T/NJCESS 002-2025 内生安全云服务平台技术规范

ICS 35.240.01
CCS L70
团体标准
T/NJCESS 002-2025
T/NJCESS
内生安全云服务平台
技术规范
Endogenous security technical specification for Cloud service system
2025-02-28 发布2025-08-28 实施
南京市网络空间内生安全协会发布
T/NJCESS 002-2025
I
目录
前言............................................................................ II
1 范围................................................................................. 1
2 规范性引用文件....................................................................... 1
3 术语和定义........................................................................... 1
4 概述................................................................................. 2
5 功能要求............................................................................. 3
5.1 内生安全云管理系统功能要求....................................................... 3
5.1.1 概述......................................................................... 3
5.1.2 拟态化管理................................................................... 3
5.1.3 拟态组件控制................................................................. 3
5.1.4 日志接口..................................................................... 3
5.2 云基础设施功能要求............................................................... 3
5.2.1 概述......................................................................... 3
5.2.2 异构计算资源池............................................................... 4
5.2.3 云存储....................................................................... 4
5.2.4 云交换网络................................................................... 4
5.2.5 云应用拟态化组件............................................................. 4
5.3 拟态云应用功能要求............................................................... 4
5.3.1 概述......................................................................... 4
5.3.2 云应用执行体异构性........................................................... 4
5.3.3 云应用执行体可标识........................................................... 5
5.3.4 云应用执行体隔离性........................................................... 5
6 性能要求............................................................................. 5
6.1 内生安全云管平台性能要求......................................................... 5
6.1.1 拟态云应用部署时间........................................................... 5
6.2 拟态云应用性能要求............................................................... 5
6.2.1 概述......................................................................... 5
6.2.2 执行体间处理性能相对差异..................................................... 5
6.2.3 云应用执行体定时调度时间..................................................... 6
6.2.4 云应用执行体轮换时间......................................................... 6
6.2.5 云应用执行体清洗还原时间..................................................... 6
7 安全要求............................................................................. 6
7.1 拟态云应用安全要求............................................................... 6
7.1.1 概述......................................................................... 6
7.1.2 差模注入情况安全要求......................................................... 6
7.1.3 N-1 模注入情况安全要求....................................................... 7
7.1.4 N 模注入情况安全要求......................................................... 7
T/NJCESS 002-2025
II
前言
本文件按照GB/T 1.1—2020《标准化工作导则第1 部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由南京市网络空间内生安全协会提出并归口。
本文件起草单位：紫金山实验室、战略支援部队信息工程大学、河南信大网御科技有限公司。
本文件主要起草人：刘明、程国振、刘文彦、张帅、沙磊、汤成、孔飞、史雪静、沈娟、郭晓晨、
胡艺、池瑞清、张校辉。
T/NJCESS 002-2025
1
内生安全云服务平台技术规范
1 范围
本文件详细规定了内生安全云服务平台的技术规范，包含系统架构及其功能、性能、安全要求。
本文件适用于内生安全云服务平台产品的设计、开发和部署。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本
文件。
GB/T 31916.1-2015信息技术云数据存储和管理第1部分：总则
GB/T 31916.2-2015信息技术云数据存储和管理第2部分：基于对象的云存储应用接口
GB/T 31916.3-2018信息技术云数据存储和管理第3部分：分布式文件存储应用接口
GB/T 31916.5-2015信息技术云数据存储和管理第5部分：基于键值（Key-Value）的云数据管理
应用接口
YD/T 1099-2013 以太网交换机技术要求
YD/T 4223-2023 支持拟态防御功能设备总体技术指南
YD/T 4965-2024 支持拟态防御功能的云组件技术要求和测试方法
3 术语和定义
YD/T 4223-2023 界定的术语和定义及下列术语和定义适用于本文件。
3.1
内生安全云服务平台Endogenous Security Cloud Service Platform
内生安全云服务平台是一种具备内生安全能力的云服务系统，主要包括云基础设施、拟态云应用和
内生安全云管理系统，为用户提供内生安全的云服务。
3.2
云应用拟态化组件Mimic Components of Cloud Applications
云应用拟态化组件是拟态防御架构专用功能部件，实现输入输出代理、多模裁决、反馈控制等功能。
3.3
内生安全云管理系统Endogenous Security Cloud Management System
内生安全云管理系统支持对异构计算资源池、云交换网络、云存储和云应用拟态化组件等云基础设
施的管理和控制，具备拟态云应用的编排、部署等拟态化管理能力。
3.4
拟态云应用Mimic Cloud Application
T/NJCESS 002-2025
2
拟态云应用是指基于拟态防御技术构建，并具备内生安全属性的云应用系统。
4 概述
内生安全云服务平台以通用云计算架构为基础，基于拟态防御理论进行构建，其典型架构包括：云
基础设施、拟态云应用以及内生安全云管理系统等，如下图所示。
图1 内生安全云服务平台总体架构图
1. 内生安全云管理系统
内生安全云管理系统支持对异构计算资源池、云交换网络、云存储和云应用拟态化组件等云基础设
施的管理，具备拟态云应用编排、部署等拟态化管理能力，为用户提供自动化、自助式的一站式云资源
管理和拟态功能控制等服务。
2. 云基础设施
云基础设施主要由以下四部分构成：
（1）异构计算资源池：采用软硬件异构且冗余配置，并通过虚拟化技术构建，以增加攻击者攻击
的难度和成本，同时提高系统的容错能力；
（2）云存储：支持将文件存储于云端，具备根据实际业务需求灵活扩展或缩减存储容量的能力，
确保数据存储的弹性与高效；
（3）云交换网络：主要由网络交换节点（如交换机等）组成，负责为云资源之间的交互以及云服
务提供网络互联功能，保障云平台内数据传输的稳定与畅通；
（4）云应用拟态化组件：为云应用提供输入输出代理、拟态裁决和负反馈控制等功能，提升云应
用的安全性与可靠性。
3. 拟态云应用
T/NJCESS 002-2025
3
拟态云应用是指在内生安全云服务平台上运行的应用程序，通过利用平台提供的拟态防御功能，增
强应用的整体安全性。
5 功能要求
5.1 内生安全云管理系统功能要求
5.1.1 概述
内生安全云管理系统功能要求包括拟态化管理、拟态组件控制和日志接口等方面的要求。
5.1.2 拟态化管理
拟态化管理要求包括：
1. 支持异构基础设施资源的管理，包含计算、网络和存储资源的配置、添加和删除等功能。
2. 提供拟态应用编排功能，能够借助编排模板和工具实现对拟态应用的有效管理与控制。
3. 支持云应用在拟态化与非拟态工作模式之间进行切换，并保证在模式切换前后云应用的状态一
致。
4. 以可视化方式展示拟态资源、云应用执行体以及威胁态势等信息。
5.1.3 拟态组件控制
拟态组件控制要求包括：
1. 支持对云应用拟态化组件的集中管理和控制，将其作为云基础设施进行纳管、配置、管理和维
护。
2. 通过云应用拟态化组件的清洗、重置等功能，实现对应用执行体的负反馈控制。
5.1.4 日志接口
内生安全云管平台的日志接口输出裁决和调度信息，用于平台监控、故障排查和合规审计。要求包
括：
1. 日志内容规范
（1）裁决信息：记录裁决时间（精确到毫秒，ISO 8601格式）、被裁决关键内容、执行体唯一标
识、裁决结果（不通过时附原因）；
（2）调度信息：记录触发调度时间（精确到毫秒，ISO 8601格式）、被调度执行体唯一标识、当
前状态、调度原因编码（提供编码表）。
2. 日志输出方式
（1）本地存储：可通过数据库或系统日志输出到本地存储组件；
（2）远端日志服务器：用REST API（HTTPS协议，POST方法，JSON格式数据）输出。
3. 安全性要求
（1）数据加密传输：本地与远端传输采用SSL/TLS加密协议，按密钥管理规范定期换密钥；
（2）访问控制：身份认证采用用户名/密码、令牌、证书等方式；
（3）日志数据的完整性和可追溯性：生成、传输、存储时用哈希算法保证完整性；每条日志分配
唯一标识，实现全生命周期追溯。
5.2 云基础设施功能要求
5.2.1 概述
T/NJCESS 002-2025
4
云基础设施功能要求包括异构计算资源池、云存储、云交换网络以及云应用拟态化组件等方面的功
能要求。
5.2.2 异构计算资源池
异构计算资源池的功能要求如下：
1. 计算节点应采用异构配置，其中异构要素包括CPU架构、操作系统和虚拟化层等方面，以提升平
台的安全性与可靠性。具体要求：
（1）CPU 架构异构：在计算基础设施层面配置不同指令集或不同厂商的计算节点，如X86和ARM；
（2）操作系统异构：部署不同厂商的操作系统，切断漏洞对操作系统的依赖。以Linux为例，不同
厂商的操作系统包括Centos、Ubuntu、openEuler等；
（3）虚拟化层异构：对虚拟监控器进行异构化（Hypervisor），虚拟监控器的异构化包括：根据
底层异构计算基础设施的不同，分为X86版本和ARM版本；采用不同厂商的虚拟监控器，如KVM等。
2. 异构计算资源池需配置不少于3类异构计算节点，且至少覆盖2类异构要素，确保资源池具备足
够的异构特性。
3. 设备提供时，应明确标出对CPU处理能力、内存和磁盘的最低要求。
5.2.3 云存储
云存储功能应符合现行的云存储技术规范体系， 包括但不限于GB/T 31916.2-2015 、GB/T
31916.3-2018和GB/T 31916.5-2015，应当提供块存储、对象存储或文件存储中的至少一种服务，并具
备运维管理服务接口。
5.2.4 云交换网络
云交换网络中的交换节点应遵循现有技术标准，满足YD/T 1099-2013的要求。设备提供时，应明确
标出对网络带宽和网络时延的最低要求。
5.2.5 云应用拟态化组件
云应用拟态化组件是保障拟态云应用安全的关键部件，利用动态、异构、冗余机制抵御各类安全威
胁，应具备分发、拟态裁决及负反馈控制等拟态防御功能，符合YD/T 4965-2024 支持拟态防御功能的
云组件技术要求和测试方法。
5.3 拟态云应用功能要求
5.3.1 概述
拟态云应用的功能要求包含云应用执行体异构性、云应用执行体可标识和云应用执行体隔离性等方
面的要求。
5.3.2 云应用执行体异构性
云应用执行体的异构性要求包括：
1. 功能一致性：无论执行体在硬件、软件等方面存在何种差异，云应用执行体在约定的功能上，
保持行为和输出结果一致。
2. 异构层面要求：在CPU架构、操作系统、虚拟化层、运行环境适配和软件等层面实现异构，其中：
（1）运行环境异构：执行体的运行环境包括Java 虚拟机（JVM）不同版本、Python 解释器不同版
本等。
T/NJCESS 002-2025
5
（2）软件异构：同一云应用在不同执行体上部署不同版本软件，包括应用程序、中间件、数据库
管理系统等。例如，不同执行体可分别部署不同版本的Web服务器软件（如Apache、Nginx不同版本）和
数据库管理系统（如MySQL、PostgreSQL不同版本）。
2. 数量要求：至少应有3种异构云应用执行体，并且至少需要在线运行3个异构执行体。
3. 动态生成要求：部署（Continuous Integration/Continuous Delivery，CI/CD）持续集成流水
线，提供应用异构能力：
（1）提供可编程的接口，按需实现云应用的异构；
（2）将异构化工具（多样化编译引擎、多样化镜像构建引擎）集成到CI/CD流水线中。其中，多样
化编译引擎在源代码编译时，运用软件多样化技术，通过同一份源代码编译出多个异构的可执行文件；
多样化镜像构建引擎在镜像打包时使用异构的容器基础镜像和中间件，从而构造出异构的镜像。
5.3.3 云应用执行体可标识
云应用执行体需具备标识维持功能，将云应用拟态化组件注入的用户请求会话标识保留，在业务处
理逻辑执行完成后，将标识返回给云应用拟态化组件。
5.3.4 云应用执行体隔离性
云应用执行体之间应实现网络隔离、软硬件隔离和访问权限控制，确保每个执行体能够独立运行，
且相互间不存在通信通道。任一执行体不得与其它执行体进行直接通信。
6 性能要求
6.1 内生安全云管平台性能要求
6.1.1 拟态云应用部署时间
拟态云应用的部署时间d T 是指特定应用执行体在具体的硬件配置（如CPU型号、内存容量、存储类
型及网络带宽等）、软件环境（操作系统版本、虚拟化软件版本等）、节点部署规模（节点数量、节点
间网络拓扑结构）和拟态化策略（采用的分发算法、裁决机制）等条件下，完成应用拟态化部署所需的
时间。该指标在技术规范中不设硬性规定，但设备提供时必须明确标出d T ，实际部署时间不得低于标
称值。
在拟态云应用开始部署时记录起始时间；在应用部署完成，所有执行体均处于可正常运行状态，且
相关的监控指标（如进程状态、网络连接状态等）均符合预期时，记录结束时间，两者差值即为部署时
间d T 。
6.2 拟态云应用性能要求
6.2.1 概述
拟态云应用的性能要求包含执行体间处理性能相对差异、定时调度时间、轮换时间和清洗还原时间
等各个方面。
6.2.2 执行体间处理性能相对差异
执行体间处理性能相对差异是指在相同条件下，不同执行体之间主要服务性能指标（如响应时间、
T/NJCESS 002-2025
6
吞吐量、事务数等）之间的相对差异。
例如，对于某个指标X，执行体1 的数值为B1，执行体2 的数值为B2（假设B1>B2），则B1 相对
B2 的差异C 可表示为：
1 2
2
C B B
B


该指标必须在设备提供时明确标出，建议执行体间处理性能相对差异不大于100%。任意两个云应
用执行体之间的相对差异不得超过标称值。
6.2.3 云应用执行体定时调度时间
拟态云应用的执行体调度周期s T 是指对在线执行体进行定期轮换调度的时间间隔，该周期可由用
户自定义。在自定义该周期时，需综合考虑系统资源利用率及业务流量规律等因素，若设置不当，则可
能引发系统性能下降或服务中断等风险。
6.2.4 云应用执行体轮换时间
云应用执行体的轮换时间r T 是指在执行体下线指令下达后，直到新执行体上线并正常提供服务所花费
的时间。计算公式如下：
r r1 r 2 T  T  T
其中， r1 T 表示对云应用执行体下达下线指令的时刻， r 2 T 表示新执行体上线并正常提供服务的时
刻。
6.2.5 云应用执行体清洗还原时间
执行体清洗时间e T 是指云应用执行体从异常状态恢复到正常运行所需的时间。计算公式如下：
e e1 e 2 T  T  T
其中， e1 T 表示对云应用执行体发出重置指令的时刻， e 2 T 表示云应用执行体恢复正常运行的时刻。
7 安全要求
7.1 拟态云应用安全要求
7.1.1 概述
拟态云应用的安全要求包含差模注入安全要求、N-1 模（N 为在线执行体的数量）注入安全要求以及N
模注入安全要求。
7.1.2 差模注入情况安全要求
差模注入指攻击者通过漏洞或后门篡改拟态云应用的单个在线执行体的关键防护信息。在发生差模注
T/NJCESS 002-2025
7
入的情况下，平台的多模裁决机制应当确保被篡改信息无法生效，并且云服务持续正常运行。
7.1.3 N-1 模注入情况安全要求
N-1 模注入指攻击者通过漏洞或后门篡改拟态云应用N-1 个在线执行体的关键防护信息。当发生N-1
模注入时，平台的多模裁决和定时清洗轮换等机制确保被篡改的信息在标定时间内失效，并且云应用在标
定时间内恢复正常。系统应标定一个恢复时间N 1 t  ，以确保云服务恢复正常的时间不超过N 1 t  。
7.1.4 N 模注入情况安全要求
N 模注入指攻击者通过漏洞或后门篡改了拟态云应用每个在线执行体的关键防护信息。当发生N 模注入
时，平台通过定时清洗轮换等机制确保被篡改的信息在标定时间内失效，并且拟态云应用应在标定时间内
恢复正常。系统应标定一个恢复时间N t ，以确保云服务恢复正常提供的时间不超过N t 。
A