國家標準《網絡安全技術網絡安全第7部分：網絡虛擬化

安全》(征求意見稿)編制說明

一、工作簡況

1.1任務來源

《網絡安全技術網絡安全第7部分：網絡虛擬化安全》是全國信息化安全

標準委員會2023年8月立項的信息安全國家標準制定項目，該項目由中國移動通

信集團有限公司牽頭，并聯(lián)合中國電子技術標準化研究院、中國信息通信研究院、

華為技術有限公司、黑龍江省網絡空間研究中心等10余家單位編制。

1.2主要起草單位和工作組成員

該標準由中國移動通信集團有限公司負責起草，中國電子技術標準化研究

院、中國信息通信研究院、華為技術有限公司、黑龍江省網絡空間研究中心、奇

安信網神信息技術(北京)股份有限公司、北京天融信網絡安全技術有限公司、

北京浩瀚深度信息技術股份有限公司、陜西省信息化工程研究院、中興通訊股份

有限公司、國家計算機網絡應急技術處理協(xié)調中心、啟明星辰信息技術集團投份

有限公司、北京中關村實驗室、鄭州信大捷安信息技術股份有限公司等單位共同

參與了該標準的起草工作。

標準工作組成員中，邱勤、張濱負責項目方向把控和整體協(xié)調，徐思嘉、張

峰、孫彥、朱雪峰、林陽薈晨、趙花、劉勝蘭負責具體實施和編寫，栗栗、莊小

君、孟楠、戴方芳、賀倩、邵萌、方舟、楊霄璇、宋雪等負責標準研究和編制。

1.3主要工作過程

標準制定的主要工作過程如下：

1)2023年3月，成立標準申報項目組，開展基本情況研究，初步確定標準

范圍，研討編制標準草案。

2)2023年5月，在信安標委2023年第一次工作組“會議周”進行項目申

報，并聽取專家評審意見。

3)2023年6月，持續(xù)研究國內外相關情況，制定并細化標準實施應用方案。

4)2023年7月，參加標準立項專家評審會，對標準內容進行匯報，并聽取

現(xiàn)場專家意見。

5)2023年8月，標準獲得信安標委批準成功立項，課撅組負責人調度內部

人員，制定整體計劃。

6)2023年9月，標準編制組調度內部人員并征集標準參編單位，組建標準

編制組，開展網絡虛擬化安全研究，形成標準草案。

7)2023年1()月，廣泛征集標準編制組意見，就草案內容進行修改與完善。

8)2023年11月，在信安標委2023年第二次工作組“會議周”進行項目匯

報，并聽取專家評審意見，擬修改完善后轉為征求意見稿。

9)2024年4月，參加標準試點工作部署會，研制標準試點工作方案，推進

啟動標準試點工作。

10)2024年5月，參加秘書處組織的專家審查會，對標準進展進行匯報，并

根據專家意見對標準內容作出完善。

11)2024年6月，在信安標委2024年第一次工作組“會議周”進行項目匯

報,聽取專家評審意見并對標準進行了修改完善，擬進一步面向社會公

開征求意見后轉為送審稿。

二、標準編制原則和確定主要內容的論據及解決的主要問題

2.1、標準編制原則

本標準在編制過程中遵循了先進性和合理性原則。

先進性原則體現(xiàn)在與國內外網絡虛擬化安全技術及標準現(xiàn)狀保持同步，基于

通信網絡現(xiàn)狀、發(fā)展需求和技術演進方向，參照國際、國內SDN/NFV、云計算

安全相關標準、技術等研究成果，在制定過程中等同采用了國際標準ISO/IEC

27033-7:2023^Informationtechnology——Securitytechniques—Networksecurity

一Part7:Guidelinesfornetworkvirtualizationsecurity》<>

合理性原則體現(xiàn)在與網絡虛擬化安全實際需求情況相結合，分析網絡IT化

演進過程中面臨的安全風險和挑戰(zhàn)，結合下一代網絡普遍采用NFV/SDN的特點，

提出軟件化、智能化相結合的網絡安全框架以及相關的安全技術指引，包括虛擬

化的威脅、安全要求、安全控制、安全設計和考慮等，可有效解決網絡虛擬化帶

來的安全風險和問題，為組織構建安全的虛擬化環(huán)境提供指導。

2.2、標準解決的問題及主要內容

本標準針時當前網絡虛擬化技術伴隨著云計算、5G等新技術的發(fā)展而廣泛

應用，導致網絡架構從封閉走向開放、安全控制邊界不再清晰有效、敏捷開發(fā)和

快速系統(tǒng)迭代成為主流形態(tài)，缺乏相關安全標準規(guī)范的問題，擬針對網絡虛擬化

帶來的信息泄露、DDoS攻擊、權限提升、內容偽造、網絡可用性降低等安全風

險，為組織構建安全的虛擬化環(huán)境提供指導。

本標準針對以上問題，給出了網絡虛擬化安全指南，主要技術內容包括：

1、安全威脅：分析當前網絡虛擬化帶來的信息泄露、DDoS攻擊、內容偽

造、網絡可用性降低等安全問題。

2、安全要求：提出網絡虛擬化應滿足保密性、完整性、可用性、身份驗證、

訪問控制、抗抵賴性等多個維度的安全要求。

3、安全控制：結合網絡虛擬化參考模型，分多層分別提出相應的安全控制

措施，分別是網絡虛擬化基礎設施、網絡虛擬化功能和網絡虛擬化管理系統(tǒng)等。

4、安全設計和考慮：針對網絡虛擬化關鍵技術點，提出安全設計和考慮，

包括平臺完整性保護、網絡虛擬化增強、API身份認證和授權等.

三、主要試驗［或驗證］情況分析

本標準旨在識別網絡虛擬化安全風險并為網絡虛擬化的安全實施提供指引，

目標在于為組織虛擬化安全的全面定義和實施提供幫助，適用于為負責實施和維

護提供安全虛擬化環(huán)境所需的技術控制的人員。擬通過對網絡虛擬化技術的各相

關方進行試點驗證,針對標準技術要求和核心指標等開展驗證,提升標準科學性、

合理性及適用性，提高標準質量水平。

四、知識產權情況說明

本標準不涉及專利。

五、產業(yè)化情況、推廣應用論證和預期達到的經濟效果

隨著虛擬化技術的快速發(fā)展，網絡虛擬化技術已經在各行各業(yè)得到了廣泛應

用。網絡虛擬化技術可以讓虛擬網絡根據不同的服務需求，比如時延、帶寬、安

全性和可靠性等來劃分，以靈活的應對不同的網絡應用場景，使能不同垂直行業(yè)

的業(yè)務發(fā)展，然而在虛擬化技術為通信網絡帶來巨大給予的同時.,也帶來巨大的

競爭壓力和轉型挑戰(zhàn)。本標準基于當前網絡虛擬化所面臨的各類安全風險，給出

了網絡虛擬化安全指南，適用于負責實施和維護安全虛擬化環(huán)境并進行相應技術

控制的用戶和實施者。通過應用本標準，可為組織虛擬化安全的全面定義和實施

提供幫助，降低各類組織因使用虛擬化技術而帶來的安全風險，減少運營維護成

本并帶來更多經濟效益，同時可進一步有效促進行業(yè)健康發(fā)展。

六、采用國際標準和國外先進標準情況

本標準等同采用國際標準ISO/IEC27033-7《Informationtechnology一

Securitytechniques-Networksecurity-Part7:Guidelinesfor

networkvirtualizationsecurity》。

七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調性

本標準符合包括《中華人民共和國網絡安全法》、《數據安全法》、《關

鍵信息基礎設施安全保護條例》等法規(guī)政策提出的相關要求，通過制定本標準，

可與相關法律法規(guī)要求協(xié)調配合，進一步貫徹落實相關法律條文。

本標準與國內外相關標準相互協(xié)調配合，等同采用了國際標準ISO/IEC

27033-7《Informationtechnology-Securitytechniques-Networksecurity-

Part7:Guidelinesfornetworkvirtualizationsecurity^,TSO/TEC27033共制定了七

個系列標準，這些標準可以為通信網絡的虛擬網絡安全提供參考。具體情況如下：

ISO/IEC27033-1:Informationtechnology-Securitytechniques一

Networksecurity一Part1:Overviewandconcepts定義網絡安全相關的概念，提

供管理指南，包括提供網絡安全的概述、相關的定義、識別和分析網絡安全風險

的指南以及定義網絡安全需求。

ISO/IEC270332：Informationtechnology——Securitytechniques——

Networksecurity——Part2:Guidelinesforthedesignandimplementationofnetwork

security定義組織如何實現(xiàn)高質量的網絡安全架構、設計和執(zhí)行，以確保網絡安

全適合于其業(yè)務環(huán)境，并使用一直的方法來規(guī)劃、設計和實現(xiàn)網絡安全。

1SO/1EC27033-3：Informationtechnology—Securitytechniques一

Networksecurity一Part3:Referencenetworkingscenarios-Threats,design

leuhniquesanduoiilrolissues定義與典型網絡場景相關的特定風險、設計技術和

控制問題。它與所有參與規(guī)劃、設計和實現(xiàn)網絡安全架構方面的人員有關（例如

網絡架構師和設計人員、網絡管理人員和網絡安全人員）。

ISO/IEC27033-4：Informationtechnology—Securitytechniques一

Networksecurity—Part4:Securingcommunicationsbetweennetworksusing

securitygateways根據安全網關的文件化信息安全政策，給出了使用安全網關（防

火墻、應用防火墻、入侵保護系統(tǒng)等）保護網絡間通信的指南。

ISO/IEC27033-5：Informationtechnology—Securitytechniques一

Networksecurity——Part5:SecuringcommunicationsacrossnetworksusingVirtual

PrivateNetworks（VPNs）給出了使用虛擬專用網絡（VPN）連接來互連網絡并將

遠程用戶連接到網絡以提供網絡安全所需的技術控制的選擇、實施和監(jiān)控指南。

ISO/IEC27033-6：Informationtechnology—Securitytechniques一

Networksecurity—Part6:SecuringwirelessIPnetworkaccess規(guī)定與無線網絡相

關的威脅、安全要求、安全控制和設計技術。

ISO/1EC27033-7：Informationtechnology一Networksecurity一Pari7:

Guidelinesfornetworkvirtualizationsecurity規(guī)定網絡虛擬化安全的威脅、安全要

求、安全控制、安全設計和考慮。

同時，國內TC260針對ISO/TFC27033《信息技術安全技術網絡安全》

系列的1-5共5個分冊已轉化為國家標準GB"25068《信息技術安全技術網絡

安全》的5個部分，并于2020年起陸續(xù)正式發(fā)布，但仍缺少網絡虛擬化安全相

關國家標準。以上國際、國內標準中的網絡安全相關定義、分析、設計，NFV

安全風險、主機系統(tǒng)的安全要求以及SDN安全要求可以作為虛擬網絡安全的參

考，同時通過編制ISO/IEC27033-7規(guī)定虛擬網絡安全框架以及體系化的安全技

術要求，可與其他相關標準協(xié)調互補。

八、重大分歧意見的處理經過和依據

無。

九、標準性質的建議

根