6.1 宿主機安全

應采用必要的身份鑒別、訪問控制、剩余信息保護、入侵防范、惡意代碼防范手段保護宿主機安全。

6.1.1　身份鑒別

6.1.1.1　一般要求

本項要求包括：

a) 應對登錄宿主機的用戶進行身份標識和鑒別；

a) 宿主機的不同用戶應具有不同的用戶名，用戶名應具有唯一性；

b) 宿主機的用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換；

c) 應啟用宿主機登錄失敗處理功能，可采取結束會話、限制登錄次數和自動退出等措施；

d) 當對宿主機進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽。

6.1.1.2　增強要求

a) 支持第三方身份鑒別方案。

6.1.2　訪問控制

6.1.2.1　一般要求

本項要求包括：

a) 應啟用訪問控制功能，依據安全策略控制管理用戶對宿主機資源的訪問；

b) 應根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；

c) 應嚴格限制默認帳戶的訪問權限，修改默認帳戶的默認口令。

6.1.3　剩余信息保護

6.1.3.1　一般要求

無。

6.1.3.2　增強要求

本項要求包括：

a) 應保證管理員用戶和桌面云用戶的鑒別信息所在的存儲空間，被釋放或再分配給其他用戶前得到清除，無論這些信息是存放在硬盤上還是在內存中；

b) 應確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間，被釋放或重新分配給其他用戶前得到清除；

c) 應確保在虛擬機運行時產生的臨時文件所在的宿主機的存儲空間，在虛擬機銷毀后得到清除。

6.1.4　入侵防范

6.1.4.1　一般要求

本項要求包括：

a) 宿主機操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并保持系統補丁及時得到更新。

6.1.4.2　增強要求

本項要求包括：

a) 宿主機操作系統關鍵區域（如操作系統系統配置文件、賬戶管理模塊、操作系統外設管理模塊等）應僅支持只讀方式；

b) 應能夠檢測到對宿主機進行入侵的行為，能夠記錄入侵的源IP、攻擊類型、攻擊目的、攻擊時間，并在發生嚴重入侵事件時提供報警。

6.1.5　惡意代碼防范

6.1.5.1　一般要求

宿主機操作系統應能對惡意代碼進行防范。