| 标准编号 | GB/T 25068.7-2025 (GB/T25068.7-2025) | | 中文名称 | 信息技术 安全技术 网络安全 第7部分:网络虚拟化安全 | | 英文名称 | Information technology - Security techniques - Network security - Part 7: Network virtualization security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 26,230 | | 发布日期 | 2025-12-02 | | 实施日期 | 2026-07-01 | | 发布机构 | 国家市场监督管理总局、国家标准化管理委员会 | GB/T 25068.7-2025: 信息技术 安全技术 网络安全 第7部分:网络虚拟化安全
ICS 35.030
CCSL80
中华人民共和国国家标准
信息技术 安全技术 网络安全
第7部分:网络虚拟化安全
2025-12-02发布
2026-07-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 综述 3
5.1 概述 3
5.2 网络虚拟化描述 3
5.3 安全模型 4
5.3.1 网络虚拟化安全模型 4
5.3.2 网络虚拟化组件 5
6 安全威胁 6
7 安全建议 6
7.1 概述 6
7.2 保密性 6
7.3 完整性 7
7.4 可用性 7
7.5 身份认证 7
7.6 访问控制 7
7.7 抗抵赖性 7
8 安全控制 8
8.1 概述 8
8.2 虚拟网络基础设施安全 8
8.3 虚拟网络功能安全 9
8.4 虚拟网络管理安全 9
8.4.1 SDN控制器安全 9
8.4.2 NFV编排器安全 10
9 安全设计和考虑 10
9.1 概述 10
9.2 平台完整性保护 10
9.3 网络虚拟化增强 11
9.4 API身份认证和授权 11
9.5 虚拟网络软件定义安全 11
附录A(资料性) 网络虚拟化应用案例 13
A.1 软件定义广域网络 13
A.2 网络切片 13
A.3 vWAF 14
A.4 具有集中控制功能的云CDN 14
附录B(资料性) 网络虚拟化安全威胁详述 16
B.1 虚拟网络基础设施安全威胁 16
B.2 虚拟网络功能安全威胁 16
B.2.1 虚拟网络功能安全威胁 16
B.2.2 软件定义网络安全威胁 17
B.3 虚拟网络管理安全威胁 17
B.3.1 概述 17
B.3.2 软件定义网络控制器安全 17
B.3.3 管理和编排安全 17
B.3.4 接口安全 18
B.4 特定虚拟化的威胁 18
B.4.1 网络分段威胁 18
B.4.2 资源枯竭威胁 18
B.4.3 集中管理威胁 18
参考文献 19
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件是GB/T 25068《信息技术 安全技术 网络安全》的第7部分,GB/T 25068已经发布了以
下部分:
---第1部分:综述和概念;
---第2部分:网络安全设计和实现指南;
---第3部分:面向网络接入场景的威胁、设计技术和控制;
---第4部分:使用安全网关的网间通信安全保护;
---第5部分:使用虚拟专用网的跨网通信安全保护;
---第6部分:无线网络访问安全;
---第7部分:网络虚拟化安全。
本文件等同采用ISO/IEC 27033-7:2023《信息技术 网络安全 第7部分:网络虚拟化安全
指南》。
本文件做了下列最小限度的编辑性改动:
---为与现有标准协调,将标准名称修改为《信息技术 安全技术 网络安全 第7部分:网络虚
拟化安全》;
---增加了“ACL”“AR”“eMTC”“IT”等缩略语(见第4章);
---增加了对图1所述内容的注(见5.3.1);
---增加了对“裸金属架构”“宿主架构”“南向接口”“北向接口”的注(见5.3.2、8.3);
---增加了对表1所述内容的注(见7.7);
---增加了关于GM/T 0068-2019适用性的注(见9.4)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:中国移动通信集团有限公司、中国电子技术标准化研究院、华为技术有限公司、中
国移动通信集团设计院有限公司、北京天融信网络安全技术有限公司、北京浩瀚深度信息技术股份有限
公司、国家计算机网络应急技术处理协调中心、启明星辰信息技术集团股份有限公司、陕西省信息化工
程研究院、郑州信大捷安信息技术股份有限公司、中兴通讯股份有限公司、中国信息通信研究院、中移
(杭州)信息技术有限公司、中移(苏州)软件技术有限公司、黑龙江省网络空间研究中心、北京中关村实
验室、中国网络安全审查认证与市场监管大数据中心、中移系统集成有限公司、奇安信网神信息技术
(北京)股份有限公司、江苏保旺达软件技术有限公司、北京时代新威信息技术有限公司。
本文件主要起草人:邱勤、张滨、赵刚、徐思嘉、刘胜兰、舒敏、王秉政、赵蓓、杨波、粟栗、庄小君、
邵萌、李祥军、张弘扬、张高山、张晨、路晓明、鲁青、林阳荟晨、崔牧凡、李玮、王龑、庞韶敏、曲家兴、
杨霄璇、宋雪、胡毅勋、胡月、张勇、刘献伦、曹鲲鹏、田甜、李宁、吕聪生、谭跃辉、孙杰、毛乾任、李博、
田晴云、郑庆国、孟楠、戴方芳、贺倩、刘浩、鲍坤夫、钟丹晔、刘险峰、谢江、张鹏。
引 言
GB/T 25068的目的是为信息系统网络的管理、运行、使用及互联互通提供安全方面的详细指导。
方便组织内负责安全(例如:网络安全的人员)采纳本标准以满足其特定需求。GB/T 25068由七个部
分构成,各部分主要目标如下。
---第1部分:综述和概念。定义和描述与网络安全相关的概念并提供管理指导。
---第2部分:网络安全设计和实现指南。为组织如何规划、设计、实现高质量的网络安全体系提
供指导。
---第3部分:面向网络接入场景的威胁、设计技术和控制。列举与典型的网络接入场景相关的具
体风险、设计技术和控制。
---第4部分:使用安全网关的网间通信安全保护。提供安全网关实施、操作、监视和审查网络安
全控制相关问题的指南。
---第5部分:使用虚拟专用网的跨网通信安全保护。定义使用虚拟专用网络建立安全连接的具
体风险、设计技术和控制要素。
---第6部分:无线网络访问安全。定义使用无线网络进行安全通信的具体风险、设计技术和控制
要素,为选择、实施和监测使用无线网络进行安全通信所必需的技术控制提供指南,适用于所
有参与无线网络安全详细规划、设计和实施的人员。
---第7部分:网络虚拟化安全。识别网络虚拟化安全风险,并为网络虚拟化的安全实施提供
指引。
需强调的是,GB/T 25068提供了关于网络安全控制的更详细的实施指南,GB/T 22081对上述网
络安全控制进行了基本的标准化描述。
信息技术 安全技术 网络安全
第7部分:网络虚拟化安全
1 范围
本文件旨在识别网络虚拟化安全风险,并为网络虚拟化的安全实施提供指引。
总体上,本文件目标在于为组织虚拟化安全的全面定义和实施提供帮助,适用于负责实施和维护安
全虚拟化环境并进行相应技术控制的用户和实施者。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语和定义
下列术语和定义适用于本文件。
3.1
支持在共享物理网络基础设施上创建逻辑隔离的网络分区,以实现多个异构虚拟网络在共享基础
设施上同时共存的技术。
注:网络虚拟化支持聚合多个资源,并使聚合的资源显示为单个资源。
[来源:ISO/IEC TR29181-1:2012,3.3]
3.2
支持在共享物理网络上创建逻辑隔离的网络分区,以实现多个虚拟网络的异构集合在共享网络上
同时共存的技术。
注:包括在某个提供者中聚合多个资源并显示为单个资源。
[来源:ISO/IEC TR22417:2017,3.8]
3.3
软件定义网络 software-definednetworking;SDN
直接对网络资源进行编程、编排、控制和管理,并以动态可扩展方式对网络服务进行设计、交付和运
营的技术。
[来源:ITU-TY.3300:2014,......
|