GB/T 37950-2019 信息安全技术 桌面云安全技术要求

1 范围

      本标准规定了基于虚拟化技术的桌面云在应用过程中的安全技术要求。

      本标准适用于桌面云的安全设计、开发，可用于指导桌面云安全测试。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 2887-2011 计算机场地通用规范

      GB/T 5271.8-2001 信息技术 词汇 第8部分：安全

      GB/T 9361-2011 计算机场地安全要求

      GB/T 25069-2010 信息安全技术 术语

      GB/T 31915-2015 信息技术 弹性计算应用接口

3 术语和定义

      GB/T 5271.8-2001、GB/T 25069-2010和GB/T 31915-2015界定的以及下列术语和定义适用于本文件。

3.1

      桌面云 desktop cloud

      一种基于云计算的桌面交付模式。

      注：在该模式下，通过将计算机桌面进行虚拟化，把个人计算环境集中存储于数据中心，为用户提供按需分配、快速交付的桌面。用户使用终端设备通过网络访问该桌面。

3.2

      虚拟桌面 virtual desktop

      一种基于虚拟化技术所提供的桌面应用。

      注：虚拟桌面支持用户使用终端设备进行交互操作，以获得与传统个人计算机一致的用户体验。

3.3

      桌面虚拟化 desktop virtualization

      一种基于服务器虚拟化，并允许用户远程访问桌面并进行输入输出操作的技术。

3.4

      瘦终端 thin client

      一种使用处理器、裁剪后的操作系统，可实现对传输协议解码、显示和信息输入，为用户提供虚拟桌面交付的终端设备。

3.5

      零终端 zero client

      一种无通用处理器、无本地硬盘、无通用操作系统的终端设备。

      注：零终端通过专用硬件协议处理芯片，实现传输协议解码、显示和信息输入，为用户提供虚拟桌面交付的终端设备。

3.6

      胖终端 thickclient

      一种具备通用处理器、本地硬盘、通用操作系统，并可安装虚拟桌面客户端软件的终端设备。

      示例：传统个人计算机和便携计算机。

3.7

      移动终端 mobile client

      一种在移动环境中使用的计算机终端设备。

      示例：数字移动电话机、便携计算机等。

3.8

      虚拟化 virtualization

      一种资源管理技术，将处理器、存储和网络等计算机物理资源予以抽象、转换后以软件形态呈现出来，以简化管理并提高物理设备的资源利用率。

3.9

      客户操作系统 guest OS

      运行在虚拟机中，供用户直接使用的操作系统。

3.10

      虚拟机监视器 hypervisor

      一种虚拟资源的管理软件，协调多个客户操作系统对宿主机硬件资源的访问，并在各虚拟机之间施加防护。

3.11

      宿主机 host

      一种安装了虚拟机监控器并提供虚拟机服务的服务器。

3.12

      虚拟机 virtual machine

      通过虚拟化技术整合、抽象和隔离的，具有完整硬件系统功能的计算机。

3.13

      虚拟机镜像 virtual machine image

      虚拟机对应的文件系统镜像。

      注：包括操作系统及虚拟机运行需要的软件。

3.14

      虚拟机模板 virtual machine template

      配置虚拟机所需的元数据集合。

      注1：虚拟机模板用于方便地生成虚拟机。

      注2：包括CPU数量、内存大小和磁盘大小等。

3.15

      虚拟机热迁移 virtual machine live migration

      动态迁移

      实时迁移

      通过一定的方式将实时运行的虚拟机在不关闭虚拟机的情况下从一台物理服务器迁移到另一台物理服务器上的迁移方式。

4 缩略语

      下列缩略语适用于本文件。

      BIOS：基本输入输出系统（Basic Input Output System）

      CPU：中央处理器（Central Processing Unit）

      ID：身份（IDentity）

      IP：网络之间互连的协议（Internet Protocol）

      I/O：输入/输出（Input/Output）

      MAC：媒体访问控制（Media Access Control）

      USB：通用串行总线（Universal Serial Bus）

      VLAN ：虚拟局域网（Virtual Local Area Network）

      VxLAN ：扩展虚拟局域网（Virtual Extensible LAN）

5 概述

5.1 桌面云基础功能架构

      桌面云基础功能架构由服务端功能和客户端功能组成，具体描述如下：客户端主要是在终端设备（包括瘦终端、胖终端、零终端以及移动终端）上安装或预先加载的桌面云客户端软件，提供对外设指令的接收、解码传输协议、用户界面。服务端主要是在硬件基础上，通过不同技术手段，建立虚拟桌面，并能够对虚拟桌面进行创建、修改、删除等基本操作，对虚拟桌面网络和存储进行配置和管理，同时针对已经建立的虚拟桌面分配给不同的桌面用户，对所有的桌面镜像进行集中管理。服务端还包括传输协议的服务端，负责接收用户操作信息并将虚拟桌面推送给用户。图1给出了一个桌面云的参考功能示意图。对于主流桌面云的技术架构和部署场景可参考附录A。

图1 桌面云功能示意图

5.2 桌面云安全参考架构

      图2给出了一个桌面云安全架构的参考图。桌面云安全架构可以划分为3层，分别为：物理层、虚拟化层、桌面平台层。具体描述如下：

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。