虚拟化软件产品安全技术要求详解：功能与测评指南

本文件是中国信息安全认证中心发布的关于"虚拟化软件产品安全技术要求"（ISCCC-TR-015-2012），发布日期为2012年9月1日，旨在规定和确保虚拟化软件产品的安全性能和标准。虚拟化软件是一种能将物理服务器的硬件资源抽象成逻辑资源，通过动态管理提供虚拟机环境的技术。在逻辑层面上，虚拟机具有独立的CPU、内存、磁盘等资源，允许操作系统和应用软件在其中正常运行。 技术要求包括多个关键部分： 1. **范围**：该规范定义了适用的虚拟化软件产品，以及其应满足的安全功能和性能指标，适用于所有希望获得信息安全认证的虚拟化产品。 2. **功能要求**： - **虚拟化基础功能**：强调了虚拟化软件的基本构建块，如创建和管理虚拟机。 - **资源管理**：涉及对虚拟资源的管理和分配，以确保高效利用。 - **数据存储方式**：安全地存储和管理虚拟机的数据。 - **虚拟网络支持**：确保虚拟网络环境的安全性和隔离性。 - **虚拟化维护**：要求软件具备必要的维护和更新功能，保障系统的稳定运行。 - **安全功能**：涵盖身份鉴别、日志审计、数据安全和虚拟机独立性等，以保护用户数据和系统完整性。 3. **性能需求**： - **性能损耗**：明确虚拟化过程中可能产生的性能损失，要求在设计上尽量减小影响。 - **最大处理能力**：设定虚拟化软件在极限条件下的性能指标。 4. **保证要求**： - **配置管理**：强调软件配置的一致性和可管理性。 - **交付和运行**：规定了软件的部署和运行过程中的管理规范。 - **安全功能开发过程**：要求遵循一定的开发流程，确保安全性的实现。 - **文档**：提供详尽的操作指南和技术文档。 - **脆弱性评定**：定期评估和修复潜在的安全漏洞。 5. **测评方法**：详细描述了功能测试、性能测试和安全性测试的具体步骤，以及相应的测试环境、工具和评估标准。 6. **前言**：阐述了该规范的重要性，作为信息安全产品自愿性认证的依据，旨在提升市场上的虚拟化软件产品质量和安全性。 这份技术要求文件对于开发、评估和认证虚拟化软件的安全性具有重要的指导意义，有助于企业在开发虚拟化产品时遵循行业标准，提高用户对虚拟化解决方案的信任度。