书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准 犌犅 ／ 犜 ３７９５０ — ２０１９ 信息安全技术桌面云安全技术要求 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犛犲犮狌狉犻狋狔狋犲犮犺狀犻犮犪犾狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉犱犲狊犽狋狅狆犮犾狅狌犱 ２０１９  ０８  ３０ 发布 ２０２０  ０３  ０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 ３ …………………………………………………………………………………………………… ５ 　 概述 ３ ……………………………………………………………………………………………………… 　 ５．１ 　 桌面云基础功能架构 ３ ……………………………………………………………………………… 　 ５．２ 　 桌面云安全参考架构 ３ ……………………………………………………………………………… 　 ５．３ 　 安全技术要求的表述形式 ４ ………………………………………………………………………… ６ 　 物理层安全 ４ ……………………………………………………………………………………………… 　 ６．１ 　 环境安全 ４ …………………………………………………………………………………………… 　 ６．２ 　 物理设备安全 ５ ……………………………………………………………………………………… 　 ６．３ 　 物理安全管理 ５ ……………………………………………………………………………………… ７ 　 虚拟化层安全 ５ …………………………………………………………………………………………… 　 ７．１ 　 宿主机安全 ５ ………………………………………………………………………………………… 　 ７．２ 　 虚拟计算安全 ６ ……………………………………………………………………………………… 　 ７．３ 　 虚拟存储安全 ７ ……………………………………………………………………………………… 　 ７．４ 　 虚拟网络安全 ８ ……………………………………………………………………………………… 　 ７．５ 　 虚拟化安全管理 ９ …………………………………………………………………………………… ８ 　 桌面平台层安全 １１ ………………………………………………………………………………………… 　 ８．１ 　 桌面接入安全 １１ ……………………………………………………………………………………… 　 ８．２ 　 桌面平台管理安全 １３ ………………………………………………………………………………… 附录 Ａ （ 资料性附录 ） 　 桌面云场景描述 １６ ………………………………………………………………… 参考文献 １９ …………………………………………………………………………………………………… 犌犅 ／ 犜 ３７９５０ — ２０１９ 前 　　 言 　　 本标准按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本标准起草单位 ： 中国电子科技集团公司第三十研究所 、 公安部第三研究所 、 中国电子技术标准化研究院 、 神州网信技术有限公司 、 华为技术有限公司 、 卫士通信息产业股份有限公司 、 电子科技大学 、 成都大学 、 北京国电通网络技术有限公司 、 武汉大学 、 中国信息安全研究院有限公司 、 深圳市深信服电子科技有限公司 、 湖南麒麟信安科技有限公司 。 本标准主要起草人 ： 王强 、 望娅露 、 陈妍 、 刘晓毅 、 张剑 、 冯成燕 、 郭小华 、 王惠莅 、 赵华 、 罗俊 、 陈爱国 、 万国根 、 李祉岐 、 王丽娜 、 刘伯仲 、 杨晨 、 刘文清 、 李占伟 。 Ⅰ 犌犅 ／ 犜 ３７９５０ — ２０１９ 信息安全技术桌面云安全技术要求 １ 　 范围 本标准规定了基于虚拟化技术的桌面云在应用过程中的安全技术要求 。 本标准适用于桌面云的安全设计 、 开发 ， 可用于指导桌面云安全测试 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ２８８７ — ２０１１ 　 计算机场地通用规范 ＧＢ ／ Ｔ５２７１．８ — ２００１ 　 信息技术 　 词汇 　 第 ８ 部分 ： 安全 ＧＢ ／ Ｔ９３６１ — ２０１１ 　 计算机场地安全要求 ＧＢ ／ Ｔ２５０６９ — ２０１０ 　 信息安全技术 　 术语 ＧＢ ／ Ｔ３１９１５ — ２０１５ 　 信息技术 　 弹性计算应用接口 ３ 　 术语和定义 ＧＢ ／ Ｔ５２７１．８ — ２００１ 、 ＧＢ ／ Ｔ２５０６９ — ２０１０ 和 ＧＢ ／ Ｔ３１９１５ — ２０１５ 界定的以及下列术语和定义适用于本文件 。 ３ ． １ 　 桌面云 　 犱犲狊犽狋狅狆犮犾狅狌犱 一种基于云计算的桌面交付模式 。 注 ： 在该模式下 ， 通过将计算机桌面进行虚拟化 ， 把个人计算环境集中存储于数据中心 ， 为用户提供按需分配 、 快速交付的桌面 。 用户使用终端设备通过网络访问该桌面 。 ３ ． ２ 　 虚拟桌面 　 狏犻狉狋狌犪犾犱犲狊犽狋狅狆 一种基于虚拟化技术所提供的桌面应用 。 注 ： 虚拟桌面支持用户使用终端设备进行交互操作 ， 以获得与传统个人计算机一致的用户体验 。 ３ ． ３ 　 桌面虚拟化 　 犱犲狊犽狋狅狆狏犻狉狋狌犪犾犻狕犪狋犻狅狀 一种基于服务器虚拟化 ， 并允许用户远程访问桌面并进行输入输出操作的技术 。 ３ ． ４ 　 瘦终端 　 狋犺犻狀犮犾犻犲狀狋 一种使用处理器 、 裁剪后的操作系统 ， 可实现对传输协议解码 、 显示和信息输入 ， 为用户提供虚拟桌面交付的终端设备 。 ３ ． ５ 　 零终端 　 狕犲狉狅犮犾犻犲狀狋 一种无通用处理器 、 无本地硬盘 、 无通用操作系统的终端设备 。 １ 犌犅 ／ 犜 ３７９５０ — ２０１９ 注 ： 零终端通过专用硬件协议处理芯片 ， 实现传输协议解码 、 显示和信息输入 ， 为用户提供虚拟桌面交付的终端 设备 。 ３ ． ６ 　 胖终端 　 狋犺犻犮犽犮犾犻犲狀狋 一种具备通用处理器 、 本地硬盘 、 通用操作系统 ， 并可安装虚拟桌面客户端软件的终端设备 。 示例 ： 传统个人计算机和便携计算机 。 ３ ． ７ 　 移动终端 　 犿狅犫犻犾犲犮犾犻犲狀狋 一种在移动环境中使用的计算机终端设备 。 示例 ： 数字移动电话机 、 便携计算机等 。 ３ ． ８ 　 虚拟化 　 狏犻狉狋狌犪犾犻狕犪狋犻狅狀 一种资源管理技术 ， 将处理器 、 存储和网络等计算机物理资源予以抽象 、 转换后以软件形态呈现出 来 ， 以简化管理并提高物理设备的资源利用率 。 ３ ． ９ 　 客户操作系统 　 犵狌犲狊狋犗犛 运行在虚拟机中 ， 供用户直接使用的操作系统 。 ３ ． １０ 　 虚拟机监视器 　 犺狔狆犲狉狏犻狊狅狉 一种虚拟资源的管理软件 ， 协调多个客户操作系统对宿主机硬件资源的访问 ， 并在各虚拟机之间施 加防护 。 ３ ． １１ 　 宿主机 　 犺狅狊狋 一种安装了虚拟机监控器并提供虚拟机服务的服务器 。 ３ ． １２ 　 虚拟机 　 狏犻狉狋狌犪犾犿犪犮犺犻狀犲 通过虚拟化技术整合 、 抽象和隔离的 ， 具有完整硬件系统功能的计算机 。 ３ ． １３ 　 虚拟机镜像 　 狏犻狉狋狌犪犾犿犪犮犺犻狀犲犻犿犪犵犲 虚拟机对应的文件系统镜像 。 注 ： 包括操作系统及虚拟机运行需要的软件 。 ３ ． １４ 　 虚拟机模板 　 狏犻狉狋狌犪犾犿犪犮犺犻狀犲狋犲犿狆犾犪狋犲 配置虚拟机所需的元数据集合 。 注 １ ： 虚拟机模板用于方便地生成虚拟机 。 注 ２ ： 包括 ＣＰＵ 数量 、 内存大小和磁盘大小等 。 ３ ． １５ 　 虚拟机热迁移 　 狏犻狉狋狌犪犾犿犪犮犺犻狀犲犾犻狏犲犿犻犵狉犪狋犻狅狀 动态迁移 实时迁移通过一定的方式将实时运行的虚拟机在不关闭虚拟机的情况下从一台物理服务器迁移到另一台物 理服务器上的迁移方式 。 ２ 犌犅 ／ 犜 ３７９５０ — ２０１９ ４ 　 缩略语 下列缩略语适用于本文件 。 ＢＩＯＳ ： 基本输入输出系统 （ ＢａｓｉｃＩｎｐｕｔＯｕｔｐｕｔＳｙｓｔｅｍ ） ＣＰＵ ： 中央处理器 （ ＣｅｎｔｒａｌＰｒｏｃｅｓｓｉｎｇＵｎｉｔ ） ＩＤ ： 身份 （ ＩＤｅｎｔｉｔｙ ） ＩＰ ： 网络之间互连的协议 （ ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ ） Ｉ ／ Ｏ ： 输入 ／ 输出 （ Ｉｎｐｕｔ ／ Ｏｕｔｐｕｔ ） ＭＡＣ ： 媒体访问控制 （ ＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌ ） ＵＳＢ ： 通用串行总线 （ ＵｎｉｖｅｒｓａｌＳｅｒｉａｌＢｕｓ ）