GB/T 25068.7-2025 信息技术 安全技术 网络安全 第7部分：网络虚拟化安全

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T250687—2025/ISO/IEC27033-72023

.:

信息技术安全技术网络安全

第7部分网络虚拟化安全

:

Informationtechnology—Securitytechniques—Networksecurity—

Part7Networkvirtualizationsecurit

:y

ISO/IEC27033-72023Informationtechnolo—Networksecurit—

(:,gyy

Part7GuidelinesfornetworkvirtualizationsecuritIDT

:y,)

2025-12-02发布2026-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T250687—2025/ISO/IEC27033-72023

.:

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

综述

5………………………3

概述

5.1…………………3

网络虚拟化描述

5.2……………………3

安全模型

5.3……………4

网络虚拟化安全模型

5.3.1…………4

网络虚拟化组件

5.3.2………………5

安全威胁

6…………………6

安全建议

7…………………6

概述

7.1…………………6

保密性

7.2………………6

完整性

7.3………………7

可用性

7.4………………7

身份认证

7.5……………7

访问控制

7.6……………7

抗抵赖性

7.7……………7

安全控制

8…………………8

概述

8.1…………………8

虚拟网络基础设施安全

8.2……………8

虚拟网络功能安全

8.3…………………9

虚拟网络管理安全

8.4…………………9

控制器安全

8.4.1SDN………………9

编排器安全

8.4.2NFV……………10

安全设计和考虑

9…………………………10

概述

9.1…………………10

平台完整性保护

9.2……………………10

网络虚拟化增强

9.3……………………11

身份认证和授权

9.4API………………11

Ⅰ

GB/T250687—2025/ISO/IEC27033-72023

.:

虚拟网络软件定义安全

9.5……………11

附录资料性网络虚拟化应用案例

A()…………………13

软件定义广域网络

A.1………………13

网络切片

A.2…………………………13

A.3vWAF……………14

具有集中控制功能的云

A.4CDN……………………14

附录资料性网络虚拟化安全威胁详述

B()……………16

虚拟网络基础设施安全威胁

B.1………………………16

虚拟网络功能安全威胁

B.2……………16

虚拟网络功能安全威胁

B.2.1………………………16

软件定义网络安全威胁

B.2.2………………………17

虚拟网络管理安全威胁

B.3……………17

概述

B.3.1……………17

软件定义网络控制器安全

B.3.2……………………17

管理和编排安全

B.3.3………………17

接口安全

B.3.4………………………18

特定虚拟化的威胁

B.4…………………18

网络分段威胁

B.4.1…………………18

资源枯竭威胁

B.4.2…………………18

集中管理威胁

B.4.3…………………18

参考文献

……………………19

Ⅱ

GB/T250687—2025/ISO/IEC27033-72023

.:

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是信息技术安全技术网络安全的第部分已经发布了以

GB/T25068《》7,GB/T25068

下部分

:

第部分综述和概念

———1:;

第部分网络安全设计和实现指南

———2:;

第部分面向网络接入场景的威胁设计技术和控制

———3:、;

第部分使用安全网关的网间通信安全保护

———4:;

第部分使用虚拟专用网的跨网通信安全保护

———5:;

第部分无线网络访问安全

———6:;

第部分网络虚拟化安全

———7:。

本文件等同采用信息技术网络安全第部分网络虚拟化安全

ISO/IEC27033-7:2023《7:

指南

》。

本文件做了下列最小限度的编辑性改动

:

为与现有标准协调将标准名称修改为信息技术安全技术网络安全第部分网络虚

———,《7:

拟化安全

》;

增加了等缩略语见第章

———“ACL”“AR”“eMTC”“IT”(4);

增加了对图所述内容的注见

———1(5.3.1);

增加了对裸金属架构宿主架构南向接口北向接口的注见

———“”“”“”“”(5.3.2、8.3);

增加了对表所述内容的注见

———1(7.7);

增加了关于适用性的注见

———GM/T0068—2019(9.4)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国移动通信集团有限公司中国电子技术标准化研究院华为技术有限公司中

:、、、

国移动通信集团设计院有限公司北京天融信网络安全技术有限公司北京浩瀚深度信息技术股份有限

、、

公司国家计算机网络应急技术处理协调中心启明星辰信息技术集团股份有限公司陕西省信息化工

、、、

程研究院郑州信大捷安信息技术股份有限公司中兴通讯股份有限公司中国信息通信研究院中移

、、、、

杭州信息技术有限公司中移苏州软件技术有限公司黑龙江省网络空间研究中心北京中关村实

()、()、、

验室中国网络安全审查认证与市场监管大数据中心中移系统集成有限公司奇安信网神信息技术

、、、

北京股份有限公司江苏保旺达软件技术有限公司北京时代新威信息技术有限公司

()、、。

本文件主要起草人邱勤张滨赵刚徐思嘉刘胜兰舒敏王秉政赵蓓杨波粟栗庄小君

:、、、、、、、、、、、

邵萌李祥军张弘扬张高山张晨路晓明鲁青林阳荟晨崔牧凡李玮王龑庞韶敏曲家兴

、、、、、、、、、、、、、

杨霄璇宋雪胡毅勋胡月张勇刘献伦曹鲲鹏田甜李宁吕聪生谭跃辉孙杰毛乾任李博

、、、、、、、、、、、、、、

田晴云郑庆国孟楠戴方芳贺倩刘浩鲍坤夫钟丹晔刘险峰谢江张鹏

、、、、、、、、、、。

Ⅲ

GB/T250687—2025/ISO/IEC27033-72023

.:

引言

的目的是为信息系统网络的管理运行使用及互联互通提供安全方面的详细指导

GB/T25068、、。

方便组织内负责安全例如网络安全的人员采纳本标准以满足其特定需求由七个部

(:)。GB/T25068

分构成各部分主要目标如下

,。

第部分综述和概念定义和描述与网络安全相关的概念并提供管理指导

———1:。。

第部分网络安全设计和实现指南为组织如何规划设计实现高质量的网络安全体系提

———2:。、、

供指导

。

第部分面向网络接入场景的威胁设计技术和控制列举与典型的网络接入场景相关的具

———3:、。

体风险设计技术和控制

、。

第部分使用安全网关的网间通信安全保护提供安全网关实施操作监视和审查网络安

———4:。、、

全控制相关问题的指南

。

第部分使用虚拟专用网的跨网通信安全保护定义使用虚拟专用网络建立安全连接的具

———5:。

体风险设计技术和控制要素

、。

第部分无线网络访问安全定义使用无线网络进行安全通信的具体风险设计技术和控制

———6:。、

要素为选择实施和监测使用无线网络进行安全通信所必需的技术控制提供指南适用于所

,、,

有参与无线网络安全详细规划设计和实施的人员

、。

第部分网络虚拟化安全识别网络虚拟化安全风险并为网络虚拟化的安全实施提供

———7:。,

指引

。

需强调的是提供了关于网络安全控制的更详细的实施指南对上述网

,GB/T25068,GB/T22081

络安全控制进行了基本的标准化描述

。

Ⅳ

GB/T250687—2025/ISO/IEC27033-72023

.:

信息技术安全技术网络安全

第7部分网络虚拟化安全

:

1范围

本文件旨在识别网络虚拟化安全风险并为网络虚拟化的安全实施提供指引

,。

总体上本文件目标在于为组织虚拟化安全的全面定义和实施提供帮助适用于负责实施和维护安

,,

全虚拟化环境并进行相应技术控制的用户和实施者

。

2规范性引用文件

本文件没有规范性引用文件

。

3术语和定义

下列术语和定义适用于本文件

。

31

.

网络虚拟化networkvirtualization

支持在共享物理网络基础设施上创建逻辑隔离的网络分区以实现多个异构虚拟网络在共享基础

,

设施上同时共存的技术

。

注网络虚拟化支持聚合多个资源并使聚合的资源显示为单个资源

:,。

来源

[:ISO/IECTR29181-1:2012,3.3]

32

.

网络功能虚拟化networkfunctionsvirtualizationNFV

;

支持在共享物理网络上创建逻辑隔离的网络分区以实现多个虚拟网络的异构集合在共享网络上

,

同时共存的技术

。

注包括在某个提供者中聚合多个资源并显示为单个资源

:。

来源

[:ISO/IECTR22417:2017,3.8]

33

.

软件定义网络software-definednetworkingSDN

;

直接对网络资源进行编程编排控制和管理并以动态可扩展方式对网络服务进行设计交付和运

、、,、

营的技术

。

来源

[:ITU-TY.3300:2014,3.2.1]

34

.

虚拟机virtualmachineVM

;

由特定用户支配通过共享真实数据处理系统资源来实现功能的虚拟数据处理系统

、。

来源

[:ISO/IEC/IEEE24765:2017,3.4564]

35

.

容器container

隔离执行环境能用于运行使用虚拟化操作系统内核的软件

,。

来源

[:ISO/IEC22123-1:2023,3.12.4]

1