GA_T 1346-2017信息安全技术 云操作系统安全技术要求.pdf

ICS 35.24006 VGA中华人民共和国公共安全行业标准GA/T 1346—2017信息安全技术云操作系统安全技术要求Information security technology-Security technical requirements forcloud operating system2017-11-20 发布2017-11-20实施中华人民共和国公安部发布 GA/T 1346—2017前言本标准按照GB/T1.1—2009给出的规则起草，本标准由公安部网络安全保卫局提出。本标准由公安部信息系统安全标准化技术委员会归口，本标准起草单位：公安部计算机信息系统安全产品质量监督检验中心、国家网络与信息系统安全产品质量监督检验中心、公安部网络安全保卫局、公安部第三研究所、华为技术有限公司、国云科技股份有限公司、浪潮电子信息产业股份有限公司、国家电网公司、新华三技术有限公司、深信服科技股份有限公司。本标准主要起草人：陈妍、邱梓华、宋好好、俞优、张笑笑、顾玮、葛小宇、莫展腾、郭锋、王继业、欧蛋期、曾志峰。I GA/T 1346—20177等级划分要求7.1概述云操作系统的安全功能要求和安全保障要求划分为基本级和增强级，7,2安全功能要求等级划分云操作系统的安全功能要求等级划分如表1所示。云操作系统安全功能要求等级划分表安全劲能要求基本级增强饭用户标识5.1.15,1.1标识和鉴别用户鉴别5.1.2 a),b) ,d)5,1,2超时锁定5.1.3 5.1,3鉴别失败处理5.1.45.1.45.2 a) ,b)5.2角色管理5.3 a)5.3审计日志生成5,4.15.4.1安全审计审计日志保护5,4.25,4.2审计日志管理5.4.35.4.3适程传输安全5.55.5接口安全5.65.6安全监控5.7 a ,b)5.7安全告警5.85.8物理资源与盛拟资源的隔离5,9,1 a)5.9.1虚报机隔离盛拟CPU调度隔离5,9.25.9.2内存隔离5.9,3 a)5,9.3内部网络隔离5.9.4虚报机隔离5,9.4存储隔离5.9.55.9.5虚报交换功整5.10.15.10.1鼎报网络管理虚报网络安全5,10.2 a) , b)5.10.2网络带宽管理5,10.35,10,3执拒绝服务攻击一5.10.4虚报机备份和恢复5.11 a)5.11数据保护5,12 a) ~c)5,12剩余信息保护5.13 a)5.13防恶意软件加载和补丁管理5.14虚拟机迁移-5,15 GA/T 1346—2017表1(续)安全动能要求基本级增强级可用性5.165.16可扩展性5.175.177.3安全保障要求等级划分云操作系统的安全保障要求等级划分如表2所示，表2云操作系统安全保障要求等级划分表安全保障要求基本级增强级安全架构6,1.16.1.1开发功能规范6,1,2 a) ~l)6.1.2实现表示一6.1.3产品设计6.1.4 a) ~d)6.1.4操作用户指南指导性文档6,2,16,2.1准各程序6.2.26,2,2配置管理能力6,3,1 a) ~c)6,3,1配置管理范围6.3.2 a)6.3,2生命周期支持交付程序6.3.36.3,3开发安全-6.3.4生命周期定义-6.3,5工具和技术一6,3,6测试覆量6.4.1 a)6.4,1测试测试深度-6,4.2功能测试6.4.36.4.3独立测试6.4.46.4.4脆弱性评定6,5 a)6.510 GA/T 1346—2017信息安全技术云操作系统安全技术要求1范围本标准规定了云操作系统的安全功能要求、安全保障要求和等级划分要求，本标准适用于云操作系统的设计、开发及测试。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GB/T18336.3—2015信息技术安全技术信息技术安全评估准则1第3部分：安全保障组件GB/T 25069—2010信息安全技术术语GB/T 311672014信息安全技术云计算服务安全指南3术语和定义GB/T18336.3—2015,GB/T25069—2010和GB/T31167—2014界定的以及下列术语和定义适用于本文件。3.1虚报化virtualization种资源管理技术，将服务器（CPU、内存等）、存储和网络等计算机物理资源予以抽象、转换后以软件形态呈现出来，以简化管理并提高物理设备的资源利用率，3.2虚摄机监视器virtual machine monitor一种运行在基础确物理服务器和操作系统之间的中间软件层，支持将物理计算资源如服务器(CPU、络资源，从而允许多个操作系统和应用共享硬件资源，3.3宿主机host machine安装了虚