（文章來(lái)源：C114通信網(wǎng)）

網(wǎng)絡(luò)以虛擬功能網(wǎng)元形式，部署在云化基礎(chǔ)設(shè)施上；網(wǎng)絡(luò)功能由軟件實(shí)現(xiàn)，可實(shí)現(xiàn)按需彈縮、靈活部署，高效利用資源，改變了傳統(tǒng)網(wǎng)絡(luò)功能網(wǎng)元以物理安全設(shè)備隔離的現(xiàn)狀。虛擬化網(wǎng)絡(luò)共享物理資源，物理的安全邊界不再存在。

NFV使得傳統(tǒng)以物理實(shí)體為核心的安全防護(hù)技術(shù)在新環(huán)境中已經(jīng)不再適用；網(wǎng)絡(luò)虛擬化、開(kāi)放化使得攻擊更容易，安全威脅傳播更快、波及更廣。NFV架構(gòu)的多層解耦帶來(lái)了組件交互的開(kāi)放性安全風(fēng)險(xiǎn)；引入新網(wǎng)元、網(wǎng)元功能軟件化及虛擬化平臺(tái)的引入都會(huì)帶來(lái)新的安全風(fēng)險(xiǎn)點(diǎn)。NFVI面臨的安全風(fēng)險(xiǎn)主要在hostOS安全、可信運(yùn)行、資源隔離、運(yùn)行數(shù)據(jù)安全、組網(wǎng)安全等方面。

VNF面臨的安全風(fēng)險(xiǎn)主要在VM生命周期安全、VNF組網(wǎng)安全、業(yè)務(wù)數(shù)據(jù)存儲(chǔ)安全等方面。MANO面臨的安全風(fēng)險(xiǎn)主要在接口交互安全、權(quán)限安全、組網(wǎng)安全等方面。安全性不僅與安全特征的物理部署有關(guān)，更重要的是與虛擬資產(chǎn)部署的安全特征有關(guān)，需要建立起以虛擬資源和虛擬功能為目標(biāo)的安全防護(hù)體系，研究虛擬化基礎(chǔ)設(shè)施可信運(yùn)行及資源隔離。

中興通訊NFV安全架構(gòu)，具有如下特點(diǎn)：針對(duì)性：瞄準(zhǔn)ETSI NFV架構(gòu)，安全增強(qiáng)；全面性：云、網(wǎng)安全結(jié)合，分層保護(hù)；及時(shí)性：部署緊急預(yù)案，安全事件快速響應(yīng)；保密性：圍繞CA中心構(gòu)建全方位的可信的安全通信；

在NFVI層，首先要保證HOSTOS系統(tǒng)安全，做好Hypervisor的資源安全隔離，確保NFVI使用的數(shù)據(jù)安全，并且進(jìn)行網(wǎng)絡(luò)安全組網(wǎng)。系統(tǒng)加固，精簡(jiǎn)系統(tǒng)，配置優(yōu)化，漏洞掃描，賬號(hào)及口令復(fù)雜化，日志與審計(jì)，監(jiān)控核心文件和目錄；審計(jì)信息可回溯；日志上傳集中審計(jì)服務(wù)器。

文件訪問(wèn)，定義文件級(jí)安全訪問(wèn)策略，禁止文件共享，網(wǎng)絡(luò)白名單，定制易用的策略設(shè)定工具，設(shè)定開(kāi)放端口范圍，利用安全設(shè)備和虛擬化隔離技術(shù)，做好Hypervisor的資源安全隔離，保障虛擬機(jī)獨(dú)立安全運(yùn)行和信息安全隔離。

在數(shù)據(jù)傳輸、存儲(chǔ)、備份、數(shù)據(jù)生命周期管理等方面強(qiáng)化NFVI數(shù)據(jù)安全。在NFVI的基礎(chǔ)設(shè)施網(wǎng)絡(luò)組網(wǎng)中，獨(dú)立部署物理網(wǎng)卡及Leaf交換機(jī)，云管理、存儲(chǔ)、業(yè)務(wù)和帶外管理網(wǎng)絡(luò)做到物理分離；在業(yè)務(wù)網(wǎng)絡(luò)Overlay網(wǎng)絡(luò)中再細(xì)分成更多的業(yè)務(wù)網(wǎng)絡(luò)平面。