` 云安全资源池能力开放技术框架 Technology framework for the open capability of cloud-based security pool （报批稿）ICS 35.030 CCS L 70 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXX-20XX ××××-××-××发布 ××××-××-××实施 中华人民共和国工业和信息化部 发布YD/T ××××—×××× 1目 次 前 言 ...................................................................... 2 1 范围 ........................................................................ 3 2 规范性引用文件 .............................................................. 3 3 术语和定义 .................................................................. 3 4 缩略语 ...................................................................... 4 5 概述 ........................................................................ 5 6 云安全资源池能力开放需求 .................................................... 5 7 云安全资源池能力分类框架 .................................................... 6 8 云安全资源池能力统一模型 .................................................... 7 8.1 统一模型框架 .............................................................. 7 8.2 业务层 .................................................................... 8 8.3 控制层 ................................................................... 11 8.4 接口层 ................................................................... 14 9 云安全资源池能力开放要求 ................................................... 16 9.1 基本要求 ................................................................. 16 9.2 兼容要求 ................................................................. 16 9.3 扩展要求 ................................................................. 17 9.4 安全要求 ................................................................. 17 YD/T ××××—×××× 2前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》 的 规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 : 中国电信通信集团有限公司 、中国移动通信集团有限公司 、中兴通讯 股份有限公司 、华为技术有限公司 、新华三技术有限公司 、北京神州绿盟科技有限公司 、北 京天融信网络安全技术有限公司、浙江鹏信信息科技股份有限公司。 本文件主要起草人 ：樊宁、沈军、何明、薄明霞、任兰芳、林兆骥、王龑、胡怀茂、张 晓峰、郝辰亮。 YD/T ××××—×××× 3、 云安全资源池能力开放技术框架 1　范围 本文件对云安全资源池能力开放技术进行框架定义 ，对基于云资源池承载的并可向上层 应用开放的安全能力进行标准化归类，并整合形成统一模型。 本文件适用于运营商 、安全设备厂商 、云安全服务厂商 、云PaaS平台建设方进行云安全 资源池与服务平台的建设运营。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期 的引用文件， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括 所有的修改单）适用于本文件。 GB/T 25069 信息安全技术 术语 3　术语和定义 GB/T 25069所界定的以及下列术语和定义适用于本文件。 3.1　 云安全资源池 cloud-based security pool 基于云技术建设部署的安全设备 、组件或系统集群 ，具备资源密集 、可弹性伸缩 、按需服务 等云化特征。 3.2　 零日防护 0 day protection 针对0 day攻击的防护 ,指针对“安全漏洞被发现后 ，立即就出现恶意利用工具与方法 ”这种 突发性攻击的快速响应与防护。 3.3　 原子安全能力 atomic security capability YD/T ××××—×××× 4对云安全资源池中设备资源的安全功能的抽象与标准化封装 ，用以实现安全能力的细粒度控 制。同一安全设备可以抽象出多种原子安全能力 。同一原子安全能力可能对应不同类型安全设备 中的相同安全功能。 3.4　 安全业务链 security service chain 指引网络流量按照安全业务逻辑所要求的既定顺序 ，经过一系列安全服务节点 （即各种不同 的安全设备或安全设备集群）。 3.5　 纵向扩缩 scale-up /scale-down 向系统中单节点添加或移除资源，包括向单个计算机添加或移除 CPU或内存。 3.6　 横向扩缩 scale-out /scale-in 向系统中添加或移除节点。 3.7　 安全服务编排 security service orchestration 通过消息的交互序列来控制不同资源与服务的交互 ，从而使一系列独立安全服务相互调 用构成工作流（引用微服务体系概念 ）。 4　缩略语 下列缩略语适用于本文件。 2B 面向商业 To Business 2C 面向个人用户 To Client 2G 面向政府 To Government API 应用程序 接口 Application Programming Interface APP 应用程序 Application DNS 域名系统 Domain Name System ID 身份标识号 Identity IP 网际互连协议 Internet Protocol YD/T ××××—×××× 5OSI 开放系统互联 Open System Interconnection SDN 软件定义网络 Software Defined Network SLA 服务级别协议 Service Level Agreement URL 统一资源定位系统 uniform resource locator VPN 虚拟专用网络 Virtual Private Network 5　概述 云计算资源集中共享 、弹性按需调配等特性 ，应用于安全领域 ，可以为网络与信息系统 的安全边界的划分和防护 、安全控制措施选择和部署 、安全监测和安全运维等带来新的技术 机制和管理体系。 基于云计算技术构建安全资源池 ，并将安全能力整合开放 ，有助于实现高效率 、低成本 的纵深防御网络安全防护体系，其特点是： a) 以共享方式形成低成本、高扩展性的底层安全资源池； b) 以开放方式整合安全业务交付模式 ，提供智能化 、高效率的安全服务 ，形成业务模 式创新的安全产业生态； c) 形成多层安全策略管理体系 ，实现安全体系整体安全策略与分权分域安全策略间的 统一与协同； d) 促进安全能力快速更新 ，采用集中安全能力库进行情报收集 、特征提取 、知识库升 级，助力零日防护策略的生成与部署。 6　云安全资源池能力开放需求 云安全资源池通过能力开放来整合孤立安全功能 ，以服务化的形式 ，形成一体化互相配 合的整体性安全解决方案。 本文件所约束的安全资源池采用云化承载 ，集约化部署 ，基于网络远程为网络应用与用 户提供保障服务。 应用场景包括 ：面向云的南北向安全服务、面向网络的跨网域通信安全服 务和面向应用的远程安全