DB21T 3440-2021 虚拟化软件系统安全测评技术规范

CCSL80DB21辽宁省市场监督管理局发布 4 4 6本文件的编制依据GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草正成为社会基础设施，服务于各行各业中灵活多变的应用需(OVF)规范》等，但针对虚拟化软件系统的安全性技术规范和测试方法方面存在空白，还没有一个针对1虚拟化软件系统安全测评技术规范本文件规定了政务云平台和私有云平台使用的虚拟化软件系统的安全测评方法和判定保证要求GuaranteeRequir4.1.1身份鉴别4.1.1.1用户鉴别4.1.1.1.1测评项24.1.1.1.2测评实施a)查看产品说明手册，记录产品支4.1.1.1.3结果判定），4.1.1.2重鉴别4.1.1.2.1测评项4.1.1.2.2测评实施4.1.1.2.3结果判定4.1.2数据安全存储4.1.2.1测评项4.1.2.2测评实施b)使用非授权管理员尝试对审计记录进行查看，检测产品防止泄露的功能；c)使用授权管理员尝试对审计记录进行修改和编辑，检测产品防d)管理员尝试对审计记录进行删除操作，检测产品防止丢失的功能。4.1.2.3结果判定4.1.3.1审计事件类型4.1.3.1.1测评项a)软件应能为下述可审计事件4.1.3.1.2测评实施4.1.3.1.3结果判定4.1.3.2.1测评项4.1.3.2.2测评实施4.1.3.2.3结果判定4.1.4数据安全4.1.4.1测评项4.1.4.2测评实施4.1.4.3结果判定），4.1.5虚拟机独立性4.1.5.1测评项的影响。当虚拟机所在的物理主机的CPU、内存、磁盘等资源负载过重时，仍然能保证每个虚拟机能够4.1.5.2测评实施4.1.5.3结果判定），4.2保证要求测试4.2.1配置管理4.2.1.1测评项44.2.1.2测评实施a)评价者应确认配置管理文档是否与为评价而提供的其他b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.1.3结果判定），4.2.2交付和运行4.2.2.1测评项a)开发者应使用一定的交付程序交付产品，并将b)应包含产品版本变更控制的版本和版次说明、实际产品版本变更控制的版本和版次说明等；4.2.2.2测评实施a)评价者应确认交付和运行文档是否与为评价而提供的其他所b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.2.3结果判定），4.2.3安全功能开发过程4.2.3.1功能设计4.2.3.1.1测评项b)开发者提供的安全功能设计应当是内在4.2.3.1.2测评实施a)评价者应确认功能设计文档是否与为评价而提供的其他b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.3.1.3结果判定），4.2.3.2详细设计4.2.3.2.1测评项b)详细设计应按子系统描述安全功能及其结构，并标识安全功能子系统的所有接口；c)详细设计应标识实现安全功能所要求的基础性的硬件果、例外情况和错误信息等，以及如何将产品中有助于增强安全策略的子系4.2.3.2.2测评实施b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.3.2.3结果判定4.2.3.3表示对应性4.2.3.3.1测评项4.2.3.3.2测评实施b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.3.3.3结果判定），4.2.4指导性文档4.2.4.1管理员指南4.2.4.1.1测评项b)管理员指南应描述在安全处理环境中进行控制的功能和权限；4.2.4.1.2测评实施a)评价者应确认管理员指南是否与为评价而提供的其他所b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.4.1.3结果判定4.2.4.2用户指南4.2.4.2.1测评项a)用户指南应描述非管理员用户可以使用的b)用户指南应描述非管理员用户在安全处理环境中进行控制的功能和权限；c)用户指南应描述非管理员用4.2.4.2.2测评实施b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.4.2.3结果判定），64.2.4.3测试4.2.4.3.1测评项a)应进行一般功能测试，保证产品能够满足所有d)保留并提供测试文档，详细描述测试计划、测试过程以及预测结果和实际测试结果。4.2.4.3.2测评实施a)评价者应确认产品测试文档是否与为评价而提供的其他b)记录审查结果并对该结果是否完全符合上述测试评价方式要求作出判断。4.2.4.3.3结果判定），4.2.5脆弱性评定4.2.5.1测评项