中华人民共和国国家标准信息安全技术桌面云安全技术要求发布实施国家市场监督管理总局中国国家标准化管理委员会发布目次前言范围规范性引用文件术语和定义缩略语概述桌面云基础功能架构桌面云安全参考架构安全技术要求的表述形式物理层安全环境安全物理设备安全物理安全管理虚拟化层安全宿主机安全虚拟计算安全虚拟存储安全虚拟网络安全虚拟化安全管理桌面平台层安全桌面接入安全桌面平台管理安全附录资料性附录桌面云场景描述参考文献前言本标准按照给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位中国电子科技集团公司第三十研究所公安部第三研究所中国电子技术标准化研究院神州网信技术有限公司华为技术有限公司卫士通信息产业股份有限公司电子科技大学成都大学北京国电通网络技术有限公司武汉大学中国信息安全研究院有限公司深圳市深信服电子科技有限公司湖南麒麟信安科技有限公司本标准主要起草人王强望娅露陈妍刘晓毅张剑冯成燕郭小华王惠莅赵华罗俊陈爱国万国根李祉岐王丽娜刘伯仲杨晨刘文清李占伟信息安全技术桌面云安全技术要求范围本标准规定了基于虚拟化技术的桌面云在应用过程中的安全技术要求本标准适用于桌面云的安全设计开发可用于指导桌面云安全测试规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件计算机场地通用规范信息技术词汇第部分安全计算机场地安全要求信息安全技术术语信息技术术语和定义弹性计算应用接口和界定的以及下列术语和定义适用于本文件桌面云一种基于云计算的桌面交付模式注在该模式下通过将计算机桌面进行虚拟化把个人计算环境集中存储于数据中心为用户提供按需分配快速交付的桌面用户使用终端设备通过网络访问该桌面虚拟桌面一种基于虚拟化技术所提供的桌面应用注虚拟桌面支持用户使用终端设备进行交互操作以获得与传统个人计算机一致的用户体验桌面虚拟化一种基于服务器虚拟化并允许用户远程访问桌面并进行输入输出操作的技术瘦终端一种使用处理器裁剪后的操作系统可实现对传输协议解码显示和信息输入为用户提供虚拟桌面交付的终端设备零终端一种无通用处理器无本地硬盘无通用操作系统的终端设备注零终端通过专用硬件协议处理芯片实现传输协议解码显示和信息输入为用户提供虚拟桌面交付的终端设备胖终端一种具备通用处理器本地硬盘通用操作系统并可安装虚拟桌面客户端软件的终端设备示例传统个人计算机和便携计算机一种在移动环境中使用的计算机终端设备移动终端示例数字移动电话机便携计算机等虚拟化一种资源管理技术将处理器存储和网络等计算机物理资源予以抽象转换后以软件形态呈现出来以简化管理并提高物理设备的资源利用率客户操作系统运行在虚拟机中供用户直接使用的操作系统虚拟机监视器一种虚拟资源的管理软件协调多个客户操作系统对宿主机硬件资源的访问并在各虚拟机之间施加防护宿主机一种安装了虚拟机监控器并提供虚拟机服务的服务器虚拟机通过虚拟化技术整合抽象和隔离的具有完整硬件系统功能的计算机虚拟机镜像虚拟机对应的文件系统镜像注包括操作系统及虚拟机运行需要的软件虚拟机模板配置虚拟机所需的元数据集合注虚拟机模板用于方便地生成虚拟机注包括数量内存大小和磁盘大小等虚拟机热迁移动态迁移实时迁移通过一定的方式将实时运行的虚拟机在不关闭虚拟机的情况下从一台物理服务器迁移到另一台物理服务器上的迁移方式缩略语下列缩略语适用于本文件基本输入输出系统中央处理器身份网络之间互连的协议输入输出媒体访问控制通用串行总线虚拟局域网扩展虚拟局域网概述桌面云基础功能架构桌面云基础功能架构由服务端功能和客户端功能组成具体描述如下客户端主要是在终端设备包括瘦终端胖终端零终端以及移动终端上安装或预先加载的桌面云客户端软件提供对外设指令的接收解码传输协议用户界面服务端主要是在硬件基础上通过不同技术手段建立虚拟桌面并能够对虚拟桌面进行创建修改删除等基本操作对虚拟桌面网络和存储进行配置和管理同时针对已经建立的虚拟桌面分配给不同的桌面用户对所有的桌面镜像进行集中管理服务端还包括传输协议的服务端负责接收用户操作信息并将虚拟桌面推送给用户图给出了一个桌面云的参考功能示意图对于主流桌面云的技术架构和部署场景可参考附录图桌面云功能示意图桌面云安全参考架构图给出了一个桌面云安全架构的参考图桌面云安全架构可以划分为层分别为物理层虚拟化层桌面平台层具体描述如下物理层安全物理层为桌面云的运行提供所需要的物理资源包括物理计算资源物理存储资源物理网络资源物理层的安全涉及环境安全和物理设备安全包括终端设备的物理安全桌面云服务器的物理安全存储设备安全和网络设备安全等以及相对应的对物理层进行管理的物理安全管理虚拟化层安全虚拟化层为桌面云的运行提供所需要的虚拟资源包括虚拟计算资源虚拟存储资源虚拟网络资源虚拟化层的安全主要包括宿主机安全仅针对托管型虚拟计算安全虚拟存储安全和虚拟网络安全以及相对应的对虚拟资源层进行管理的虚拟化安全管理桌面平台层安全桌面平台层为用户提供了一个安全的桌面平台以支持在虚拟化层上运行各种应用软件桌面平台层的安全主要包括桌面接入安全其中包括终端设备接入虚拟桌面的安全传输协议安全以及桌面用户身份认证以及相对应的对桌面云平台进行管理的桌面平台安全管理图桌面云安全参考架构安全技术要求的表述形式本标准将桌面云安全技术要求分为一般要求和增强要求企业或者政府机构需要根据自身信息和业务进行分析按照信息的敏感程度和所涉及的业务的重要程度选择相应的安全技术要求进行桌面云的设计开发和检测本标准中的每一项安全要求以一般要求和增强要求的形式给出增强要求是对一般要求的补充和强化在实现增强要求时一般要求应首先得到满足物理层安全环境安全按照中第章第章和中第章第章的规定实施物理设备安全一般要求包括应按照中第章的规定实施设备中不应提供扩展插槽和多余的物理端口应关闭不需要的物理端口瘦终端的应仅能从内置设备引导不保留其他引导方式增强要求瘦终端的内置存储应支持基于硬件的加密物理安全管理包括按照中第章的规定实施应支持对物理设备的端口使用情况进行监控虚拟化层安全宿主机安全身份鉴别一般要求包括应对登录宿主机的用户进行身份标识和鉴别宿主机的不同用户应具有不同的用户名用户名应具有唯一性宿主机的用户身份标识应具有不易被冒用的特点口令应有复杂度要求并定期更换应启用宿主机登录失败处理功能可采取结束会话限制登录次数和自动退出等措施当对宿主机进行远程管理时应采取必要措施防止鉴别信息在网络传输过程中被窃听增强要求应支持第三方身份鉴别方案访问控制一般要求包括应启用访问控制功能依据安全策略控制管理用户对宿主机资源的访问应根据管理用户的角色分配权限实现管理用户的权限分离仅授予管理用户所需的最小权限应严格限制默认账户的访问权限修改默认账户的默认口令增强要求无剩余信息保护一般要求无增强要求包括应保证管理员用户和桌面云用户的鉴别信息所在的存储空间被释放或再分配给其他用户前得到清除无论这些信息是存放在硬盘上还是在内存中应确保系统内的文件目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到清除应确保在虚拟机运行时产生的临时文件所在的宿主机的存储空间在虚拟机销毁后得到清除入侵防范一般要求宿主机操作系统应遵循最小安装的原则仅安装需要的组件和应用程序并保持系统补丁及时得到更新增强要求包括宿主机操作系统关键区域如操作系统配置文件账户管理模块操作系统外设管理模块等应仅支持只读方式应能够检测到对宿主机进行入侵的行为能够记录入侵的源攻击类型攻击目的攻击时间并在发生严重入侵事件时提供报警恶意代码防范一般要求宿主机操作系统应能对恶意代码进行防范增强要求无虚拟计算安全完整性校验一般要求无增强要求应对虚拟机监视器和虚拟机操作系统镜像进行完整性校验确保系统未被篡改虚拟化安全隔离一般要求包括应保证虚拟机与虚拟机监视器之间的资源隔离管控虚拟机之间以及虚拟机和虚拟机监视器之间所有的数据通信应保证不同虚拟机之间的资源隔离某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机应保证不同虚拟机之间指令隔离应保证不同虚拟机之间内存的隔离应保证虚拟机仅能接收到目的地址包括自己的报文应保证虚拟机只能访问分配给自己的存储空间端口的隔离应保证增强要求包括支持虚拟机内存独占模式支持宿主机独占模式迁移安全一般要求虚拟机应支持热迁移增强要求包括应采取技术手段保证迁移过程中数据的保密性应采取技术手段保证迁移后数据的完整性虚拟存储安全一般要求包括应支持多副本存储应采取措施对重要数据完整性进行保护应支持对虚拟磁盘设置访问策略保证用户数据不能被其他非授权用户访问应支持对虚拟磁盘进行加密应支持在用户要求删除数据或设备弃置转售前将其所有数据彻底清除应支持将虚拟机监视器的数据如安全配置访问策略等内容作为关键数据进行备份应支持存储迁移时原存储空间数据彻底清除应支持查询用户数据及备份的存储位置增强要求如果部署场景为公共桌面云应支持虚拟机磁盘加密后的数据和密钥分开存储虚拟网络安全架构安全一般要求包括应保证关键网络设备及虚拟化网络设备的业务处理能力具备冗余空间满足业务高峰期需要应保证核心网络的带宽满足业务高峰期需要应保证虚拟机只能接收到目的地址包括自己地址的报文应能监控虚拟机之间虚拟机与宿主机之间的流量应提供开放接口允许接入第三方安全产品增强要求无网络隔离一般要求包括应保证不同类型流量分离如管理流量桌面云用户业务流量分离应支持网络安全域划分确保虚拟机之间的安全隔离支持或安全组等方式应采用技术手段防止桌面用户修改虚拟网卡的地址地址应支持地址和地址绑定应能对虚拟机的网络接口带宽进行设置应避免部分虚拟机对虚拟化网络资源的过度占用以及网路故障影响其他虚拟机的正常使用增强要求无入侵防范一般要求包括应防止虚拟机使用虚假的或地址对外发起攻击应禁止虚拟机修改防止虚拟机跳跃攻击应支持在虚拟网络中对虚拟机监视器和虚拟机的入侵行为进行检测并在发生入侵事件时提供告警增强要求包括应支持虚拟机绑定固定应支持网络端口访问控制关闭暂未使用的端口虚拟化安全管理用户管理一般要求包括凡需登录虚拟化管理平台的管理员用户应先进行标识管理员用户标识应使用用户名用户并保证在虚拟化管理平台中的唯一性提供虚拟资源管理员权限分离机制例如系统管理员安全管理员安全审计员等不同的管理员账户虚拟化管理平台的管理员按职能分割和最小授权原则并形成相互制约监督的关系应能由管理员定义合适的用户角色对用户按最小授权原则进行管理增强要求无身份鉴别一般要求包括实现对管理员用户身份的鉴别并在每次登录系统时进行鉴别鉴别信息应采用非明文方式存储和传输在会话超时后系统应断开会话或重新鉴别用户系统应提供时限的默认值应提供鉴别失败处理功能能够预定义鉴别尝试的最大值包括尝试次数和时间的阈值以及达到该值时系统应采取的措施增强要求包括应采用两种或两种以上组合的鉴别