网络空间安全仿真 试验环境隔离要求.pdfVIP

网络空间安全仿真 试验环境隔离要求 1 范围 本文件规定了网络空间安全仿真试验环境在隔离方面的要求，包括网络隔离、接入控制、虚拟节点 隔离、数据保护、安全防护、安全管理。 本文件适用于网络空间安全仿真试验环境建设和使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 GB/T 35293-2017 信息技术 云计算 虚拟机管理通用要求 IETF RFC 1918 专用网地址分配 （Address Allocation for Private Internets） 3 术语和定义 下列术语和定义适用于本文件。 3.1 网络空间安全仿真试验环境 experiment environment for cyberspace security emulation 网络空间安全仿真平台为每个试验任务提供的虚拟节点、网络、存储以及相应软件、硬件节点的运 行环境。 3.2 网络空间安全仿真试验环境隔离 isolation of experiment environment for cyberspace security emulation 执行不同试验任务的网络空间安全仿真试验环境之间在物理上是连接的，但是在逻辑上不能以直 接或间接的方式互相连通。 4 概述 本文件规定了网络空间安全仿真试验环境的网络隔离、接入控制、虚拟节点隔离、数据保护、安全 防护、安全管理，避免多个网络空间安全仿真试验之间互相干扰，对网络空间安全仿真试验的稳定运行 提供重要支撑。 5 网络隔离 5.1 地址隔离 每个网络空间安全仿真试验环境可自动配置任意网络地址，包括 IETF RFC 1918 所规定的专用地 1 址空间，同时不同网络空间安全仿真试验环境配置的网络地址之间不会互相影响。 5.2 互联隔离 执行不同试验任务的网络空间安全仿真试验环境的网络之间实现相互隔离，不能互联互通。互联隔 离应满足以下要求： a) 属于同一网络空间安全仿真试验环境的不同虚拟节点、硬件节点之间能够互联互通； b) 属于不同网络空间安全仿真试验环境的虚拟节点、硬件节点之间不能互联互通； c) 某一网络空间安全仿真试验环境中的广播报文不能够传输到其它网络空间安全仿真试验环境； d) 每个网络空间安全仿真试验环境使用的网络带宽不受其它网络空间安全仿真试验环境使用的 网络带宽影响； e) 网络空间安全仿真试验环境的虚拟节点、硬件节点不能与互联网连通。 6 接入控制 系统管理角色类管理员对网络空间安全仿真试验环境配置需进行认证和授权，对网络空间安全仿 真试验环境的管理和配置需以带外方式进行，即应通过物理上或逻辑上与网络空间安全仿真试验环境 相隔离的网络来管理和配置。 如果要对网络空间安全仿真试验环境网络以带内方式进行管理和配置，则需使用过滤器或防火墙 技术，以便限制未经授权的带内数据流进入管理和配置接口，并确保带内管理和配置流量不影响网络空 间安全仿真试验环境的网络带宽。 系统管理角色类管理员对网络空间安全仿真试验环境的管理和配置应采用安全的连接方式，并启 用安全的加密认证机制。 7 虚拟节点隔离 网络空间安全仿真试验环境的多个虚拟节点可以共享一台物理服务器的资源，但它们之间应该保 持隔离，如同单独的物理服务器一样，虚拟节点隔离应满足以下要求： a ）虚拟节点配置与管理应满足GB/T 35293-2017 的相关规定； b ）应支持在单个物理服务器上创建多个虚拟节点，多个虚拟节点之间实现逻辑隔离，相当于不同 物理服务器； c ）同一虚拟节点或硬件节点只能属于某一个网络空间安全仿真试验环境，不能属于不同网络空间 安全仿真试验环境； d ）在同一物理服务器上的虚拟节点之间处理器指令实现隔离； e ）虚拟节点仅能访问授权的内存和存储，不能访问未授权的其它虚拟节点的内存和存储； 2 f ）应有安全隔离措施，控制