GA/T 1346-2017
基本信息
标准号: GA/T 1346-2017
中文名称:信息安全技术云操作系统安全技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:886675
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 1346-2017.Information security technology-Security technical requirements for cloud operating system.
1范围
GA/T 1346规定了云操作系统的安全功能要求、安全保障要求和等级划分要求。
GA/T 1346适用于云操作系统的设计、开发及测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015信息技术安全技术 信息技术安 全评估准则第 3部分:安全保障组件
GB/T 25069- -2010 信 息安全技术术语
GB/T 31167- -2014信息安全技术云计算服务 安全指南
3术语和定义
GB/T 18336.3- 2015 、GB/T 25069- 2010 和GB/T 31167- 2014 界定的以及下列术语和定义适用于本文件。
3.1虚拟化virtualization
一种资源管理技术.将服务器(CPU、内存等)、存储和网络等计算机物理资源予以抽象、转换后以软件形态呈现出来,以简化管理并提高物理设备的资源利用率。
3.2虚拟机监视器virtual machine monitor
一种运行在基础物理服务器和操作系统之间的中间软件层,支持将物理计算资源如服务器(CPU、内存等)、存储及网络等予以抽象、转换后以软件方式呈现,形成虚拟计算资源、虛拟存储资源和虛拟网络资源,从而允许多个操作系统和应用共享硬件资源。
3.3宿主机host machine
安装了虚拟机监视器和操作系统等并提供虚拟机服务的主机。
1范围
GA/T 1346规定了云操作系统的安全功能要求、安全保障要求和等级划分要求。
GA/T 1346适用于云操作系统的设计、开发及测试。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.3-2015信息技术安全技术 信息技术安 全评估准则第 3部分:安全保障组件
GB/T 25069- -2010 信 息安全技术术语
GB/T 31167- -2014信息安全技术云计算服务 安全指南
3术语和定义
GB/T 18336.3- 2015 、GB/T 25069- 2010 和GB/T 31167- 2014 界定的以及下列术语和定义适用于本文件。
3.1虚拟化virtualization
一种资源管理技术.将服务器(CPU、内存等)、存储和网络等计算机物理资源予以抽象、转换后以软件形态呈现出来,以简化管理并提高物理设备的资源利用率。
3.2虚拟机监视器virtual machine monitor
一种运行在基础物理服务器和操作系统之间的中间软件层,支持将物理计算资源如服务器(CPU、内存等)、存储及网络等予以抽象、转换后以软件方式呈现,形成虚拟计算资源、虛拟存储资源和虛拟网络资源,从而允许多个操作系统和应用共享硬件资源。
3.3宿主机host machine
安装了虚拟机监视器和操作系统等并提供虚拟机服务的主机。
标准图片预览
标准内容
ICS35.240
中华人民共和国公共安全行业标准GA/T1346—2017
信息安全技术
云操作系统安全技术要求
Information security technologySecurity technical requirements forcloudoperatingsystem
2017-11-20发布
中华人民共和国公安部
2017-11-20实施
本标准按照GB/T1.12009给出的规则起草本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1346—2017
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、国家网络与信息系统安全产品质量监督检验中心、公安部网络安全保卫局、公安部第三研究所、华为技术有限公司、国云科技股份有限公司、浪潮电子信息产业股份有限公司、国家电网公司、新华三技术有限公司、深信服科技股份有限公司。
本标准主要起草人:陈妍、邱梓华、宋好好、俞优、张笑笑、顾玮、葛小宇、莫展鹏、郭锋、王继业、欧珊瑚、曾志峰
HiiKAoNiKAca
1范围
信息安全技术
云操作系统安全技术要求
本标准规定了云操作系统的安全功能要求,安全保障要求和等级划分要求本标准适用于云操作系统的设计、开发及测试2规范性引用文件
GA/T1346—2017
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069—2010
信息安全技术术语
GB/T31167一2014信息安全技术云计算服务安全指南3术语和定义
GB/T18336.3—2015、GB/T25069—2010和GB/T31167—2014界定的以及下列术语和定义适用于本文件。
虚拟化
virtualization
-种资源管理技术,将服务器(CPU、内存等)、存储和网络等计算机物理资源予以抽象、转换后以软件形态呈现出来,以简化管理并提高物理设备的资源利用率,3.2
virtual machinemonitor
虚拟机监视器
一种运行在基础物理服务器和操作系统之间的中间软件层,支持将物理计算资源如服务器(CPU、内存等)、存储及网络等予以抽象、转换后以软件方式呈现,形成虚拟计算资源、虚拟存储资源和虚拟网络资源,从而允许多个操作系统和应用共享硬件资源。3.3
宿主机host machine
安装了虚拟机监视器和操作系统等并提供虚拟机服务的主机。3.4
虚拟机virtual machine
通过虚拟化技术整合、抽象和隔离的,具有完整硬件系统功能的主机。3.5
云操作系统cloudoperatingsystem构架于服务器,存储和网络等物理计算资源之上,对其资源使用虚拟化技术进行资源抽象,形成虚拟资源,并对各类物理和虚拟资源进行管理和基础安全防护的产品。注:云操作系统是构建公有云、私有云和混合云等云计算平台的重要组成部分,部署时通常由管理节点、计算节点、1
iiiKAoNhikAca
GA/T1346—2017
存储节点和网络节点组成,其中存储节点和网络节点可融合于计算节点中4总体说明
安全技术要求分类
本标准将云操作系统安全技术要求分为安全功能要求和安全保障要求两大类。其中安全功能要求是对云操作系统应具备的安全功能提出具体要求,包括标识和鉴别、访问控制、角色管理、安全审计,远程传输安全、安全监控、安全告警、虚拟机隔离、虚拟网络安全、虚拟机备份和恢复、数据保护、剩余信息保护,防恶意软件加载和补丁管理等;安全保障要求针对云操作系统的整个周期过程提出具体的要求,例如开发、指导性文档、生命周期支持、测试和脆弱性评定等。安全等级划分
本标准按照云操作系统安全功能的强度划分安全功能要求的级别,参照GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全性,分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依据。
5安全功能要求
5.1标识和鉴别
5.1.1用户标识
系统应为用户提供唯一的身份标识,同时将用户的身份标识与该用户的所有可审计事件相关联,5.1.2用户鉴别
系统应提供用户鉴别的功能,包括:a)在用户请求访问云操作系统时,进行身份鉴别;若采用口令鉴别机制,需对口令进行鉴别信息复杂度校验;b)
采用两种或两种以上的组合鉴别方式;c)
d)鉴别数据不能被未授权查阅和修改。5.1.3超时锁定
系统应具有访问超时锁定的功能,在设定的时间段内用户没有任何操作的情况下终止会话,需要再次进行身份鉴别才能重新操作。5.1.4鉴别失败处理
当用户连续鉴别失败达到设定次数后,系统采取措施阻止用户的进一步请求5.2
访问控制
系统应提供访问控制功能,依据安全策略控制用户对宿主机资源,虚拟机资源,虚拟存储资源和虚拟网络资源等资源的访问,确保只有授权用户能够对资源进行访问,具体要求为:a)访问控制的覆盖范围应包括与资源访问相关的主体、客体及他们之间的操作;授权用户对资源进行访问的内容、操作权限不能超出预定义的范围;b)
系统能按时间、网络地址等条件控制用户对资源的访问。iiKANiKAca
3角色管理
系统应提供角色管理的功能,包括:GA/T1346—2017
针对不同角色设定不同的访问权限,并按最小授权原则分别授予它们各自为完成自已所承担a
任务所需的最小权限,形成相互制约关系;b)
至少包含系统管理员安全管理员和审计管理员5.4
安全审计
审计日志生成
系统应能对以下事件生成审计日志:a)
用户鉴别机制的使用;
对系统用户的管理;
对访问控制策略的配置及执行操作;对宿主机、虚拟机、虚拟网络设备和虚拟安全设备等的操作;系统自身产生的日志;
虚拟防火墙或安全组等相关的网络会话日志;攻击日志;
其他关键操作。
审计日志应包括事件类型、事件时间、事件主体、事件客体、事件成功/失败、事件详细信息等字段。审计日志保护
系统应采取以下措施,防止审计日志丢失:审计日志存储在掉电非遗失性存储介质中;a
b)当存储空间被耗尽时,保证审计日志不丢失。5.4.3审计日志管理
系统应提供以下审计日志管理功能:a)
只允许授权管理员访问审计日志;b)
按条件对审计日志进行查询;
对审计日志进行备份;
对审计日志进行分析。
5远程传输安全
系统应保证各组件间的传输安全,包括:a)对远程管理的会话信息进行安全保护,防止被非授权获取;b)对系统组件间的通信进行安全认证和授权,5.6
接口安全
系统应保证对外提供接口的安全性,保证接口不被非授权使用。安全监控bzxZ.net
系统应提供监控功能,包括:
HiiKAoNiKAca
GA/T1346—2017
对虚拟网络拓扑和网络流量进行监控,并通过图示的方法展示;a)
b)对发现的宿主机和虚拟机运行状态、资源使用情况、进行实时监控的能力;e)
为第三方提供对外接口,且对接口进行认证,授权和审计等。5.8安全告警
系统应提供告警的功能,包括:a)根据安全告警规则设置条件对安全事件信息进行处理,形成不同级别的安全告警信息:b)通过相应告警方式,及时通知相关人员,告警的方式如:Email、界面显示、声音或短信等一种或多种;
对所有物理资源和虚拟资源的过量使用情况进行告警,支持设置告警触发的条件阅值,包括:CPU占用率、内存占用率、磁盘剩余空间和网络流量等告警阈值,在系统资源达到阈值时,产生相应级别的告警;
对系统内的设备、组件和模块等进行故障告警;d)
所有告警统一呈现给管理员,并具备相应的告警日志,告警日志应至少包括:告警时间、告警对e
象、告警类型和告警级别等。
虚拟机隔离
5.9.1物理资源与虚拟资源的隔离系统应提供物理资源与虚拟资源隔离的功能,包括:a)保证每个虚拟机都能获得相对独立的物理资源,并能屏蔽虚拟资源故障,某个虚拟机崩溃后不影响宿主机及其他虚拟机;
b)对虚拟机所在宿主机范围进行指定的能力5.9.2虚拟CPU调度隔离
系统应保证不同虚拟机、虚拟机与宿主机之间的CPU指令的隔离。5.9.3内存隔离
系统应提供内存隔离的功能:包括a)保证不同虚拟机、虚拟机与宿主机之间的内存隔离;b)仅支持使用内存独占模式。
5.9.4内部网络隔离
系统应保证不同虚拟机、虚拟机与宿主机之间网络的隔离,虚拟机、宿主机接收不到目的地址不是自已的非广播报文。
5.9.5存储隔离
系统应提供存储隔离的功能,包括:a)保证虚拟机只能访问分配给该虚拟机的存储空间;b)具备设置虚拟机逻辑卷安全属性的能力,保证逻辑卷同一时刻只能被一个虚拟机挂载。5.10虚拟网络安全
5.10.1虚拟交换功能
系统应支持虚拟机数据包交换功能,所有数据包能够发送至正确的目标虚拟接口。4
HiiKAoNiKAca
虚拟网络管理
系统应提供对虚拟网络进行管理的功能,包括:a)对虚拟网络进行子网划分,并对子网进行网络隔离;b)子网内部不应出现目的地址不是本子网的非广播报文:GA/T1346—2017
保证其他子网的虚拟机及虚拟设备在未授权的情况下,不能访问本子网内对外屏蔽的虚拟机c
或虚拟设备。
5.10.3网络带宽管理
系统应提供虚拟网络接口的带宽管理功能,通过在虚拟机网络层面实现带宽管理,有效地控制虚拟机的网络流量,避免单台虚拟机占用过多的网络资源而影响整个虚拟系统的稳定性5.10.4抗拒绝服务攻击
系统应具备抗拒绝服务攻击的功能,包括:a)抵抗外部和内部网络发起的,针对系统本身和系统中虚拟机、宿主机等的拒绝服务攻击;b)
阻正内部网络发起的,针对外部网络的拒绝服务攻击;对各类攻击行为生成日志。
5.11虚拟机备份和恢复
系统应提供虚拟机备份和恢复的功能,包括:a)
对虚拟机通过镜像或快照等方式进行备份,在故障发生后虚拟机能恢复到备份点的状态;b)若采用快照备份方式,需包含磁盘快照和内存快照。5.12数据保护
系统应提供系统数据保护功能,包括:a)对镜像文件等在内的租户数据进行安全保护,只有用户自身才能访问对系统内部存储的关键信息进行安全保护,防止非授权获取;b)
对系统运行过程中的临时数据进行及时清理c)
d)对模板文件等重要数据进行完整性检测,若完整性被破坏,应及时告警。5.13剩余信息保护
系统应提供剩余信息保护功能,包括:a)虚拟机的内存被释放或再分配给其他虚拟机前得到清除;b)虚拟机用户的磁盘被释放或再分配给其他用户前得到清除。5.14防恶意软件加载和补丁管理系统应能为系统本身和系统中宿主机等提供防恶意软件加载和补丁管理的功能。5.15虚拟机迁移
系统应提供虚拟机的迁移功能,包括以下内容:a)迁移时对包括内存数据和系统数据在内的关键数据进行安全性保护,防正非授权获取:迁移时对包括内存数据和系统数据在内的关键数据进行完整性保护,防止非授权篡改:b)
保证虚拟机内业务的连续性和安全策略的一致性。5
GA/T1346—2017
5.16可用性
系统应在资源分配、任务处理和调度时采用机制防止出现系统崩溃等现象。5.17可扩展性
系统应具备当计算、存储和网络等资源不足时在线扩展的能力,且不能影响原系统的正常运行。安全保障要求
6.1开发
6.1.1安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:a)与产品设计文档中对安全功能实施抽象描述的级别一致;b)描述与安全功能要求一致的产品安全功能的安全域;描述产品安全功能初始化过程为何是安全的;c)
证实产品安全功能能够防止被破坏;d)
证实产品安全功能能够防止安全特性被旁路。e)
6.1.2功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:a)完全描述产品的安全功能;
描述所有安全功能接口的目的与使用方法;c)
标识和描述每个安全功能接口相关的所有参数;描述安全功能接口相关的安全功能实施行为;d)
描述由安全功能实施行为处理而引起的直接错误消息证实安全功能要求到安全功能接口的追溯;f)
描述安全功能实施过程中,与安全功能接口相关的所有行为;g)
描述可能由安全功能接口的调用而引起的所有直接错误消息。6.1.3
实现表示
开发者应提供全部安全功能的实现表示,实现表示应满足以下要求:a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性;按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度;b)
以开发人员使用的形式提供。
6.1.4产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:a)根据子系统描述产品结构;
标识和描述产品安全功能的所有子系统;b)
描述安全功能所有子系统间的相互作用;提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口;d)
根据模块描述安全功能;
提供安全功能子系统到模块间的映射关系;f
描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用:g)
GA/T1346—2017
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及h)
调用的接口;
i)描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用6.2指导性文档
操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应满足以下要求:a)描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;描述如何以安全的方式使用产品提供的可用接口;b)
描述可用功能和接口,无其是受用户控制的所有安全参数,适当时指明安全值:明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控d)
制实体的安全特性;
e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;
f)充分实现安全目的所必须执行的安全策略6.2.2准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求:a)描述与开发者交付程序相一致的、安全接收所交付产品必需的所有步骤:b)描述安全安装产品及其运行环境必需的所有步骤。6.3生
生命周期支持
6.3.1配置管理能力
开发者的配置管理能力应满足以下要求:为产品的不同版本提供唯一的标识;a
使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项;b)
提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示d)
进行已授权的改变;
配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理计划相一致:f
配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。6.3.2配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容:a)产品、安全保障要求的评估证据和产品的组成部分;b)实现表示、安全缺陷报告及其解决状态。7
GA/T1346—2017
6.3.3交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时交付文档应描述为维护安全所必需的所有程序6.3.4开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。6.3.5生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档描述用于开发和维护产品的模型。6.3.6工具和技术
开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。6.4测试
6.4.1测试覆盖
开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:a)表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性;b)表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试。6.4.2测试深度
开发者应提供测试深度的分析。测试深度分析描述应满足以下要求:a)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性;b)证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。6.4.3功能测试
开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容,a)测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;
b)预期的测试结果,表明测试成功后的预期输出;实际测试结果和预期测试结果的一致性。c)
6.4.4独立测试
开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试。6.5脆弱性评定
基于已标识的潜在脆弱性,产品能够抵抗以下攻击行为:a)具有基本攻击潜力的攻击者的攻击;b)具有增强型基本攻击潜力的攻击者的攻击。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T1346—2017
信息安全技术
云操作系统安全技术要求
Information security technologySecurity technical requirements forcloudoperatingsystem
2017-11-20发布
中华人民共和国公安部
2017-11-20实施
本标准按照GB/T1.12009给出的规则起草本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口。GA/T1346—2017
本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、国家网络与信息系统安全产品质量监督检验中心、公安部网络安全保卫局、公安部第三研究所、华为技术有限公司、国云科技股份有限公司、浪潮电子信息产业股份有限公司、国家电网公司、新华三技术有限公司、深信服科技股份有限公司。
本标准主要起草人:陈妍、邱梓华、宋好好、俞优、张笑笑、顾玮、葛小宇、莫展鹏、郭锋、王继业、欧珊瑚、曾志峰
HiiKAoNiKAca
1范围
信息安全技术
云操作系统安全技术要求
本标准规定了云操作系统的安全功能要求,安全保障要求和等级划分要求本标准适用于云操作系统的设计、开发及测试2规范性引用文件
GA/T1346—2017
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T18336.3一2015信息技术安全技术信息技术安全评估准则第3部分:安全保障组件GB/T25069—2010
信息安全技术术语
GB/T31167一2014信息安全技术云计算服务安全指南3术语和定义
GB/T18336.3—2015、GB/T25069—2010和GB/T31167—2014界定的以及下列术语和定义适用于本文件。
虚拟化
virtualization
-种资源管理技术,将服务器(CPU、内存等)、存储和网络等计算机物理资源予以抽象、转换后以软件形态呈现出来,以简化管理并提高物理设备的资源利用率,3.2
virtual machinemonitor
虚拟机监视器
一种运行在基础物理服务器和操作系统之间的中间软件层,支持将物理计算资源如服务器(CPU、内存等)、存储及网络等予以抽象、转换后以软件方式呈现,形成虚拟计算资源、虚拟存储资源和虚拟网络资源,从而允许多个操作系统和应用共享硬件资源。3.3
宿主机host machine
安装了虚拟机监视器和操作系统等并提供虚拟机服务的主机。3.4
虚拟机virtual machine
通过虚拟化技术整合、抽象和隔离的,具有完整硬件系统功能的主机。3.5
云操作系统cloudoperatingsystem构架于服务器,存储和网络等物理计算资源之上,对其资源使用虚拟化技术进行资源抽象,形成虚拟资源,并对各类物理和虚拟资源进行管理和基础安全防护的产品。注:云操作系统是构建公有云、私有云和混合云等云计算平台的重要组成部分,部署时通常由管理节点、计算节点、1
iiiKAoNhikAca
GA/T1346—2017
存储节点和网络节点组成,其中存储节点和网络节点可融合于计算节点中4总体说明
安全技术要求分类
本标准将云操作系统安全技术要求分为安全功能要求和安全保障要求两大类。其中安全功能要求是对云操作系统应具备的安全功能提出具体要求,包括标识和鉴别、访问控制、角色管理、安全审计,远程传输安全、安全监控、安全告警、虚拟机隔离、虚拟网络安全、虚拟机备份和恢复、数据保护、剩余信息保护,防恶意软件加载和补丁管理等;安全保障要求针对云操作系统的整个周期过程提出具体的要求,例如开发、指导性文档、生命周期支持、测试和脆弱性评定等。安全等级划分
本标准按照云操作系统安全功能的强度划分安全功能要求的级别,参照GB/T18336.3一2015划分安全保障要求的级别。安全等级突出安全性,分为基本级和增强级,安全功能强弱和安全保障要求高低是等级划分的具体依据。
5安全功能要求
5.1标识和鉴别
5.1.1用户标识
系统应为用户提供唯一的身份标识,同时将用户的身份标识与该用户的所有可审计事件相关联,5.1.2用户鉴别
系统应提供用户鉴别的功能,包括:a)在用户请求访问云操作系统时,进行身份鉴别;若采用口令鉴别机制,需对口令进行鉴别信息复杂度校验;b)
采用两种或两种以上的组合鉴别方式;c)
d)鉴别数据不能被未授权查阅和修改。5.1.3超时锁定
系统应具有访问超时锁定的功能,在设定的时间段内用户没有任何操作的情况下终止会话,需要再次进行身份鉴别才能重新操作。5.1.4鉴别失败处理
当用户连续鉴别失败达到设定次数后,系统采取措施阻止用户的进一步请求5.2
访问控制
系统应提供访问控制功能,依据安全策略控制用户对宿主机资源,虚拟机资源,虚拟存储资源和虚拟网络资源等资源的访问,确保只有授权用户能够对资源进行访问,具体要求为:a)访问控制的覆盖范围应包括与资源访问相关的主体、客体及他们之间的操作;授权用户对资源进行访问的内容、操作权限不能超出预定义的范围;b)
系统能按时间、网络地址等条件控制用户对资源的访问。iiKANiKAca
3角色管理
系统应提供角色管理的功能,包括:GA/T1346—2017
针对不同角色设定不同的访问权限,并按最小授权原则分别授予它们各自为完成自已所承担a
任务所需的最小权限,形成相互制约关系;b)
至少包含系统管理员安全管理员和审计管理员5.4
安全审计
审计日志生成
系统应能对以下事件生成审计日志:a)
用户鉴别机制的使用;
对系统用户的管理;
对访问控制策略的配置及执行操作;对宿主机、虚拟机、虚拟网络设备和虚拟安全设备等的操作;系统自身产生的日志;
虚拟防火墙或安全组等相关的网络会话日志;攻击日志;
其他关键操作。
审计日志应包括事件类型、事件时间、事件主体、事件客体、事件成功/失败、事件详细信息等字段。审计日志保护
系统应采取以下措施,防止审计日志丢失:审计日志存储在掉电非遗失性存储介质中;a
b)当存储空间被耗尽时,保证审计日志不丢失。5.4.3审计日志管理
系统应提供以下审计日志管理功能:a)
只允许授权管理员访问审计日志;b)
按条件对审计日志进行查询;
对审计日志进行备份;
对审计日志进行分析。
5远程传输安全
系统应保证各组件间的传输安全,包括:a)对远程管理的会话信息进行安全保护,防止被非授权获取;b)对系统组件间的通信进行安全认证和授权,5.6
接口安全
系统应保证对外提供接口的安全性,保证接口不被非授权使用。安全监控bzxZ.net
系统应提供监控功能,包括:
HiiKAoNiKAca
GA/T1346—2017
对虚拟网络拓扑和网络流量进行监控,并通过图示的方法展示;a)
b)对发现的宿主机和虚拟机运行状态、资源使用情况、进行实时监控的能力;e)
为第三方提供对外接口,且对接口进行认证,授权和审计等。5.8安全告警
系统应提供告警的功能,包括:a)根据安全告警规则设置条件对安全事件信息进行处理,形成不同级别的安全告警信息:b)通过相应告警方式,及时通知相关人员,告警的方式如:Email、界面显示、声音或短信等一种或多种;
对所有物理资源和虚拟资源的过量使用情况进行告警,支持设置告警触发的条件阅值,包括:CPU占用率、内存占用率、磁盘剩余空间和网络流量等告警阈值,在系统资源达到阈值时,产生相应级别的告警;
对系统内的设备、组件和模块等进行故障告警;d)
所有告警统一呈现给管理员,并具备相应的告警日志,告警日志应至少包括:告警时间、告警对e
象、告警类型和告警级别等。
虚拟机隔离
5.9.1物理资源与虚拟资源的隔离系统应提供物理资源与虚拟资源隔离的功能,包括:a)保证每个虚拟机都能获得相对独立的物理资源,并能屏蔽虚拟资源故障,某个虚拟机崩溃后不影响宿主机及其他虚拟机;
b)对虚拟机所在宿主机范围进行指定的能力5.9.2虚拟CPU调度隔离
系统应保证不同虚拟机、虚拟机与宿主机之间的CPU指令的隔离。5.9.3内存隔离
系统应提供内存隔离的功能:包括a)保证不同虚拟机、虚拟机与宿主机之间的内存隔离;b)仅支持使用内存独占模式。
5.9.4内部网络隔离
系统应保证不同虚拟机、虚拟机与宿主机之间网络的隔离,虚拟机、宿主机接收不到目的地址不是自已的非广播报文。
5.9.5存储隔离
系统应提供存储隔离的功能,包括:a)保证虚拟机只能访问分配给该虚拟机的存储空间;b)具备设置虚拟机逻辑卷安全属性的能力,保证逻辑卷同一时刻只能被一个虚拟机挂载。5.10虚拟网络安全
5.10.1虚拟交换功能
系统应支持虚拟机数据包交换功能,所有数据包能够发送至正确的目标虚拟接口。4
HiiKAoNiKAca
虚拟网络管理
系统应提供对虚拟网络进行管理的功能,包括:a)对虚拟网络进行子网划分,并对子网进行网络隔离;b)子网内部不应出现目的地址不是本子网的非广播报文:GA/T1346—2017
保证其他子网的虚拟机及虚拟设备在未授权的情况下,不能访问本子网内对外屏蔽的虚拟机c
或虚拟设备。
5.10.3网络带宽管理
系统应提供虚拟网络接口的带宽管理功能,通过在虚拟机网络层面实现带宽管理,有效地控制虚拟机的网络流量,避免单台虚拟机占用过多的网络资源而影响整个虚拟系统的稳定性5.10.4抗拒绝服务攻击
系统应具备抗拒绝服务攻击的功能,包括:a)抵抗外部和内部网络发起的,针对系统本身和系统中虚拟机、宿主机等的拒绝服务攻击;b)
阻正内部网络发起的,针对外部网络的拒绝服务攻击;对各类攻击行为生成日志。
5.11虚拟机备份和恢复
系统应提供虚拟机备份和恢复的功能,包括:a)
对虚拟机通过镜像或快照等方式进行备份,在故障发生后虚拟机能恢复到备份点的状态;b)若采用快照备份方式,需包含磁盘快照和内存快照。5.12数据保护
系统应提供系统数据保护功能,包括:a)对镜像文件等在内的租户数据进行安全保护,只有用户自身才能访问对系统内部存储的关键信息进行安全保护,防止非授权获取;b)
对系统运行过程中的临时数据进行及时清理c)
d)对模板文件等重要数据进行完整性检测,若完整性被破坏,应及时告警。5.13剩余信息保护
系统应提供剩余信息保护功能,包括:a)虚拟机的内存被释放或再分配给其他虚拟机前得到清除;b)虚拟机用户的磁盘被释放或再分配给其他用户前得到清除。5.14防恶意软件加载和补丁管理系统应能为系统本身和系统中宿主机等提供防恶意软件加载和补丁管理的功能。5.15虚拟机迁移
系统应提供虚拟机的迁移功能,包括以下内容:a)迁移时对包括内存数据和系统数据在内的关键数据进行安全性保护,防正非授权获取:迁移时对包括内存数据和系统数据在内的关键数据进行完整性保护,防止非授权篡改:b)
保证虚拟机内业务的连续性和安全策略的一致性。5
GA/T1346—2017
5.16可用性
系统应在资源分配、任务处理和调度时采用机制防止出现系统崩溃等现象。5.17可扩展性
系统应具备当计算、存储和网络等资源不足时在线扩展的能力,且不能影响原系统的正常运行。安全保障要求
6.1开发
6.1.1安全架构
开发者应提供产品安全功能的安全架构描述,安全架构描述应满足以下要求:a)与产品设计文档中对安全功能实施抽象描述的级别一致;b)描述与安全功能要求一致的产品安全功能的安全域;描述产品安全功能初始化过程为何是安全的;c)
证实产品安全功能能够防止被破坏;d)
证实产品安全功能能够防止安全特性被旁路。e)
6.1.2功能规范
开发者应提供完备的功能规范说明,功能规范说明应满足以下要求:a)完全描述产品的安全功能;
描述所有安全功能接口的目的与使用方法;c)
标识和描述每个安全功能接口相关的所有参数;描述安全功能接口相关的安全功能实施行为;d)
描述由安全功能实施行为处理而引起的直接错误消息证实安全功能要求到安全功能接口的追溯;f)
描述安全功能实施过程中,与安全功能接口相关的所有行为;g)
描述可能由安全功能接口的调用而引起的所有直接错误消息。6.1.3
实现表示
开发者应提供全部安全功能的实现表示,实现表示应满足以下要求:a)提供产品设计描述与实现表示实例之间的映射,并证明其一致性;按详细级别定义产品安全功能,详细程度达到无须进一步设计就能生成安全功能的程度;b)
以开发人员使用的形式提供。
6.1.4产品设计
开发者应提供产品设计文档,产品设计文档应满足以下要求:a)根据子系统描述产品结构;
标识和描述产品安全功能的所有子系统;b)
描述安全功能所有子系统间的相互作用;提供的映射关系能够证实设计中描述的所有行为能够映射到调用它的安全功能接口;d)
根据模块描述安全功能;
提供安全功能子系统到模块间的映射关系;f
描述所有安全功能实现模块,包括其目的及与其他模块间的相互作用:g)
GA/T1346—2017
描述所有实现模块的安全功能要求相关接口、其他接口的返回值、与其他模块间的相互作用及h)
调用的接口;
i)描述所有安全功能的支撑或相关模块,包括其目的及与其他模块间的相互作用6.2指导性文档
操作用户指南
开发者应提供明确和合理的操作用户指南,操作用户指南与为评估而提供的其他所有文档保持一致,对每一种用户角色的描述应满足以下要求:a)描述在安全处理环境中被控制的用户可访问的功能和特权,包含适当的警示信息;描述如何以安全的方式使用产品提供的可用接口;b)
描述可用功能和接口,无其是受用户控制的所有安全参数,适当时指明安全值:明确说明与需要执行的用户可访问功能有关的每一种安全相关事件,包括改变安全功能所控d)
制实体的安全特性;
e)标识产品运行的所有可能状态(包括操作导致的失败或者操作性错误),以及它们与维持安全运行之间的因果关系和联系;
f)充分实现安全目的所必须执行的安全策略6.2.2准备程序
开发者应提供产品及其准备程序,准备程序描述应满足以下要求:a)描述与开发者交付程序相一致的、安全接收所交付产品必需的所有步骤:b)描述安全安装产品及其运行环境必需的所有步骤。6.3生
生命周期支持
6.3.1配置管理能力
开发者的配置管理能力应满足以下要求:为产品的不同版本提供唯一的标识;a
使用配置管理系统对组成产品的所有配置项进行维护,并唯一标识配置项;b)
提供配置管理文档,配置管理文档描述用于唯一标识配置项的方法;配置管理系统提供一种自动方式来支持产品的生成,通过该方式确保只能对产品的实现表示d)
进行已授权的改变;
配置管理文档包括一个配置管理计划,配置管理计划描述如何使用配置管理系统开发产品。实施的配置管理与配置管理计划相一致:f
配置管理计划描述用来接受修改过的或新建的作为产品组成部分的配置项的程序。6.3.2配置管理范围
开发者应提供产品配置项列表,并说明配置项的开发者。配置项列表应包含以下内容:a)产品、安全保障要求的评估证据和产品的组成部分;b)实现表示、安全缺陷报告及其解决状态。7
GA/T1346—2017
6.3.3交付程序
开发者应使用一定的交付程序交付产品,并将交付过程文档化。在给用户方交付产品的各版本时交付文档应描述为维护安全所必需的所有程序6.3.4开发安全
开发者应提供开发安全文档。开发安全文档应描述在产品的开发环境中,为保护产品设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的和其他方面的安全措施。6.3.5生命周期定义
开发者应建立一个生命周期模型对产品的开发和维护进行的必要控制,并提供生命周期定义文档描述用于开发和维护产品的模型。6.3.6工具和技术
开发者应明确定义用于开发产品的工具,并提供开发工具文档无歧义地定义实现中每个语句的含义和所有依赖于实现的选项的含义。6.4测试
6.4.1测试覆盖
开发者应提供测试覆盖文档,测试覆盖描述应满足以下要求:a)表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性;b)表明上述对应性是完备的,并证实功能规范中的所有安全功能接口都进行了测试。6.4.2测试深度
开发者应提供测试深度的分析。测试深度分析描述应满足以下要求:a)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一致性;b)证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。6.4.3功能测试
开发者应测试产品安全功能,将结果文档化并提供测试文档。测试文档应包括以下内容,a)测试计划,标识要执行的测试,并描述执行每个测试的方案,这些方案包括对于其他测试结果的任何顺序依赖性;
b)预期的测试结果,表明测试成功后的预期输出;实际测试结果和预期测试结果的一致性。c)
6.4.4独立测试
开发者应提供一组与其自测安全功能时使用的同等资源,以用于安全功能的抽样测试。6.5脆弱性评定
基于已标识的潜在脆弱性,产品能够抵抗以下攻击行为:a)具有基本攻击潜力的攻击者的攻击;b)具有增强型基本攻击潜力的攻击者的攻击。8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。