出租车安全防范技术要求 第1部分：出租车安全防范系统

声明

本文是学习桌面云安全技术要求. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

范围

本标准规定了基于虚拟化技术的桌面云应用场景安全技术要求，对于附录A中的应用场景也做出了部分要求。

本标准适用于桌面云的安全设计、开发，可用于指导桌面云安全测试。

规范性引用文件

本标准对于下列文件的引用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。

GB/T 5271.8-2001 信息系统 词汇 第8部分：安全

GB/T 2887-2011 计算机场地通用规范

GB/T 25069-2010 信息安全技术术语

GB/T 9361-2011 计算机场地安全要求

GB/T 31167-2014 信息安全技术 云计算服务安全指南

GB/T 31168-2014 信息安全技术 云计算服务安全能力要求

GB/T 31915-2015 信息安全技术 弹性计算应用接口

GB/T 32400—2015　信息技术　安全技术　云计算　概述和词汇

术语和定义

GB/T 25069 -2010界定的以及下列术语和定义适用于本文件。

桌面云　desktop cloud

一种基于云计算的桌面交付模式。在该模式下，通过将计算机桌面进行虚拟化，把个人计算环境集中存储于数据中心，为用户提供按需分配、快速交付的桌面。用户使用终端设备通过网络访问该桌面。

虚拟桌面　virtual desktop

一种基于虚拟化技术所提供的桌面应用。用户使用终端设备进行交互操作，获得与传统个人计算机一致的用户体验。

桌面虚拟化　desktop virtualization

一种基于服务器虚拟化，并允许用户远程访问桌面并进行输入输出操作的技术。

瘦终端　thin client

一种使用处理器、裁剪后的操作系统，可实现对传输协议解码、显示和信息输入，为用户提供虚拟桌面交付的终端设备。

零终端　zero client

一种无通用处理器、无本地硬盘、无通用操作系统的终端设备，该终端通过专用硬件协议处理芯片，实现传输协议解码、显示和信息输入，为用户提供虚拟桌面交付的终端设备。

胖终端　thick client

一种具备通用处理器、本地硬盘、通用操作系统，并可安装虚拟桌面客户端软件的终端设备。

示例：传统个人计算机和便携计算机。

移动终端　mobile client

一种在移动环境中使用的计算机终端设备。

示例：数字移动电话机、便携计算机等。

虚拟化　virtualization

一种资源管理技术，将处理器、存储、和网络等计算机物理资源予以抽象、转换后以软件形态呈现出来，以简化管理并提高物理设备的资源利用率。

客户操作系统　guest OS

运行在虚拟机中，供用户直接使用的操作系统。

虚拟机监视器　hypervisor

是一种虚拟资源的管理软件，协调多个客户操作系统对宿主机硬件资源的访问，并在各虚拟机之间施加防护。

宿主机　host

一种安装了虚拟机监控器并提供虚拟机服务的服务器。

虚拟机　virtual machine

通过虚拟化技术整合、抽象和隔离的，具有完整硬件系统功能的计算机。

虚拟机镜像　virtual machine image

虚拟机对应的文件系统镜像，包括操作系统及虚拟机运行需要的软件。

虚拟机模板　virtual machine template

配置虚拟机所需的元数据集合，包括CPU数量、内存大小和磁盘大小等。

注：虚拟机模板用于方便地生成虚拟机。

虚拟机热迁移

也成为动态迁移、实时迁移，通过一定的方式将实时运行的在虚拟机在不关闭虚拟机的情况下从一台物理服务器迁移到另一台物理服务器上的迁移方式。

概述

桌面云基础功能架构

桌面云基础功能架构由服务端功能和客户端功能组成，具体描述如下：客户端主要是在终端设备（包括瘦终端、胖终端、零终端以及移动终端）上安装或预先加载的桌面云客户端软件，提供对外设指令的接收、解码传输协议、用户界面。服务端主要是在硬件基础上，通过不同技术手段，建立虚拟桌面，并能够对虚拟桌面进行创建、修改、删除等基本操作，对虚拟桌面网络和存储进行配置和管理，同时针对已经建立的虚拟桌面分配给不同的桌面用户，对所有的桌面镜像进行集中管理。服务端还包括传输协议的服务端，负责接收用户操作信息并将虚拟桌面推送给用户。图4-1给出了一个桌面云的参考功能示意图。

图4-1桌面云功能示意图

桌面云安全参考架构

图4-2给出了一个桌面云安全架构的参考图。桌面云安全架构可以划分为3层，分别为：物理资源层、资源虚拟化层、桌面平台层。具体描述如下：

a.物理层安全：物理资源层为桌面云的运行提供所需要的物理资源，包括物理计算资源、物理存储资源、物理网络资源。物理资源层的安全涉及到环境安全和物理设备安全（包括终端设备的物理安全、桌面云服务器的物理安全、存储设备安全和网络设备安全等），以及相对应的对物理资源层进行管理的物理安全管理。

b.虚拟化层安全：资源虚拟化层为桌面云的运行提供所需要的虚拟资源，包括虚拟计算资源、虚拟存储资源、虚拟网络资源。资源虚拟化层的安全主要包括：宿主机安全（仅针对托管型Hypervisor）、虚拟计算安全、虚拟存储安全和虚拟网络安全，以及相对应的对虚拟资源层进行管理的虚拟化安全管理。

c.桌面平台层安全：桌面平台层为用户提供了一个安全的桌面平台以支持在资源虚拟化层上运行各种应用软件。桌面平台层的安全主要包括：桌面接入安全（其中包括终端设备接入虚拟桌面的安全、传输协议安全以及桌面用户身份认证），以及相对应的对桌面云平台进行管理的桌面平台安全管理。

图4-2桌面云安全参考架构

安全技术要求的表述形式

本标准将桌面云安全技术要求分为一般要求和增强要求。企业或者政府机构需要根据自身信息和业务进行分析，按照信息的敏感程度和所涉及的业务的重要程度选择相应的安全技术要求进行桌面云的设计、开发和检测。

本标准中的每一项安全要求均以一般要求和增强要求的形式给出。增强要求是对一般要求的补充和强化，在实现增强要求时，一般要求应首先得到满足。

有的安全要求只列出了增强要求，一般要求标为"无"。这表明具有一般安全能力的企业可以不实现此项安全要求。

物理层安全

环境安全

一般要求

本项要求参考GB/T2887-2011《计算机场地通用规范》和GB/T
9361-2011《计算机场地安全要求》等相关国家标准。

物理设备安全

桌面云物理设备为桌面云的运行提供所需要的物理资源，包括物理计算资源、物理存储资源、物理网络资源。

一般要求

本项要求参考GB/T2887-2011的规定，并包括如下要求：

a) 设备中不应提供扩展插槽和多余的物理端口，应关闭不需要的物理端口；

b) 瘦终端的BIOS应仅能从内置设备引导，不保留其它引导方式。

增强要求

a) 瘦终端的内置存储应支持基于硬件的加密。

物理资源管理安全

一般要求

本项要求参考GB/T2887-2011的规定，并包括如下要求：

a) 应支持对物理设备的端口使用情况进行监控。

虚拟化层安全

宿主机安全

应采用必要的身份鉴别、访问控制、剩余信息保护、入侵防范、恶意代码防范手段保护宿主机安全。

身份鉴别

一般要求

本项要求包括：

a) 应对登录宿主机的用户进行身份标识和鉴别；

b) 宿主机的不同用户应具有不同的用户名，用户名应具有唯一性；

c) 宿主机的用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；

d) 应启用宿主机登录失败处理功能，可采取结束会话、限制登录次数和自动退出等措施；

e) 当对宿主机进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听。

增强要求

a) 支持第三方身份鉴别方案。

访问控制

一般要求

本项要求包括：

a) 应启用访问控制功能，依据安全策略控制管理用户对宿主机资源的访问；

b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；

c) 应严格限制默认帐户的访问权限，修改默认帐户的默认口令。

剩余信息保护

一般要求

无。

增强要求

本项要求包括：

a) 应保证管理员用户和桌面云用户的鉴别信息所在的存储空间，被释放或再分配给其他用户前得到清除，无论这些信息是存放在硬盘上还是在内存中；

d) 应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到清除；

e) 应确保在虚拟机运行时产生的临时文件所在的宿主机的存储空间，在虚拟机销毁后得到清除。

入侵防范

一般要求

本项要求包括：

a) 宿主机操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新。

增强要求

本项要求包括：

a) 宿主机操作系统关键区域（如操作系统系统配置文件、账户管理模块、操作系统外设管理模块等）应仅支持只读方式；

b) 应能够检测到对宿主机进行入侵的行为，能够记录入侵的源IP、攻击类型、攻击目的、攻击时间，并在发生严重入侵事件时提供报警。

恶意代码防范

一般要求

宿主机操作系统应能对恶意代码进行防范。

虚拟计算安全

完整性校验

一般要求

无。

增强要求

本项要求包括：

a) 应对虚拟机监视器和虚拟机操作系统镜像进行完整性校验，确保系统未被篡改。

虚拟化安全隔离

一般要求

本项要求包括：

a) 应保证虚拟机与虚拟机监视器之间的资源隔离，管控虚拟机之间以及虚拟机和虚拟机监视器之间所有的数据通信；

a) 应保证不同虚拟机之间的资源隔离，某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机；

b) 应保证不同虚拟机之间CPU指令隔离；

c) 应保证不同虚拟机之间内存的隔离；

d) 应保证虚拟机仅能接收到目的地址包括自己的报文；

e) 应保证虚拟机只能访问分配给自己的存储空间；

f) 应保证I/O端口的隔离。

增强要求

本项要求包括：

a) 支持虚拟机内存独占模式；

g) 支持宿主机CPU独占模式。

迁移安全

一般要求

本项要求包括：

a) 虚拟机应支持热迁移。

增强要求

本项要求包括：

a) 应采取技术手段保证迁移过程中数据的保密性；

b) 应采取技术手段保证迁移后数据的完整性。

虚拟存储安全

一般要求

本项要求包括：

a) 应支持多副本存储；

b) 应采取措施对重要数据完整性进行保护；

c) 应支持对虚拟磁盘设置访问策略，保证用户数据不能被其他非授权用户访问；

d) 应支持对虚拟磁盘进行加密；

e) 应支持在用户要求删除数据或设备弃置、转售前将其所有数据彻底清除；

f) 应支持将虚拟机监视器的数据，如安全配置、访问策略等内容作为关键数据进行备份；

g) 应支持存储迁移时原存储空间数据彻底清除；

h) 应支持查询用户数据及备份的存储位置。

增强要求

a) 如果部署场景为公共桌面云，应支持虚拟机磁盘加密后的数据和密钥分开存储。

虚拟网络安全

架构安全

一般要求

本项要求包括：

a) 应保证关键网络设备及虚拟化网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；

i) 应保证核心网络的带宽满足业务高峰期需要；

j) 应保证虚拟机只能接收到目的地址包括自己地址的报文；

k) 应能监控虚拟机之间、虚拟机与宿主机之间的流量；

l) 应提供开放接口，允许接入第三方安全产品。

网络隔离

一般要求

本项要求包括：

a) 应保证不同类型流量分离，如管理流量、桌面云用户业务流量分离；

b) 应支持网络安全域划分，确保虚拟机之间的安全隔离，支持VLAN/VxLAN或安全组等方式；

c) 应采用技术手段防止桌面用户修改虚拟网卡的IP地址、MAC地址；

d) 应支持IP地址和MAC地址绑定；

e) 应能对虚拟机的网络接口带宽进行设置；

f) 应避免部分虚拟机对虚拟化网络资源的过度占用以及网路故障影响其他虚拟机的正常使用。

入侵防范

一般要求

本项要求包括：

a) 应防止虚拟机使用虚假的IP或MAC地址对外发起攻击；

g) 应禁止虚拟机修改VLAN ID，防止虚拟机VLAN跳跃攻击；

h) 应支持在虚拟网络中对虚拟机监视器和虚拟机的入侵行为进行检测，并在发生入侵事件时提供告警。

增强要求

本项要求包括：

a) 应支持虚拟机绑定固定IP；

b) 应支持网络端口访问控制，关闭暂未使用的端口。

虚拟化安全管理

用户管理

一般要求

本项要求包括：

a) 凡需登录虚拟化管理平台的管理员用户，应先进行标识；

b) 管理员用户标识应使用用户名/用户ID，并保证在虚拟化管理平台中的唯一性；

c) 提供虚拟资源管理员权限分离机制，例如系统管理员、安全管理员、安全审计员等不同的管理员账户；

d) 虚拟化管理平台的管理员按职能分割和最小授权原则，并形成相互制约、监督的关系；

e) 应能由管理员定义合适的用户角色，对用户按最小授权原则进行管理。

身份鉴别

一般要求

本项要求包括：

a) 实现对管理员用户身份的鉴别，并在每次登录系统时进行鉴别；

b) 鉴别信息应采用非明文方式存储和传输；

c) 在会话超时后，系统应断开会话或重新鉴别用户，系统应提供时限的默认值；

d) 应提供鉴别失败处理功能，能够预定义鉴别尝试的最大值（包括尝试次数和时间的阈值），以及达到该值时系统应采取的措施。

增强要求

本项要求包括：

a) 应采用两种或两种以上组合的鉴别技术；

e) 应支持基于可信第三方的认证方式。

访问控制

一般要求

本项要求包括：

a) 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作；

b) 授权用户对受保护资源进行访问的内容、操作权限不能超出预定义的范围；

c) 访问控制主体为：虚拟机、管理员用户等；

d) 受保护的资源至少包括：CPU、存储、网络等。

增强要求

本项要求包括：

a) 应对远程执行特权命令进行限制；

e) 应实时监视远程管理连接，在发现未授权连接时采取一定措施，例如断开连接。

宿主机管理

一般要求

本项要求包括：

a) 应支持实时检测硬件故障状态，对故障硬件实施自动隔离，并进行告警。

虚拟机管理

一般要求

本项要求包括：

a) 应提供虚拟机定时策略和批量操作功能，包括虚拟机的启动、重启、挂起、恢复、关机等；

b) 应能在虚拟机异常时，根据策略采取相应措施；

c) 应限制单个虚拟机对系统资源的最大使用配额。

虚拟存储管理

一般要求

本项要求包括：

a) 应支持对存储数据的加密密钥进行管理。

增强要求

本项要求包括：

a) 应支持基于策略的用户数据存储，为不同类型或安全需求的数据提供不同的存储位置。

虚拟网络管理

一般要求

本项要求包括：

a) 应提供与当前运行状况相符的虚拟网络结构信息图；

b) 应支持虚拟化平台管理网络数据传输的保密性和完整性；

c) 应保证访问控制策略在虚拟机迁移前后一致并有效；

d) 应能根据用户数据的不同安全要求,划分成不同的网络安全域，支持不同数据之间的隔离。

增强要求

本项要求包括：

a) 能对虚拟化网络资源、网络结构及相应访问控制策略进行实时更新和集中监控。

安全监控

一般要求

本项要求包括：

a) 应支持对虚拟机状态的实时监控，形成各种安全安全等事件信息；

b) 应支持自定义安全事件，包括事件类型等；

c) 应支持对安全事件信息进行处理，形成不同级别的安全告警信息；

d) 应支持设置多种告警方式。

增强要求

本项要求包括：

a) 应支持对运行时安全策略执行状态的检查；

e) 应提供监控信息的接口，提供数据供第三方审计，实现集中监控。

安全审计

一般要求

本项要求包括：

a) 应能对以下事件生成审计日志：

1. 管理员关键操作行为，包括宿主机配置、虚拟资源分配、虚拟资源管理、虚拟资源异常使用等；

2. 管理员的登录、登出、修改密码等日常行为。

b) 审计日志应包括事件类型、事件时间、事件主体、事件客体、用户IP、事件描述和事件结果等字段；

c) 审计日志应存储在掉电非易失性存储介质中；

d) 当存储空间将要耗尽时，应采取相应措施，保证审计日志不丢失；

e) 应支持对审计日志进行备份；

f) 应保护审计日志不被未授权地访问、修改和破坏；

g) 应提供审计日志的可选择查询功能，支持按以下条件之一或组合进行查询：事件类型、事件时间、事件主体、事件客体、用户IP、日志级别、事件结果或关键词查询；

h) 应提供对审计日志的导出功能。

增强要求

本项要求包括：

a) 应为安全审计的数据提供接口，提供数据供第三方审计，实现集中审计。

延伸阅读

更多内容 可以 桌面云安全技术要求. 进一步学习

联系我们

DB11-T 782.1-2011 出租车安全防范技术要求 第1部分：出租车安全防范系统 北京市.pdf