虛擬化軟件系統(tǒng)安全測評技術(shù)規(guī)范

1虛擬化軟件系統(tǒng)安全測評技術(shù)規(guī)范本文件規(guī)定了政務(wù)云平臺和私有云平臺使用的虛擬化軟件系統(tǒng)的安全測評方法和判定規(guī)則。本文件適用于政務(wù)云平臺和私有云平臺使用的虛擬化軟件的安全測評，規(guī)定了身份鑒別、數(shù)據(jù)安全存儲、日志審計(jì)、數(shù)據(jù)安全、虛擬機(jī)獨(dú)立性、配置管理、交付和運(yùn)行、安全功能開發(fā)、指導(dǎo)性文檔、脆弱性的安全測評過程，對虛擬化軟件的測試可參照使用。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35292–2017信息技術(shù)開放虛擬化格式（OVF）規(guī)范3術(shù)語和定義3.1虛擬服務(wù)器VirtualServer虛擬服務(wù)器指通過各種虛擬化技術(shù)，為用戶提供的與原有物理服務(wù)器類似的不同操作系統(tǒng)和應(yīng)用程序運(yùn)行環(huán)境的統(tǒng)稱。虛擬服務(wù)器通常使用物理服務(wù)器的部分資源，在用戶看來它與物理服務(wù)器的使用完全相同。［來源：GB/T35292—2017，有修改］3.2虛擬機(jī)VirtualMachine一種虛擬的數(shù)據(jù)處理系統(tǒng)，是在某個特定用戶的獨(dú)占使用下，但其功能是通過共享數(shù)據(jù)處理系統(tǒng)的各種資源得以實(shí)現(xiàn)的。［來源：GB/T35292—2017］3.3保證要求GuaranteeRequirements保證系統(tǒng)運(yùn)行的基本要求。4安全測評4.1安全性測試4.1.1身份鑒別4.1.1.1用戶鑒別4.1.1.1.1測評項(xiàng)2在任何用戶執(zhí)行管理功能前，虛擬化軟件都應(yīng)對該管理角色身份進(jìn)行鑒別。4.1.1.1.2測評實(shí)施a)查看產(chǎn)品說明手冊，記錄產(chǎn)品支持的用戶鑒別方式；b)驗(yàn)證產(chǎn)品聲稱支持的用戶鑒別方式，驗(yàn)證任何用戶執(zhí)行管理功能前，產(chǎn)品都應(yīng)對該管理角色身份進(jìn)行鑒別。4.1.1.1.3結(jié)果判定若產(chǎn)品同時符合4.1.1.1.2a）和b），則滿足此項(xiàng)要求。4.1.1.2重鑒別4.1.1.2.1測評項(xiàng)當(dāng)已通過身份鑒別的管理角色空閑操作時間超過規(guī)定值后，虛擬化軟件應(yīng)對該管理角色身份重新進(jìn)行鑒別。4.1.1.2.2測評實(shí)施驗(yàn)證已通過身份鑒別的管理角色空閑操作時間超過規(guī)定值后，產(chǎn)品是否對該管理角色身份重新進(jìn)行鑒別。4.1.1.2.3結(jié)果判定若產(chǎn)品符合4.1.1.2.2，則滿足此項(xiàng)要求。4.1.2數(shù)據(jù)安全存儲4.1.2.1測評項(xiàng)產(chǎn)品應(yīng)對產(chǎn)生的審計(jì)記錄數(shù)據(jù)進(jìn)行保護(hù)，防止其被泄露、篡改和丟失。4.1.2.2測評實(shí)施a)審查產(chǎn)品說明手冊聲稱的審計(jì)記錄安全措施，對聲稱的措施進(jìn)行核實(shí)；b)使用非授權(quán)管理員嘗試對審計(jì)記錄進(jìn)行查看，檢測產(chǎn)品防止泄露的功能；c)使用授權(quán)管理員嘗試對審計(jì)記錄進(jìn)行修改和編輯，檢測產(chǎn)品防止篡改的功能；d)管理員嘗試對審計(jì)記錄進(jìn)行刪除操作，檢測產(chǎn)品防止丟失的功能。4.1.2.3結(jié)果判定a)產(chǎn)品應(yīng)對產(chǎn)生的審計(jì)記錄數(shù)據(jù)進(jìn)行保護(hù)；b)能夠防止審計(jì)記錄被泄露；c)能夠防止審計(jì)記錄被篡改；d)能夠防止審計(jì)記錄被丟失。e）ad）項(xiàng)均滿足為符合；其他情況判定為不符合。4.1.3日志審計(jì)4.1.3.1審計(jì)事件類型4.1.3.1.1測評項(xiàng)a)軟件應(yīng)能為下述可審計(jì)事件產(chǎn)生日志審計(jì)記錄：b)用戶角色創(chuàng)建、刪除和屬性修改；c)用戶登錄、注銷產(chǎn)品；d)創(chuàng)建、刪除和修改策略等策略操作；e)用戶身份鑒別失敗事件；f)查看、導(dǎo)入導(dǎo)出和刪除日志等審計(jì)日志操作；g)產(chǎn)品升級操作。4.1.3.1.2測評實(shí)施驗(yàn)證產(chǎn)品是否能夠?qū)ι鲜隹蓪徲?jì)事件產(chǎn)生日志審計(jì)記錄。4.1.3.1.3結(jié)果判定若產(chǎn)品符合4.1.3.1.3，則滿足此項(xiàng)要求。4.1.3.2日志記錄內(nèi)容4.1.3.2.1測評項(xiàng)日志審計(jì)記錄應(yīng)至少包含事件日期和時間、事件類型、事件主體和事件內(nèi)容描述。4.1.3.2.2測評實(shí)施查看產(chǎn)品產(chǎn)生的日志審計(jì)記錄是否包含事件日期和時間、事件類型、事件主體和事件內(nèi)容描述。4.1.3.2.3結(jié)果判定若產(chǎn)品符合4.1.3.2.2，則滿足此項(xiàng)要求。4.1.4數(shù)據(jù)安全4.1.4.1測評項(xiàng)虛擬化軟件應(yīng)提供安全機(jī)制保護(hù)安全策略、審計(jì)日志、身份鑒別等數(shù)據(jù)免遭未經(jīng)授權(quán)的查閱、修改或刪除。4.1.4.2測評實(shí)施a)查看產(chǎn)品說明手冊，記錄產(chǎn)品數(shù)據(jù)安全機(jī)制；b)驗(yàn)證產(chǎn)品聲稱的數(shù)據(jù)安全機(jī)制，是否提供安全機(jī)制保護(hù)安全策略、審計(jì)日志、身份鑒別等數(shù)據(jù)免遭未經(jīng)授權(quán)的查閱、修改或刪除。4.1.4.3結(jié)果判定若產(chǎn)品同時符合4.1.4.2a）和b），則滿足此項(xiàng)要求。4.1.5虛擬機(jī)獨(dú)立性4.1.5.1測評項(xiàng)虛擬化軟件創(chuàng)建的不同虛擬機(jī)獨(dú)立運(yùn)行，虛擬機(jī)不受其他虛擬機(jī)資源占用率較高、異常中斷等情況的影響。當(dāng)虛擬機(jī)所在的物理主機(jī)的CPU、內(nèi)存、磁盤等資源負(fù)載過重時，仍然能保證每個虛擬機(jī)能夠獲得其所分配得到的資源。當(dāng)物理主機(jī)上的某臺虛擬機(jī)異常崩潰時，同一主機(jī)上的其他虛擬機(jī)不會受到任何影響。4.1.5.2測評實(shí)施a)查看產(chǎn)品說明手冊，記錄產(chǎn)品虛擬機(jī)獨(dú)立性機(jī)制；b)驗(yàn)證產(chǎn)品聲稱的虛擬機(jī)獨(dú)立性機(jī)制，是否不受其他虛擬機(jī)資源占用率較高、異常中斷等情況的影響。4.1.5.3結(jié)果判定若產(chǎn)品同時符合4.1.4.2a）和b），則滿足此項(xiàng)要求。4.2保證要求測試4.2.1配置管理4.2.1.1測評項(xiàng)開發(fā)者應(yīng)設(shè)計(jì)和實(shí)現(xiàn)產(chǎn)品配置管理，要求如下：a)開發(fā)者應(yīng)實(shí)現(xiàn)配置管理自動化，通過配置管理系統(tǒng)支持產(chǎn)品基本配置項(xiàng)的生成。應(yīng)描述對配置項(xiàng)給出唯一標(biāo)識的方法，保證只有經(jīng)過授權(quán)才能修改配置項(xiàng)，并提供所有的配置項(xiàng)得到有效維護(hù)的證據(jù)；4b)開發(fā)者應(yīng)提供配置管理文檔，為產(chǎn)品的不同版本提供唯一的標(biāo)識，且產(chǎn)品的每個版本應(yīng)當(dāng)使用其唯一標(biāo)識作為標(biāo)簽；c)配置管理范圍至少應(yīng)包括產(chǎn)品實(shí)現(xiàn)表示、設(shè)計(jì)文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔，從而確保它們的修改是在一個正確授權(quán)的可控方式下進(jìn)行的。配置管理文檔至少應(yīng)能跟蹤上述內(nèi)容，并描述配置管理系統(tǒng)是如何跟蹤這些配置項(xiàng)的。4.2.1.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)配置管理文檔是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.1.3結(jié)果判定若產(chǎn)品同時符合4.2.1.2a）和b），則滿足此項(xiàng)要求。4.2.2交付和運(yùn)行4.2.2.1測評項(xiàng)a)開發(fā)者應(yīng)使用一定的交付程序交付產(chǎn)品，并將交付過程文檔化；b)應(yīng)包含產(chǎn)品版本變更控制的版本和版次說明、實(shí)際產(chǎn)品版本變更控制的版本和版次說明等；c)應(yīng)包含產(chǎn)品安全安裝、啟動和使用過程說明。4.2.2.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)交付和運(yùn)行文檔是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.2.3結(jié)果判定若產(chǎn)品同時符合4.2.2.2a）和b），則滿足此項(xiàng)要求。4.2.3安全功能開發(fā)過程4.2.3.1功能設(shè)計(jì)4.2.3.1.1測評項(xiàng)開發(fā)者應(yīng)提供產(chǎn)品的安全功能設(shè)計(jì)，并滿足：a)安全功能設(shè)計(jì)應(yīng)以非形式方法描述安全功能與其外部接口，應(yīng)當(dāng)描述使用所有產(chǎn)品安全功能接口的目的與方法，適當(dāng)?shù)臅r候，要提供結(jié)果影響例外情況和錯誤信息的細(xì)節(jié)；b)開發(fā)者提供的安全功能設(shè)計(jì)應(yīng)當(dāng)是內(nèi)在一致的；c)功能設(shè)計(jì)應(yīng)能完整地表示產(chǎn)品安全功能，并提供安全基本原理證明安全功能的表示是完備的。4.2.3.1.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)功能設(shè)計(jì)文檔是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.3.1.3結(jié)果判定若產(chǎn)品同時符合4.2.3.1.2a）和b），則滿足此項(xiàng)要求。4.2.3.2詳細(xì)設(shè)計(jì)4.2.3.2.1測評項(xiàng)a)開發(fā)者應(yīng)提供產(chǎn)品安全功能的詳細(xì)設(shè)計(jì)；b)詳細(xì)設(shè)計(jì)應(yīng)按子系統(tǒng)描述安全功能及其結(jié)構(gòu)，并標(biāo)識安全功能子系統(tǒng)的所有接口；c)詳細(xì)設(shè)計(jì)應(yīng)標(biāo)識實(shí)現(xiàn)安全功能所要求的基礎(chǔ)性的硬件、固件和軟件；d)詳細(xì)設(shè)計(jì)應(yīng)描述安全功能子系統(tǒng)所有接口及使用接口的目的和方法，并詳細(xì)描述接口的返回結(jié)果、例外情況和錯誤信息等，以及如何將產(chǎn)品中有助于增強(qiáng)安全策略的子系統(tǒng)分離出來。4.2.3.2.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)詳細(xì)設(shè)計(jì)文檔是否與為評價(jià)而提供的其他所有文檔保持一致。b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.3.2.3結(jié)果判定若產(chǎn)品同時符合4.2.3.2.2a）和b），則滿足此項(xiàng)要求。4.2.3.3表示對應(yīng)性4.2.3.3.1測評項(xiàng)a)開發(fā)者應(yīng)提供產(chǎn)品安全功能的功能設(shè)計(jì)與詳細(xì)設(shè)計(jì)之間的非形式化對應(yīng)性分析，該分析應(yīng)證明功能設(shè)計(jì)表示的所有相關(guān)安全功能都在詳細(xì)設(shè)計(jì)中得到正確且完備的細(xì)化；b)開發(fā)者應(yīng)提供安全策略模型，并闡明該模型和路由器功能設(shè)計(jì)之間的對應(yīng)性，這一對應(yīng)性是一致和完備的。安全策略模型是非形式化的。該模型應(yīng)描述所有可以模型化的安全策略的規(guī)則和特征，并闡明該模型對于所有可模型化的安全策略來說，是與其一致且完備的。4.2.3.3.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)詳細(xì)設(shè)計(jì)和低層設(shè)計(jì)文檔是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.3.3.3結(jié)果判定若產(chǎn)品同時符合4.2.3.3.2a）和b），則滿足此項(xiàng)要求。4.2.4指導(dǎo)性文檔4.2.4.1管理員指南4.2.4.1.1測評項(xiàng)開發(fā)者應(yīng)提供系統(tǒng)管理員使用的管理員指南，管理員指南應(yīng)說明以下內(nèi)容：a)管理員指南應(yīng)描述管理員可以使用的管理功能和接口；b)管理員指南應(yīng)描述在安全處理環(huán)境中進(jìn)行控制的功能和權(quán)限；c)管理員指南應(yīng)描述每一種與管理功能有關(guān)的安全相關(guān)事件，包括對安全功能所控制實(shí)體的安全特性進(jìn)行的改變；d)所有與管理員有關(guān)的IT環(huán)境的安全要求。4.2.4.1.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)管理員指南是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.4.1.3結(jié)果判定若產(chǎn)品同時符合4.2.4.1.2a）和b），則滿足此項(xiàng)要求。4.2.4.2用戶指南4.2.4.2.1測評項(xiàng)開發(fā)者應(yīng)提供用戶指南，用戶指南應(yīng)說明以下內(nèi)容：a)用戶指南應(yīng)描述非管理員用戶可以使用的安全功能和接口；b)用戶指南應(yīng)描述非管理員用戶在安全處理環(huán)境中進(jìn)行控制的功能和權(quán)限；c)用戶指南應(yīng)描述非管理員用戶所應(yīng)承擔(dān)的職責(zé)；d)所有與非管理員用戶有關(guān)的IT環(huán)境的安全要求。4.2.4.2.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)用戶指南是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.4.2.3結(jié)果判定若產(chǎn)品同時符合4.2.4.2.2a）和b），則滿足此項(xiàng)要求。64.2.4.3測試4.2.4.3.1測評項(xiàng)開發(fā)者應(yīng)對產(chǎn)品進(jìn)行測試，要求如下：a)應(yīng)進(jìn)行一般功能測試，保證產(chǎn)品能夠滿足所有安全功能的要求；b)應(yīng)進(jìn)行相符性獨(dú)立測試，由專業(yè)第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織實(shí)施測試，確認(rèn)產(chǎn)品能夠滿足所有安全功能的要求；c)應(yīng)由專業(yè)第三方獨(dú)立實(shí)驗(yàn)室或消費(fèi)者組織抽樣獨(dú)立性測試。開發(fā)者應(yīng)提供能有效重現(xiàn)開發(fā)者測試的必需資料，包括可由機(jī)器閱讀的測試文檔、測試程序等；d)保留并提供測試文檔，詳細(xì)描述測試計(jì)劃、測試過程以及預(yù)測結(jié)果和實(shí)際測試結(jié)果。4.2.4.3.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)產(chǎn)品測試文檔是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。4.2.4.3.3結(jié)果判定若產(chǎn)品同時符合4.2.4.3.2a）和b），則滿足此項(xiàng)要求。4.2.5脆弱性評定4.2.5.1測評項(xiàng)開發(fā)者對產(chǎn)品的脆弱性評定要求如下：a)開發(fā)者應(yīng)提供指導(dǎo)性文檔和分析文檔，在文檔中確定對產(chǎn)品的所有可能的操作方式（包括失敗和操作失誤后的操作）的后果以及對于保持安全操作的意義，并列出所有目標(biāo)環(huán)境的假設(shè)和所有的外部安全措施（包括外部程序的、物理的或人員控制）要求。所述內(nèi)容應(yīng)是完備、清晰、一致和合理的；b)開發(fā)者應(yīng)對具有安全功能強(qiáng)度聲明的安全機(jī)制（例如口令機(jī)制）進(jìn)行安全功能強(qiáng)度分析。安全功能強(qiáng)度分析應(yīng)證明安全機(jī)制達(dá)到了所聲明的強(qiáng)度；c)開發(fā)者應(yīng)實(shí)施脆弱性分析，并提供脆弱性分布的文檔。對所有已標(biāo)識的脆弱性，文檔應(yīng)說明它們在所期望的產(chǎn)品使用環(huán)境中不能被利用。文檔還應(yīng)說明如何確保用戶能夠得到最新的安全補(bǔ)丁。4.2.5.2測評實(shí)施a)評價(jià)者應(yīng)確認(rèn)產(chǎn)品脆弱性評定文檔是否與為評價(jià)而提供的其他所有文檔保持一致；b)記錄審查結(jié)果并對該結(jié)果是否完全符合上述測試評價(jià)方式要求作出判斷。