ICS 35.040 GA L 80 中华人民共和国公共安全行业标准 GA/T1541—2018 信息安全技术 虚拟化安全防护产品安全技术要求和 测试评价方法 Information security technologySecurity technical requirements and evaluation approachesforvirtualization securityproducts 2018-12-27发布 2018-12-27实施 中华人民共和国公安部 发布 GA/T1541—2018 目 次 前言 1范围 2术语和定义 缩略语 虚拟化安全防护产品描述 4.1 功能概述 4.2 工作模式概述 5技术要求 5.1 总体说明 5.2 功能要求 5.3 性能要求 5.4 安全保障要求 测试评价方法 6 15 6.1 总体说明 6.2 功能测试 6.3 性能测试 25 6.4 安全保障评估 25 附录A（资料性附录) 测试样本库 参考文献 33 GA/T1541—2018 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由公安部网络安全保卫局提出。 本标准由公安部信息系统安全标准化技术委员会归口。 本标准起草单位：国家计算机病毒应急处理中心、公安部十一局七处、天津市公安局网络安全保卫 总队、趋势科技（中国)有限公司、北京瑞星信息技术有限公司、卡巴斯基技术开发(北京)有限公司、北京 京天融信科技有限公司。 本标准主要起草人：陈建民、杜振华、张俊兵、陆磊、曹鹏、张菁、刘彦、黄一斌、赵晓明、张鑫、冯军亮、 王文一、杨人玮、童宁、刘思宇、冷健波、徐雨晴、崔婷婷、赵焕菊、王。 GA/T1541—2018 信息安全技术 虚拟化安全防护产品安全技术要求和 测试评价方法 1范围 本标准适用于虚拟化安全防护产品的设计、开发及检测。 2术语和定义 下列术语和定义适用于本文件。 2.1 虚拟化安全防护产品virtualizationsecurityproduct 为IT虚拟化环境提供安全防护的产品。除了对病毒、网络攻击等传统的网络安全风险以外，能够 针对IT虚拟化带来的新型安全风险进行防护，同时产品运行和产品管理更加适应IT虚拟化环境。 2.2 虚拟化环境virtualizationenvironment 将计算机资源进行抽象后形成的IT环境，这些资源包括操作系统、计算机系统、CPU、内存、硬盘 负载均衡、路由器等，通过虚拟化出来的计算机资源，用户可以像用未虚拟化访问物理资源的形式，来访 问虚拟化后的资源。并且这种抽象后的资源，不会受到物力资源配置、地域、实现等因素的影响。 2.3 安全防护虚拟设备 securityvirtualappliance 以无代理的透明方式在虚拟机上实施安全策略，包括无代理恶意软件防护、无代理防火墙、无代理 的IDS/IPS/Web应用防护以及相关的网络安全策略、无代理的系统完整性监控。 2.4 安全防护客户端securityvirtualclient 以在虚拟机上安装安全防护客户端的方式实施安全策略，包括恶意软件防护、防火墙、IDS/IPS/ Web应用防护以及相关的网络安全策略、系统完整性监控。 2.5 安全防护管理平台 securitymanagementplatform 用于管理部署于用户虚拟化环境中的安全防护虚拟设备以及安全防护客户端，对安全策略进行统 一管理和部署，对所有安全事件进行管理。 2.6 病毒检测virusdetection 在虚拟化安全防护产品进行病毒处理时，对于确定的测试环境，能够准确地报出病毒文件和病毒名 称，并记录检测结果的处理方式。 2.7 隔离quarantine 在虚拟化安全防护产品进行病毒处理时，为保留病毒样本以及受感染的用户文件，而采取的将病毒 1 GA/T1541—2018 以及受感染的用户文件存储在一个被称为“隔离区”的受限制存储空间的处理方式。 2.8 清除还原 virusdisinfection 在虚拟化安全防护产品对受到病毒感染的宿主文件进行处理时，采取的清除其中的恶意代码或使 恶意代码失效，恢复宿主文件原有功能的处理方式。 2.9 病毒样本库 virussampleset 病毒样本文件的集合。 3缩略语 下列缩略语适用于本文件。 IT：信息技术（InformationTechnology） IP：网络互联协议（InternetProtocol) PDF：便携文件格式(PortableDocumentFormat) HTML：超文本标记语言（HypertextMarkupLanguage) CSV：逗号分隔值文件（Comma-SeparatedValues) XML：可扩展标记语言（ExtensibleMarkupLanguage) 4虚拟化安全防护产品描述 4.1 功能概述 虚拟化安全防护产品是指一种以病毒防护作为其全部或部分功能的产品，用于检测发现或阻止病 毒在虚拟化环境中的传播以及对虚拟主机中的操作系统、应用软件和用户文件的篡改、窃取和破坏等。 可以接受授权管理员的统一管理，授权管理员可以通过安全防护管理平台根据虚拟化环境自身以及所 承载的应用服务的可用性动态调整统一防护策略。 4.2工作模式概述 4.2.1有代理方式 在虚拟主机中安装安全防护客户端，接受安全防护管理平台的统一管理，每个安全防护客户端只能 对所在虚拟主机进行防护。 4.2.2无代理方式 在虚拟化环境中安装安全防护虚拟设备，通过虚拟化环境提供的专门接口，访问虚拟化环境中各虚 拟主机的内存、磁盘等并进行安全防护。 4.2.3混合方式 同时采用有代理和无代理方式的工作模式。 2 GA/T1541—2018 5技术要求 5.1总体说明 5.1.1技术要求分类 将虚拟化安全防护产品技术要求分为功能、性能、安全保障要求3个大类。其中，功能要求是对虚 拟化安全防护产品应具备的功能提出具体的要求；性能要求是对虚拟化安全防护产品应达到的性能指 标做出规定；安全保障要求则针对虚拟化安全防护产品开发者和虚拟化安全防护产品自身提出具体的 要求。 5.1.2 安全等级 按照虚拟化安全防护产品的安全功能要求强度，将虚拟换安全防护产品安全功能要求划分成基本 级和增强级；安全保证要求基本级参照了EAL2级安全保证要求，增强级在EAL4级安全保证要求的 基础上，将脆弱性分析要求提升到可以抵御中等攻击潜力的攻击者发起的攻击。 增强级产品除需满足基本级产品的技术要求外，还需满足增强级中列出的其他技术要求。其中， “加粗宋体字”表示所描述的要求仅适用于增强级产品。 5.2功能要求 5.2.1基本级 5.2.1.1防护能力 产品应具备以下防病毒能力： a）计算机病毒进入虚拟化环境时发出告警； b）不对正常的系统程序文件、应用程序文件、文档、程序代码和数据等产生误报警。 5.2.1.2防护策略 5.2.1.2.1策略自定义 产品应能根据要求添加、修改和删除安全策略。 5.2.1.2.2 策略初始模版 产品应具备初始的安全策略，并至少覆盖对病毒文件的检测和清除处理方式。 5.2.1.2.3 3统一检测策略 产品应支持对虚拟化环境中统一检测的策略管理，避免统一检测对虚拟化环境可用性造成严重 影响。 5.2.1.3响应处理 产品应能够对检测到的病毒进行处理，处理方式应包括以下种类的一种或多种： a）阻止，即产品能够对阻止病毒文件的运行、恶意操作或传播； b） 删除，即产品能够将病毒文件删除； 隔离，即产品能够将病毒文件从原有位置删除，并备份到一个受限的“隔离区”内。 GA/T 1541—2018 5.2.1.4 告警信息 产品应能对防病毒等提供告警功能。告警信息应至少包括以下内容： a) 病毒文件名； b) ）病毒名称； 事件发生的日期和时间； d) 感染主机信息。 5.2.1.5 安全日志 5.2.1.5.1 事件记录 产品应能对安全防护、策略更改、响应处理、系统升级、安全管理、身份鉴别等安全事件及时生成事 件记录，事件记录应存储于掉电非易失性存储介质中，且在存储空间达到阈值时能够通知授权管理员。 5.2.1.5.2 日志导出 日志应能输出成方便阅读的文件格式，至少支持以下文件格式中的一种或多种：TXT、DOC、PDF、 HTML、XLS、CSV、XML等。 5.2.1.5.3 3日志保存 产品应能够充许用户自定义日志保存期限，但最低保存期限不应少于6个月。 5.2.1.5.4 统计功能 产品应提供基于时间、事件等进行统计的功能。 5.2.1.6升级能力 5.2.1.6.1升级更新 对本地特征库及服务程序提供手动及自动的方式进行升级更新。 5.2.1.6.2 2推送升级 支持向虚拟化环境推送升级更新。 5.2.1.6.3 3升级的有效控制 通过策略对升级进行有效的控制，避免升级对虚拟化环境的应用造成影响。 5.2.1.7标识与鉴别 5.2.1.7.1 管理员标识 5.2.1.7.1.1 属性定义 产品应为每个授权管理员规定与之相关的安全属性，如标识、鉴别信息、隶属组、权限等。 5.2.1.7.1.2 属性初始化 产品应提供使用默认值对创建的每个授权管理员的属性进行初始化的能力。 4