实施指南《GB_T37950 - 2019信息安全技术桌面云安全技术要求》实施指南.docxVIP

—PAGE—

《GB/T37950-2019信息安全技术桌面云安全技术要求》实施指南

一、物理层安全：筑牢桌面云安全基石，这些要点不可不知

二、虚拟化层安全：核心技术的安全防护，未来行业发展的关键支撑点在哪？专家深度剖析

三、桌面接入安全：保障用户入口安全，多因子认证为何成为趋势？内附详细解读

四、桌面平台管理安全：精细管理的安全之道，如何制定有效策略？专家视角解读

五、宿主机安全：基础保障的深度解析，身份鉴别与访问控制如何强化？

六、虚拟计算安全：虚拟机稳定运行的保障，完整性校验和安全隔离的技术要点

七、虚拟存储安全：数据存储的安全防线，多副本与加密技术如何应用？

八、虚拟网络安全：架构与隔离的安全策略，带宽冗余和流量监控的重要性

九、虚拟化安全管理：高效管理的安全保障，实时监控与故障处理的关键举措

十、标准合规与未来展望：遵循标准，迎接桌面云安全的未来挑战与机遇

一、物理层安全：筑牢桌面云安全基石，这些要点不可不知

（一）物理设备安全的关键要求有哪些？

物理设备安全至关重要。依据GB/T2887-2011中第5章规定，设备运行环境需满足严苛标准。设备中不应有扩展插槽与多余物理端口，不用的端口应关闭，以此减少安全风险。像瘦终端的BIOS应仅能从内置设备引导，避免从其他方式引导，防止恶意程序入侵。这一系列要求，为桌面云物理设备的稳定与安全运行奠定了基础，大大降低了外部非法入侵的可能性。

（二）物理安全管理如何有效实施？

物理安全管理要严格按照GB/T2887-2011中第5章执行。还应支持对物理设备端口使用情况的监控，实时掌握端口动态。比如，及时发现端口的异常连接，能有效阻止未经授权的设备接入。通过这种实时监控，可快速察觉潜在的安全威胁，进而采取措施，保障物理设备所处环境的安全，让桌面云在安全的物理环境中运行。

二、虚拟化层安全：核心技术的安全防护，未来行业发展的关键支撑点在哪？专家深度剖析

（一）宿主机安全的具体保障措施是什么？

宿主机安全涵盖多方面。身份鉴别上，要对登录用户进行标识与鉴别，不同用户有唯一用户名，口令复杂度高且定期更换，登录失败有处理功能，远程管理时防止鉴别信息被窃听，增强要求还支持第三方身份鉴别方案。访问控制方面，启用该功能，按策略控制用户对资源的访问，依角色分配权限，限制默认账户权限。剩余信息保护要清除鉴别信息、文件等资源在存储空间释放或再分配前的内容。入侵防范要求宿主机遵循最小安装原则并及时更新补丁，增强要求中关键区域只读，能检测入侵并报警。恶意代码防范上，操作系统要能防范恶意代码。这些措施层层递进，全方位保障宿主机安全。

（二）虚拟计算安全的技术要点有哪些？

虚拟计算安全涉及完整性校验和虚拟化安全隔离。完整性校验方面，增强要求下要对虚拟机监视器和虚拟机操作系统镜像校验，确保系统未被篡改，保证系统初始状态安全。虚拟化安全隔离中，一般要求保证虚拟机与虚拟机监视器、不同虚拟机间的资源隔离，包括CPU指令、内存、I/O端口等，虚拟机仅能接收目的地址为自己的报文，访问分配的存储空间。增强要求支持虚拟机内存独占模式和宿主机CPU独占模式，进一步提升安全隔离效果，保障虚拟计算环境的稳定与安全。

（三）虚拟存储安全的实现方式是什么？

虚拟存储安全通过多种方式实现。一般要求支持多副本存储，保护重要数据完整性，设置虚拟磁盘访问策略防止非授权访问，支持磁盘加密，能彻底清除用户删除或设备弃置、转售前的数据，备份虚拟机监视器关键数据，存储迁移时清除原空间数据，还能查询数据及备份存储位置。若为公共桌面云，增强要求支持虚拟机磁盘加密后数据和密钥分开存储，极大提升数据存储安全性，防止数据泄露风险。

（四）虚拟网络安全的架构与隔离策略是什么？

虚拟网络安全的架构安全上，一般要求关键网络设备和虚拟化网络设备业务处理能力有冗余空间，核心网络带宽满足高峰期需求，能监控虚拟机间及与宿主机间流量，提供开放接口接入第三方安全产品。网络隔离方面，要保证不同类型流量分离，支持网络安全域划分，防止桌面用户修改虚拟网卡IP和MAC地址，支持IP和MAC地址绑定，设置虚拟机网络接口带宽，避免资源过度占用和故障影响其他虚拟机。这些策略保障了虚拟网络的架构稳定和隔离安全，为桌面云网络通信保驾护航。

（五）虚拟化安全管理的重要举措有哪些？

虚拟化安全管理包括多方面举措。身份鉴别要对管理用户标识与鉴别，用户名唯一，口令复杂且定期更换，有登录失败处理，远程管理防信息窃听，增强要求支持第三方鉴别。访问控制依策略控制管理用户对虚拟资源的访问，按角色分配最小权限，限制默认账户权限。安全审计记录管理用户操作，审计信息包括多种关键字段，能按条件查询，还为第三方审计提供接口。资源管理要监控资源使用，设置阈值并在达到