YDT 4569-2023云安全资源池能力开放技术框架

`

ICS35.030

CCSL70YD

中华人民共和国通信行业标准

YD/TXXXX-20XX

云安全资源池能力开放技术框架

Technologyframeworkfortheopencapabilityofcloud-basedsecuritypool

（报批稿）

××××-××-××发布××××-××-××实施

中华人民共和国工业和信息化部发布

YD/T××××—××××

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的

规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位:中国电信通信集团有限公司、中国移动通信集团有限公司、中兴通讯

股份有限公司、华为技术有限公司、新华三技术有限公司、北京神州绿盟科技有限公司、北

京天融信网络安全技术有限公司、浙江鹏信信息科技股份有限公司。

本文件主要起草人：樊宁、沈军、何明、薄明霞、任兰芳、林兆骥、王龑、胡怀茂、张

晓峰、郝辰亮。

2

YD/T××××—××××

、

云安全资源池能力开放技术框架

1范围

本文件对云安全资源池能力开放技术进行框架定义，对基于云资源池承载的并可向上层

应用开放的安全能力进行标准化归类，并整合形成统一模型。

本文件适用于运营商、安全设备厂商、云安全服务厂商、云PaaS平台建设方进行云安全

资源池与服务平台的建设运营。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069所界定的以及下列术语和定义适用于本文件。

3.1

云安全资源池cloud-basedsecuritypool

基于云技术建设部署的安全设备、组件或系统集群，具备资源密集、可弹性伸缩、按需服务

等云化特征。

3.2

零日防护0dayprotection

针对0day攻击的防护,指针对“安全漏洞被发现后，立即就出现恶意利用工具与方法”这种

突发性攻击的快速响应与防护。

3.3

原子安全能力atomicsecuritycapability

3

YD/T××××—××××

对云安全资源池中设备资源的安全功能的抽象与标准化封装，用以实现安全能力的细粒度控

制。同一安全设备可以抽象出多种原子安全能力。同一原子安全能力可能对应不同类型安全设备

中的相同安全功能。

3.4

安全业务链securityservicechain

指引网络流量按照安全业务逻辑所要求的既定顺序，经过一系列安全服务节点（即各种不同

的安全设备或安全设备集群）。

3.5

纵向扩缩scale-up/scale-down

向系统中单节点添加或移除资源，包括向单个计算机添加或移除CPU或内存。

3.6

横向扩缩scale-out/scale-in

向系统中添加或移除节点。

3.7

安全服务编排securityserviceorchestration

通过消息的交互序列来控制不同资源与服务的交互，从而使一系列独立安全服务相互调

用构成工作流（引用微服务体系概念）。

4缩略语

下列缩略语适用于本文件。

2B面向商业ToBusiness

2C面向个人用户ToClient

2G面向政府ToGovernment

API应用程序接口ApplicationProgrammingInterface

APP应用程序Application

DNS域名系统DomainNameSystem

ID身份标识号Identity

IP网际互连协议InternetProtocol

4

YD/T××××—××××

OSI开放系统互联OpenSystemInterconnection

SDN软件定义网络SoftwareDefinedNetwork

SLA服务级别协议ServiceLevelAgreement

URL统一资源定位系统uniformresourcelocator

VPN虚拟专用网络VirtualPrivateNetwork

5概述

云计算资源集中共享、弹性按需调配等特性，应用于安全领域，可以为网络与信息系统

的安全边界的划分和防护、安全控制措施选择和部署、安全监测和安全运维等带来新的技术

机制和管理体系。

基于云计算技术构建安全资源池，并将安全能力整合开放，有助于实现高效率、低成本

的纵深防御网络安全防护体系，其特点是：

a)以共享方式形成低成本、高扩展性的底层安全资源池；

b)以开放方式整合安全业务交付模式，提供智能化、高效率的安全服务，形成业务模

式创新的安全产业生态；

c)形成多层安全策略管理体系，实现安全体系整体安全策略与分权分域安全策略间的

统一与协同；

d)促进安全能力快速更新，采用集中安全能力库进行情报收集、特征提取、知识库升

级，助力零日防护策略的生成与部署。

6云安全资源池能力开放需求

云安全资源池通过能力开放来整合孤立安全功能，以服务化的形式，形成一体化互相配

合的整体性安全解决方案。

本文件所约束的安全资源池采用云化承载，集约化部署，基于网络远程为网络应用与用

户提供保障服务。应用场景包括：面向云的南北向安全服务、面向网络的跨网域通信安全服

务和面向应用的远程安全检查、监测、灾备服务。

本文件所约束的安全资源池能力开放需求如下：

⚫网络服务特征，表明服务对象和云安全资源池之间可以存在距离，服务应具备远

程调度提供能力，不适宜本地局域性的、封闭的应用环境。

⚫集约化特征，表明云安全资源池可提供的安全服务是规模化的、共享的，需要保

5

YD/T××××—××××

证其并发处理和网络吞吐能力。

⚫云化特征，表明云安全资源池应提供按需服务能力，一方面要求服务差异化，根

据不同用户安全需求提供不同的安全服务内容与防护级别，另一方面要求服务敏

捷调度，可以快速订阅开通、即插即用。

进一步地，为实现上述服务能力，云安全资源池应能够整合多源化安全资源，抽象控制

模型，形成统一控制框架，在屏蔽底层安全资源处理细节的基础上，实现从安全服务视角上

的安全功能调度。并细化安全功能控制粒度，以原子安全能力的形式开放底层安全资源配置

细节，通过逻辑映射实现不同安全能力灵活组合，按需服务。为提升平台资源利用率和服务

指标，还应基于算法实现能力开放控制的优化调度。

7云安全资源池能力分类框架

业界安全产品分门别类繁多，由于不同类型的安全能力在控制方法上存在差异，从上

层业务视角会呈现不同的控制接口，需要细化安全能力分类，并以标准化形式进行规范，

以明确并统一控制细粒度。

本文件分别从防护效果和防护对象两个维度，定义了云安全资源池能力的基本分类框

架，如图1所示。

其中，防护效果分为防护目的和防护能力两个维度，将业界现有安全能力进行分类，

标准化形成通用原子安全能力。为保证服务质量，提升用户感知，平台还须提供一些非安

全特性的服务内容和对自身的安全保障，如：目录服务、仪表盘展示服务、上网内容加速

服务，以及对用户使用平台的注册、认证、行为审计、数据保护等。因此，本框架把这些

非安全特性的能力放到其他类别。

为保持云安全资源池能力的扩展性，使得云安全资源池能力更加多样化，技术发展不

受约束。本平台框架还包含扩展原子安全能力，这包括两方面：每类防护效果维度下的原

子安全能力的扩展，以及新增防护效果的扩展。

6

YD/T××××—××××

图1云安全资源池能力分类框架图

8云安全资源池能力统一模型

8.1统一模型框架

为承接上层业务与底层安全资源，云安全资源池能力框架基于“向下封装、向上服务”

的OSI设计思想，从上向下区分出业务、控制、接口三个层次。其中每一层均由数据模型和

调度下层功能、数据的操作方法组成。

云安全资源池能力统一模型框架如图2所示。

7

YD/T××××—××××

图2云安全资源池能力统一模型框架图

8.2业务层

8.2.1概述

业务层是对安全业务的抽象，管理业务与功能的映射关系。其负责理解业务场景，为相

应场景分配适宜的原子安全能力和合理的安全业务模板。具体可由两种方式实现安全业务管

理。

一是根据业务分类，预置相应的安全业务模板，挂钩相应的原子安全能力，推送用户，

推荐用户选择调用。

二是采用开放形态，提供用户定购的原子安全能力的调用接口，用户可开发自己适用的

安全APP与安全原子能力控制模型的业务层进行集成。

业务层提供业务注册方式，使用户定制业务可以成功加载，形成新的安全业务模板。

综上，业务层所管理的数据及功能应如下分类。首先是与用户基本信息挂钩的基本业务

模型；其次是适用于定制模板的关联业务模型；最后是适用于用户定制开发的注册业务模型。

8.2.2基本业务模型

基本业务模型管理用户的基本业务属性信息，包括：安全业务编号、安全业务类型、业

8

YD/T××××—××××

务安全等级、安全业务名称、业务类型、业务资产列表、资产网络地址、资产地理位置、资

产是否托管、托管资产负责人、资产状态、业务定购时限等。其支持的操作方法主要为对业

务生命周期的管理，具体包括：业务信息入库、业务启用、业务停用、业务回收、业务查询、

业务模板关联、业务配置等。

基本业务模型数据示例如表1。

表1基本业务模型数据

数据名称数据类型数据描述

安全业务编号整型唯一，标识安全业务

安全业务类型枚举字符串指明安全需求，用于选择安全模板

指明安全合规要求，用于选择安全

业务安全等级整型

模板

安全业务名称字符串区分不同安全业务的名称

指明被防护业务内容，用于选择安

业务类型枚举列表

全模板

指明与某一安全业务关联的所有业

业务资产列表整型列表

务资产编号

资产编号整型唯一，标识受保护的业务资产

资产IPv4地址32位无符号整型每一资产的网络入口IPv4地址

资产IPv6地址128位无符号整型每一资产的网络入口IPv6地址

业2G/2B：企事业单位名称

资产归属字符串

务2C：个人名称

资

资产地理位置枚举字符串资产所处于的机房位置

产

指明资产是否可以从其他业务数据

资产是否托管布尔值表中关联，如=1，则通过资产归属关

联相应用户资产供选择

指明发生安全事件时，安全告警的

紧急联系人字符串

通知人员

资产状态布尔值表指明资产是否正在使用

指明安全业务定购时长，与计费关

业务定购时限时间值

联

基本业务模型操作方法示例如表2。

表2基本业务模型操作方法

操作方法操作描述

业务信息入库定购业务信息记录在数据库中

业务启用基于镜像创建相应的业务组件，并启动组件，使之运行

9

YD/T××××—××××

业务停用停止业务组件运行

业务回收业务注销，清空业务信息与业务资源

业务查询在业务库中查找相应信息

业务模板关联根据业务信息选择合适的业务模板

业务配置提供相应业务模板，供用户配置

8.2.3关联业务模型

关联业务模型根据预置原子安全能力与业务场景的对标逻辑，从安全模板库中选择相应

的安全模板与安全业务进行关联。安全模板是不同原子安全能力的组合配置模板。具体包括：

业务模板、关联网络服务链、原子能力访问控制矩阵等。其支持的操作方法主要为对业务访

问控制层的管理，具体包括：原子安全能力连接、原子能力调用授权、网络服务链分配、策

略配置模板组合等。

关联业务模型数据示例如表3。

表3关联业务模型数据

数据名称数据类型数据描述

系统为某些固定业务安全需求预置的业

业务模板列表务模板，业务模板预置几类原子安全能

力

与用户定购业务挂钩的网络服务链，和

关联网络服务链整型

业务模板无关

原子安全能力访问记录用户所定购的原子安全能力，并为

矩阵

控制矩阵其赋权

关联业务模型操作方法示例如表4。

表4关联业务模型操作方法

操作方法操作描述

原子安全能力连接调用原子安全能力API

原子能力调用授权为原子安全能力调用授权

网络服务链分配为业务分配网络服务链

策略配置模板组合形成业务模板中的策略配置表

8.2.1注册业务模型

注册业务模型提供对业务模板的生命周期管理。用户可在所有原子安全能力中选择自己

10

YD/T××××—××××

适用的，组合成新的业务模板，并进行注册。若用户采用定制APP，则提供APP加载方式。

具体包括：业务模板、原子安全能力列表。其支持的操作方法具体包括：业务注册、业

务模板入库、业务APP加载。

注册业务模型数据示例如表5。

表5注册业务模型数据

数据名称数据类型数据描述

系统为某些固定5G业务安全需求预置的业

业务模板列表

务模板，业务模板预置几类原子安全能力

原子安全能力列表列表支持控制的所有原子安全能力

注册业务模型操作方法示例如表6。

表6注册业务模型操作方法

操作方法操作描述

业务注册扩展定制化业务，新增业务模板

业务模板入库业务模板信息添加进数据库

业务APP加载业务APP镜像或软件包加载

8.3控制层

8.3.1概述

控制层是对安全原子能力的抽象，管理业务逻辑与原子安全能力、原子安全能力与实现

资源间的映射关系。对原子安全能力的控制包括对原子能力策略粒度的控制，以及对原子能

力实施点的控制。

原子能力实施点的控制是通过抽象的原子安全能力和具象的安全处理单元之间的映射

来实现的。通过业务-服务链映射表和服务链-资源映射表，将业务导向的安全能力转化为资

源导向的安全能力。

原子能力策略粒度的控制是通过以原子安全能力为粒度的策略配置和全局安全策略到

具体安全处理单元的安全策略转化来实现的。

具体包括资源控制模型、策略控制模型、网络控制模型等。根据安全资源与业务的映射

关系，可包括两种方式：一是安全资源用户独占，此时，策略控制简单，用户服务区分主要

由网络控制进行；一是安全资源用户共享，此时，网络控制简单，用户服务区分主要由策略

控制进行。

11

YD/T××××—××××

8.3.2资源控制模型

资源控制模型根据业务场景需求，对适用的原子安全能力进行分割与融合，选择适宜的

安全原子能力实施点。其管理数据包括：业务SLA、网络拓扑表、资源列表、设备引流IP

列表、资源-安全能力映射表、业务-服务链映射表、服务链-资源映射表等。其支持的操作方

法主要为对资源的选定、服务链的建立，具体包括：服务方式判定、服务点选择、资源类型

选择、资源映射、网络控制等。

资源控制模型数据示例如表7。

表7资源控制模型数据

数据名称数据类型数据描述

业务SLA列表安全业务服务质量要求

记录业务相关的资源位置与网络拓扑

网络拓扑表列表

信息

资源列表列表安全资源信息

设备引流IP列表列表安全资源的网络信息

列表记录一类资源所包含的安全原子能

资源-安全能力映射表

力，及已入库的所有资源设备

业务-服务链映射表列表记录业务与服务链的关联关系

服务链-资源映射表列表记录服务链与资源的关联关系

资源控制模型操作方法示例如表8。

表8资源控制模型操作方法

操作方法操作描述

服务方式判定根据业务层输入，判定业务SLA及资源处理要求

服务点选择根据服务方式选择适用的服务点

资源类型选择根据业务定购的原子安全能力反向选择适用资源

资源映射为服务链选择适宜的安全与网络资源

网络控制启动网络编排流程

8.3.3策略控制模型

当业务SLA决定安全资源用户共享时，安全编排主要由策略控制完成。

策略控制模型实现业务视角的宏观安全策略到资源层级的微观执行策略的转换。其管理

数据包括：安全能力-策略关联表、全局安全策略表、防护目标-策略关联表、设备策略表、

安全规则列表、服务链-资源映射表。其支持的操作方法主要为安全策略的转化与组合，具

体包括：安全策略定位、安全策略分解、安全策略合并、安全策略检查等。

12

YD/T××××—××××

策略控制模型数据示例如表9。

表9策略控制模型数据

数据名称数据类型数据描述

枚举类型

安全能力-策略关联表安全能力关联的策略信息

列表

全局安全策略表列表记录安全策略信息

设备策略表列表安全资源的网络信息

列表记录一类资源所包含的安全原子

安全规则列表

能力，及已入库的所有资源设备

服务链-资源映射表列表记录服务链与资源的关联关系

策略控制模型操作方法示例如表10。

表10策略控制模型操作方法

操作方法操作描述

安全策略定位根据策略关联关系，确定编排的安全策略组合

策略表定位根据策略关联关系，确定设备策略表

将安全策略根据不同服务点选择，细分为各类安全

安全策略分解

策略组

安全策略合并安全策略归并进指定服务点的设备策略表

安全策略检查检查全局策略或单设备策略中是否存在冲突与错误

8.3.4网络控制模型

当业务SLA决定安全资源用户独占时，安全编排主要由网络控制完成。

网络控制模型通过串连服务链，将业务流量引入可以提供其需求的安全防护的安全设备

上去。其管理数据包括：服务链-资源映射表、网络拓扑表、资源列表、设备引流IP列表等。

其支持的操作方法主要为网络编排器的理解与通信，具体包括：网络编排器状态查询、网络

编排器建立连接、网络模式确认、网络资源确认、引流数据下发、引流完成确认等。

网络控制模型数据示例如表11。

表11网络控制模型数据

数据名称数据类型数据描述

网络拓扑表列表记录资源位置与网络拓扑

资源列表列表安全资源信息

设备引流IP列表列表安全资源的网络信息

服务链-资源映射表列表记录服务链与资源的关联关系

13

YD/T××××—××××

网络控制模型操作方法示例如表12。

表12网络控制模型操作方法

操作方法操作描述

网络编排器状态查询根据策略关联关系，确定编排的安全策略组合

网络编排器建立连接根据策略关联关系，确定设备策略表

网络模式确认与网络编排器沟通网络模式

网络资源确认与网络编排器确认网络资源

引流数据下发向网络编排器下发引流数据

引流完成确认跟网络编排器沟通引流状态

8.4接口层

8.4.1概述

接口层是对安全资源的直接抽象，管理安全资源的状态属性和配置信息。接口可以以扩

展方式，根据不同设备的接口标准逐步增加新的设备类型。因此接口层分为通用接口模型和

扩展的不同类型的具体接口模型两部分。

8.4.2通用接口模型

通用接口模型是底层安全设备、组件或系统集群资源的数据抽象，用于管理安全资源列

表和其相关的属性信息，包括：安全资源编号、安全资源类型、安全资源名称、安全资源供

应商、安全资源型号、安全资源位置、安全资源归属、安全资源等级、安全资源服务链、安

全资源地址、安全资源拓扑、安全资源部署状态、安全资源启用状态、安全资源运行状态、

安全资源回收时限、安全资源默认规则、安全资源执行规则、安全资源配置模板、安全资源

driverID、安全资源通信标识等。其支持的操作方法主要为安全资源生命周期的管理和网络

通信，包括：安全资源注册、安全资源信息入库、安全资源加载、安全资源启用、安全资源

停用、安全资源回收、安全资源状态查询、安全资源网络配置、安全资源策略配置、安全资

源接口翻译、安全资源接口联通、安全资源配置下发等。

通用接口数据模型示例如表13。

表13通用接口数据模型

数据名称数据类型数据描述

资源类型枚举类型

安全资源信息

资源编号整型

14

YD/T××××—××××

设备管理IP32位无符号整型

安全资源部署状态整型

安全资源启用状态逻辑变量

安全资源运行状态整型

安全资源回收时限整型

安全资源默认规则编号整型

安全资源执行规则编号整型

安全资源配置模板编号整型

安全资源driverID整型

安全资源通信标识逻辑变量

默认规则编号整型

安全默认保护对象IPv4地址32位无符号整型

资源默认保护对象IPv6地址128位无符号整型安全资源初始默认规

默认默认执行动作枚举类型则

规则默认攻击源IPv4地址32位无符号整型

默认攻击源IPv6地址128位无符号整型

执行规则编号整型

安全保护对象IPv4地址32位无符号整型

资源保护对象IPv6地址128位无符号整型

安全资源下发规则

执行执行动作枚举类型

规则攻击源IPv4地址32位无符号整型

攻击源IPv6地址128位无符号整型

安全资源配置模板编号整型

关联云安全资源池能力

安全

关联原子安全能力枚举类型分类框架图中的原子安

策略

全能力

配置

防护目标枚举类型业务资产列表

模板

配置项，各安全能力

策略配置表列表

安全规则

通用接口操作方法示例如表14。

表14通用接口操作方法

操作方法操作描述

安全资源注册扩展安全资源，新增资源类型及安全资源

安全资源信息入库安全资源信息写入资源列表中

安全资源加载加载安全资源

安全资源启用将已有安全资源启用

安全资源停用将已启用安全资源停用

安全资源回收将已停用安全资源回收

安全资源状态查询查询安全资源状态

安全资源网络配置生成安全资源网络配置信息

15

YD/T××××—××××

安全资源策略配置生成安全资源策略配置信息

安全资源接口翻译将配置信息翻译成本设备可理解的信息

安全资源接口联通联通安全资源设备接口

安全资源配置下发下发安全资源配置

8.4.3具体接口模型

具体接口模型是对从底层安全设备中抽象出的具体安全能力接口的数据与方法描述。本

规范不限制安全设备范围的扩展以及不同设备之间能力表现的差异化，具体接口模型须在符

合相关安全应用或安全设备接口标准的基础上，自行定制。

9云安全资源池能力开放要求

9.1基本要求

云安全资源池为实现能力开放，以服务化形式为用户提供安全能力，应满足下列基本要

求：

a)云安全资源池应支持远程安全服务，可提供多种类型的网络接入方式，并支持安全

能力调度与网络协同。

b)云安全资源池应支持多用户共享，并提供规模化的安全服务，具备高并发处理和高

网络吞吐能力。

c)云安全资源池应支持按需提供安全服务，面向不同用户需求可提供差异化服务内容

与防护级别。

d)云安全资源池应支持服务敏捷调度，支持服务快速订阅开通、即插即用；支持服务

随用户需求变化即时响应，灵活变更。

e)云安全资源池能力应能够充分调用，提高资源共享与利用率，及时回收无效或停用

的资源，避免资源荒置或空耗。

9.2兼容要求

云安全资源池包含多种供应商、多种产品类型、多种产品形态的安全能力，池化的安全

能力应成为一个整体，满足以下兼容性要求：

a)云安全资源池内虚拟化安全能力应支持对主流云化承载方式的兼容，支持采用主流

虚拟机或容器封装，支持相应的主流云管平台兼容调用；

b)云安全资源池内安全能力应支持对安全业务生命周期管理、安全策略管理、网络配

16

YD/T××××—××××

置管理和安全监测管理等相应管理API接口开放，接受云安全资源池统一管控；

c)云安全资源池内安全能力均须遵循标准安全应用接口与网络通信协议；

d)云安全资源池内安全能力所支持的镜像格式、文件格式以及数据库类型应保持统一。

9.3扩展要求

云安全资源池采用云技术整合安全能力，推出快速更迭、服务弹性的安全服务，应具备

以下扩展性要求：

a)云安全资源池应支持安全能力的平滑移植和扩展，支持实现技术的快速部署与更新；

升级扩展过程中应能够支持保证云安全资源池整体功能、性能及其所提供的安全服

务的稳定性；

b)云安全资源池应支持安全组件的灵活扩展，这既包括在单机硬件资源之内的纵向扩

缩，也包括跨物理机多虚拟安全实例组合形成安全能力集群的横向扩缩，以此实现

云安全资源池安全能力的自由伸缩，从而支持安全服务的高并发和大数据容量；

c)云安全资源池应支持云技术平滑升级，可根据技术发展趋势及演进情况，逐步扩充

基于SDN的安全业务链能力、安全服务编排能力等。

9.4安全要求

云安全资源池应保证自身，以及服务用户的信息、业务、资产的安全性，具备以下安全

性要求：

a)云安全资源池应保证自身软硬件资源、业务数据及管理系统的安全，包括：

1)云安全资源池应支持数据存储安全；

2)云安全资源池应支持用户访问接口及系统管理接口的数据传输安全；

3)云安全资源池应根据承载业务的重要性对不同安全能力基础设施分类分级管

理；

4)云安全资源池应支持用户认证、鉴定和授权；

5)云安全资源池应支持对日常运行状况的安全审计；

6)云安全资源池应支持软件容错，尽量避免出现缓冲区溢出、系统宕机、系统死

循环、故障降级处理等安全事件；对数据输入合理性及运营误操作进行检验；

b)云安全资源池应为用户提供最恰当的权限与最适宜的保护机制，包括：

17

YD/T××××—××××

1)云安全资源池应保证不同用户之间完全隔离，业务彼此不受干扰；

2)云安全资源池出现故障或问题应尽量减少对任何用户业务可用性的影响；

c)云安全资源池应支持故障定位与排查；

1)对业务层访问调度提供进程、API接口监测与日志留存审计机制，可监控多方

业务；

2)对控制层进程状态进行监测，对进程异常进行代号编码与报告，日志留存审计；

3)对接口层资源访问调度提供进程、API接口监测与日志留存审计机制，可监控

异构安全资源；

4)对云安全资源池能力开放框架中的数据访问、变更应具备细粒度的授权与审计

能力。数据异常可进行代号编码与报告。关键数据实时备份，错误可回滚修复。

18

YD/T××××—××××

目次

前言.....................................................................2

1范围.......................................................................3

2规范性引用文件.............................................................3

3术语和定义.................................................................3

4缩略语.....................................................................4

5概述.......................................................................5

6云安全资源池能力开放需求...................................................5

7云安全资源池能力分类框架...................................................6

8云安全资源池能力统一模型...................................................7

8.1统一模型框架.............................................................7

8.2业务层...................................................................8

8.3控制层..................................................................11

8.4接口层..................................................................14

9云安全资源池能力开放要求..................................................16

9.1基本要求................................................................16

9.2兼容要求................................................................16

9.3扩展要求................................................................17

9.4安全要求................................................................17

1

YD/T××××—××××

、

云安全资源池能力开放技术框架

1范围

本文件对云安全资源池能力开放技术进行框架定义，对基于云资源池承载的并可向上层

应用开放的安全能力进行标准化归类，并整合形成统一模型。

本文件适用于运营商、安全设备厂商、云安全服务厂商、云PaaS平台建设方进行云安全

资源池与服务平台的建设运营。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069所界定的以及下列术语和定义适用于本文件。

3.1

云安全资源池cloud-basedsecuritypool

基于云技术建设部署的安全设备、组件或系统集群，具备资源密集、可弹性伸缩、按需服务

等云化特征。

3.2

零日防护0dayprotection

针对0day攻击的防护,指针对“安全漏洞被发现后，立即就出现恶意利用工具与方法”这种

突发性攻击的快速响应与防护。

3.3

原子安全能力atomicsecuritycapability

3

YD/T××××—××××

对云安全资源池中设备资源的安全功能的抽象与标准化封装，用以实现安全能力的细粒度控

制。同一安全设备可以抽象出多种原子安全能力。同一原子安全能力可能对应不同类型安全设备

中的相同安全功能。

3.4

安全业务链securityservicechain

指引网络流量按照安全业务逻辑所要求的既定顺序，经过一系列安全服务节点（即各种不同

的安全设备或安全设备集群）。

3.5

纵向扩缩scale-up/scale-down

向系统中单节点添加或移除资源，包括向单个计算机添加或移除CPU或内存。

3.6

横向扩缩scale-out/scale-in

向系统中添加或移除节点。

3.7

安全服务编排securityserviceorchestration

通过消息的交互序列来控制不同资源与服务的交互，从而使一系列独立安全服务相互调

用构成工作流（引用微服务体系概念）。

4缩略语

下列缩略语适用于本文件。

2B面向商业ToBusiness

2C面向个人用户ToClient

2G面向政府ToGovernment

API应用程序接口ApplicationProgrammingInterface

APP应用程序Application

DNS域名系统DomainNameSystem

ID身份标识号Identity

IP网际互连协议InternetProtocol