网络安全技术 网络安全 第7部分：网络虚拟化安全 征求意见稿.docx

1

GB/TXXXXXXXXX网络安全技术网络安全第7部分：网络虚拟化安全

1范围

本文件旨在识别网络虚拟化安全风险，并为网络虚拟化的安全实施提供指引。

总体上，本文件目标在于为组织虚拟化安全的全面定义和实施提供帮助，适用于负责实施和维护安全虚拟化环境并进行相应技术控制的用户和实施者。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25068.1-2020

信息技术安全技术网络安全第1部分：综述和概念（ISO/IEC27033-1:2015，

IDT）

GB/T25068.2-2020

信息技术安全技术网络安全第2部分：网络安全设计和实现指南（ISO/IEC

27033-2:2012，IDT）

GB/T25068.3-2022

信息技术安全技术网络安全第3部分：面向网络接入场景的威胁、设计技

术和控制（ISO/IEC27033-3:2010，MOD）

3术语和定义

GB/T25068.1-2020界定的以及下列术语和定义适用于本文件。

3.1

网络虚拟化networkvirtualization

支持在共享物理网络基础设施上创建逻辑隔离的网络分区，以实现多个异构虚拟网络可在共享基础设施上同时共存的技术。

注：网络虚拟化支持聚合多个资源，并使聚合的资源显示为单个资源。[来源：ISO/IECTR29181-1:2012，3.3]

3.2

网络功能虚拟化networkfunctionsvirtualization

支持在共享物理网络上创建逻辑隔离的网络分区，以实现多个虚拟网络的异构集合可在共享网络上同时共存的技术。

注：包括在某个提供者中聚合多个资源并显示为单个资源。[来源：ISO/IECTR22417:2017，3.8]

3.3

软件定义网络software-definednetworking

一组能够直接编程、编排、控制和管理网络资源的技术，以动态和可扩展的方式促进网络服务的设计、交付和运营。

[来源：ITU-TY.3300:2014，3.2.1]

2

GB/TXXXXXXXXX

3.4

虚拟机virtualmachine

由特定用户支配、通过共享真实数据处理系统资源来实现功能的虚拟数据处理系统。[来源：ISO/IEC/IEEE24765:2017，3.4564]

3.5

容器container

一种隔离执行环境，可用于运行使用虚拟化操作系统内核的软件。[来源：ISO/IEC22123-1:2023，3.12.4]

3.6

编排器orchestrator

一种可用于支撑开发/运维人员或自动化工作的工具，该工具可从镜像仓库中提取镜像，将这些镜像部署到容器中，并管理正在运行的容器。

[来源：NISTSP800-190，AppendixD]

3.7

服务功能链servicefunctionchain

应用于作为分类结果选择的数据包和/或帧和/或流的抽象功能和排序约束的有序集合。[来源：IETFRFC7665，1.4，有修改]

4缩略语

下列缩略语适用于本文件。

5G：第五代移动通信网络（The5thGenerationMobileNetwork）ACL：访问控制列表（AccessControlList）

AMF：访问和移动管理功能（AccessandMobilityManagementFunction）

API：应用程序编程接口（ApplicationProgrammingInterface）AR：增强现实（AugmentedReality）

AUSF：认证服务器功能（AuthenticationServerFunction）CDN：内容分发网络（ContentDeliveryNetwork）

CIS：互联网安全中心（CentreforInternetSecurity）DoS：拒绝服务（DenialofService）

DDoS：分布式拒绝服务（DistributedDenialofService）

eMTC：增强型机器类型通信（EnhancedMachine-TypeCommunication）

HMAC：基于散列的消息验证码（Hash-BasedMessageAuthenticationCode）HTTPS：超文本传输安全协议（HyperTextTransferProtocolSecure）

IDS：入侵检测系统（IntrusionDe