2017年5月24日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 桌面云安全技术要求》征求意见稿,征求意见截止日期为2017年7月7日。以下是征求意见稿全文。
联系人:许玉娜 xuyuna@cesi.cn 010—64102731
标准文本:信息安全技术 桌面云安全技术要求 (点击下载)
编制说明:
国家标准《信息安全技术 桌面云安全技术要求》
编制说明
《信息安全技术 桌面云安全技术要求》是中国电子科技集团公司第三十研究所于2015年申请立项的国家标准项目,中国电子科技集团公司第三十研究所,公安部第三研究所,中国电子技术标准化研究院,华为技术有限公司,卫士通信息产业股份有限公司,成都大学,电子科技大学,北京国电通网络技术有限公司,中国信息安全研究院,武汉大学,深圳市深信服电子科技有限公司,湖南麒麟信安科技有限公司等单位共同参与了该标准的起草工作。
1、2015年3月至7月,进行桌面云安全标准调研论证,完成标准草案初稿;
2、2015年8月,国家标准《信息安全技术 桌面云安全技术要求》正式成立标准编写组;
3、2015年10月20日,召开第一次工作组/专家评审会议,讨论标准框架结构、桌面云安全参考架构、分工以及日程等事宜,征求专家意见;
4、2016年3月3日,召开第二次工作组会议,重点讨论标准草案第一版基本要求;
5、2016年4月26日,召开第三次工作组会议,重点讨论标准草案第二版基本要求;
6、2016年7月12日,召开第四次工作组会议,重点讨论标准草案第三版增强要求;
7、2016年10月20日,2016年信安标委第二次会议周申请进入征求意见稿阶段。
8、2016年12月27日,召开征求意见稿专家评审会。
2.1 编制原则
《信息安全技术 桌面云安全技术要求》是国内第一个关于桌面云系统安全的标准项目。在云计算的广阔应用前景下,针对传统信息安全技术在云计算模式下具体应用中的挑战,制定相关服务和监管标准,以满足下一代计算办公环境安全需求。
本标准遵从国家标准GB/T 31167-2014《信息安全国家标准—云计算服务安全指南》、GB/T 31168-2014《信息安全国家标准—云计算服务安全能力要求》GB/T 32400-2015《信息安全国家标准—云计算 概述和词汇》和《GB/T 32399-2015 信息安全国家标准—云计算 参考架构标准规范》等标准规范,按照桌面云系统安全功能的强度划分安全功能要求的级别。安全等级突出安全特性,分为基本级和增强级。与基本级要求相比,增强级中要求有所增加或变更的内容在正文中通过“宋体加粗”来表示。
2.2 主要内容
本标准规定了基于虚拟化技术的桌面云系统的安全功能要求,适用于面向于桌面云系统的设计、开发及检测。
本标准中章节的顺序不表示其重要性。根据不同的环境,任何或所有章节中的安全要求都可能是重要的,因此应用本标准的每一个组织宜识别适用的安全要求及其重要性,以及它们对各个业务过程的适用性。另外,本标准的列表没有优先顺序。
目前,云计算技术在各个行业已经逐步进入规模应用的阶段。其中,桌面云是发展最快、部署最广、应用最为成熟的技术之一。桌面云作为云计算模式下的具体应用,应当遵从我国发布的云计算相关的各种国家标准。
2014年,我国发布了云计算的两个基础标准:GB/T 31167-2014《信息安全国家标准—云计算服务安全指南》和GB/T 31168-2014《信息安全国家标准—云计算服务安全能力要求》。同时,等保规范《信息安全技术 信息系统安全等级保护 基本要求》、《信息安全技术 信息系统安全等级保护 云计算安全要求》和其他一系列云计算相关的国家标准也正在制定过程中。这些标准的制定和发布,有力地推动了云计算技术在我国的推广和应用,为政府部门和重点行业采用云计算服务提供安全指导并进行安全管理,指导云服务商建设安全的云计算平台和提供安全的云计算服务。
但同时,桌面云系统作为云计算的具体应用,国际、国内目前还缺乏相关标准来对其进行正式的规范和约束,特别是近年来桌面云产业面临的安全问题也越来越得到重视。因此,及早开展桌面云系统安全标准的制定工作是十分迫切和必要的。
在从桌面云的技术、使用等方面的考虑,侧重分析IaaS和桌面应用的新风险。相对于传统服务,IaaS利用虚拟化技术,实现了资源整合和动态调度,但也引入了虚拟化、数据和管理的新风险;桌面云应用则利用IaaS提供的基础设施,通过桌面云管理系统,自动为用户分配虚拟桌面,并利用云终端实现虚拟桌面显示和信息输入,其在桌面传输、接入认证和云终端中也带来新的安全隐患。
因此,从终端、接入、传输、数据、虚拟化和运行管理等六个维度,进行了风险分析,并从再现难度和风险影响两个方面将风险分级,具体分析如下表所示:
表1 桌面云风险分析
风险类别 | 风险名称 | 描述 | 再现难度 | 风险等级 |
终端 | 终端非法接入 | 终端未经授权,非法接入云计算环境 | ★★★☆☆ | ★★☆☆☆ |
终端配置管理风险 | 大量瘦终端的配置管理(如瘦终端的IP地址和安全策略管理、软件和补丁分发、用户终端管理权限等)不规范,增加瘦终端的安全风险 | ★★☆☆☆ | ★★★★☆ | |
终端外设违规使用 | 违规使用多种外设,如打印机、U盘等 | ★★☆☆☆ | ★★★☆☆ | |
终端数据残留 | 云终端存在嵌入式操作系统,具有本地计算与缓存能力,涉密信息处理过程中,难以保证不留痕 | ★☆☆☆☆ | ★★★☆☆ | |
终端数据导出 | 终端内置存储设备,可能非法保存桌面截屏信息和虚拟机信息,并将数据导出 | ★☆☆☆☆ | ★★★☆☆ | |
破坏终端固件/系统 | 恶意破坏瘦终端的操作系统或固件 | ★★☆☆☆ | ★★★★☆ | |
接入 | 认证风险 | 普通用户和管理员采用传统用户名+密码的认证方式,风险比较高,易被破解; 原USBKey登录方式可能失效,降低认证强度; |
★★☆☆☆ | ★★★★☆ |
传输 | 虚拟桌面传输泄密 | 云终端与虚拟桌面服务器之间传输各种输入输出操作,包括图形显示、键盘鼠标等I/O信号,除远程连接协议自身安全保护外,缺乏符合国家规定算法的加密安全传输保护能力,存在窃听、重放、插入等安全风险。 | ★★★☆☆ | ★★★★☆ |
桌面配置信息泄密 | 非法获取用户的虚拟桌面信息 | ★★★☆☆ | ★★★★☆ | |
管理系统内部消息传递 | 管理系统各组件间消息传输未进行加密,存在被篡改的风险 | ★★★☆☆ | ★★★★☆ | |
数据 | 数据破坏 | 云平台管理员非授权访问用户数据可能性提升; 用户将数据存放在“云”中,存在大批量丢失的可能性 |
★★★☆☆ | ★★★☆☆ |
数据残留 | 虚拟机共享计算和存储资源,当虚拟机注销或关机后,其使用的内存区域和存储区域中可能残留数据 | ★☆☆☆☆ | ★★★☆☆ | |
数据审计不深入 | 现有审计系统无法支持分布式存储系统 | ★★★★☆ | ★★★☆☆ | |
用户数据盘泄漏风险 | 管理员通过挂卷方式获得用户数据卷,获得用户信息 | ★★☆☆☆ | ★★★★☆ | |
虚拟化环境中共用存储设备,多个虚拟机的数据存储在同一个LUN中,恶意虚拟机可以找到其他虚拟机的存储地址,从而访问其他用户或机构的数据 | ★★★☆☆ | ★★★★☆ | ||
数据丢失风险 | 存储系统故障,导致用户数据丢失 | ★★★☆☆ | ★★★★☆ | |
虚拟化 | Hyperjacking | 破坏Hypervisor或嵌入流氓Hypervisor,从而控制宿主机中的任意虚拟机 | ★★★★★ | ★★★★★ |
虚拟机逃逸(VM Escape) | 在云计算环境中,利用虚拟机软件的漏洞进行攻击,以达到攻击或控制宿主机操作系统的目的,进而进行非授权的操作行为 | ★★★★★ | ★★★★★ | |
通过应用程序接口(API)攻击,操控一台虚拟机向VMM发出请求,VMM缺乏安全信任机制来判断虚拟机发出的请求是否经过认证和授权 | ★★★★★ | ★★★★★ | ||
如果网络配置有缺陷,缺乏配套的安全访问控制,入侵者就可能连接到VMM的IP地址,进而对VMM进行网络攻击, | ★★★★★ | ★★★★★ | ||
跳跃攻击(VM Hopping) | 入侵者通过攻击某台虚拟机A劫持到在同一宿主机上的另一台虚拟机B,以B为跳板继续入侵其他虚拟机,完全控制同一宿主机上所有其他虚拟机的运行 | ★★★★★ | ★★★★★ | |
虚拟机蔓延(VM Sprawl) | 虚拟机数量接近或超过管理员可以有效管理的数量,从而过度使用资源和浪费license | ★★★☆☆ | ★★★★☆ | |
VM Theft | 非法获取虚拟机文件,并在其他地方挂载和使用,从而获取数据信息 | ★★★★☆ | ★★★★☆ | |
流量窃听(Traffic Snooping) | 同一物理机内虚拟机之间共享网卡进行数据交换,攻击者截获虚拟网络中的流量。或者在同一虚拟网段的虚拟机,截取虚拟网络流量。外部网络安全工具如防火墙、入侵检测和防护系统、异常行为监测器,都无法监测到物理服务器内部的流量攻击. | |||
Side-channel attacks | 利用CPU使用、内存读取、或其他物理特性,获取加密密钥 (多虚拟机运行在同一主机中,利用CPU Cache获取VM的资源使用规律,从而获得加密密钥) |
★★★★★ | ★★★★★ | |
隐通道(covert channel) | 利用虚拟化环境中的内存共享和磁盘共享,传递违规信息 | ★★★★★ | ★★★★★ | |
DMA攻击 | 利用虚拟机间内存共享,攻击或控制其他虚拟机的内存,破坏或泄露内存信息 | ★★★★★ | ★★★★★ | |
迁移风险 | 物理机到虚拟机(P2V)/虚拟机到虚拟机(V2V)的迁移:物理机/虚拟机自身的安全风险; 虚拟机迁移(VMotion): 1.迁移前:目的宿主机存在安全隐患(安全漏洞和承载多密级虚拟机); 2.迁移中:虚拟机的磁盘文件被重新创建和挂载,攻击者可能会替换虚拟机的磁盘文件;虚拟机内存和存储信息在网络中传输,可能引起泄密;虚拟机的安全策略变化;CPU扩展指令集失效,应用程序故障; 3.迁移后:源宿主机中虚拟机所用内存空间和存储空间,以及共享存储中存储空间的数据残留。 |
★★★☆☆ | ★★★★☆ | |
虚拟化系统完整性破坏 | 宿主机硬件、虚拟化软件被篡改,植入木马或恶意固件,危及整个宿主机及其虚拟机的安全 | ★★★★☆ | ★★★★★ | |
虚拟机越权访问物理机磁盘I/O的风险 | 虚拟机通过物理机磁盘I/O接口访问其他虚拟机的存储系统 | ★★★★★ | ★★★★☆ | |
Hypervisor管理员不可信 | 虚拟化环境超级管理员权限大,同时具备虚拟资源、网络、帐号等各种资源管理能力 | ★★★★☆ | ★★★★☆ | |
虚拟机间相互攻击和控制 | 虚拟机之间通过网络和虚拟层相互攻击 | ★★☆☆☆ | ★★☆☆☆ | |
虚拟网络流量不可见 | 在虚拟化环境下,传统的网络安全系统对虚拟机之间的通信数据包及通信流量不可见; | ★★☆☆☆ | ★★☆☆☆ | |
虚拟化行为审计难度加大 | 现有审计软件无法兼容虚拟化环境,如虚拟机生命周期管理、虚拟机迁移、HA和负载均衡等 | ★★★★☆ | ★★★☆☆ | |
虚拟客户机内部监控手段缺失 | 传统手段无法监控虚拟机变化及内部操作 | ★★★★☆ | ★★★☆☆ | |
地址欺骗(Address Spoofing) | 恶意虚拟机假冒IP/MAC地址 | |||
虚拟环境参数被获取 | 恶意软件对虚拟环境进行探测,获取虚拟环境参数 | ★★★★☆ | ★★★☆☆ | |
Qemu 代码漏洞 | 为老旧硬件设备提供兼容性的软件代码,存在安全漏洞 | ★★★★★ | ★★★★★ | |
宿主机对虚拟机的恶意控制及访问 | 宿主机对虚拟机的攻击不需要账户和密码,即可使用特定的功能来杀死进程,监控资源的使用或者关闭机器 | |||
BIOS攻击:BIOS插件在系统管理和安全防范中功能强大,但当攻击者获得管理员级权限时,也会导致巨大危害(如硬件的格式化、BIOS的更新等) | ||||
恶意的的物理设备前端驱动代码会导致虚拟机驱动配置错误,从而引发虚拟机数据接口的误用 | ||||
重启宿主机,可以引导到外部媒体从而破解密码、窃取文件,比如利用外接存储器等,或直接盗走宿主机的磁盘以访问虚拟文件系统; | ||||
拒绝服务攻击导致的资源耗尽风险 | 针对某一台虚拟机的DoS攻击不仅可能耗尽自身的资源,还会由此传递到整个宿主机上所有的资源,造成全部虚拟机获取不到资源而无法正常提供服务 | |||
安全机制的特权接口风险 | Hypervisor为虚拟化安全机制(如IPS/IDS、安全审计等)提供的特权接口可能会被恶意虚拟机使用 | ★★★★☆ | ★★★★★ | |
安全机制无法生效的问题 | 1、对于安全审计及监控等措施,虚拟机在网络中的各种行为基于其IP地址进行审计,而IP地址是容易改变的 2、在虚拟化环境中难以直接关闭主机上的虚拟端口,因为物理端口往往被众多虚拟端口共用 |
★★★★☆ | ★★★★★ | |
运行风险 | 云平台管理员权利过大 | 与传统IT架构相比,云计算环境中还有一类特殊用户,即云管理员。由于此类用户所具有存储、网络以及计算资源配置的极高权限,存在较高风险 | ★☆☆☆☆ | ★★★☆☆ |
云租户之间的安全隔离与访问控制 | 对云租户之间、云租户和云基础设施之间进行安全隔离和访问控制,使云租户不能违规访问云基础设施(如Hypervisor)以及其他云租户的空间,在PaaS、SaaS层不能影响其他云租户的正常运行(如对其他云租户进行攻击,无限消耗资源等),不能从事违法违规的行为(如对外攻击等) | |||
密码使用及密钥管理的难度 | 数据在云中传输、存储时有加密保护的需要,但多密级、多用户情况下的密钥分发与管理,在迁移等过程中的加密保护和密钥管理。 | ★★★☆☆ | ★★☆☆☆ | |
版本/补丁/病毒/恶意代码风险 | 虚拟机版本、补丁和病毒库未及时更新,或利用未更新的虚拟机快照或备份镜像,恢复虚拟机系统,存在安全漏洞和防护间隙; 病毒可能在虚拟机休眠时躲过查杀; 虚拟机如果同时杀毒有可能造成杀毒风暴; |
★★★☆☆ | ★★★★☆ | |
副本离线破解(虚拟机导入风险) | 攻击者通过网络复制出某台虚拟机的镜像文件,一旦得到完整的镜像文件,攻击者可以将其导入自己的虚拟化平台,拥有充足的时间离线攻克其中的安全设定,包括破解登陆口令,提取通信密钥,获取所有重要信息等。 | ★★★☆☆ | ★★★★☆ | |
镜像、模板和快照文件缺乏保护措施 | 利用漏洞或恶意代码,破坏镜像和模板的完整性,或植入病毒或木马文件 | ★★☆☆☆ | ★★★★☆ | |
模板扩散 | 模板未按照安全要求进行配置,或客户机操作系统和应用程序未及时升级,利用该模板创建虚拟机,将危及这些虚拟机的安全性 | ★★☆☆☆ | ★★★★☆ | |
数据库被非法访问的风险 | 虚拟化环境下共享数据库,恶意用户或管理员可以越权访问其他用户的数据资料,还有可能破坏数据库 | ★★★☆☆ | ★★★★☆ | |
非法窃取账户信息 | 攻击者非法获得用户的帐号信息,进行修改数据、窃听、恶意消费、发送虚假信息以及发起新的攻击。 | ★★☆☆☆ | ★★★★☆ | |
模板来源不明 | 用户上传包含有漏洞、木马的模板,影响利用该模板创建的虚拟机安全 | ★★☆☆☆ | ★★★★☆ | |
管理网络未隔离 | 管理员访问管理系统,采用与用户访问虚拟机相同的网络 | ★★☆☆☆ | ★★★★☆ | |
管理接口滥用风险 | 管理系统拥有较多丰富的管理接口,可能导致未授权访问用户数据、控制硬件设施、拒绝服务、数据泄漏等 | ★★☆☆☆ | ★★★★★ | |
审计记录不准确 | 虚拟化平台由多系统组成,各系统之间可能出现同步上的延时,授权信息因此没有及时更新,审计记录不准确 | ★☆☆☆☆ | ★★☆☆☆ | |
弱口令登陆及口令监听 | 大多时候,用户选择易记的弱口令来登陆云终端,大大提升口令猜测攻击的成功率。同时,通过木马等手段可在云终端上对用户的口令进行监听。 | ★☆☆☆☆ | ★★★★☆ |
根据以上风险分析,本标准从桌面云系统角度,包括物理安全、虚拟化安全及终端平台安全提供技术要求。与目前国家开展的云计算相关标准的制定工作紧密相关,作为云计算技术具体应用的标准之一,该标准的制定,将为我国政府部门和重点行业安全地采用桌面云服务提供技术参考,并促进桌面云服务提供商提供更加安全的桌面云服务。
本标准未等同采用任何国际标准。
本标准归纳总结桌面云面临的安全威胁,提出桌面云安全体系架构,并规范实现桌面云的安全技术要求。桌面云作为云计算模式下的具体应用,本标准所规定的内容需遵从云计算国家标准GB/T 31167-2014《信息安全国家标准—云计算服务安全指南》、GB/T 31168-2014《信息安全国家标准—云计算服务安全能力要求》等一系列标准的定义。本标准可以作为云计算相关标准在具体云计算应用上的补充,完善云计算标准体系建设。
详见标准意见汇总处理表。
建议本标准作为推荐性国家标准发布实施。
本标准归纳总结桌面云面临的安全威胁,提出桌面云安全体系架构,并规范实现桌面云的安全要求。在云计算的广阔应用前景下,针对传统信息安全技术在云计算模式下应用中的挑战,制定相关服务和管理标准,满足下一代计算办公环境安全需求。桌面云作为云计算模式下的具体应用,本标准可以用于支撑云计算国家标准GB/T 31167-2014《信息安全国家标准—云计算服务安全指南》、GB/T 31168-2014《信息安全国家标准—云计算服务安全能力要求》,以及《信息安全技术 信息系统安全等级保护 基本要求》、《信息安全技术 信息系统安全等级保护 云计算安全要求》的实施,为希望了解和部署桌面云服务的组织和用户提供安全方面的具体要求,有助于更加深刻地理解桌面云的体系建设和实施内容。
本标准不涉及专利。
《信息安全技术 桌面云安全技术要求》标准编制组
2017年4月