DB21 T 3440-2021 虚拟化软件系统安全测评技术规范.pdf

1、 ICS 35.040 CCS L 80 辽 宁 省 地 方 标 准 DB21 DB21/T 3440 2021 虚拟化软件系统安全测评技术规范 2021 - 06 - 30 发布 2021 - 07 - 30 实施 辽宁省市场监督管理局 发布 DB21/T 3440 2021 I 目 次 前 言 . II 引 言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 安全测评 . 1 4.1 安全性测试 . 1 4.1.1 身份鉴别 . 1 4.1.2 数据安全存储 . 2 4.1.3 日志审计 . 2 4.1.4 数据安全 . 3 4.1.5 虚拟机独立性

2、. 3 4.2 保证要求测试 . 3 4.2.1 配置管理 . 3 4.2.2 交付和运行 . 4 4.2.3 安全功能开发过程 . 4 4.2.4 指导性文档 . 5 4.2.5 脆弱性评定 . 6 DB21/T 3440 2021 II 前 言 本文件 的编制依 据 GB/T 1.1 2020标准化工作导则 第 1部分：标准 化文件 的结构和 起草规则 的要求进行。 本文件 由 中共辽宁省委网络 安全 和信息化委员会办公室提出。 本文件 由中 共辽宁省委网络 安全 和信息化委员会办公室归口。 本文件 起草单位： 辽宁省先进装备制造业基地建设工程中心、辽宁省信息安全与软件测评认证中心、 沈阳

3、赛宝科技服务有限公司 。 本文件 主要起草人： 张震、 朱在田、 郭剑锋、张雪、姚壮、赵英科、吕天昊、刘奇、赵云志、孟祥 丽、金鑫、王友民。 本文件 发布日期：属首次发布。 本文件 发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门通信地址：沈阳市和平区光荣街 26号甲。 归口管理部门联 系电话： 024-81680031 标准起草单位通讯地址：辽宁省沈阳市和平区太原北街 2号综合楼。 标准起草单位联系电话： 024-23447409。 DB21/T 3440 2021 III 引 言 虚

4、拟化 是一个广义的术语，在计算机方面通常是指软件在虚拟的基础上而不是真实的基础上运行， 一台物理计算机上同时运行多个独立的操作系统以及相互独立的应用。 虚拟化使用软件的方法重新定义 划分 IT资源，可以实现 IT资源的动态分配、灵活调度、跨域共享，提高 IT资源利用率，使 IT资源能够真 正成为社会基础设施，服务于各行各业中灵活多变的应用需求。 目前我国发布了针对 虚拟化技术的国家标准，包括 GB/T 35292 2017信息技术 开放虚拟化格式 (OVF)规范等，但针对虚拟化软件系统的安全性技术规范和测试方法方面存在空白，还没有一个针对 性、规范化的操作标准，因此特制订 本文件 。 本文件

5、用 来约束和规定虚拟化软件系统的安全 测评 。 DB21/T 3440 2021 1 虚拟化软件系统安全 测评 技术规范 1 范围 本文件 规定了 政务云平台和私有云平台使用的 虚拟化软件系统的 安全测评 方法和判定规则 。 本文件 适用于 政务云平台和私有云平台使用 的 虚拟化软件 的安全测评 ，规定了身份鉴别、数据安全 存储、日志审计、数据安全、虚拟机独立性、 配置管理、交付和运行、安全功能开发、指导性 文档 、脆 弱性 的安全 测评过程 ，对虚拟化软件的测试可参照使用。 2 规范性引用文件 下列文件中的 内容通过文中的规范性引用而构成本文件必不可少的 条款 。其中，注日期的引用文件， 仅

6、该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35292 2017 信息技术 开放虚拟化格式（ OVF）规范 3 术语和定义 3.1 虚拟服务器 Virtual Server 虚拟服务器指通过各种虚拟化技术，为用户提供的与原有物理服务器类似的不同操作系统 和应用程 序运行环境的统称。虚拟服务器通常使用物理服务器的部分资源，在用户看来它与物理服务器的使用完 全相同。 来源： GB/T 35292 2017，有修改 3.2 虚拟机 Virtual Machine 一种虚拟的数据处理系统，是在某个特定用户的独占使用下，但其功能是通过共享数

7、据处理系统的 各种资源得以实现的 。 来源： GB/T 35292 2017 3.3 保证要求 Guarantee Requirements 保证系统运行的基本要求。 4 安全 测评 4.1 安全性测试 4.1.1 身份鉴别 4.1.1.1 用户鉴别 4.1.1.1.1 测评项 DB21/T 3440 2021 2 在任何用户执行管理功能前，虚 拟化软件都应对该管理角色身份进行鉴别。 4.1.1.1.2 测评实施 a) 查看产品说明手册，记录产品支持的用户鉴别方式； b) 验证产品声称支持的用户鉴别方式，验证任何用户执行管理功能前，产品都应对该管理角色身 份进行鉴别。 4.1.1.1.3 结果

8、判定 若产品 同时 符合 4.1.1.1.2 a）和 b），则满足此项要求。 4.1.1.2 重鉴别 4.1.1.2.1 测评项 当已通过身份鉴别的管理角色空闲操作时间超过规定值后，虚拟化软件应对该管理角色身份重新进 行鉴别。 4.1.1.2.2 测评实施 验证已通过身份鉴别的管理角色空闲操作时间超过规定值后，产品是否对该管理角色身份重新进行 鉴别。 4.1.1.2.3 结果判定 若产品符合 4.1.1.2.2，则满足此项要求。 4.1.2 数据安全存储 4.1.2.1 测评项 产品应对产生的审计记录数据进行保护，防止其被泄露、篡改和丢失。 4.1.2.2 测评实施 a) 审查产品说明手册声称

9、的审计记录安全措施，对声称的措施进行核实； b) 使用非授权管理员尝试对审计记录进行查看，检测产品防止泄露的功能； c) 使用授权管理员尝试对审计记录进行修改和编辑，检测产品防止篡改的功能； d) 管理员尝试对审计记录进行删除操作，检测产品防止丢失的功能。 4.1.2.3 结果判定 a) 产品应对产生的审计记录数据进行保护； b) 能够防止审计记录被泄露； c) 能够防止审计记录被篡改； d) 能够防止审计记录被丢失。 e） a） d）项均满足为符合；其他情况判定为不符合。 4.1.3 日志审计 4.1.3.1 审计事件类型 4.1.3.1.1 测评项 a) 软件应能为下述可审计事件产生日志审

10、计记录： b) 用户角色创建、删除和属性修改； c) 用户登录、注销产品； d) 创建、删除和修改策略等策略操作； e) 用户身份鉴别失败事件； f) 查看、导入导出和删除日志等审计日志操作； g) 产品升级操作。 4.1.3.1.2 测评实施 DB21/T 3440 2021 3 验证产品是否能够对上述可审计事件产生日志审计记录。 4.1.3.1.3 结果判定 若产品符合 4.1.3.1.3，则满足此项要求。 4.1.3.2 日志记录内容 4.1.3.2.1 测评项 日志审计记录应至少包含事件日期和时间、事件类型、事件主体和事件内容描述 。 4.1.3.2.2 测评实施 查看产品产生的日志审

11、计记录是否包含事件日期和时间、事件类型、事件主体和事件内容描述。 4.1.3.2.3 结果判定 若产品符合 4.1.3.2.2，则满足此项要求。 4.1.4 数据安全 4.1.4.1 测评项 虚拟化软件应提供安全机制保护安全策略、审计日志、身份鉴别等数据免遭未经授权的查阅、修改 或删除。 4.1.4.2 测评实施 a) 查看产品说明手册，记录产品数据安全机制； b) 验证产品声称的数据安全机制，是否提供安全机制保护安全策略、审计日志、身份鉴别等数据 免遭未经授权的查阅、修改或删除。 4.1.4.3 结果判定 若产品 同时 符合 4.1.4.2 a）和 b），则满足此项要求。 4.1.5 虚拟机

12、独立性 4.1.5.1 测评项 虚拟化软件创建的不同虚拟机独立运行，虚拟机不受其他虚拟机资源占用率较高、异常中断等情况 的影响。当虚拟机所在的物理主机的 CPU、内存、磁盘等资源负载过重时，仍然能保证每个虚拟机能够 获得其所分配得到的资源。当物理主机上的某台虚拟机异常崩溃时，同一主机上的其他虚拟机不会受到 任何影响。 4.1.5.2 测评实施 a) 查看产品说明手册，记录产品虚拟机独立性机制； b) 验证产品声称的虚拟机独立性机制，是否不受其他虚拟机资源占用率较高、异常中断等情况的 影响。 4.1.5.3 结果判定 若产品 同时 符合 4.1.4.2 a）和 b），则满足此项要 求。 4.2

13、保证要求测试 4.2.1 配置管理 4.2.1.1 测评项 开发者应设计和实现产品配置管理，要求如下： a) 开发者应实现配置管理自动化，通过配置管理系统支持产品基本配置项的生成。应描述对配置 项给出唯一标识的方法，保证只有经过授权才能修改配置项，并提供所有的配置项得到有效维 护的证据； DB21/T 3440 2021 4 b) 开发者应提供配置管理文档，为产品的不同版本提供唯一的标识，且产品的每个版本应当使用 其唯一标识作为标签； c) 配置管理范围至少应包括产品实现表示、设计文档、测试文档、用户文档、管理员文档和配置 管理文档，从而确保它们的修改是在一个正确授权的可控方式下进行的。配置

14、管理文档至少应 能跟踪上述内容，并描述配置管理系统是如何跟踪这些配置项的。 4.2.1.2 测评实施 a) 评价者应确认配置管理文档是否与为评价而提供的其他所有文档保持一致 ； b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.1.3 结果判定 若产品 同时 符合 4.2.1.2 a）和 b），则满足此项要求。 4.2.2 交付和运行 4.2.2.1 测评项 a) 开发者应使用一定的交付程序交付产品，并将交付过程文档化； b) 应包含产品版本变更控制的版本和版次说明、实际产品版本变更控制的版本和版次说明等； c) 应包含产品安全安装、启动和使用过程说明。 4.2.

15、2.2 测评实施 a) 评价者应确认 交付和运行文档是否与为评价而提供的其他所有文档保持一致 ； b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.2.3 结果判定 若产品 同时 符合 4.2.2.2 a）和 b），则满足此项要求。 4.2.3 安全功能开发过程 4.2.3.1 功能设计 4.2.3.1.1 测评项 开发者应提供产品的安全功能设计，并满足： a) 安全功能设计应以非形式方法描述安全功能与其外部接口，应当描述使用所有产品安全功能接 口的目的与方法，适当的时候，要提供结果影响例外情况和错误信息的细节； b) 开发者提供的安全功能设计应当是内在一致的；

16、c) 功能设计应能完整地表示产品安全功能，并提供安 全基本原理证明安全功能的表示是完备的。 4.2.3.1.2 测评实施 a) 评价者应确认功能设计文档是否与为评价而提供的其他所有文档保持一致 ； b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.3.1.3 结果判定 若产品 同时 符合 4.2.3.1.2 a）和 b），则满足此项要求。 4.2.3.2 详细 设计 4.2.3.2.1 测评项 a) 开发者应提供产品安全功能的 详细 设计； b) 详细 设计应按子系统描述安全功能及其结构，并标识安全功能子系统的所有接口； c) 详细 设计应标识实现安全功能所要求的

17、基础性的硬件、固件和软件； d) 详细 设计应描述安全功能子系统所有接口及使用接口的目的和方法，并 详细描述接口的返回结 果、例外情况和错误信息等，以及如何将产品中有助于增强安全策略的子系统分离出来。 4.2.3.2.2 测评实施 DB21/T 3440 2021 5 a) 评价者应确认 详细 设计文档是否与为评价而提供的其他所有文档保持一致。 b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.3.2.3 结果判定 若产品 同时 符合 4.2.3.2.2 a）和 b），则满足此项要求。 4.2.3.3 表示对应性 4.2.3.3.1 测评项 a) 开发者应提供产品

18、安全功能的功能设计与 详细 设计之间的非形式化对应性分析，该分析应证明 功能设计表示的所有相关安全功能都在 详细 设计中得到正确且完备的细化； b) 开发者应提供安全策略模型 ，并阐明该模型和路由器功能设计之间的对应性，这一对应性是一 致和完备的。安全策略模型是非形式化的。该模型应描述所有可以模型化的安全策略的规则和 特征，并阐明该模型对于所有可模型化的安全策略来说，是与其一致且完备的。 4.2.3.3.2 测评实施 a) 评价者应确认 详细 设计和低层设计文档是否与为评价而提供的其他所有文档保持一致； b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.3.3.3

19、 结果判定 若产品 同时 符合 4.2.3.3.2 a）和 b），则满足此项要求。 4.2.4 指导性文档 4.2.4.1 管理员指南 4.2.4.1.1 测评项 开发者应提供系统管理员使用的管理员指南， 管理员指南应说明以下内容： a) 管理员指南应描述管理员可以使用的管理功能和接口； b) 管理员指南应描述在安全处理环境中进行控制的功能和权限； c) 管理员指南应描述每一种与管理功能有关的安全相关事件，包括对安全功能所控制实体的安全 特性进行的改变； d) 所有与管理员有关的 IT 环境的安全要求。 4.2.4.1.2 测评实施 a) 评价者应确认管理员指南是否与为评价而提供的其他所有文档

20、保持一致； b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.4.1.3 结果判定 若产品 同时 符合 4.2.4.1.2 a）和 b），则满足此项要求。 4.2.4.2 用户指南 4.2.4.2.1 测评项 开 发者应提供用户指南，用户指南应说明以下内容： a) 用户指南应描述非管理员用户可以使用的安全功能和接口； b) 用户指南应描述非管理员用户在安全处理环境中进行控制的功能和权限； c) 用户指南应描述非管理员用户所应承担的职责； d) 所有与非管理员用户有关的 IT环境的安全要求。 4.2.4.2.2 测评实施 a) 评价者应确认用户指南是否与为评价而提供

21、的其他所有文档保持一致； b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.4.2.3 结果判定 若产品 同时 符合 4.2.4.2.2 a）和 b），则满足此项要求。 DB21/T 3440 2021 6 4.2.4.3 测试 4.2.4.3.1 测评项 开发者应对产品进行测试，要求 如下： a) 应进行一般功能测试，保证产品能够满足所有安全功能的要求； b) 应进行相符性独立测试，由专业第三方独立实验室或消费者组织实施测试，确认产品能够满足 所有安全功能的要求； c) 应由专业第三方独立实验室或消费者组织抽样独立性测试。开发者应提供能有效重现开发者测 试的必需

22、资料，包括可由机器阅读的测试文档、测试程序等； d) 保留并提供测试文档，详细描述测试计划、测试过程以及预测结果和实际测试结果。 4.2.4.3.2 测评实施 a) 评价者应确认产品测试文档是否与为评价而提供的其他所有文档保持一致 ； b) 记录审查结果并对该结果是否完全符合上述测试评价方式 要求作出判断。 4.2.4.3.3 结果判定 若产品 同时 符合 4.2.4.3.2 a）和 b），则满足此项要求。 4.2.5 脆弱性评定 4.2.5.1 测评项 开发者对产品的脆弱性评定要求如下： a) 开发者应提供指导性文档和分析文档，在文档中确定对产品的所有可能的操作方式（包括失败 和操作失误后的

23、操作）的后果以及对于保持安全操作的意义，并列出所有目标环境的假设和所 有的外部安全措施（包括外部程序的、物理的或人员控制）要求。所述内容应是完备、清晰、 一致和合理的 ； b) 开发者应对具有安全功能强度声明的安全机制（例如口令机制）进行安全功能强度分析。安全 功能强度分析应证明安全 机制达到了所声明的强度 ； c) 开发者应实施脆弱性分析，并提供脆弱性分布的文档。对所有已标识的脆弱性，文档应说明它 们在所期望的产品使用环境中不能被利用。文档还应说明如何确保用户能够得到最新的安全补 丁。 4.2.5.2 测评实施 a) 评价者应确认产品脆弱性评定文档是否与为评价而提供的其他所有文档保持一致；

24、b) 记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。 4.2.5.3 结果判定 若产品 同时 符合 4.2.5.2 a）和 b），则满足此项要求。 DB21/T 3440 2021 7 参 考 文 献 1 GB/T 5271.8 信息技术 词汇 第 8 部分：安全 2 GB/T 1.1 2020 标准化工作导则 第 1部分：标准化文件的结构和起草规则 3 GB17859 1999 计算机信息系统安全保护等级划分准则 4 GB/T 20271 2006 信息安全技术 信息系统通用安全技术要求 5 GB/T 20272 2006 信息安全技术 信息系统安全技术要求 6 GB/T 35292 2017 信息技术 开放虚拟化格式（ OVF）规范 _