1虛擬化軟件系統安全測評技術規范本文件規定了政務云平臺和私有云平臺使用的虛擬化軟件系統的安全測評方法和判定規則。本文件適用于政務云平臺和私有云平臺使用的虛擬化軟件的安全測評，規定了身份鑒別、數據安全存儲、日志審計、數據安全、虛擬機獨立性、配置管理、交付和運行、安全功能開發、指導性文檔、脆弱性的安全測評過程，對虛擬化軟件的測試可參照使用。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T35292–2017信息技術開放虛擬化格式（OVF）規范3術語和定義3.1虛擬服務器VirtualServer虛擬服務器指通過各種虛擬化技術，為用戶提供的與原有物理服務器類似的不同操作系統和應用程序運行環境的統稱。虛擬服務器通常使用物理服務器的部分資源，在用戶看來它與物理服務器的使用完全相同。［來源：GB/T35292—2017，有修改］3.2虛擬機VirtualMachine一種虛擬的數據處理系統，是在某個特定用戶的獨占使用下，但其功能是通過共享數據處理系統的各種資源得以實現的。［來源：GB/T35292—2017］3.3保證要求GuaranteeRequirements保證系統運行的基本要求。4安全測評4.1安全性測試4.1.1身份鑒別4.1.1.1用戶鑒別4.1.1.1.1測評項2在任何用戶執行管理功能前，虛擬化軟件都應對該管理角色身份進行鑒別。4.1.1.1.2測評實施a)查看產品說明手冊，記錄產品支持的用戶鑒別方式；b)驗證產品聲稱支持的用戶鑒別方式，驗證任何用戶執行管理功能前，產品都應對該管理角色身份進行鑒別。4.1.1.1.3結果判定若產品同時符合4.1.1.1.2a）和b），則滿足此項要求。4.1.1.2重鑒別4.1.1.2.1測評項當已通過身份鑒別的管理角色空閑操作時間超過規定值后，虛擬化軟件應對該管理角色身份重新進行鑒別。4.1.1.2.2測評實施驗證已通過身份鑒別的管理角色空閑操作時間超過規定值后，產品是否對該管理角色身份重新進行鑒別。4.1.1.2.3結果判定若產品符合4.1.1.2.2，則滿足此項要求。4.1.2數據安全存儲4.1.2.1測評項產品應對產生的審計記錄數據進行保護，防止其被泄露、篡改和丟失。4.1.2.2測評實施a)審查產品說明手冊聲稱的審計記錄安全措施，對聲稱的措施進行核實；b)使用非授權管理員嘗試對審計記錄進行查看，檢測產品防止泄露的功能；c)使用授權管理員嘗試對審計記錄進行修改和編輯，檢測產品防止篡改的功能；d)管理員嘗試對審計記錄進行刪除操作，檢測產品防止丟失的功能。4.1.2.3結果判定a)產品應對產生的審計記錄數據進行保護；b)能夠防止審計記錄被泄露；c)能夠防止審計記錄被篡改；d)能夠防止審計記錄被丟失。e）ad）項均滿足為符合；其他情況判定為不符合。4.1.3日志審計4.1.3.1審計事件類型4.1.3.1.1測評項a)軟件應能為下述可審計事件產生日志審計記錄：b)用戶角色創建、刪除和屬性修改；c)用戶登錄、注銷產品；d)創建、刪除和修改策略等策略操作；e)用戶身份鑒別失敗事件；f)查看、導入導出和刪除日志等審計日志操作；g)產品升級操作。4.1.3.1.2測評實施驗證產品是否能夠對上述可審計事件產生日志審計記錄。4.1.3.1.3結果判定若產品符合4.1.3.1.3，則滿足此項要求。4.1.3.2日志記錄內容4.1.3.2.1測評項日志審計記錄應至少包含事件日期和時間、事件類型、事件主體和事件內容描述。4.1.3.2.2測評實施查看產品產生的日志審計記錄是否包含事件日期和時間、事件類型、事件主體和事件內容描述。4.1.3.2.3結果判定若產品符合4.1.3.2.2，則滿足此項要求。4.1.4數據安全4.1.4.1測評項虛擬化軟件應提供安全機制保護安全策略、審計日志、身份鑒別等數據免遭未經授權的查閱、修改或刪除。4.1.4.2測評實施a)查看產品說明手冊，記錄產品數據安全機制；b)驗證產品聲稱的數據安全機制，是否提供安全機制保護安全策略、審計日志、身份鑒別等數據免遭未經授權的查閱、修改或刪除。4.1.4.3結果判定若產品同時符合4.1.4.2a）和b），則滿足此項要求。4.1.5虛擬機獨立性4.1.5.1測評項虛擬化軟件創建的不同虛擬機獨立運行，虛擬機不受其他虛擬機資源占用率較高、異常中斷等情況的影響。當虛擬機所在的物理主機的CPU、內存、磁盤等資源負載過重時，仍然能保證每個虛擬機能夠獲得其所分配得到的資源。當物理主機上的某臺虛擬機異常崩潰時，同一主機上的其他虛擬機不會受到任何影響。4.1.5.2測評實施a)查看產品說明手冊，記錄產品虛擬機獨立性機制；b)驗證產品聲稱的虛擬機獨立性機制，是否不受其他虛擬機資源占用率較高、異常中斷等情況的影響。4.1.5.3結果判定若產品同時符合4.1.4.2a）和b），則滿足此項要求。4.2保證要求測試4.2.1配置管理4.2.1.1測評項開發者應設計和實現產品配置管理，要求如下：a)開發者應實現配置管理自動化，通過配置管理系統支持產品基本配置項的生成。應描述對配置項給出唯一標識的方法，保證只有經過授權才能修改配置項，并提供所有的配置項得到有效維護的證據；4b)開發者應提供配置管理文檔，為產品的不同版本提供唯一的標識，且產品的每個版本應當使用其唯一標識作為標簽；c)配置管理范圍至少應包括產品實現表示、設計文檔、測試文檔、用戶文檔、管理員文檔和配置管理文檔，從而確保它們的修改是在一個正確授權的可控方式下進行的。配置管理文檔至少應能跟蹤上述內容，并描述配置管理系統是如何跟蹤這些配置項的。4.2.1.2測評實施a)評價者應確認配置管理文檔是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.1.3結果判定若產品同時符合4.2.1.2a）和b），則滿足此項要求。4.2.2交付和運行4.2.2.1測評項a)開發者應使用一定的交付程序交付產品，并將交付過程文檔化；b)應包含產品版本變更控制的版本和版次說明、實際產品版本變更控制的版本和版次說明等；c)應包含產品安全安裝、啟動和使用過程說明。4.2.2.2測評實施a)評價者應確認交付和運行文檔是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.2.3結果判定若產品同時符合4.2.2.2a）和b），則滿足此項要求。4.2.3安全功能開發過程4.2.3.1功能設計4.2.3.1.1測評項開發者應提供產品的安全功能設計，并滿足：a)安全功能設計應以非形式方法描述安全功能與其外部接口，應當描述使用所有產品安全功能接口的目的與方法，適當的時候，要提供結果影響例外情況和錯誤信息的細節；b)開發者提供的安全功能設計應當是內在一致的；c)功能設計應能完整地表示產品安全功能，并提供安全基本原理證明安全功能的表示是完備的。4.2.3.1.2測評實施a)評價者應確認功能設計文檔是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.3.1.3結果判定若產品同時符合4.2.3.1.2a）和b），則滿足此項要求。4.2.3.2詳細設計4.2.3.2.1測評項a)開發者應提供產品安全功能的詳細設計；b)詳細設計應按子系統描述安全功能及其結構，并標識安全功能子系統的所有接口；c)詳細設計應標識實現安全功能所要求的基礎性的硬件、固件和軟件；d)詳細設計應描述安全功能子系統所有接口及使用接口的目的和方法，并詳細描述接口的返回結果、例外情況和錯誤信息等，以及如何將產品中有助于增強安全策略的子系統分離出來。4.2.3.2.2測評實施a)評價者應確認詳細設計文檔是否與為評價而提供的其他所有文檔保持一致。b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.3.2.3結果判定若產品同時符合4.2.3.2.2a）和b），則滿足此項要求。4.2.3.3表示對應性4.2.3.3.1測評項a)開發者應提供產品安全功能的功能設計與詳細設計之間的非形式化對應性分析，該分析應證明功能設計表示的所有相關安全功能都在詳細設計中得到正確且完備的細化；b)開發者應提供安全策略模型，并闡明該模型和路由器功能設計之間的對應性，這一對應性是一致和完備的。安全策略模型是非形式化的。該模型應描述所有可以模型化的安全策略的規則和特征，并闡明該模型對于所有可模型化的安全策略來說，是與其一致且完備的。4.2.3.3.2測評實施a)評價者應確認詳細設計和低層設計文檔是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.3.3.3結果判定若產品同時符合4.2.3.3.2a）和b），則滿足此項要求。4.2.4指導性文檔4.2.4.1管理員指南4.2.4.1.1測評項開發者應提供系統管理員使用的管理員指南，管理員指南應說明以下內容：a)管理員指南應描述管理員可以使用的管理功能和接口；b)管理員指南應描述在安全處理環境中進行控制的功能和權限；c)管理員指南應描述每一種與管理功能有關的安全相關事件，包括對安全功能所控制實體的安全特性進行的改變；d)所有與管理員有關的IT環境的安全要求。4.2.4.1.2測評實施a)評價者應確認管理員指南是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.4.1.3結果判定若產品同時符合4.2.4.1.2a）和b），則滿足此項要求。4.2.4.2用戶指南4.2.4.2.1測評項開發者應提供用戶指南，用戶指南應說明以下內容：a)用戶指南應描述非管理員用戶可以使用的安全功能和接口；b)用戶指南應描述非管理員用戶在安全處理環境中進行控制的功能和權限；c)用戶指南應描述非管理員用戶所應承擔的職責；d)所有與非管理員用戶有關的IT環境的安全要求。4.2.4.2.2測評實施a)評價者應確認用戶指南是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.4.2.3結果判定若產品同時符合4.2.4.2.2a）和b），則滿足此項要求。64.2.4.3測試4.2.4.3.1測評項開發者應對產品進行測試，要求如下：a)應進行一般功能測試，保證產品能夠滿足所有安全功能的要求；b)應進行相符性獨立測試，由專業第三方獨立實驗室或消費者組織實施測試，確認產品能夠滿足所有安全功能的要求；c)應由專業第三方獨立實驗室或消費者組織抽樣獨立性測試。開發者應提供能有效重現開發者測試的必需資料，包括可由機器閱讀的測試文檔、測試程序等；d)保留并提供測試文檔，詳細描述測試計劃、測試過程以及預測結果和實際測試結果。4.2.4.3.2測評實施a)評價者應確認產品測試文檔是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。4.2.4.3.3結果判定若產品同時符合4.2.4.3.2a）和b），則滿足此項要求。4.2.5脆弱性評定4.2.5.1測評項開發者對產品的脆弱性評定要求如下：a)開發者應提供指導性文檔和分析文檔，在文檔中確定對產品的所有可能的操作方式（包括失敗和操作失誤后的操作）的后果以及對于保持安全操作的意義，并列出所有目標環境的假設和所有的外部安全措施（包括外部程序的、物理的或人員控制）要求。所述內容應是完備、清晰、一致和合理的；b)開發者應對具有安全功能強度聲明的安全機制（例如口令機制）進行安全功能強度分析。安全功能強度分析應證明安全機制達到了所聲明的強度；c)開發者應實施脆弱性分析，并提供脆弱性分布的文檔。對所有已標識的脆弱性，文檔應說明它們在所期望的產品使用環境中不能被利用。文檔還應說明如何確保用戶能夠得到最新的安全補丁。4.2.5.2測評實施a)評價者應確認產品脆弱性評定文檔是否與為評價而提供的其他所有文檔保持一致；b)記錄審查結果并對該結果是否完全符合上述測試評價方式要求作出判斷。