中华人民共和国工业和信息化部 发 布xxxx-××-××实施 xxxx-××-××发布云化电信网微隔离系统技术要求 Technical specification of micro-segmentation system for cloud telecommunication network (报批稿）YD/T [×××××]—[××××]YD 中 华 人 民 共 和 国 通 信 行 业 标 准ICS 33.060.99 CCS M36XX/T XXXXX—XXXX 2目 次 前 言 ................................................................................. 3 1 范围 .................................................................................... 4 2 规范性引用文件 .......................................................................... 4 3 术语和定义 .............................................................................. 4 4 缩略语 .................................................................................. 4 5 云化电信网微隔离系统通用框架 ............................................................ 5 5.1 通用框架 .......................................................................... 5 5.2 微隔离管理中心 .................................................................... 5 5.3 微隔离执行单元 .................................................................... 6 6 云化电信网微隔离系统功能要求 ............................................................ 6 6.1 微隔离监控范围 .................................................................... 6 6.2 资产管理要求 ...................................................................... 6 6.3 安全策略管理要求 .................................................................. 6 6.4 安全监控要求 ...................................................................... 7 6.5 东西向流量可视化要求 .............................................................. 8 7 云化电信网微隔离系统的集成要求 .......................................................... 8 8 云化电信网微隔离系统的部署要求 .......................................................... 8 9 云化电信网微隔离系统的安全运维要求 ...................................................... 9 9.1 通用安全配置 ...................................................................... 9 9.2 安全审计 .......................................................................... 9 附录 A（规范性）云化电信网微隔离系统部署方案 ............................................. 10 A.1 基于网元的微隔离系统方案 ......................................................... 10 A.2 基于网元和数据分析功能的微隔离系统方案 ........................................... 11 A.3基于虚拟交换机的微隔离系统方案 ................................................... 13 参 考 文 献 .......................................................................... 15 XX/T XXXXX—XXXX 3前  言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草 。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国移动通信集团有限公司、 中兴通讯股份有限公司、 中国电信集团有限公司、北 京神州泰岳信息安全技术有限公司、中讯邮电咨询设计院有限公司、北京天融信网络安全技术有限公司、 上海观安信息技术股份有限公司 、华为技术有限公司、新华三技术有限公司 。 本文件主要起草人 ：庄小君、粟栗、王悦、杨春建、霍玉臻、刘尚焱、杜海涛、沈军、万晓兰、张政 、 王龑、李长连、范迪、谢江 。XX/T XXXXX—XXXX 4云化电信网微隔离系统技术要求 1 范围 本文件规定了云化电信网微隔离系统技术要求，包括云化电信网微隔离系统通用框架、功能要求、 集成要求、部署要求和安全运维要求等。 本文件适用于指导云化电信网微隔离系统的开发、建设等。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069-2022 信息安全技术 术语 YD/T 2807.4-2015 云资源管理技术要求 第4部分：接口 3 术语和定义 GB/T 25069-2022 界定的以及下列术语和定义适用于本文件。 3.1 微隔离 micro-segmentation 一种能够适应云化电信网的虚拟化部署环境，能够识别和管理云化电信网的资源池内部流量的隔离 技术。 [来源： ISCCC-TR-076-2018 ，有修改 ] 3.2 微隔离系统 micro-segmentation system 使用微隔离技术，识别和管理云化电信网的资源池内部流量的系统。 3.3 资源池 resource pool 一组物理资源或一组虚拟资源的集合，可以从池中获取资源，也可将资源回收到池中。资源包括物 理机、虚拟机、存储资源、虚拟网络设备、物理网络设备和 IP地址等。 [来源： YD/T 5236-2018] 3.4 业务资源池 service resource pool 用于部署业务网元（如虚拟化的 AMF等）的资源池，实现业务资源和管理资源之间更好的隔离。 3.5 XX/T XXXXX—XXXX 5网管资源池 management resource pool 用于部署管理网元（如 NFVO等）的资源池，实现管理资源和业务资源之间更好的隔离。 4 缩略语 下列缩略语适用于本文件。 AMF：接入和移动性管理功能（ Access and Mobility Management Function） HA：高可用性（ Highly Availability ） KVM：基于内核的虚拟机（ Kernel-based Virtual Machine） MANO：管理与编排（ Management and Orchestration ） MDAF：管理数据分析功能（ Management Data Analytic Function） NFVO：网络功能虚拟化编排器（ Network Function Virtualization Orchestrator ） OMC：操作运维中心（ Operation and Maintenance Center） SBA：基于服务的架构（ Service-based Architecture ） SLA：服务级别协议（