保留当前设置BIOS口令。6.1.2来源真实性检查BIOS应支持证书验证功能，具备对加载的操作系统加载器、关键部件驱动的来源真实性进行验证的能力。6.1.3完整性度量完整性度量的要求如下：a)应具备对操作系统加载器进行完整性度量的能力；b)应具备对加载关键部件驱动进行完整性度量的能力，关键部件包括但不限于显卡、网卡等设备；c)宜支持自身完整性保护机制。6.1.4备份与恢复备份与恢复的要求如下：a)应支持备份BIOS镜像的功能；b)恢复过程中应对备份BIOS镜像进行完整性和来源真实性的校验，应在验证通过后对BIOS进行恢复；c)宜具备BIOS镜像应急恢复机制，允许在BIOS镜像损坏时，使用备份镜像对BIOS进行恢复。6.1.5安全升级GB/TXXXXX—XXXX5安全升级的要求如下：a)应支持对待升级新版本的BIOS镜像的证书进行验证，且仅在验证通过后进行升级；b)应支持保留原有口令镜像更新，恢复默认配置时不能清除原有口令；c)应具有计算机机型与BIOS镜像的匹配检测机制，仅允许刷写与当前计算机机型完全兼容的BIOS镜像。6.1.6数据存储保护数据存储保护的要求如下：a)BIOS口令应以密文形式存储；b)应支持对BIOS程序的存储区域进行写保护。6.1.7接口管控接口管控的要求如下：a)应支持关闭不必要的启动设备；b)应支持对设备接口的使能和关闭。6.1.8日志记录BIOS应支持日志记录功能且具有日志完整性保护机制。日志包括但不限于更改口令、更改硬件设备引导顺序、恢复BIOS配置默认值等情况。6.2安全保障要求6.2.1设计和开发BIOS提供者的设计和开发应满足以下要求：a)应遵循最小受攻击面、最小权限等编码原则；b)应对设计文档、开发文档等进行配置管理,建立配置管理清单或相应程序,对配置项的变更进行授权和控制；c)应在开发阶段对已发现的安全缺陷、漏洞完成修复；d)应制定并实施紧急修复的安全管理流程，及时修复未能在开发阶段发现的安全缺陷、漏洞。6.2.2生产和交付BIOS提供者的生产和交付应满足以下要求：a)应说明BIOS中所有与用户相关的访问接口,包括但不限于人机接口等；b)应在用户手册中说明所有预置的用户类型,以及对应的鉴别信息；c)应建立和实施规范的BIOS产品生产和服务交付流程,在关键环节实施安全检查和验证；d)应提供验证所交付BIOS软件完整性的方法；e)应为用户提供操作指南等指导性文档,描述BIOS使用过程中涉及的各用户角色和安全责任,给出风险提示。6.2.3运行和维护BIOS提供者的运行和维护应满足以下要求：a)应建立和执行针对BIOS安全缺陷、漏洞的应急响应机制和流程,对BIOS在运行和维护阶段暴露的安全缺陷、漏洞进行响应；GB/TXXXXX—XXXX6b)在规定或与合同约定的期限内,不应终止提供安全维护；在授权的范围内开展运行维护工作,保障BIOS运行维护过程中的BIOS自身数据的安全,防止数据泄露、篡改、损毁；未经用户同意,不应向他人提供数据,或将数据用于除运行维护以外的目的；c)应在更新BIOS前告知用户更新的内容,包括变更情况、相关安全风险、风险应对措施等,获得用户授权同意后方可实施更新,允许用户选择不接受更新；d)应在发现BIOS存在安全缺陷、漏洞等风险时及时采取补救措施,包括但不限于漏洞修复、安全加固方案等；及时告知BIOS的采购厂商相关安全风险,并向有关主管部门报告；e)对产品和服务的安全缺陷、漏洞进行修复时,应提前告知用户将采取的处置操作和可能产生的影响。6.2.4供应链安全BIOS提供者的供应链安全应满足以下要求：a)对BIOS研发、制造过程中涉及的第三方实体拥有或控制的已知技术专利等知识产权,已获得授权的,授权期限覆盖BIOS的上市周期；b)对BIOS研发、制造过程中涉及的开源软件，应向采购单位提供软件物料清单。7测试方法7.1安全功能要求测试方法7.1.1测试环境硬件环境进行BIOS测试时，需要准备以下硬件：a)部署待测试BIOS的计算机。需要包括的重要部件包括但不限于主板、CPU、内存、存储设备、外设等；b)固件烧录机、示波器等。软件环境进行BIOS测试时，需要准备以下软件：a)烧录软件；b)日志抓取记录软件等。7.1.2访问控制测试方法访问控制的测试评价方法、预期结果和结果判定如下：a)评价方法：1)测试BIOS是否启用了权限控制功能；在启动了权限控制功能后，非授权身份不能进入BIOS设置、不能引导操作系统启动；2)测试BIOS是否可以设置BIOS开机口令。使用错误的BIOS开机口令，不能引导操作系统启动；3)测试BIOS是否可以设置系统管理员和普通用户两种角色；4)以普通用户角色登录后：(1)检查是否可以查看BIOS信息、主板信息、处理器信息、内存信息、硬盘信息、系统日期和时间；GB/TXXXXX—XXXX7(2)检查是否可以成功对当前普通用户口令进行设置、修改；(3)检查是否仅能查看当前普通用户的日志；(4)以普通用户进入BIOS配置界面，仅能查看设备的启动优先顺序选项，不能修改启动顺序。5)以系统管理员角色登录后：(1)检查是否可以查看BIOS信息、主板信息、处理器信息、内存信息、硬盘信息、系统日期和时间；(2)检查是否可以设置系统日期和时间，并且能够成功修改；(3)检查是否可以设置开机口令，并进行修改和清除；(4)检查是否可以查看设备的启动优先顺序选项，能够成功设置启动顺序，启动设备包括本地硬盘、U盘、光盘和网络启动；网络启动包括但不限于PXE启动和HTTPS启动；(5)检查是否可以成功对开机口令、普通用户口令、系统管理员口令进行设置、修改和清除；(6)检查在设置口令时，是否能够先设置管理员口令，再设置普通用户口令；在清除系统管理员口令后，所管理的普通用户口令是否同时被清除；(7)针对计算机终端，以系统管理员角色进入BIOS配置界面，是否可以成功对硬盘口令进行设置、修改和清除；(8)检查是否能够查看普通用户和系统管理员的日志信息；(9)是否可以对完整性度量功能进行使能和关闭，使能且重启计算机后度量验证开启，关闭且重启计算机后完整验证功能关闭；(10)是否可以对USB、SATA、网口等关键硬件设备接口进行使能和关闭，使能且重启计算机后设备可用，关闭且重启计算机后设备不可用。6)设置系统管理员口令、普通用户口令和开机口令。上电开机后，BIOS会弹出口令输入窗口，输入错误的口令,登录失败次数计数器加1，系统提示还有多少次（阈值减去登录失败次数计数器）登录机会，当输入错误口令的次数达到最大阈值,设备锁定；7)设置口令时，其复杂度是否满足以下要求：(1)口令长度不少于8个字符；(2)口令至少包含数字、小写字母、大写字母以及特殊字符中的两类字符；8)针对计算机终端，验证BIOS是否同时支持两种及以上的身份鉴别方式；9)在完成BIOS镜像更新或恢复默认配置后，当前的BIOS口令是否被保存且可以使用；b)预期结果：实验结果如6.1中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.1.3完整性度量测试方法完整性度量的测试评价方法、预期结果和结果判定如下：a)评价方法：1)通过对操作系统加载器进行修改或替换，检查计算机启动时BIOS是否对操作系统加载器进行完整性度量；2)通过替换显卡、网卡等关键部件，检查BIOS是否能够在计算机上电后，对计算机的显卡、网卡等关键部件的固件进行完整性度量；GB/TXXXXX—XXXX83)检查是否只能以系统管理员角色设置使能和关闭完整性度量功能；4)检查是否可以对BIOS的完整性度量进行检测；5)检查是否能够通过密码模块进行完整性度量。密码模块的类型包括但不限于可信根。b)预期结果：实验结果如6.2中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.1.4软件来源检查测试方法软件来源检查的测试评价方法、预期结果和结果判定如下：a)评价方法：在计算机启动过程中，检查BIOS能否正常加载合法签名的可选只读存储器、操作系统加载器，并引导操作系统启动。检测方法包括但不限于采用签名过期、未签名的可选只读存储器、修改操作系统加载器。b)预期结果：实验结果如6.3中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.1.5备份与恢复测试方法备份与恢复的测试评价方法、预期结果和结果判定如下：a)评价方法：1)针对计算机终端，以系统管理员角色进入BIOS配置界面，检查BIOS设置中是否有备份BIOS镜像的信息；2)通过预置错误的BIOS镜像，验证是否能够在完整性度量失败后，提示用户并尝试自动恢3)模拟BIOS无法正常启动的情况，检测应急恢复机制是否能够对BIOS进行恢复。恢复的方法包括通过U盘导入BIOS备份镜像、BMC恢复BIOS镜像等方式。b)预期结果：实验结果如6.4中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.1.6安全升级测试方法安全升级的测试评价方法、预期结果和结果判定如下：a)评价方法：1)针对计算机终端检查是否能够通过光盘、U盘或网络等方式，对BIOS进行版本升级；2)在BIOS升级前，对待更新的BIOS镜像进行签名验证，且仅在该签名验证通过后，才能进行升级。检测方法包括但不限于采用签名过期、未签名的待更新BIOS镜像；3)通过尝试使用非兼容的BIOS镜像进行升级，检查是否仅允许刷写与当前计算机机型完全兼容且经过认证的BIOS镜像。b)预期结果：GB/TXXXXX—XXXX9实验结果如6.5中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.1.7数据存储保护测试方法数据存储保护的测试评价方法、预期结果和结果判定如下：a)评价方法：1)检查BIOS口令是否加密进行存储。2)检查在操作系统下是否可以在非授权时对非易失性存储器进行刷写操作。b)预期结果：实验结果如6.6中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.1.8接口管控测试方法接口管控的测试评价方法、预期结果和结果判定如下：a)评价方法：1)系统管理员关闭USB、SATA、PCIe、网口、串口等设备接口，重启计算机后检查设备是否被禁用；2)系统管理员将原来关闭的设备接口设置为使能状态，重启计算机后检查设备是否能够被识别和使用。b)预期结果：实验结果如6.7中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.1.9日志记录测试方法日志记录的测试评价方法、预期结果和结果判定如下：a)评价方法：1)检查以普通用户角色登录后，是否可以查看到当前用户的更改口令、恢复BIOS配置默认配置值等关键历史信息；2)检查以管理员角色登录后，是否可以查看到管理员和普通用户的更改口令、恢复BIOS配置默认配置值等关键历史信息。b)预期结果：实验结果如6.8中所述要求，且与实际情况相符。c)结果判定：实际评价结果与预期结果一致则判定为“符合”，其他情况判定为“不符合”。7.2安全保障要求测试方法7.2.1设计与开发本项测试包括以下内容：GB/TXXXXX—XXXXa)检查BIOS提供者是否在BIOS及其关键组件设计、开发过程中进行了安全风险识别；检查其制定的安全策略是否包含应对安全风险的措施,检查采取的安全措施是否能够保护BIOS及其关键组件的设计和开发安全；b)检查BIOS提供者是否制定了安全开发相关的管理制度、开发规范和工作流程；检查安全开发的管理制度、开发规范和工作流程是否实施,是否能够降低恶意程序植入、漏洞引入风险；c)检查BIOS提供者是否制定了文档配置管理方案,检查是否对设计文档和开发文档进行了配置管理,是否对配置变更设置了授权管理和控制；d)检查BIOS提供者是否制定了BIOS产品安全缺陷、漏洞的管理制度；检查管理制度是否包含安全缺陷、漏洞的发现和修复流程；检查管理制度是否包含紧急修复的安全管理流程,包括在用户侧修复安全缺陷、漏洞的流程；e)检查BIOS提供者提供的BIOS设计和开发材料是否包含了保障安全功能与产品实现一致性的策略和措施。7.2.2生产和交付本项测试包括以下内容：a)检查BIOS提供者的说明材料是否包含了BIOS对应的访问接口说明；检查说明材料是否描述了与用户相关的访问接口,包括但不限于人机接口等；b)检查用户手册中是否说明了所有默认账号信息、类型,以及对应的鉴别方式；c)检查BIOS提供者提供的材料是否包含了生产和服务交付流程说明文档；验证生产和服务交付流程是否能够减少BIOS生产和服务交付过程中的安全风险；检查BIOS提供者的BIOS生产和服务交付过程是否按照指定的流程实施；检查关键环节的安全检查和验证是否有效；d)验证BIOS提供者提供的材料是否包含了验证BIOS软件完整性的安全措施；验证安全措施是否保障BIOS软件完整性；e