《云安全聯盟： SDP實現等保2.0合規技術指南（135頁）.pdf》由會員分享，可在線閱讀，更多相關《云安全聯盟： SDP實現等保2.0合規技術指南（135頁）.pdf（135頁珍藏版）》請在三個皮匠報告上搜索。

1、 版權所有 2020 云安全聯盟大中華區01軟件定義邊界SDP 實現等保 2.0 合規技術指南白皮書2020 年 4 月2編者信息由云安全聯盟大中華區（CSA GCR）組織SDP工作組專家對SDP實現等保2.0合規技術指南進行編寫。參與本文檔編寫的專家（排名不分先后）：總編輯：陳本峰（云深互聯）安全通用要求章節：組長：盧藝（深信服）組員：劉鵬（深信服）、鹿淑煜（三未信安）、潘盛合（順豐）、劉洪森云計算安全擴展要求章節：組長：薛永剛（華為）組員：秦益飛（易安聯）、于繼萬（華為）、魏琳琳（國云科技）、楊洋移動互聯安全擴展要求章節：組長：何國鋒組員：張全偉（吉大正元）、張澤洲（奇安信）、孫剛、趙銳物

2、聯網安全擴展要求章節：組長：余曉光（華為）組員：張大海（三未信安）、高軼峰、馬紅杰、王安宇（OPPO）、楊喜龍工控系統安全擴展要求章節：組長：汪云林（天融信）組員：靳明星（易安聯）、袁初成（締安科技）、姚凱、于新宇（安幾網安）CSA GCR 研究助理：朱曉璐、高健凱、廖飛感謝以下單位對本文檔的支持和貢獻（按拼音排序）：北京三未信安科技發展有限公司、北京天融信網絡安全技術有限公司、長春吉大正元信息技術股份有限公司、國云科技股份有限公司、華為技術有限公司、江蘇易安聯網絡技術有限公司、OPPO 廣東移動通信有限公司、奇安信科技集團股份有限公司、上海安幾科技有限公司、上海締安科技股份有限公司、深信服科

3、技股份有限公司、深圳順豐泰森控股（集團）有限公司、深圳竹云科技有限公司、云深互聯（北京）科技有限公司 版權所有 2020 云安全聯盟大中華區3序言網絡安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法，由公安部牽頭的網絡安全等級保護制度 2.0 標準于 2019 年 12 月 1 日實施，等保2.0 將等保 1.0 的被動式傳統防御思路轉變為主動式防御，覆蓋工業控制系統、云計算、大數據、物聯網等新技術新應用，為落實信息系統安全工作提供了方向和依據。云安全聯盟提出的 SDP 軟件定義邊界是實施零信任安全架構的解決方案，SDP 將基于傳統靜態邊界的被動防御轉化為基于動態邊界的主動防御，與

4、等保2.0 的防御思路非常吻合，成為滿足等保 2.0 合規要求的優選解決方案。CSA 大中華區 SDP 工作組的專家們對等保 2.0 做了深入解讀，為讀者們展示了如何通過 SDP 解決方案來滿足企業的等保 2.0 合規要求，大家通過對這篇指南的學習也將在企業網絡與信息安全保障能力提升方面受益。李雨航 Yale Li云安全聯盟大中華區主席 版權所有 2020 云安全聯盟大中華區4目錄編者信息.2序言.3目錄.41 簡介.81.1 關于軟件定義邊界 SDP.81.2 關于等保 2.0.131.2.1 等級保護是國家信息安全管理的基本制度.131.2.2 等保合規建設過程中遇到的問題.152 SDP

5、 滿足等保 2.0 安全通用要求.162.1 概述.162.2 二級安全通用要求.172.2.1 安全通用要求（二級）概述.172.2.2 對“7.1.2.1 網絡架構”的適用策略.192.2.3 對“7.1.2.2 通信傳輸”的適用策略.192.2.4 對“7.1.3.1 邊界安全”的適用策略.202.2.5 對“7.1.3.2 訪問控制”的適用策略.202.2.6 對“7.1.3.3 入侵防范”的適用策略.222.2.7 對“7.1.3.5 安全審計”的適用策略.222.2.8 對“7.1.4.1 身份鑒別”的適用策略.232.2.9 對“7.1.4.2 訪問控制”的適用策略.242.2.

6、10 對“7.1.4.3 安全審計”的適用策略.242.2.11 對“7.1.4.4 入侵防護”的適用策略.252.2.12 對“7.1.4.7 數據完整性”的適用策略.262.3 三級安全通用要求.272.3.1 安全通用要求（三級）概述.272.3.2 對“8.1.2.1 網絡架構”的適用策略.292.3.3 對“8.1.2.2 通信傳輸”的適用策略.302.3.4 對“8.1.3.1 邊界防護”的適用策略.302.3.5 對“8.1.3.2 訪問控制”的適用策略.312.3.6 對“8.1.3.3 入侵防護”的適用策略.322.3.7 對“8.1.3.5 安全審計”的適用策略.332.3

7、.8 對“8.1.4.1 身份鑒別”的適用策略.342.3.9 對“8.1.4.2 訪問控制”的適用策略.352.3.10 對“8.1.4.3 安全審計”的適用策略.362.3.11 對“8.1.4.4 入侵防護”的適用策略.372.3.12 對“8.1.4.7 數據完整性”的適用策略.382.3.13 對“8.1.4.8 數據保密性”的適用策略.392.3.14 對“8.1.5.4 集中管控”的適用策略.392.4 四級安全通用要求.4152.4.1 安全通用要求（四級）概述.412.4.2 對“9.1.2.1 網絡架構”的適用策略.432.4.3 對“9.1.2.2 通信傳輸”的適用策略.

8、442.4.4 對“9.1.3.1 邊界防護”的適用策略.452.4.5 對“9.1.3.2 訪問控制”的適用策略.462.4.6 對“9.1.3.3 入侵防護”的適用策略.482.4.7 對“9.1.3.5 安全審計”的適用策略.482.4.8 對“9.1.4.1 身份鑒別”的適用策略.492.4.9 對“9.1.4.2 訪問控制”的適用策略.502.4.10 對“9.1.4.3 安全審計”的適用策略.512.4.11 對“9.1.4.4 入侵防護”的適用策略.522.4.12 對“9.1.4.7 數據完整性”的適用策略.532.4.13 對“9.1.4.8 數據保密性”的適用策略.542.

9、4.14 對“9.1.5.4 集中管控”的適用策略.552.4.15 SDP 應用于等級保護（四級）的合規注意事項.563 SDP 滿足等保 2.0 云計算安全擴展要求.583.1 概述.583.2 云計算安全擴展二級要求.603.2.1 對“7.2.2.1 網絡架構”的適用策略.613.2.2 對“7.2.3.1 訪問控制”的適用策略.623.2.3 對“7.2.3.2 入侵防范”的適用策略.623.2.4 對“7.2.3.3 安全審計”的適用策略.633.2.5 對“7.2.4.1 訪問控制”的適用策略.643.3 云計算安全擴展三級要求.643.3.1 對“8.2.2.1 網絡架構”的適

10、用策略.653.3.2 對“8.2.3.1 訪問控制”的適用策略.673.3.3 對“8.2.3.2 入侵防范”的適用策略.673.3.4 對“8.2.3.3 安全審計”的適用策略.683.3.5 對“8.2.4.1 身份鑒別”的適用策略.693.3.6 對“8.2.4.2 訪問控制”的適用策略.703.3.7 對“8.2.4.3 入侵防范”的適用策略.703.3.8 對“8.2.5.1 集中管控”的適用策略.713.4 云計算安全擴展四級要求.723.4.1 對“9.2.2.1 網絡架構”的適用策略.733.4.2 對“9.2.3.1 訪問控制”的適用策略.753.4.3 對“9.2.3.2

11、 入侵防范”的適用策略.753.4.4 對“9.2.3.3 安全審計”的適用策略.763.4.5 對“9.2.4.1 身份鑒別”的適用策略.773.4.6 對“9.2.4.2 訪問控制”的適用策略.773.4.7 對“9.2.4.3 入侵防范”的適用策略.783.4.8 對“9.2.5.1 集中管控”的適用策略.7964 SDP 滿足等保 2.0 移動互聯安全擴展要求.804.1 概述.804.2 移動互聯安全擴展二級要求.844.2.1 對“7.3.2.1 邊界防護”的適用策略.854.2.2 對“7.3.2.2 訪問控制”的適用策略.854.2.3 對“7.3.2.3 入侵防范”的適用策略

12、.864.2.4 對“7.3.3.1 移動應用管控”的適用策略.874.2.5 對“7.3.4.1 移動應用軟件采購”的適用策略.874.2.6 對“7.3.4.2 移動應用軟件開發”的適用策略.884.3 移動互聯安全擴展三級要求.884.3.1 對“8.3.2.1 邊界防護”的適用策略.894.3.2 對“8.3.2.2 訪問控制”的適用策略.904.3.3 對“8.3.2.3 入侵防范”的適用策略.904.3.4 對“8.3.3.2 移動應用管控”的適用策略.914.3.5 對“8.3.4.1 移動應用軟件采購”的適用策略.924.3.6 對“8.3.4.2 移動應用軟件開發”適用策略.

13、924.3.7 對“8.3.5.1 配置管理”的適用策略.934.4 移動互聯安全擴展四級要求.934.4.1 對“9.3.2.1 邊界防護”適用策略.944.4.2 對“9.3.2.2 訪問控制”的適用策略.954.4.3 對“9.3.2.3 入侵防范”適用策略.954.4.4 對“9.3.3.1 移動終端管控”適用策略.974.4.5 對“9.3.3.2 移動應用管控”適用策略.974.4.6 對“9.3.4.1 移動應用軟件采購”適用策略.984.4.7 對“9.3.4.2 移動應用軟件開發”適用策略.984.4.8 對“9.3.5.1 配置管理”適用策略.995 SDP 滿足等保 2.

14、0 物聯網安全擴展要求.1005.1 概述.1005.2 物聯網安全擴展二級要求.1015.2.1 SDP 的適用情況.1015.2.2 對“7.4.2.1 接入控制”的適用策略.1035.2.3 對“7.4.2.2 入侵防范”的適用策略.1045.2.4 對“7.4.3 安全運維管理”的適用策略.1045.3 物聯網安全擴展三級要求.1055.3.1 SDP 的適用情況.1055.3.2 對“8.4.2.1 接入控制“的適用策略.1065.3.3 對“8.4.2.2 入侵防范”的適用策略.1075.3.4 對“8.4.3.2 網關節點設備安全”的適用策略.10875.4 物聯網安全擴展四級要

15、求.1095.4.1 SDP 的適用情況.1095.4.2 對“9.4.2.1 接入控制”的適用策略.1105.4.3 對“9.4.2.2 入侵防范”的適用策略.1105.4.4 對“9.4.3.1 感知節點設備安全”的適用策略.1115.4.5 對“9.4.3.2 網關節點設備安全”的適用策略.1125.4.6 對“9.4.3.3 抗數據重放”的適用策略.1125.4.7 對“9.4.3.4 數據融合處理”的適用策略.1135.4.8 對“9.4.4.1 感知節點管理”的適用策略.1136 SDP 滿足等保 2.0 工業控制系統安全擴展要求.1156.1 概述.1156.2 工業控制系統安全

16、擴展一級要求.1176.2.1 對“5.5.2.1 網絡架構”的適用策略.1186.2.2 對“6.5.3.1 訪問控制”的適用策略.1186.2.3 對“6.5.3.2 無線使用控制”的適用策略.1196.3 工業控制系統安全擴展二級要求.1196.3.1 對“7.5.2.1 網絡架構”的適用策略.1206.3.2 對“7.5.2.2 通訊傳輸”的適用策略.1216.3.3 對“7.5.3.1 訪問控制”的適用策略.1216.3.4 對“7.5.3.2 撥號使用控制”的適用策略.1226.3.5 對“7.5.3.2 無線使用控制”的適用策略.1236.4 工業控制系統安全擴展三級要求.123

17、6.4.1 對“8.5.2.1 網絡架構”的適用策略.1246.4.2 對“8.5.2.2 通信傳輸”的適用策略.1256.4.3 對“8.5.3.1 訪問控制”的適用策略.1256.4.4 對“8.5.3.2 撥號使用控制”的適用策略.1266.4.5 對“8.5.3.3 無線使用控制”的適用策略.1276.4.6 對“8.5.4.1 控制設備安全”的適用策略.1276.5 工業控制系統安全擴展四級要求.1286.5.1 對“9.5.2.1 網絡架構”的適用策略.1296.5.2 對“9.5.2.2 通信傳輸”的適用策略.1306.5.3 對“9.5.3.1 訪問控制”的適用策略.1306.

18、5.4 對“9.5.3.2 撥號使用控制”的適用策略.1316.5.5 對“9.5.3.3 無線使用控制”的適用策略.1326.5.6 對“9.5.4.1 控制設備安全”的適用策略.1327 總結.13381 簡介1.11.1 關于軟件定義邊界 SDPSDP傳統企業網絡安全架構通過建立一個固定的邊界使內部網絡與外部世界分離，這個邊界包含一系列的防火墻策略來阻止外部用戶的進入，但是允許內部用戶對外的訪問，即我們熟悉的“內網”。由于封鎖了外部對于內部應用和設施的可見性和可訪問性，傳統的固定邊界確保了內部服務對于外部威脅的安全。對于遠程用戶訪問，最有效的辦法也只是 VPN 接入。但是后期出現了各種各

19、樣的問題，云的租戶不滿足共用防火墻，希望得到更個性化的服務，傳統防火墻和 VPN 不僅接入的體驗、訪問速度受限，更無法滿足租戶動態遷移、業務快速部署、策略隨需生成、策略及時收回、策略路徑可視等要求。另外，BYOD 和釣魚攻擊提供了對于內部網絡的不可信訪問，以及 SaaS 和 IaaS 正在改變邊界的位置，企業網絡架構中的固定的邊界模型正在變得過時。傳統基于物理邊界的安全模型已經不能滿足云、移動、物聯網時代的無處不在的連接需求以及日益嚴峻的企業內網滲透事故。公司企業紛紛將目光投向新一代的技術，比如基于零信任理念的軟件定義邊界，即 Software-Defined-Perimeter（SDP）安全

20、技術架構。SDP 方案是由國際云安全聯盟 CSA 在 2014 年提出的一個零信任安全架構。在微軟、Google 等國際互聯網巨頭公司內部都已經有成熟的應用。此后，Zscaler、思科、賽門鐵克、Akamai、Verizon 等知名公司都推出了 SDP 產品。軟件定義邊界（SDP）架構由客戶端（Client）、管控平臺（也稱控制器，Controller）、9應用網關（Gateway）三個主要組件組成，如下圖所示：軟件定義邊界（SDP）架構基于 SDP 安全架構方案可有效減少攻擊面，緩解或者徹底消除威脅、風險和漏洞，從而幫助政府部門/企業能夠集中資源于其他領域。關于 SDP 安全模型的詳細描述以

21、及應用實踐，請參考 CSA 發布的 SDP 系列白皮書。下表列出了國際云安全聯盟 CSA 統計的十二大安全威脅（來自 十二大網絡安全威脅 白皮書），并分析 SDP 方案對于解決這些威脅的作用：安全威脅SDP方案作用1數據泄露SDP通過添加預驗證和預授權層來減少公開暴露的主機的攻擊面，實現服務器和網絡的安全性的“最小訪問權限”模型，從而有助于減少數據泄露的許多攻擊方式。剩余風險：數據泄露的幾個其他攻擊方式不適用于SDP，包括釣魚、錯誤配置和終端保護。授權用戶對授權資源的惡意訪問將不會被SDP直接阻止。102弱身份、密碼與訪問管理過去，VPN訪問密碼被盜往往會導致數據丟失。這是因為VPN通常允許用

22、戶對整個網絡進行廣泛的訪問，從而成為弱身份、密碼與訪問管理中的薄弱環節。相比之下，SDP不允許廣泛的網絡訪問，并限制對這些主機的訪問權限。這使得安全體系結構對弱身份、證書和訪問管理有更大的彈性。SDP還可以在用戶訪問資源之前執行強認證。剩余風險：政府部門/企業必須有一個積極的參與者來調整IAM流程，并確保訪問策略被正確定義。過于寬泛的準入政策會帶來潛在的風險。3不安全的界面和API保護用戶界面不被未授權用戶訪問是SDP的核心能力。使用SDP，未經授權的用戶（即攻擊者）無法訪問UI，因此無法利用任何漏洞。SDP還可以通過在用戶設備上運行的進程來保護API。目前SDP部署的主要焦點一直是保護用戶對

23、服務器的訪問。剩余風險：服務器到服務器API調用在這個時候不是SDP的常見用例，因此API服務可能不會受到SDP系統的保護。114系統和應用程序漏洞SDP顯著減少攻擊面，通過將系統和應用程序的漏洞隱藏起來，對于未授權用戶不可見。剩余風險：授權用戶可以訪問授權的資源，存在潛在的攻擊可能性。其它安全系統如SIEM或IDS必須用來監控訪問和網絡活動（見下文的內部惡意人員威脅）。5賬號劫持基于會話cookie的帳戶劫持被SDP完全消除。如果沒有預先認證和預先授權，并且攜帶適當的SPA數據包，應用服務器會默認拒絕來自惡意終端的網絡連接請求。因此，即使網絡請求中攜帶被劫持的會話cookie，也不會被SDP

24、網關準入。剩余風險：釣魚或密碼竊取仍然是一個風險，但SDP可以通過執行強身份驗證來減輕這種情況，并有基于諸如地理定位等屬性來控制訪問的策略。6內部惡意人員威脅SDP將限制內部人員造成安全威脅的能力。適當配置的SDP系統將具有限制用戶僅能訪問執行業務功能所需的資源。因此，所有其他資源都將被隱藏。剩余風險：SDP不阻止授權用戶對授權資源的惡意訪問。7高級持續威脅攻擊APTS本質上是復雜的、多方面的，不會被任何單一12（APTS）的安全防御所阻止。SDP通過限制受感染終端尋找網絡目標的能力，并且在整個政府部門/企業中實施多因子認證，有效減少攻擊面，從而降低APT的存在可能性和傳播。剩余風險：預防和檢

25、測APTS需要多個安全系統和過程結合起來進行深入的防御。8數據丟失SDP通過執行最小權限原則，并將網絡資源對未授權用戶隱藏起來，來減少數據丟失的可能性。SDP可以通過適當的DLP解決方案來增強。剩余風險：SDP不阻止授權用戶對授權資源的惡意訪問。9盡職調查不足SDP不適用10濫用和非法使用云服務SDP并不直接適用，但SDP供應商的產品可能有能力檢測和了解云服務使用狀況。11DDoS拒絕服務SDP架構中的單包授權（SPA）技術使得SDP控制器和網關對阻止DDoS攻擊更有彈性。SPA與典型的TCP握手連接相比可花費更少的資源，使服務器能夠大規模處理、丟棄惡意的網絡請求數據包。與TCP相比，基于UD

26、P的SPA進一步提高了服務器的可用性。13剩余風險：雖然SPA顯著降低了由無效SPA包所施加的計算負擔，但它仍然是非零的，因此面向公眾的SDP系統仍然可能受到大規模DDoS攻擊的影響。12共享技術問題SDP可以由云服務提供商使用，以確保管理員對硬件和虛擬化基礎設施的訪問管理。剩余風險：云服務提供商除了SDP之外，還必須使用各種安全系統和流程。1.21.2 關于等保 2.02.01.2.1 等級保護是國家信息安全管理的基本制度隨著政府、企事業單位信息化水平的不斷提高，諸如泄密、黑客入侵等信息安全問題逐步凸現出來。近年來，國家層面越來越重視信息安全工作，確立了重要信息系統等級保護是國家信息安全管理

27、的基本制度。1994 年國務院發布了中華人民共和國國務院令（147 號）中華人民共和國計算機信息系統安全保護條例。自此，國家相關主管部門陸續發布了多項政策及標準，等級保護作為國家信息安全保障整改建設的標準，逐步進入落地階段：2003 年中辦國辦聯合發布的中辦發200327 號文件關于轉發國家信息化領導小組關于加強信息安全保障工作的意見的通知；2004 年公安部、保密局、國密辦以及國信辦聯合發布的公通字200466 號文件關于信息安全等級保護工作的實施意見；142005 年后公安部陸續發布了信息系統安全等級保護實施指南、信息系統安全等級保護定級指南、信息系統安全等級保護基本要求和信息系統安全等級

28、保護測評指南。2007 年公安部、保密局、國密辦和國信辦聯合發布的公通字200743 號文件信息安全等級保護管理辦法。2008 年信息安全技術 信息系統安全等級保護基本要求：明確對于各等級信息系統的安全保護基本要求。2016 年 11 月，網絡安全法正式發布，2017 年 6 月 1 日起開始施行。2018 年 4 月，國家發布 全國醫院信息化建設標準與規范(試行)，此次 規范中安全防護建設，對數據中心安全、終端安全、網絡安全、容災備份 4個方面，19 個項目做了明確要求。2019 年 5 月 13 日下午，國家標準新聞發布會在市場監管總局馬甸辦公區新聞發布廳召開，網絡安全等級保護制度 2.0

29、 標準正式發布，實施時間為 2019年 12 月 1 日。各政府、企事業單位都需要通過開展等級保護工作，推動等級保護整改建設實施，使得相關信息系統能夠達到相應等級的基本保護和防護能力，從而滿足上級部門的監管要求和政策法規的合規需求。等保 2.0 一共分為五級，逐級安全要求增強，具體每一級內容如下：信息系統的安全保護等級內容第一級：自主保護級適用于一般的信息系統，其受到破壞后，會對公民、法人和其他組織的合法權益產生損害，但不損害國家安全、社會秩序和公共利益。15第二級：指導保護級適用于一般的信息系統，其受到破壞后，會對社會秩序和公共利益造成輕微損害，但不損害國家安全。第三級：監督保護級適用于涉及

30、國家安全、社會秩序和公共利益的重要信息系統，其受到破壞后，會對國家安全、社會秩序和公共利益造成損害。第四級：強制保護級適用于涉及國家安全、社會秩序和公共利益的重要信息系統，其受到破壞后，會對國家安全、社會秩序和公共利益造成嚴重損害。第五級：?？乇Ｗo級適用于涉及國家安全、社會秩序和公共利益的重要信息系統的核心系統，其受到破壞后，會對國家安全、社會秩序和公共利益造成特別嚴重損害。1.2.2 等保合規建設過程中遇到的問題由于信息安全保障工作的專業性和復雜性，各個單位在開展等級保護合規建設的過程中都不同程度遇到了諸多問題。據市場反饋，有近 60%的單位不了解等級保護建設工作如何開展，70%的單位不熟悉

31、、不理解相關標準要求，大多數單位缺乏相關的知識和應對方案。162 SDP 滿足等保 2.0 安全通用要求2.12.1 概述隨著信息系統的迭代速度加快，網絡環境日趨復雜，傳統的邊界安全防護因為缺失靈活性無法適應復雜多變的攻擊手段，因此現代網絡安全體系建設應能夠快速有效的部署訪問策略，形成縱深邊界安全防御和檢測機制。等級保護 2.0 標準體系較 1.0 時代最大的變化，就是充分體現了“一個中心三重防御”的思想。一個中心指“安全管理中心”，三重防御指“安全計算環境，安全區域邊界，安全網絡通信”。從這一點上，等級保護 2.0 標準體系相比 1.0 時期的安全體系更注重整體動態的防御效果，強調事前預防、

32、事中響應、事后審計。軟件定義邊界（SDP）其本質是一套訪問控制的策略體系，核心思想是構建以身份為中心，對網絡傳輸進行的動態訪問控制。它強調建立包括用戶，設備，應用，系統等實體的統一身份標識，并基于最小化授權原則構筑訪問。SDP 這種以網絡為實施范圍，以實體身份為抓手，最終實現對數據層面訪問控制的安全體系很符合等級保護 2.0 標準體系中對三重防御體系，特別是“安全區域邊界”和“安全網絡通信”的要求。事實上，SDP 與等級保護 2.0 的總體思路是不謀而合的，這也體現了在安全挑戰日新月異的大背景下，隨著傳統邊界防護的瓦解，網絡安全技術自身適應進化的一個過程。因此我們可以認為，借助 SDP，能夠更

33、加有效的解決等級保護的要求，構建全新的安全架構基石。172.22.2 二級安全通用要求2.2.1 安全通用要求（二級）概述在國家等級保護 2.0 的二級要求中，明確了二級要求的保護能力即“能夠防護免受來自外部小型組織的，擁有少量資源的威脅元發起的惡意攻擊，一般的自然災難，以及其他相當危害程度的威脅所造成的重要資源損害，能夠發現重要的安全漏洞和輸出安全事件，在自身遭到損害后，能夠在一段時間內恢復部分功能?！庇捎诙壱笫浅Ｒ姷南鄬A層級的要求，在安全通用要求方面，主要針對多個領域，如物理安全，安全區域邊界，安全計算環境，安全管理中心，安全管理制度，安全管理機構，安全管理人員和安全運維管理。通過

34、對 SDP 的應用有效的提高安全管理效率，降低安全運維的成本與耗費，為真正的安全邊界防護打開了起點。等級保護的第二級別安全通用要求中由多個方面的技術要求，其中對于 SDP幫助用戶的滿足的條目如下表所示：要求項要求子項SDP適用情況7.1.1安全物理環境7.1.1.1-7.1.1.10不適用7.1.2 安全通信網絡7.1.2.1 網絡架構適用見2.2.2.17.1.2.2 通信傳輸適用見2.2.2.27.1.2.3 可信驗證不適用7.1.3安全區域邊界7.1.3.1 邊界防護適用見2.2.2.37.1.3.2 訪問控制適用見2.2.2.4187.1.3.3 入侵防范適用見2.2.2.57.1.3

35、.4 惡意代碼防范不適用7.1.3.5 安全審計適用見2.2.2.67.1.3.6 可信驗證不適用7.1.4 安全計算環境7.1.4.1 身份鑒別適用見2.2.2.77.1.4.2 訪問控制適用見2.2.2.87.1.4.3 安全審計適用見2.2.2.97.1.4.4 入侵防范適用見2.2.2.107.1.4.5 惡意代碼防范不適用7.1.4.6 可信驗證不適用7.1.4.7 數據完整性適用見2.2.2.117.1.4.8 數據備份恢復不適用7.1.4.9 剩余信息保護不適用7.1.4.10個人信息保護不適用7.1.5 安全管理中心7.1.5.1 系統管理不適用7.1.5.2 審計管理不適用7

36、.1.6 安全管理制度7.1.6.1-7.1.6.4不適用7.1.7安全管理機構7.1.7.1-7.1.7.4不適用7.1.8 安全管理人員7.1.8.1-7.1.8.4不適用7.1.9 安全建設管理7.1.9.1-7.1.9.10不適用7.1.10 安全運維管理7.1.10.1-7.1.10.14不適用192.2.2 對“7.1.2.1 網絡架構”的適用策略2.2.2.2.2 2.1.1.本項要求包括：本項要求包括：a)應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址。b)應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。2.2.2

37、.2.2 2.2.2.SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 提供應用層的邊界防護，應用網關起到技術隔離作用。SDP 對于不同的網絡分區支持發布特有的應用，由于 SDP 是通過 SDP 控制器來控制對應的連接訪問，可以通過 SDP 的控制器來管理和控制對應的區域，同時對應的連接通過 SDP 客戶端和 SDP 網關進行交互，大大提高了訪問的可靠性和安全性。對于安全邊界的確定，SDP 有效的將其靈活性提高了，SDP 提供云平臺和私有化部署，可以根據需要進行選擇部署。SDP 實現的是邊界防護，應用網關起到技術隔離作用，將應用服務器保護在網關后面，使外界掃描工具和攻擊來源無法

38、探測到服務器地址和端口。SDP 將原本固化的邊界模糊化以減小攻擊面。2.2.3 對“7.1.2.2 通信傳輸”的適用策略2.2.2.2.3 3.1 1 本項要求包括：本項要求包括：a)應采用校驗技術保證通信過程中數據的完整性。202 2.2.2.3 3.2.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：“應采用校驗技術保證通信過程中數據的完整性”，傳輸過程使用雙向 TLS（mTLS）加密傳輸，防止被篡改，保障數據的完整性。2.2.4 對“7.1.3.1 邊界安全”的適用策略2.2.2.2.4 4.1.1 本項要求包括：本項要求包括：a)應保證跨越邊界的訪問和數據流通過邊界設備提供的

39、受控接口進行通信；2 2.2.2.4 4.2.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 作為軟件定義的邊界安全隔離產品，可以有效地提供跨越邊界的安全訪問以及跨越邊界數據流的受控接口。由于獨特的 SDP 三組件關系，數據流僅能通過特定的客戶端和網關，且經合法授權后，方可進入另外一個內部網絡。2.2.5 對“7.1.3.2 訪問控制”的適用策略2.2.2.2.5 5.1.1 本項要求包括：本項要求包括：a）應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外控接口拒絕所有通信。b)應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則

40、數量最小化。c）應對源地址，目的地址，源端口，目的端口和協議等進行檢查，以允許21/拒絕數據包進出。d）應根據會話狀態信息為進出數據或提供明確的允許/拒絕訪問的能力。2 2.2.2.5 5.2.2 SDPSDP 的適用策略的適用策略對于訪問控制來說，應根據具體情況部署 SDP 網關和控制器來保證對應的訪問控制，SDP 的優勢其實是對于請求驗證的會話進行有效的驗證和對應的訪問控制。因此，針對第 a 條要求：SDP 默認不信任任何網絡、人、設備，均需進行驗證，默認拒絕一切連接，只有驗證合法的訪問請求才被允許。并根據控制策略進行訪問控制，僅對于驗證合法用戶，允許受控端口進行通信。即便合法的用戶，也需

41、要根據自己的權重分配賬戶和訪問權限。針對第 b 條要求：SDP 基于用戶身份與授權進行精細化、顆粒度訪問控制。針對第 c 條：SDP 會對源地址、目的地址、源端口、目的端口和協議等進行檢查，會基于上述信息進行訪問控制，以允許符合條件的數據包通過，并拒絕不符合條件的數據包。針對第 d 條要求：SDP 以身份化為基礎，所有的訪問請求都需要經過身份認證并植入會話狀態信息，對所有訪問流量會檢測會話狀態信息的合法性，僅允許攜帶合法會話狀態信息的流量到達業務系統，拒絕非法訪問。對于其他的情況需要視情況而定對應的適用策略。222.2.6 對“7.1.3.3 入侵防范”的適用策略2.2.2.2.6 6.1.1

42、 本項要求包括：本項要求包括：a）應在關鍵網絡節點監視網絡攻擊行為2 2.2.2.6 6.2.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：可以通過 SDP 控制器來監控所有對資源的訪問日志以及異常行為，若對應的故障場景發生，則需要匹配對應的策略看是對應異常程度的嚴重程度，以幫助有效監控網絡攻擊行為。對應的場景如果有變化，相應的策略需要調整。2.2.7 對“7.1.3.5 安全審計”的適用策略2.2.2.2.7 7.1.1 本項要求包括：本項要求包括：a)應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b)審計記錄應包括事件的日期

43、和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。2.2.2.2.7 7.2.2 SDPSDP 的適用策略的適用策略SDP 的審計內容覆蓋到每個終端用戶，對于行為和重要事件進行記錄。包括23日期、時間、事件等。并保存于管控平臺，并進行定期備份，以防止未預期的刪除、修改和覆蓋等。針對第 a、b 條要求：SDP 審計日志默認記錄所有用戶的所有訪問日志，SDP審計日志詳細記錄日期時間、用戶、事件詳情信息。針對第 c 條要求：SDP 控制器上支持設置審計日志的保存時間，并且定期備份。2.2.8 對“7.1.4.1 身份鑒

44、別”的適用策略2.2.2.2.8 8.1.1 本項要求包括：本項要求包括：a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。b)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。c)當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。2 2.2.2.8 8.2.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 支持多因素認證，保證身份不易被冒用，并對密碼復雜度有強制要求。針對第 b 條要求：SDP 對登錄認證有防爆破保護，以及連接超時自動注銷保護。針對第 c 條要求：S

45、DP 對所有數據都使用雙向 TLS（mTLS）加密傳輸，防止24數據在網絡傳輸過程中被竊聽，并且能防止中間人攻擊。2.2.9 對“7.1.4.2 訪問控制”的適用策略2.2.2.2.9 9.1 1 本項要求包括：本項要求包括：a)應對登錄的用戶分配賬戶和權限。b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令。c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離。2.2.2.2.9 9.2.2 SDPSDP 的適用策略的適用策略SDP 屬于訪問控制類別產品，具備賬號管理功能，能夠分配賬戶訪問與配置權限。即便合法的用戶，也需要根據自

46、己的角色確定賬戶和訪問權限。針對第 a、b 條要求：SDP 對所有的用戶的訪問連接都會進行授權校驗。針對第 c、d 條要求：SDP 控制器對賬號會設置過期時間，對于長時間不登錄的賬號會禁止登錄。2.2.10 對“7.1.4.3 安全審計”的適用策略2.2.2.2.1010.1.1 本項要求包括：本項要求包括：a)應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及25其他與審計相關的信息。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。2.2.2.2.1010.2.2 SDPS

47、DP 的適用策略的適用策略針對第 a、b 條要求：SDP 審計日志默認記錄所有用戶的所有訪問日志，SDP審計日志詳細記錄日期時間、用戶、事件詳情信息。針對第 c 條要求：SDP 控制器上支持設置審計日志的保存時間，并且定期備份。2.2.11 對“7.1.4.4 入侵防護”的適用策略2.2.12.2.11 1.1.1 本項要求包括：本項要求包括：a)應遵循最小安裝的原則，僅安裝需要的組件和應用程序。b)應關閉不需要的系統服務、默認共享和高危端口。c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。d)應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容

48、符合系統設定要求。e)應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。2.2.2.12.11 1.2.2 SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 本身的特性就默認關閉所有端口，拒絕一切連接，26不存在共享和高危的端口，應用網關僅面向授權客戶端開放訪問權限，極大地控制了使用范圍，減小了暴露面。通過客戶端和控制器，可檢測到入侵的行為，并在發生嚴重入侵事件時提供預警。針對第 c 條要求：SDP 客戶端在連接網關之前需要先去控制器進行身份和設備的驗證，控制器可以對終端的接入方式或網絡地址范圍進行有效控制。針對第 d 條要求：SDP 客戶端和 SDP 網關之間

49、使用特殊的通信協議以及加密(mTLS)的數據傳輸，以保證數據的正確性和有效性。針對第 e 條要求：SDP 三組件（客戶端、網關、控制器）支持自動更新和升級，保證可以及時修補漏洞。2.2.12 對“7.1.4.7 數據完整性”的適用策略2.2.12.2.12 2.1.1 本項要求包括：本項要求包括：a)應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。2.2.2.12.12 2.2.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 通過密碼技術（mTLS 雙向 TLS 加密）對網

50、絡傳輸進行數據加密，保障數據的完整性。272.32.3 三級安全通用要求2.3.1 安全通用要求（三級）概述等保三級又被稱為國家信息安全等級保護三級認證，是中國最權威的信息產品安全等級資格認證，由公安機關依據國家信息安全保護條例及相關制度規定，按照管理規范和技術標準，對各機構的信息系統安全等級保護狀況進行認可及評定。其中三級是國家對非銀行機構的最高級認證，屬于“監管級別”，由國家信息安全監管部門進行監督、檢查，認證需要測評內容涵蓋等級保護安全技術要求 5個層面和安全管理要求的 5 個層面，主要包含信息保護、安全審計、通信保密等在內的近 300 項要求，共涉及測評分類 73 類，要求十分嚴格。等

51、保三級中，通用安全要求項與 SDP 適用項如下表所示：要求項要求子項SDP適用情況8.1.1安全物理環境8.1.1.1-8.1.1.10不適用8.1.2 安全通信網絡8.1.2.1 網絡架構適用見2.3.2.18.1.2.2 通信傳輸適用見2.3.2.28.1.2.3 可信驗證不適用8.1.3安全區域邊界8.1.3.1 邊界防護適用見2.3.2.38.1.3.2 訪問控制適用見2.3.2.48.1.3.3 入侵防范適用見2.3.2.58.1.3.4 惡意代碼防范不適用8.1.3.5 安全審計適用見2.3.2.68.1.3.6 可信驗證不適用288.1.4 安全計算環境8.1.4.1 身份鑒別適

52、用見2.3.2.78.1.4.2 訪問控制適用見2.3.2.88.1.4.3 安全審計適用見2.3.2.98.1.4.4 入侵防范適用見2.3.2.108.1.4.5 惡意代碼防范不適用8.1.4.6 可信驗證不適用8.1.4.7 數據完整性適用見2.3.2.118.1.4.8 數據保密性適用見2.3.2.128.1.4.9 數據備份恢復不適用8.1.4.10 剩余信息保護不適用8.1.4.10個人信息保護不適用8.1.5 安全管理中心8.1.5.1 系統管理不適用8.1.5.2 審計管理不適用8.1.5.3 安全管理不適用8.1.5.4 集中管控適用見2.3.2.138.1.6 安全管理制度

53、8.1.6.1-8.1.6.4不適用8.1.7安全管理機構8.1.7.1-8.1.7.4不適用8.1.8 安全管理人員8.1.8.1-8.1.8.4不適用8.1.9 安全建設管理8.1.9.1-8.1.9.10不適用8.1.10 安全運維管理8.1.10.1-8.1.10.14不適用292.3.2 對“8.1.2.1 網絡架構”的適用策略2.3.2.2.3.2.1 1 本項要求包括：本項要求包括：a)應保證網絡設備的業務處理能力滿足業務高峰期需要。b)應保證網絡各個部分的帶寬滿足業務高峰期需要。c)應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址。d)應避免將重要網絡區域部

54、署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。e)應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性。2.3.2.2.3.2.2SDP2SDP 的適用策略的適用策略針對第 c、d 條要求：SDP 提供應用層的邊界防護，應用網關起到技術隔離作用。SDP 的應用對于不同的網絡分區有特別的應用，由于 SDP 是通過 SDP 控制器來控制對應的鏈接，可以通過 SDP 的控制器來管理和控制對應的區域，同時對應的連接通過 SDP 客戶端 和 SDP 網關進行交互，大大提高了訪問的可靠性和安全性。對于安全邊界的確定，SDP 有效的將其靈活性提高了，SDP 提供云平臺

55、和私有化部署，可以根據需要進行選擇部署。SDP 實現的是邊界防護，應用網關起到技術隔離作用，將應用服務器保護在網關后面，使外界掃描工具和攻擊來源無法探測到服務器地址和端口。SDP 將原本固化的邊界模糊化以減小攻擊面。302.3.3 對“8.1.2.2 通信傳輸”的適用策略2.3.3.2.3.3.1 1 本項要求包括：本項要求包括：a)應采用校驗技術保證通信過程中數據的完整性。b)應采用密碼技術保證通信過程中數據的保密性。2.3.3.2.3.3.2SDP2SDP 的適用策略的適用策略針對第 a、b 條要求：SDP 組件之間的傳輸過程使用 mTLS 進行加密傳輸，防止被篡改，保障數據的完整性，同時

56、也能防止被監聽、竊取。mTLS 基于常見的密碼學算法（如數字簽名、散列、對稱加密）。國際上使用 RSA、AES、SHA256等通用算法來實現，而國內可以使用 SM2、SM3、SM4 等國密算法來實現。2.3.4 對“8.1.3.1 邊界防護”的適用策略2 2.3.4.13.4.1 本項要求包括：本項要求包括：a)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。b)應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制。c)應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制。d)應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。2.3.4.2.3.4.2SDP

57、2SDP 的適用策略的適用策略針對第 a 條要求：SDP 作為軟件定義的邊界安全隔離產品，可以有效地提供31跨越邊界的安全訪問以及跨越邊界數據流的受控接口。由于獨特的 SDP 三組件關系，數據流僅能通過特定的客戶端和網關，且經合法授權后，方可進入另外一個內部網絡。針對第 b、c 條要求：SDP 秉承“先驗證后連接”的原則，所有的終端設備首先要到 SDP 控制器上進行身份和設備的驗證，才能被允許連接網關。當 SDP 網關部署在內部網絡以及外部網絡的邊界上時，無論是外部的非授權設備私自聯到內部網絡，還是內部用戶非授權聯到外部網絡，都可以被 SDP 網關阻止。針對第 d 條要求：SDP 網關可以部署

58、在無線網絡以及企業資源所在網絡的中間，只有通過 SDP 網關才能訪問到企業的資源，對于非授權用戶企業資源完全不可見，可以有效地防止非授權設備進入企業內部網絡訪問資源。2.3.5 對“8.1.3.2 訪問控制”的適用策略2.3.5.2.3.5.1 1 本項要求包括：本項要求包括：a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。b)應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化。c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出。d)應能根據會話狀態信息為進出數據流提供明確的允許

59、/拒絕訪問的能力。e）應對進出網絡的數據流實現基于應用協議和應用內容的訪問控制。322 2.3.5.3.5.2 2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 默認不信任任何網絡、人、設備，均需進行驗證，默認拒絕一切連接，只有驗證合法的訪問請求才被允許。并根據控制策略進行訪問控制，僅對于驗證合法用戶，允許受控端口進行通信。即便合法的用戶，也需要根據自己的權重分配賬戶和訪問權限。針對第 b 條要求：SDP 基于用戶身份與授權進行精細化、顆粒度訪問控制。針對第 c 條：SDP 會對源地址、目的地址、源端口、目的端口和協議等進行檢查，會基于上述信息進行訪問控制，以允許符合條件的數據

60、包通過，并拒絕不符合條件的數據包。針對第 d 條要求：SDP 以身份化為基礎，所以的訪問請求都需要經過身份認證并植入會話狀態信息，對所有訪問流量會檢測會話狀態信息的合法性，僅允許攜帶合法會話狀態信息的流量到達業務系統，拒絕非法訪問。針對第 e 條要求：SDP 以身份化為基礎，對所有的訪問，會檢測應用協議及應用內容，包括 https、RDP 協議等檢測，以對不同應用協議的訪問進行不同的安全檢查。2.3.6 對“8.1.3.3 入侵防護”的適用策略2.3.6.2.3.6.1 1 本項要求包括：本項要求包括：a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。b)應在關鍵網絡節點處檢測、

61、防止或限制從內部發起的網絡攻擊行為。c)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻33擊行為的分析。d)當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應提供報警。2 2.3.6.2.3.6.2 SDPSDP 的適用策略的適用策略針對第 a、b、c 條要求：SDP 網關部署在網絡資源的關鍵位置，并且記錄所有的資源訪問日志，日志上傳到 SDP 控制器，控制器對訪問行為進行分析，發現并自動阻斷網絡攻擊行為。針對第 d 條要求：SDP 網關實時記錄所有訪問日志，日志內容包括源 IP 和端口、目標 IP 和端口，訪問設備、訪問時間等信息，同

62、時對這些日志進行大數據智能分析并發出預警。2.3.7 對“8.1.3.5 安全審計”的適用策略2.3.7.2.3.7.1 1 本項要求包括：本項要求包括：a)應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。342.3.7.22.3.7.2 SDPSDP 的適用策略的適用策略SDP 的審計內容覆蓋到每個終端用戶，對于行為和重要事件進行記錄。包括日期、時間、事件等。并保存于管控平臺，并進行

63、定期備份，以防止未預期的刪除、修改和覆蓋等。針對第 a、b 條要求：SDP 審計日志默認記錄所有用戶的所有訪問日志，SDP審計日志詳細記錄日期時間、用戶、事件詳情信息。針對第 c 條要求：SDP 控制器上支持設置審計日志的保存時間，并且定期備份。2.3.8 對“8.1.4.1 身份鑒別”的適用策略2.3.8.12.3.8.1 本項要求包括：本項要求包括：a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。b)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。c)當進行遠程管理時，應采取必要措施防止鑒別信

64、息在網絡傳輸過程中被竊聽。d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。352.2.3.8.23.8.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 支持多因素認證，保證身份不易被冒用，并對密碼復雜度有強制要求。針對第 b 條要求：SDP 對登錄認證有防爆破保護，以及連接超時自動注銷保護。針對第 c 條要求：SDP 對所有數據都使用雙向 TLS（mTLS）加密傳輸，防止數據在網絡傳輸過程中被竊聽。針對第 d 條要求：SDP 支持多因素認證，包括口令、短信、動態令牌、證書、UKey、生物特征等。這

65、些鑒別技術可以采用密碼技術來實現。2.3.9 對“8.1.4.2 訪問控制”的適用策略2.3.9.12.3.9.1.本項要求包括：本項要求包括：a)應對登錄的用戶分配賬戶和權限。b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令。c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離。e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。f)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。g)應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。362.3.9.2.3.9.2SDP

66、2SDP 的適用策略的適用策略SDP 屬于訪問控制類別產品，具備賬號管理功能，能夠分配賬戶訪問與配置權限。即便合法的用戶，也需要根據自己的角色確定賬戶和訪問權限。針對第 a，b 條要求：SDP 對所有的用戶訪問都會進行授權校驗。針對第 c、d 條要求：SDP 對賬號會設置過期時間，對于長時間不登錄的賬號會禁止登錄。針對第 e 條要求：SDP 通過授權策略實現主體（用戶）訪問客體（業務系統）的訪問控制。針對第 f 條要求：SDP 的主體為用戶，能實現用戶級的的訪問控制。同時支持進程級的安全檢查，基于檢查結果進行訪問控制。同時客體為業務系統，并支持控制粒度細致到 URL 級別。2.3.10 對“8

67、.1.4.3 安全審計”的適用策略2.3.10.2.3.10.1.1.本項要求包括：本項要求包括：a)應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。d)應對審計進程進行保護，防止未經授權的中斷。372.2.3.10.23.10.2 SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 審計日志默認記錄所有用戶的所有訪問日志，SDP審計日志詳細記錄日期時間、用戶、事件詳情信息。針對第 c 條要

68、求：SDP 控制器上支持設置審計日志的保存時間，并且定期備份。針對第 d 條要求：SDP 審計模塊通過監控程序相互保護，在發生異常中斷時會通過監控程序拉起。2.3.11 對“8.1.4.4 入侵防護”的適用策略2.3.11.12.3.11.1 本項要求包括：本項要求包括：a)應遵循最小安裝的原則，僅安裝需要的組件和應用程序。b)應關閉不需要的系統服務、默認共享和高危端口。c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。d)應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合系統設定要求。e)應能發現可能存在的已知漏洞，并在經過充分測試評估后，

69、及時修補漏洞。f)應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。382.2.3.11.23.11.2 SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 本身的特性就默認關閉所有端口，拒絕一切連接，不存在共享和高危的端口，應用網關僅面向授權客戶端開放訪問權限，極大地控制了使用范圍，減小了暴露面。通過客戶端和控制器，可檢測到入侵的行為，并在發生嚴重入侵事件時提供預警。針對第 c 條要求：SDP 客戶端在連接網關之前需要先去控制器進行身份和設備的驗證，控制器可以對終端的接入方式或網絡地址范圍進行有效控制。針對第 d 條要求：SDP 客戶端和 SDP 網關之間使

70、用特殊的通信協議以及加密(mTLS)的數據傳輸，以保證數據的正確性和有效性。針對第 e 條要求：SDP 三組件（客戶端、網關、控制器）支持自動更新和升級，保證可以及時修補漏洞。針對第 f 條要求：SDP 會實時分析用戶行為，發現異常入侵行為，并阻斷和告警。2.3.12 對“8.1.4.7 數據完整性”的適用策略2.3.12.2.3.12.1 1 本項要求包括：本項要求包括：a)應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。b)應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但

71、不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數39據和重要個人信息等。2.2.3.12.23.12.2 SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 通過密碼技術對網絡傳輸進行數據加密（mTLS，即雙向 TLS），有效保障數據的完整性和保密性。2.3.13 對“8.1.4.8 數據保密性”的適用策略2.3.13.12.3.13.1 本項要求包括：本項要求包括：a)應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等；b)應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要

72、個人信息等；2 2.3.13.2.3.13.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 通過密碼技術對網絡傳輸進行數據加密（mTLS，即雙向 TLS），有效保障數據的完整性和保密性。2.3.14 對“8.1.5.4 集中管控”的適用策略2.3.14.2.3.14.1 1 本項要求包括：本項要求包括：a)應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控；40b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理；c)應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測；d)應對分散在各個設備上的審計數據進行收集匯總和集中分析

73、，并保證審計記錄的留存時間符合法律法規要求；e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理；f)應能對網絡中發生的各類安全事件進行識別、報警和分析；2.2.3.14.23.14.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 控制器對所有接入的 SDP 網關和 SDP 客戶端進行集中管控，SDP 網關作為邊界隔離設備，可以有效對網絡資源進行分區域管理。針對第 b 條要求：SDP 控制器和所有 SDP 網關和 SDP 客戶端之間的通訊都基于雙向 TLS（mTLS），保障信息傳輸的安全。針對第 c 條要求：SDP 控制器實時監控所有接入的客戶端、網關以及自身的服務

74、器狀態，并且可以在后臺提供集中檢測的用戶界面。針對第 d 條要求：SDP 控制器上支持設置審計日志的保存時間，并且定期備份。針對第 f 條要求：SDP 審計日志會基于身份進行上下文分析，識別安全事件，并告警。412.42.4 四級安全通用要求2.4.1 安全通用要求（四級）概述信息安全等級保護管理辦法 規定，國家信息安全等級保護堅持自主定級、自主保護的原則。信息系統的安全保護等級應當根據信息系統在國家安全、經濟建設、社會生活中的重要程度，信息系統遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素確定。信息系統的安全保護等級分為以下五級，一至五級等級逐級增

75、高，其中明確說明，等級保護四級要求：“適用于涉及國家安全、社會秩序和公共利益的重要信息系統，其受到破壞后，會對國家安全、社會秩序和公共利益造成損害?！币虼藢τ诘燃壉Ｗo四級中通用安全部分，其具體的要求項和 SDP 適用子項如下表所示：要求項要求子項SDP適用情況9.1.1安全物理環境9.1.1.1-9.1.1.10不適用9.1.2 安全通信網絡9.1.2.1 網絡架構適用見2.4.2.19.1.2.2 通信傳輸適用見2.4.2.29.1.2.3 可信驗證不適用9.1.3安全區域邊界9.1.3.1 邊界防護適用見2.4.2.39.1.3.2 訪問控制適用見2.4.2.49.1.3.3 入侵防范適用

76、見2.4.2.59.1.3.4 惡意代碼防范不適用9.1.3.5 安全審計適用見2.4.2.6429.1.3.6 可信驗證不適用9.1.4 安全計算環境9.1.4.1 身份鑒別適用見2.4.2.79.1.4.2 訪問控制適用見2.4.2.89.1.4.3 安全審計適用見2.4.2.99.1.4.4 入侵防范適用見2.4.2.109.1.4.5 惡意代碼防范不適用9.1.4.6 可信驗證不適用9.1.4.7 數據完整性適用見2.4.2.119.1.4.8 數據保密性適用見2.4.2.129.1.4.9 數據備份恢復不適用9.1.4.10 剩余信息保護不適用9.1.4.10個人信息保護不適用9.1

77、.5 安全管理中心9.1.5.1 系統管理不適用9.1.5.2 審計管理不適用9.1.5.3 安全管理不適用9.1.5.4 集中管控適用見2.4.2.139.1.6 安全管理制度9.1.6.1-9.1.6.4不適用9.1.7安全管理機構9.1.7.1-9.1.7.4不適用9.1.8 安全管理人員9.1.8.1-9.1.8.4不適用9.1.9 安全建設管理9.1.9.1-9.1.9.10不適用9.1.10 安全運維管理9.1.10.1-9.1.10.14不適用432.4.2 對“9.1.2.1 網絡架構”的適用策略2.4.2.2.4.2.1 1 本項要求包括：本項要求包括：a)應保證網絡設備的業

78、務處理能力滿足業務高峰期需要。b)應保證網絡各個部分的帶寬滿足業務高峰期需要。c)應劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址。d)應避免將重要網絡區域部署在邊界處，重要網絡區域與其他網絡區域之間應采取可靠的技術隔離手段。e)應提供通信線路、關鍵網絡設備和關鍵計算設備的硬件冗余，保證系統的可用性。f)應按照業務服務的重要程度分配帶寬，優先保障重要業務。2.2.4.2.14.2.1 SDPSDP 的適用策略的適用策略針對第 a、e 條要求：屬于硬件和網絡運營商能力范疇，SDP 不適用。針對第 c、d 條要求：SDP 提供應用層的邊界防護，應用網關起到技術隔離作用。SDP

79、的應用對于不同的網絡分區有特別的應用，由于 SDP 是通過 SDP 控制器來控制對應的連接訪問，可以通過 SDP 的控制器來管理和控制對應的區域，同時對應的連接通過 SDP 客戶端 和網關進行交互，大大提高了訪問的可靠性和安全性。對于安全邊界的確定，SDP 有效的將其靈活性提高了，SDP 提供云平臺和私有化部署，可以根據需要進行選擇部署。SDP 實現的是邊界防護，應用網關起到44技術隔離作用，將應用服務器保護在網關后面，使外界掃描工具和攻擊來源無法探測到服務器地址和端口。SDP 將原本固化的邊界模糊化以減小攻擊面。針對第 f 條要求：“應按照業務服務的重要程度分配帶寬，優先保障重要業務”，可通

80、過 SDP 網關定義業務流量的帶寬分配；當出現帶寬瓶頸時，對非關鍵業務系統進行限速，優先保障關鍵業務系統的帶寬。2.4.3 對“9.1.2.2 通信傳輸”的適用策略2.4.3.12.4.3.1 本項要求包括：本項要求包括：a)應采用校驗技術保證通信過程中數據的完整性。b)應采用密碼技術保證通信過程中數據的保密性。c)應在通信前基于密碼技術對通信的雙方進行驗證或認證。d)應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理。2 2.4.3.2.4.3.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：“應采用校驗技術保證通信過程中數據的完整性”，傳輸過程使用雙向 TLS（mTLS）加密

81、傳輸，防止被篡改，保障數據的完整性。針對第 b 條要求：“應采用密碼技術保證通信過程中數據的保密性”，傳輸過程使用雙向 TLS（mTLS）加密傳輸，防止被監聽、竊取。mTLS 基于常見的密碼學算法（如數字簽名、散列、對稱加密）。國際上使用 RSA、AES、SHA256 等通用算法來實現，而國內可以使用 SM2、SM3、SM4 等國密算法來實現。針對第 c 條要求：“應在通信前基于密碼技術對通信的雙方進行驗證或認證”，SDP 的傳輸過程使用雙向 mTLS 進行加密傳輸，采用基于密碼技術的數字證書及45數字簽名來進行雙向身份認證；具體應用為，在建立 TLS 握手過程中要求終端提交用戶數字證書，服務

82、端檢測終端用戶證書的合法性，同時終端也檢測服務器數字證書的合法性。針對第 d 條要求：“應基于硬件密碼模塊對重要通信過程進行密碼運算和密鑰管理”，需啟用支持國家規定的密碼算法和密鑰管理標準的 SDP 軟件或設備，同時對密碼算法和密鑰管理功能，應由國家密碼管理部門認證通過的硬件密碼模塊提供。SDP 客戶和網關建立加密通信，SDP 客戶端內置支持國密算法的 Ukey等硬件密碼模塊，SDP 網關內置符合國家商用密碼算法要求的加密卡，密碼運算使用加密卡內置加密算法，且使用加密卡進行密鑰管理。2.4.4 對“9.1.3.1 邊界防護”的適用策略2.4.4.12.4.4.1 本項要求包括：本項要求包括：a

83、)應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。b)應能夠對非授權設備私自聯到內部網絡的行為進行檢查或限制。c)應能夠對內部用戶非授權聯到外部網絡的行為進行檢查或限制。d)應限制無線網絡的使用，保證無線網絡通過受控的邊界設備接入內部網絡。e)應能夠在發現非授權設備私自聯到內部網絡的行為或內部用戶非授權聯到外部網絡的行為時，對其進行有效阻斷。f)應采用可信驗證機制對接入到網絡中的設備進行可信驗證，保證接入網絡的設備真實可信。462.4.4.22.4.4.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 作為軟件定義的邊界安全隔離產品，可以有效地提供跨越邊界的安全

84、訪問以及跨越邊界數據流的受控接口。由于獨特的 SDP 三組件關系，數據流僅能通過特定的客戶端和網關，且經合法授權后，方可進入另外一個內部網絡。針對第 b、c 條要求：SDP 秉承“先驗證后連接”的原則，所有的終端設備首先要到 SDP 控制器上進行身份和設備的驗證，才能被允許連接網關。當 SDP 網關部署在內部網絡以及外部網絡的邊界上時，無論是外部的非授權設備私自聯到內部網絡，還是內部用戶非授權聯到外部網絡，都可以被 SDP 網關阻止。針對第 d 條要求：SDP 網關可以部署在無線網絡以及企業資源所在網絡的中間，只有通過 SDP 網關才能訪問到企業的資源，對于非授權用戶企業資源完全不可見，可以有

85、效地防止非授權設備進入企業內部網絡訪問資源。針對 f 條要求：SDP 控制器對所有接入的設備進行終端環境檢查、用戶行為檢查、身份認證，保證接入到網絡的設備是身份可信、終端可信、行為可信。2.4.5 對“9.1.3.2 訪問控制”的適用策略2.4.5.12.4.5.1 本項要求包括：本項要求包括：a)應在網絡邊界或區域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信。b)應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化。47c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據包進出。d)應能根據會話狀態信息為進

86、出數據流提供明確的允許/拒絕訪問的能力。e)應在網絡邊界通過通信協議轉換或通信協議隔離等方式進行數據交換。2.2.4.5.24.5.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 默認不信任任何網絡、人、設備，均需進行驗證，默認拒絕一切連接，只有驗證合法的訪問請求才被允許。并根據控制策略進行訪問控制，僅對于驗證合法用戶，允許受控端口進行通信。即便合法的用戶，也需要根據自己的權重分配賬戶和訪問權限。針對第 b 條要求：SDP 基于用戶身份與授權進行精細化、顆粒度訪問控制。針對第 c 條要求：SDP 會對源地址、目的地址、源端口、目的端口和協議等進行檢查，會基于上述信息進行訪問控

87、制，以允許符合條件的數據包通過，并拒絕不符合條件的數據包。針對第 d 條要求：SDP 以身份化為基礎，所以的訪問請求都需要經過身份認證并植入會話狀態信息，對所有訪問流量會檢測會話狀態信息的合法性，僅允許攜帶合法會話狀態信息的流量到達業務系統，拒絕非法訪問。針對第 e 條要求：應在網絡邊界部署 SDP 代理軟件或網關設備，按照所部署訪問策略對通信協議進行轉換或隔離。482.4.6 對“9.1.3.3 入侵防護”的適用策略2.4.6.2.4.6.1 1 本項要求包括：本項要求包括：a)應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為。b)應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡

88、攻擊行為。c)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析。d)當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵事件時應提供報警。2.2.4.6.24.6.2 SDPSDP 的適用策略的適用策略針對第 a、b、c 條要求：SDP 網關部署在網絡資源的關鍵位置，并且記錄所有的資源訪問日志，日志上傳到 SDP 控制器，控制器對訪問行為進行分析，發現并自動阻斷網絡攻擊行為。針對第 d 條要求：SDP 網關實時記錄所有訪問日志，日志內容包括源 IP 和端口、目標 IP 和端口，訪問設備、訪問時間等信息，同時對這些日志進行大數據智能分析并

89、發出預警。2.4.7 對“9.1.3.5 安全審計”的適用策略2.4.7.2.4.7.1 1 本項要求包括：本項要求包括：a)應在網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計。49b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。d)應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。2.2.4.7.24.7.2 SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 審計日志默認記錄所有用戶的所有訪問

90、日志，SDP審計日志詳細記錄日期時間、用戶、事件詳情信息。針對第 c 條要求：SDP 控制器上支持設置審計日志的保存時間，并且定期備份。針對第 d 條要求：SDP 網關部署在網絡邊界上，無論是遠程訪問的用戶還是內網用戶訪問互聯網都經過網關，網關可以對每個用戶的行為做單獨審計以及數據分析。2.4.8 對“9.1.4.1 身份鑒別”的適用策略2.4.8.2.4.8.1 1 本項要求包括：本項要求包括：a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換。b)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施。5

91、0c)當進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現。2.2.4.8.24.8.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 支持多因素認證，保證身份不易被冒用，并對密碼復雜度有強制要求。針對第 b 條：SDP 對登錄認證有防爆破保護，以及連接超時自動注銷保護。針對第 c 條：SDP 對所有數據都使用雙向 TLS（mTLS）加密傳輸，防止數據在網絡傳輸過程中被竊聽。針對第 d 條：SDP 支持多因素認證，包括口令、短信、動態令牌

92、、證書、UKey等。2.4.9 對“9.1.4.2 訪問控制”的適用策略2.4.9.2.4.9.1 1 本項要求包括：本項要求包括：a)應對登錄的用戶分配賬戶和權限。b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令。c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離。e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則。51f)訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級。g)應對重要主體和客體設置安全標記，并控制主體對有安全標記信息資源的訪問。g）應對主體、客體設置安全標記，并依據安全標

93、記和強制訪問控制規則確定主體對客體的訪問。2.2.4.9.24.9.2 SDPSDP 的適用策略的適用策略針對第 a，b 條要求：SDP 屬于訪問控制類別產品，對所有的用戶訪問都會進行授權校驗。針對第 c,d 條：SDP 對賬號會設置過期時間，對于長時間不登錄的賬號會禁止登錄。針對第 e 條：SDP 通過授權策略實現主體（用戶）訪問客體（業務系統）的訪問控制。針對第 f 條：SDP 的主體為用戶，能實現用戶級的的訪問控制。同時支持進程級的安全檢查，基于檢查結果進行訪問控制。同時客體為業務系統，并支持控制粒度細致到 url 級別。針對第 g 條：應基于 SDP 的認證機制，對網絡中的主體和客體定

94、義基于身份的安全標記，并按照主體和客體的訪問關系設置訪問控制規則。2.4.10 對“9.1.4.3 安全審計”的適用策略2.4.10.12.4.10.1 本項要求包括：本項要求包括：a)應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安52全事件進行審計。b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。d)應對審計進程進行保護，防止未經授權的中斷。2.2.4.10.24.10.2 SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 審計日志默認記錄所有用戶

95、的所有訪問日志，SDP審計日志詳細記錄日期時間、用戶、事件詳情信息。針對第 c 條：SDP 控制器上支持設置審計日志的保存時間，并且定期備份。針對第 d 條要求：SDP 審計模塊通過監控程序相互保護，在發生異常中斷時會通過監控程序拉起。2.4.11 對“9.1.4.4 入侵防護”的適用策略2.4.11.2.4.11.1 1 本項要求包括：本項要求包括：a)應遵循最小安裝的原則，僅安裝需要的組件和應用程序。b)應關閉不需要的系統服務、默認共享和高危端口。c)應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制。d)應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸

96、入的內容符合系統設定要求。53e)應能發現可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞。f)應能夠檢測到對重要節點進行入侵的行為，并在發生嚴重入侵事件時提供報警。2.2.4.11.24.11.2 SDPSDP 的適用策略的適用策略針對第 a、b 條要求：SDP 本身的特性就默認關閉所有端口，拒絕一切連接，不存在共享和高危的端口，應用網關僅面向授權客戶端開放訪問權限，極大地控制了使用范圍，減小了暴露面。通過客戶端和控制器，可檢測到入侵的行為，并在發生嚴重入侵事件時提供預警。針對第 c 條要求：SDP 客戶端在連接網關之前需要先去控制器進行身份和設備的驗證，控制器可以對終端的接入方式或

97、網絡地址范圍進行有效控制。針對第 d 條要求：SDP 客戶端和 SDP 網關之間使用特殊的通信協議以及加密(mTLS)的數據傳輸，以保證數據的正確性和有效性。針對第 e 條要求：SDP 三組件（客戶端、網關、控制器）支持自動更新和升級，保證可以及時修補漏洞。針對第 f 條要求：SDP 網關部署在重要節點上，會實時分析用戶行為，發現異常入侵行為，并阻斷和告警。2.4.12 對“9.1.4.7 數據完整性”的適用策略2.4.12.12.4.12.1 本項要求包括：本項要求包括：a)應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數

98、據、重要視頻數據54和重要個人信息等。b)應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。c)在可能涉及法律責任認定的應用中，應采用密碼技術提供數據原發證據和數據接收證據，實現數據原發行為的抗抵賴和數據接收行為的抗抵賴。2.2.4.12.24.12.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 通過雙向 TLS（mTLS）進行數據加密傳輸，mTLS 基于密碼技術，可以有效保障數據的完整性。針對第 c 條要求：在網絡邊界通過部署 SDP 網關，記錄訪問過程，并增加對訪問過程

99、的主體的基于密碼學的數字簽名機制，以滿足可追溯的抗抵賴特性。2.4.13 對“9.1.4.8 數據保密性”的適用策略2.4.13.12.4.13.1 本項要求包括：本項要求包括：a)應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。b)應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據、重要業務數據和重要個人信息等。2.2.4.13.24.13.2 SDPSDP 的適用策略的適用策略針對第 a 條要求：SDP 通過雙向 TLS（mTLS）進行數據加密傳輸。mTLS 基55于密碼技術，可以有效保障數據的保密性。2.4.14 對“

100、9.1.5.4 集中管控”的適用策略2.4.14.2.4.14.1 1 本項要求包括：本項要求包括：a)應劃分出特定的管理區域，對分布在網絡中的安全設備或安全組件進行管控。b)應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或安全組件進行管理。c)應對網絡鏈路、安全設備、網絡設備和服務器等的運行狀況進行集中監測。d)應對分散在各個設備上的審計數據進行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規要求。e)應對安全策略、惡意代碼、補丁升級等安全相關事項進行集中管理。f)應能對網絡中發生的各類安全事件進行識別、報警和分析。2.2.4.14.24.14.2 SDPSDP 的適用策略的適

101、用策略針對第 a 條要求：SDP 控制器對所有接入的 SDP 網關和 SDP 客戶端進行集中管控，SDP 網關作為邊界隔離設備，可以有效對網絡資源進行分區域管理。針對第 b 條要求：SDP 控制器和所有 SDP 網關和 SDP 客戶端之間的通訊都基于雙向 TLS（mTLS），保障信息傳輸的安全。針對第 c 條要求：SDP 控制器實時監控所有接入的客戶端、網關以及自身的服務器狀態，并且可以在后臺提供集中檢測的用戶界面。針對第 d 條要求：SDP 控制器上支持設置審計日志的保存時間，并且定期備56份。針對第 f 條要求：SDP 審計日志會基于身份進行上下文分析，識別安全事件，并告警。2.4.15

102、SDP 應用于等級保護（四級）的合規注意事項SDP 應用于等級保護四級系統時，應注意參照相關的國家或行業標準來選擇落地方案的產品和方案功能。等保條例依據網絡產品和服務安全審查辦法（試行）和網絡關鍵設備和網絡安全專用產品目錄，要求第三級及以上網絡的網絡運營者應采用與其安全保護等級相適應的網絡產品和服務，對重要部位使用的網絡產品應通過專業機構的測評或認證。SDP 在執行層面以密碼技術作為支撐性技術，包括身份認證、授權管理、安全傳輸、安全審計等功能，其內部均采用了相應的密碼技術。等保四級系統屬于較高的安全等級系統，在上一節的分析中我們可以看到，在等保四級系統中，對密碼技術的深入應用和合規要求相較其他

103、級別更為突出和明確，因此在采用 SDP構建四級系統時，需要重點關注密碼技術對 SDP 安全能力的提升，并充分考慮密碼國家標準或行業標準的約束。同時，絕大多數涉及國家安全、國計民生、社會公共利益或重要領域的核心業務，也會與關鍵基礎設施的范圍存在較大的重疊，在 2020 年生效的密碼法作如下規定：“第二十七條法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測57評?！痹诖宋陌l表的時間段，

104、還沒有明確的關于密碼應用安全性評估與等保測評的關系表述，但隨著法律實施效果的顯現，可以預見 SDP 在高安全等級網絡中的應用會要求滿足對應的密碼測評要求。在等級保護四級以上系統中，應注意 SDP所采用的密碼算法，密鑰管理和密碼產品或模塊應用的合規性。此外，等級保護 2.0 標準體系中要求信息安全產品和密碼產品與服務的采購使用應符合國家有關規定。因此，SDP 的實施者應當明確自己采購、使用或租用的產品的合規情況，以及外部網絡服務提供者的相關資質，了解可能存在的安全風險。需要特殊注意的是，在密碼國家標準GM/T0054-2018 信息系統密碼應用基本要求第 7.2.5 節中，等保四級系統相較三級系

105、統的增加要求如下：“應基于符合 GM/T0028 的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼產品實現密碼運算和密鑰管理?！痹?SDP 中常見的密碼模塊或密碼產品包括但不限于：TPM 芯片、密碼卡、密碼機、VPN、安全網關、密碼中間件、軟件密碼模塊、密鑰管理系統等。根據標準的要求，在四級系統中構建 SDP，應自查所采用的密碼模塊或密碼產品是否滿足三級以上的產品資質要求。583 SDP 滿足等保 2.0 云計算安全擴展要求3.1 概述在云計算環境中，由于計算、存儲和網絡等元素都被資源池化，虛擬機所在的物理位置和網絡位置都可能頻繁發生變化，因而造成了傳統的網絡安全防護手段無法有效應對云

106、計算環境的情況。云計算環境中由于其資源規模決定了承載業務的種類和數量也非常龐大，多租戶資源共享也決定了不能像已有的技術按照資源的物理位置、固定的網絡訪問接入以及靜態的身份信任驗證體系來架構云計算環境的安全。因此，在等保 2.0 的技術合規要求中，除了基本要求外，針對云計算還有單獨的擴展要求。除了在云計算環境內部，云的用戶也與傳統環境有著顯著的不同。云的用戶總是來自于云外，這意味著用戶都是遠程接入到云中來的，很難保證他們都有固定的網絡地址，需要能夠動態的賦予用戶訪問權限。云環境本身和云的用戶都存在很大的不確定性，使得安全通信網絡成為了等級保護 2.0 中最具挑戰性的部分之一。軟件定義邊界（SDP

107、）恰好給這種情況提供了一種行之有效的應對思路。與一般的先建立連接，然后進行鑒權的方式不同，SDP 要求首先進行身份鑒別，確定對應的訪問權限和策略，然后才允許與相對應的服務建立連接。SDP 是以用戶為中心的，而沒有基于預設的發起方（IH）和接受方（AH）的地址，因而能夠在內外部環境，尤其是網絡地址和拓撲都持續發生變化的情況下，提供可靠的隔離和訪問控制手段。CSA 提出采用以身份體系代替物理位置、網絡區域的 SDP59零信任架構逐漸獲得業界認可。雖然 SDP 的具體實現方式不在本文的討論范圍之內，但是 SDP 控制器（Controller）和 SDP 網關（Gateway）的形態確實對其部署位置有

108、較大的影響，而這又進而關系到 SDP 在什么層面上，實現了什么粒度的訪問控制能力。因此，在敘述 SDP 在云計算環境中的適用策略之前，我們需要根據 SDP 網關的形態和部署位置，將 SDP 的在云計算環境下的部署分為以下幾種方式。內嵌式部署：SDP 網關以插件的形式部署在每個虛擬機上。這種部署方式下用戶能夠定義任意兩臺虛擬機之間的訪問策略，從而實現虛機級別的細粒度隔離和訪問控制。但這種部署方式需要將 Agent 內嵌到用戶的系統中，并占用部分用戶計算資源。虛擬網元部署：SDP 網關作為單獨的網元部署在云計算環境中?？梢允翘摂M化部署在每臺宿主機上（可為不同宿主機上的虛機提供隔離和訪問控制）或者每

109、個租戶私有網絡內（可為不同租戶間的虛機提供隔離和訪問控制），取決于用戶所需的訪問策略需求。物理網元部署：SDP 網關以單獨形態部署在云邊界。這種部署方式提供的隔離和訪問控制粒度較粗，能夠實現云內云外互訪的訪問策略需求。用戶可以根據實際環境需要，選擇其中的一種方式或組合使用幾種方式部署SDP Gateway。接下來的章節將分別介紹 SDP 在等級保護 2.0 中對第二、三、四級云計算安全擴展要求的適用情況和具體適用策略。603.23.2 云計算安全擴展二級要求等級保護 2.0 第二級要求中，SDP 能夠幫助用戶滿足或部分滿足的條目如下表所示。要求項要求子項SDP適用情況7.2.1 安全物理環境7

110、.2.1.1 基礎設施位置不適用7.2.2 安全通信網絡7.2.2.1 網絡架構適用，見3.07.2.3 安全區域邊界7.2.3.1 訪問控制適用，見3.07.2.3.2 入侵防范適用，見3.07.2.3.3 安全審計適用，見3.07.2.4 安全計算環境7.2.4.1 訪問控制適用，見3.07.2.4.2 鏡像和快照保護不適用7.2.4.3 數據完整性和保密性不適用7.2.4.4 數據備份恢復不適用7.2.4.5 剩余信息保護不適用7.2.5 安全建設管理7.2.5.1 云服務商選擇不適用7.2.5.2 供應鏈管理不適用7.2.6 安全運維管理7.2.6.1 云計算環境管理不適用613.2.

111、1 對“7.2.2.1 網絡架構”的適用策略3.2.1.13.2.1.1 本項要求包括：本項要求包括：a)應保證云計算平臺不承載高于其安全保護等級的業務應用系。b)應實現不同云服務客戶虛擬網絡之間的隔離。c)應具有根據云服務客戶業務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。3.2.1.23.2.1.2 SDPSDP 的適用策略的適用策略可通過內嵌式或虛擬網元部署 SDP 網關滿足：采用內嵌式部署或虛擬網元部署（于每個租戶私有網絡內）的方式部署 SDP網關，能夠幫助滿足 b)項的隔離的要求。SDP 控制器和網關保證用戶設備的 SDP客戶端只能連接到有訪問權限的對應云服務，不同客戶的用

112、戶及其對應的云服務對其他云服務客戶隱藏，“拒絕所有”的防火墻和強制的單包授權（SPA）機制能夠實現不同業務的充分隔離。SDP 架構強制要求所有的數據通信采用雙向 TLS（mTLS）或 IPsec/IKE 機制保證云服務客戶的用戶與服務之間始終通過采用強加密隧道，保證通信傳輸安全，實現 c)中通信傳輸保護；通過控制器下發安全策略，可以細粒度配置用戶的傳輸參數(如加密套件)。SDP 不實現靜態的基于物理位置的安全邊界保護，不實現傳統意義上分區保護，取而代之的，是以用戶為中心，動態定義應用訪問的范圍。傳統的物理網絡的邊界已被打破，實現了更具彈性，動態變化的邊界保護；SDP 在架構定義上，不強調入侵檢

113、測，入侵防范?！熬芙^所有”的防火墻和強制的62單包授權（SPA）機制能有效防止入侵，且完善的日志和訪問記錄將記錄入侵者留下的痕跡，攻擊者入侵時被 SDP 丟棄的數據包也會提供可以被用于分析的證據和數據，用以改善防御和/或起訴攻擊者。3.2.2 對“7.2.3.1 訪問控制”的適用策略3.2.2.13.2.2.1 本項要求包括：本項要求包括：a)應在虛擬化網絡邊界部署訪問控制機制，并設置訪問控制規則。b)應在不同等級的網絡區域邊界部署訪間控制機制，設置訪問控制規則。3.2.2.23.2.2.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元或物理網元部署 SDP 網關滿足：SDP 網關

114、因實現代理的層次不同，可以實現網絡層到應用層不同協議層級的訪問控制。以 SDP 網關為邊界，隱藏服務/服務器。SDP 提供嚴格的訪問控制機制，用戶和客戶需要使用的云服務只有在向 SDP 控制器和網關環境中注冊后才能訪問，且用戶只能通過確定的客戶端才能訪問有適當訪問權限的服務。3.2.3 對“7.2.3.2 入侵防范”的適用策略3.2.3.13.2.3.1 本項要求包括：本項要求包括：a)應能檢測到云服務客戶發起的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等。b)應能檢測到對虛擬網絡節點的網絡攻擊行為，并能記錄攻擊類型、攻擊63時間、攻擊流量等。c)應能檢測到虛擬機與宿主機、虛擬機與虛擬

115、機之間的異常流量。3.2.3.23.2.3.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關部分滿足：用戶及其使用的設備必須在 SDP 控制器注冊，且在訪問服務時經過嚴格驗證。通過內嵌式部署 SDP 網關，可以幫助用戶迅速檢測虛擬機與宿主機、虛擬機與虛擬機之間不符合訪問策略的異常訪問行為，并提供攻擊的具體記錄，部分滿足本項中的要求。對于符合訪問策略的網絡攻擊行為，SDP 需要結合行為日志大數據分析的軟件，通過對用戶行為的建模以及異常檢測，發現攻擊行為并且發出預警。3.2.4 對“7.2.3.3 安全審計”的適用策略3.2.4.13.2.4.1 本項要求包括：本項要求包括：a

116、)應對云服務商和云服務客戶在遠程管理時執行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啟；b)應保證云服務商對云服務客戶系統和數據的操作可被云服務客戶審計。3.2.4.23.2.4.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元部署 SDP 網關部分滿足：云服務商和云計算客戶需要經過 SDP 網關實現云資源遠程管理以及數據的操作，識別相關管理操作行為，以日志的方式保存到 SDP 控制器，滿足 a)和 b）64項要求。3.2.5 對“7.2.4.1 訪問控制”的適用策略3.2.5.13.2.5.1 本項要求包括：本項要求包括：a)應保證當虛擬機遷移時，訪問控制策略隨其遷移。b)

117、應允許云服務客戶設置不同虛擬機之間的訪問控制策略。3.2.5.23.2.5.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關滿足：虛擬機在遷移時，若其網絡地址不發生變化，則原訪問控制策略將仍然生效；若其網絡地址發生變化，將重新觸發到 SDP 控制器的認證，訪問策略也將隨之更新。云服務客戶可以通過 SDP 控制器集中配置不同虛擬機之間的訪問控制策略。3.33.3 云計算安全擴展三級要求等級保護 2.0 第三級要求中，SDP 能夠幫助用戶滿足或部分滿足的條目如下表所示。要求項要求子項SDP適用情況8.2.1 安全物理環境8.2.1.1 基礎設施位置不適用8.2.2 安全通信網絡

118、8.2.2.1 網絡架構部分適用，見3.08.2.3 安全區域邊界8.2.3.1 訪問控制適用，見3.08.2.3.2 入侵防范適用，見3.0658.2.3.3 安全審計適用，見3.08.2.4 安全計算環境8.2.4.1 身份鑒別適用，見3.08.2.4.2 訪問控制適用，見3.08.2.4.3 入侵防范適用，見3.08.2.4.4 鏡像和快照保護不適用8.2.4.5 數據完整性和保密性不適用8.2.4.6 數據備份恢復不適用8.2.4.7 剩余信息保護不適用8.2.5 安全管理中心8.2.5.1 集中管控部分適用，見3.08.2.6 安全建設管理8.2.6.1 云服務商選擇不適用8.2.6

119、.2 供應鏈管理不適用8.2.7 安全運維管理8.2.7.1 云計算環境管理不適用3.3.1 對“8.2.2.1 網絡架構”的適用策略3.3.1.13.3.1.1 本項要求包括：本項要求包括：a)應保證云計算平臺不承載高于其安全保護等級的業務應用系統。b)應實現不同云服務客戶虛擬網絡之間的隔離。c)應具有根據云服務客戶業務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。d)應具有根據云服務客戶業務需求自主設置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略。66e)應提供開放接口或開放性安全服務，允許云服務客戶接入第三方安全產品或在云計算平臺選擇第三方安全服務。3.3.1.2

120、3.3.1.2 SDPSDP 的適用策略的適用策略可通過內嵌式或虛擬網元部署 SDP 網關部分滿足：采用內嵌式部署或虛擬網元部署（于每個租戶私有網絡內）的方式部署 SDP網關，能夠幫助滿足 b)項的隔離的要求。SDP 控制器和網關保證用戶設備的 SDP客戶端只能連接到有訪問權限的對應云服務，不同客戶的用戶及其對應的云服務對其他云服務客戶隱藏，“拒絕所有”的防火墻和強制的單包授權（SPA）機制能夠實現不同業務的充分隔離。SDP 架構強制要求所有的數據通信采用雙向 TLS（mTLS）或 IPsec/IKE 機制保證云服務客戶的用戶與服務之間始終通過采用強加密隧道，保證通信傳輸安全，實現 c)中通信

121、傳輸保護；通過控制器下發安全策略，可以細粒度配置用戶的傳輸參數(如加密套件)。SDP 不實現靜態的基于物理位置的安全邊界保護，不實現傳統意義上分區保護，取而代之的，是以用戶為中心，動態定義應用訪問的范圍。傳統的物理網絡的邊界已被打破，實現了更具彈性，動態變化的邊界保護；SDP 在架構定義上，不強調入侵檢測，入侵防范?！熬芙^所有”的防火墻和強制的單包授權（SPA）機制能有效防止入侵，且完善的日志和訪問記錄將記錄入侵者留下的痕跡，攻擊者入侵時被 SDP 丟棄的數據包也會提供可以被用于分析的證據和數據，用以改善防御和/或起訴攻擊者。SDP 控制器實現安全控制中心功能，能夠幫助滿足 d）項的要求。它能

122、夠確定用戶的客戶端設備及云服務客戶業務之間的對應關系，具備統一安全策略配置67管理能力。它能夠支持云服務客戶根據業務需求自主設置安全策略和訪問方式，包括定義訪問路徑、選擇安全組件、配置安全策略。同時，SDP 控制器，可以跟云平臺配合，將 SDP 網關與業務實現自動網絡編排。a）和 e）項要求屬于管理實踐的范疇，不在 SDP 支持的范圍之內，還需要結合其他措施實現本項的要求。3.3.2 對“8.2.3.1 訪問控制”的適用策略3.3.2.13.3.2.1 本項要求包括：本項要求包括：a)應在虛擬化網絡邊界部署訪問控制機制，并設置訪問控制規則。b)應在不同等級的網絡區域邊界部署訪間控制機制，設置訪

123、問控制規則。3.3.2.23.3.2.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元或物理網元部署 SDP 網關滿足：SDP 網關因實現代理的層次不同，可以實現網絡層到應用層不同協議層級的訪問控制。以 SDP 網關為邊界，隱藏服務/服務器。SDP 提供嚴格的訪問控制機制，用戶和客戶需要使用的云服務只有在向 SDP 控制器和網關環境中注冊后才能訪問，且用戶只能通過確定的客戶端才能訪問有適當訪問權限的服務。3.3.3 對“8.2.3.2 入侵防范”的適用策略3.3.3.13.3.3.1 本項要求包括：本項要求包括：a)應能檢測到云服務客戶發起的網絡攻擊行為，并能記錄攻擊類型、攻擊68

124、時間、攻擊流量等。b)應能檢測到對虛擬網絡節點的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等。c)應能檢測到虛擬機與宿主機、虛擬機與虛擬機之間的異常流量。d)應在檢測到網絡攻擊行為、異常流量情況時進行告警。3.3.3.23.3.3.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關滿足：用戶及其使用的設備必須在 SDP 控制器注冊，且在訪問服務時經過嚴格驗證。通過內嵌式部署 SDP 網關，可以幫助用戶迅速檢測虛擬機與宿主機、虛擬機與虛擬機之間不符合訪問策略的異常訪問行為，并提供攻擊的具體記錄，部分滿足本項中的要求。對于符合訪問策略的網絡攻擊行為，SDP 需要結合行為日

125、志大數據分析的軟件，通過對用戶行為的建模以及異常檢測，發現攻擊行為并且發出預警。3.3.4 對“8.2.3.3 安全審計”的適用策略3.3.4.13.3.4.1 本項要求包括：本項要求包括：a）應對云服務商和云服務客戶在遠程管理時執行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啟。b)應保證云服務商對云服務客戶系統和數據的操作可被云服務客戶審計。693.3.4.23.3.4.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元部署 SDP 網關部分滿足：云服務商和云計算客戶需要經過 SDP 網關實現云資源遠程管理以及數據的操作，識別相關管理操作行為，以日志的方式，保存到 SDP 控

126、制器，滿足 a）和b）項要求。3.3.5 對“8.2.4.1 身份鑒別”的適用策略3.3.5.13.3.5.1 本項要求包括：本項要求包括：當遠程管理云計算平臺中設備時，管理終端和云計算平臺之間應建立雙向身份驗證機制。3.3.5.23.3.5.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元部署 SDP 網關滿足：SDP 保護云計算平臺及其中的設備，對未經授權的遠程管理終端不可見。采用任意一種部署方式，管理終端和云計算平臺均需與 SDP 控制器進行身份認證，方能建立連接進行訪問，即可滿足本項要求。強制雙向 TLS（mTLS）通信方式，而 mTLS 本身就是一個雙向身份認證的機制，確

127、保通信傳輸安全。云計算平臺可集成 SDP 控制器，并提供網關。703.3.6 對“8.2.4.2 訪問控制”的適用策略3.3.6.13.3.6.1 本項要求包括：本項要求包括：a)應保證當虛擬機遷移時，訪問控制策略隨其遷移。b)應允許云服務客戶設置不同虛擬機之間的訪問控制策略。3.3.6.23.3.6.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關滿足：虛擬機在遷移時，若其網絡地址不發生變化，則原訪問控制策略將仍然生效；若其網絡地址發生變化，將重新觸發到 SDP 控制器的認證，訪問策略也將隨之更新。云服務客戶可以通過 SDP 控制器集中配置不同虛擬機之間的訪問控制策略。3

128、.3.7 對“8.2.4.3 入侵防范”的適用策略3.3.7.13.3.7.1 本項要求包括：本項要求包括：a)應能檢測虛擬機之間的資源隔離失效，并進行告警。b)應能檢測非授權新建虛擬機或者重新啟用虛擬機，并進行告警。c)應能夠檢測惡意代碼感染及在虛擬機間蔓延的情況，并進行告警。3.3.7.23.3.7.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關部分滿足：通過內嵌式部署 SDP 網關，可以幫助用戶檢測虛擬機與宿主機、虛擬機與71虛擬機之間不符合訪問策略的異常訪問行為，滿足本項中 a)、b)的要求，滿足本項中 c)的要求。SDP 無法直接檢測惡意代碼的感染，但是感染惡意

129、代碼的虛機，要實現虛機之間的蔓延，需要觸發相應的網絡的請求。這類請求首先需要獲得 SDP 控制器授權，虛機之間的直接訪問，會被直接拒絕或者通過 SPA 機制，實現靜默丟棄。這在很大程度上，可以阻止惡意代碼在虛機間的蔓延。SDP 客戶端軟件保證只有合法連接才能建立，并能夠及時檢測非法連接（資源隔離失效）和非法連接嘗試（非授權新建虛擬機或者重新啟用虛擬機），并進行記錄和告警。3.3.8 對“8.2.5.1 集中管控”的適用策略3.3.8.13.3.8.1 本項要求包括：本項要求包括：a)應能對物理資源和虛擬資源按照策略做統一管理調度與分配。b)應保證云計算平臺管理流量與云服務客戶業務流量分離。c)

130、應根據云服務商和云服務客戶的職責劃分，收集各自控制部分的審計數據并實現各自的集中審計。d)應根據云服務商和云服務客戶的職責劃分，實現各自控制部分，包括虛擬化網絡、虛擬機、虛擬化安全設備等的運行狀況的集中監測。3.3.8.23.3.8.2 SDPSDP 的適用策略的適用策略SDP 作為網絡隔離和訪問控制的手段，通過 SDP 控制器進行集中配置，因此可作為集中管控的一部分，部分滿足本項中的相關要求。72云計算平臺管理與云服務業務是兩種不同的業務，由不同的業務服務/服務器提供。云計算平臺管理流量和云服務業務流量分別從不同的用戶端設備流向不同的目標服務/服務器，SDP 將目標服務/服務器隱藏，用戶只能

131、從確定的客戶端設備才能發現對應的隱藏服務/服務器并發起訪問；類似的，被隱藏的服務/服務器只會接受對應的用戶從確定的客戶端設備發起的連接。3.43.4 云計算安全擴展四級要求等級保護 2.0 第四級要求中，SDP 能夠幫助用戶滿足或部分滿足的條目如下表所示。要求項要求子項SDP適用情況9.2.1 安全物理環境9.2.1.1 基礎設施位置不適用9.2.2 安全通信網絡9.2.2.1 網絡架構適用，見09.2.3 安全區域邊界9.2.3.1 訪問控制適用，見09.2.3.2 入侵防范適用，見09.2.3.3 安全審計部分適用，見09.2.4 安全計算環境9.2.4.1 身份鑒別適用，見09.2.4.

132、2 訪問控制適用，見09.2.4.3 入侵防范適用，見09.2.4.4 鏡像和快照保護不適用9.2.4.5 數據完整性和保密不適用73性9.2.4.6 數據備份恢復不適用9.2.4.7 剩余信息保護不適用9.2.5 安全管理中心9.2.5.1 集中管控適用，見09.2.6 安全建設管理9.2.6.1 云服務商選擇不適用9.2.6.2 供應鏈管理不適用9.2.7 安全運維管理9.2.7.1 云計算環境管理不適用3.4.1 對“9.2.2.1 網絡架構”的適用策略3.4.1.13.4.1.1 本項要求包括：本項要求包括：a)應保證云計算平臺不承載高于其安全保護等級的業務應用系統。b)應實現不同云服

133、務客戶虛擬網絡之間的隔離。c)應具有根據云服務客戶業務需求提供通信傳輸、邊界防護、入侵防范等安全機制的能力。d)應具有根據云服務客戶業務需求自主設置安全策略的能力，包括定義訪問路徑、選擇安全組件、配置安全策略。e)應提供開放接口或開放性安全服務，允許云服務客戶接入第三方安全產品或在云計算平臺選擇第三方安全服務。f)應提供對虛擬資源的主體和客體設置安全標記的能力，保證云服務客戶可以依據安全標記和強制訪間控制規則確定主體對客體的訪問。g)應提供通信協議轉換或通信協議隔離等的數據交換方式，保證云服務客74戶可以根據業務需求自主選擇邊界數據交換方式。h)應為第四級業務應用系統劃分獨立的資源池。3.4.

134、1.23.4.1.2 SDPSDP 的適用策略的適用策略可通過內嵌式或虛擬網元部署 SDP 網關部分滿足：采用內嵌式部署或虛擬網元部署（于每個租戶私有網絡內）的方式部署 SDP網關，能夠幫助滿足 b)、f)兩項的隔離和訪問控制要求。SDP 控制器和網關保證用戶設備的 SDP 客戶端只能連接到有訪問權限的對應云服務，不同客戶的用戶及其對應的云服務對其他云服務客戶隱藏，“拒絕所有”的防火墻和強制的單包授權（SPA）機制能夠實現不同業務的充分隔離。SDP 架構強制要求所有的數據通信采用雙向 TLS（mTLS）或 IPsec/IKE 機制保證云服務客戶的用戶與服務之間始終通過采用強加密隧道，保證通信傳

135、輸安全，實現 c)中通信傳輸保護；通過控制器下發安全策略，可以細粒度配置用戶的傳輸參數(如加密套件)。SDP 不實現靜態的基于物理位置的安全邊界保護，不實現傳統意義上分區保護，取而代之的，是以用戶為中心，動態定義應用訪問的范圍。傳統的物理網絡的邊界已被打破，實現了更具彈性，動態變化的邊界保護；SDP 在架構定義上，不強調入侵檢測，入侵防范?！熬芙^所有”的防火墻和強制的單包授權（SPA）機制能有效防止入侵，且完善的日志和訪問記錄將記錄入侵者留下的痕跡，攻擊者入侵時被 SDP 丟棄的數據包也會提供可以被用于分析的證據和數據，用以改善防御和/或起訴攻擊者。SDP 控制器實現安全控制中心功能，能夠幫助

136、滿足 d)項的要求。它能夠確定用戶的客戶端設備及云服務客戶業務之間的對應關系，具備統一安全策略配置75管理能力。它能夠支持云服務客戶根據業務需求自主設置安全策略和訪問方式，包括定義訪問路徑、選擇安全組件、配置安全策略。同時，SDP 控制器，可以跟云平臺配合，將 SDP 網關與業務實現自動網絡編排。a）和 e）項要求屬于管理實踐的范疇，不在 SDP 支持的范圍之內，還需要結合其他措施實現本項的要求。3.4.2 對“9.2.3.1 訪問控制”的適用策略3.4.2.13.4.2.1 本項要求包括：本項要求包括：a)應在虛擬化網絡邊界部署訪問控制機制，并設置訪問控制規則。b)應在不同等級的網絡區域邊界

137、部署訪間控制機制，設置訪問控制規則。3.4.2.23.4.2.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元或物理網元部署 SDP 網關滿足：等級保護 2.0 中的第四級要求不同等級的網絡必須物理隔離，因此，采用物理網元部署的 SDP 網關即可滿足本項所有要求。3.4.3 對“9.2.3.2 入侵防范”的適用策略3.4.3.13.4.3.1 本項要求包括：本項要求包括：a)應能檢測到云服務客戶發起的網絡攻擊行為，并能記錄攻擊類型、攻擊時間、攻擊流量等。b)應能檢測到對虛擬網絡節點的網絡攻擊行為，并能記錄攻擊類型、攻擊76時間、攻擊流量等。c)應能檢測到虛擬機與宿主機、虛擬機與虛擬

138、機之間的異常流量。d)應在檢測到網絡攻擊行為、異常流量情況時進行告警。3.4.3.23.4.3.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關滿足：用戶及其使用的設備必須在 SDP 控制器注冊，且在訪問服務時經過嚴格驗證。通過內嵌式部署 SDP 網關，可以幫助用戶迅速檢測虛擬機與宿主機、虛擬機與虛擬機之間不符合訪問策略的異常訪問行為，并提供攻擊的具體記錄，部分滿足本項中從 c)、d)的要求。對于符合訪問策略的網絡攻擊行為，SDP 需要結合行為日志大數據分析的軟件，通過對用戶行為的建模以及異常檢測，發現攻擊行為并且發出預警。3.4.4 對“9.2.3.3 安全審計”的適用策

139、略3.4.4.13.4.4.1 本項要求包括：本項要求包括：a)應對云服務商和云服務客戶在遠程管理時執行的特權命令進行審計,至少包括虛擬機刪除、虛擬機重啟。b)應保證云服務商對云服務客戶系統和數據的操作可被云服務客戶審計。3.4.4.23.4.4.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元部署 SDP 網關部分滿足：云服務商和云計算客戶需要經過 SDP 網關實現云資源遠程管理和數據的操77作，識別相關管理操作行為，以日志的方式，保存到 SDP 控制器，滿足 a)和 b）項要求。3.4.5 對“9.2.4.1 身份鑒別”的適用策略3.4.5.13.4.5.1 本項要求包括：本項

140、要求包括：當遠程管理云計算平臺中設備時，管理終端和云計算平臺之間應建立雙向身份驗證機制。3.4.5.23.4.5.2 SDPSDP 的適用策略的適用策略可通過內嵌式、虛擬網元或物理網元部署 SDP 網關滿足：SDP 保護云計算平臺及其中的設備，對未經授權的遠程管理終端不可見。采用任意一種部署方式，管理終端和云計算平臺均需與 SDP 控制器進行身份認證，方能建立連接進行訪問，即可滿足本項要求。強制雙向 TLS（mTLS）通信方式，而 mTLS 本身就是一個雙向身份認證的機制，確保通信傳輸安全。云計算平臺可集成 SDP 控制器，并提供網關。3.4.6 對“9.2.4.2 訪問控制”的適用策略3.4

141、.6.13.4.6.1 本項要求包括：本項要求包括：a)應保證當虛擬機遷移時，訪問控制策略隨其遷移；b)應允許云服務客戶設置不同虛擬機之間的訪問控制策略。783.4.6.23.4.6.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關滿足：虛擬機在遷移時，若其網絡地址不發生變化，則原訪問控制策略將仍然生效；若其網絡地址發生變化，將重新觸發到 SDP 控制器的認證，訪問策略也將隨之更新。云服務客戶可以通過 SDP 控制器集中配置不同虛擬機之間的訪問控制策略。3.4.7 對“9.2.4.3 入侵防范”的適用策略3.4.7.13.4.7.1 本項要求包括：本項要求包括：a)應能檢測

142、虛擬機之間的資源隔離失效，并進行告警。b)應能檢測非授權新建虛擬機或者重新啟用虛擬機，并進行告警。c)應能夠檢測惡意代碼感染及在虛擬機間蔓延的情況，并進行告警。3.4.7.23.4.7.2 SDPSDP 的適用策略的適用策略可通過內嵌式部署 SDP 網關部分滿足：通過內嵌式部署 SDP 網關，可以幫助用戶檢測虛擬機與宿主機、虛擬機與虛擬機之間不符合訪問策略的異常訪問行為，滿足本項中 a)、b)的要求，滿足本項中 c)的要求。SDP 無法直接檢測惡意代碼的感染，但是感染惡意代碼的虛機，要實現虛機之間的蔓延，需要觸發相應的網絡的請求。這類請求首先需要獲得 SDP 控制器授權，虛機之間的直接訪問，會

143、被直接拒絕或者通過 SPA 機制，實現靜默丟棄。79這在很大程度上，可以阻止惡意代碼在虛機間的蔓延。SDP 客戶端軟件保證只有合法連接才能建立，并能夠及時檢測非法連接（資源隔離失效）和非法連接嘗試（非授權新建虛擬機或者重新啟用虛擬機），并進行記錄和告警。3.4.8 對“9.2.5.1 集中管控”的適用策略3.4.8.13.4.8.1 本項要求包括：本項要求包括：a)應能對物理資源和虛擬資源按照策略做統一管理調度與分配。b)應保證云計算平臺管理流量與云服務客戶業務流量分離。c)應根據云服務商和云服務客戶的職責劃分，收集各自控制部分的審計數據并實現各自的集中審計。d)應根據云服務商和云服務客戶的職

144、責劃分，實現各自控制部分，包括虛擬化網絡、虛擬機、虛擬化安全設備等的運行狀況的集中監測。3.4.8.23.4.8.2 SDPSDP 的適用策略的適用策略SDP 作為網絡隔離和訪問控制的手段，通過 SDP 控制器進行集中配置，因此可作為集中管控的一部分，部分滿足本項中的相關要求。云計算平臺管理與云服務業務是兩種不同的業務，由不同的業務服務/服務器提供。云計算平臺管理流量和云服務業務流量分別從不同的用戶端設備流向不同的目標服務/服務器，SDP 將目標服務/服務器隱藏，用戶只能從確定的客戶端設備才能發現對應的隱藏服務/服務器并發起訪問；類似的，被隱藏的服務/服務器只會接受對應的用戶從確定的客戶端設備

145、發起的連接。804 SDP滿足等保2.0移動互聯安全擴展要求4.1 概述“等保 2.0”對移動互聯應用場景進行了說明，指出采用移動互聯技術的等級保護對象其移動互聯部分由移動終端、移動應用和無線網絡三部分組成，移動終端通過無線通道連接無線接入設備接入，無線接入網關通過訪問控制策略限制移動終端的訪問行為，后臺的移動終端管理系統負責對移動終端的管理，包括向客戶端軟件發送移動設備管理、移動應用管理和移動內容管理策略等。移動互聯應用架構如下圖所示：圖：移動互聯應用架構移動互聯安全擴展要求是針對移動終端、移動應用和無線網絡提出的特殊安全要求,它們與安全通用要求一起構成針對采用移動互聯技術的等級保護對象的完

146、整安全要求。移動互聯安全擴展要求涉及的控制點包括無線接入點的物理位置、無線和有線網絡之間的邊界防護、無線和有線網絡之間的訪問控制、無線和81有線網絡之間的入侵防范,移動終端管控、移動應用管控、移動應用軟件采購、移動應用軟件開發和配置管理。軟件定義邊界（SDP）基于零信任安全理念，可以很好的保護跨網絡的安全性。與一般的先建立連接，然后進行鑒權的方式不同，SDP 要求首先進行身份鑒別，確定對應的訪問權限和策略，然后才允許與相對應的服務建立連接，無論是在固定網絡和移動網絡，都能提供可靠的隔離和訪問控制。在移動互聯網擴展中，可以采用多種 SDP 部署方式。內嵌式部署：SDP 功能以插件的形式部署在移動

147、互聯網終端和移動應用服務端。這種部署方式下用戶能夠定義任意兩臺設備之間的訪問策略，從而實現終端級別的細粒度隔離和訪問控制。但這種部署方式需要將Agent 內嵌到用戶的系統中，并占用部分用戶計算資源。應用側網關部署：SDP 網關作為單獨的網元部署在移動互聯網環境中，部署在移動應用服務端前端位置。SDP 網關和移動互聯網服務端通過可信網絡連接。SDP 網關方式可以方便的實現應用側的過渡，而不需要服務端更改。移動互聯網側網關部署：SDP 網關作為單獨的網元部署在移動互聯網環境中，部署在移動互聯網網絡匯聚出口處。SDP 網關和移動終端通過一定的安全機制保障網絡隔離和訪問控制。匯聚網關模式可以支持未支持

148、SDP 的移動終端使用已經開啟 SDP 的移動互聯網應用服務。用戶可以根據實際環境需要，選擇其中的一種方式或組合使用幾種方式部署SDP 網關。82SDP 對標移動互聯安全擴展要求：對標 GB/T 222392019 信息安全技術 網絡安全等級保護基本要求 中“7.3移動互聯安全擴展要求”部分內容、“8.3 移動互聯安全擴展要求”部分內容、“9.3移動互聯安全擴展要求”部分內容，按照 SDP 標準規范描述，SDP 能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在后續章節詳細闡述。要求項要求子項SDP適用情況7.3 移動互聯安全擴展要求（二級）7.3.1 安全物理環境7.3.1.1無

149、線接入點的物理位置不適用7.3.2 安全區域邊界7.3.2.1 邊界防護適用7.3.2.2 訪問控制適用7.3.2.3 入侵防范部分適用7.3.3 安全計算環境7.3.3.1 移動應用管控不適用7.3.4 安全建設管理7.3.4.1 移動應用軟件采購不適用7.3.4.2 移動應用軟件開發不適用8.3 移動互聯安全擴展要求（三級）8.3.1 安全物理環境8.3.1.1無線接入點的物理位置不涉及8.3.2 安全區域邊界8.3.2.1 邊界防護適用8.3.2.2 訪問控制適用8.3.2.3 入侵防范部分適用，“無線接入設備的SSID廣播、WPS等高83風險功能”檢測和禁止未覆蓋8.3.3 安全計算環

150、境8.3.3.1 移動終端管控部分適用，“移動終 端 遠 程 管 控（如：遠程鎖定、遠程擦除等）”未涵蓋；8.3.3.2 移動應用管控部分適用，“根據白名單控制應用軟件安裝、運行”未覆蓋8.3.4 安全建設管理8.3.4.1 移動應用軟件采購部分適用，SDP組件驗證要求嚴格，符合采購要求可通過驗證。8.3.4.2 移動應用軟件開發部分適用，SDP組件驗證要求嚴格，符合開發要求可通過驗證。8.3.5 安全運維管理8.3.5.1配置管理適用844.2 移動互聯安全擴展二級要求等級保護 2.0 中第二級要求中，規定了多個方面的具體技術要求。其中 SDP能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細

151、的適用說明將在后續分節詳細闡述。要求項要求子項SDP 適用情況7.3.1 安全物理環境7.3.1.1 無線接入點的物理位置不適用7.3.2 安全區域邊界7.3.2.1 邊界防護適用，見 4.2.17.3.2.2 訪問控制適用，見 4.2.27.3.2.3 入侵防范部分適用，見 4.2.37.3.3 安全計算環境7.3.3.1 移動應用管控部分適用，“根據白名單控制應用軟件安裝、運行”未覆蓋，見 4.2.47.3.4 安全建設管理7.3.4.1 移動應用軟件采購部分適用，SDP 組件驗證要求嚴格，符合采購要求可通過驗證，見4.2.57.3.4.2 移動應用軟件開發部分適用，見 4.2.6854.

152、2.1 對“7.3.2.1 邊界防護”的適用策略4 4.2.1.1.2.1.1 本項要求包括：本項要求包括：a)應保證有線網絡與無線網絡邊界之間的訪問和數據流通過無線接入網關設備。4.2.1.24.2.1.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿足 a)訪問和數據流通過無線接入網關設備的要求。無線終端作為 SDP 客戶端，使用 SDP 網關作為無線接入網關。4.2.2 對“7.3.2.2 訪問控制”的適用策略4 4.2.2.1.2.2.1 本項要求包括：本項要求包括：a)無線接入設備應開啟接入認證功能，并且禁止使用 WEP 方式進

153、行認證，如使用口令，長度不小于 8 位字符；4.4.2.2.22.2.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿足 a)的訪問控制要求。SDP 中每次會話都需要認證后連接，天然支持接入認證。根據等級保護 2.0 中要求，SDP 認證應開啟接入認證功能，并且禁止使用 WEP 方式進行認證，如使用口令，長度不小于 8 位字符。864.2.3 對“7.3.2.3 入侵防范”的適用策略4 4.2.3.1.2.3.1 本項要求包括：本項要求包括：a)應能夠檢測到非授權無線接入設備和非授權移動終端的接入行為。b)應能夠檢測到針對無線接入設備的網

154、絡掃描、DDoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為。c)應能夠檢測到無線接入設備的 SSID 廣播、WPS 等高風險功能的開啟狀態。d)應禁用無線接入設備和無線接入網關存在風險的功能，如：SSID 廣播、WEP 認證等；e)應禁止多個 AP 使用同一個認證密鑰。4.2.3.24.2.3.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能部分滿足：a）和 b)要求：由于 SDP 采用先認證后接入的方式，天然拒絕非授權連接，而非檢測?？梢跃芙^非授權接入、網絡掃描、DDoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為。c)要求：SDP 不

155、適用，依賴無線設備自身功能。d）和 e)要求：SDP 不適用，屬于管理范疇。對于符合訪問策略的網絡攻擊行為，SDP 需要結合用戶行為日志大數據分析軟件，發現異常行為并且發出預警。874.2.4 對“7.3.3.1 移動應用管控”的適用策略4 4.2.4.1.2.4.1 本項要求包括：本項要求包括：a)應具有選擇應用軟件安裝、運行的功能。b)應只允許可靠證書簽名的應用軟件安裝和運行。4.2.4.24.2.4.2 SDPSDP 的適用策略：的適用策略：SDP 本身不能提供相對應功能，可通過 SDP 插件或與 MAM（移動應用管控）或MDM（移動設備管理）相關軟件聯動實現本項的要求。4.2.5 對“

156、7.3.4.1 移動應用軟件采購”的適用策略4 4.2.5.1.2.5.1 本項要求包括：本項要求包括：a)應保證移動終端安裝、運行的應用軟件來自可靠分發渠道或使用可靠證書簽名。b)應保證移動終端安裝、運行的應用軟件由指定的開發者開發。4.2.5.24.2.5.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應用移動應用管控能力，但 SDP 軟件采購時需要滿足移動應用軟件采購的要求，如需要合適的證書簽名，或者可信的開發者開發。884.2.6 對“7.3.4.2 移動應用軟件開發”的適用策略4 4.2.6.1.2.6.1 本項要求包括：本項要求包括：a)應對移動業務應用軟件開發者進行

157、資格審查。b)應保證開發移動業務應用軟件的簽名證書合法性。4.2.6.24.2.6.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應移動應用軟件開發控制，但應對移動業務應用軟件開發者進行資格審查，應保證開發移動業務應用軟件的簽名證書合法性。4.3 移動互聯安全擴展三級要求等級保護 2.0 中第三級要求中，規定了多個方面的具體技術要求。其中 SDP能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在后續分節詳細闡述。要求項要求子項SDP適用情況8.3.1 安全物理環境8.3.1.1無線接入點的物理位置不適用8.3.2 安全區域邊界8.3.2.1 邊界防護適用，見4.3.1

158、8.3.2.2 訪問控制適用，見4.3.28.3.2.3 入侵防范部分適用，“無線接入設備的SSID廣播、WPS等高風險功能”89檢測和禁止未覆蓋，見4.3.3。8.3.3 安全計算環境8.3.3.1 移動終端管控部分適用，“移動終端遠程管控（如：遠程鎖定、遠程擦除等）”未涵蓋。8.3.3.2 移動應用管控部分適用，“根據白名單控制應用軟件安裝、運行”未覆蓋，見4.3.48.3.4 安全建設管理8.3.4.1 移動應用軟件采購部分適用，SDP組件驗證要求嚴格，符合采購要求可通過驗證，見4.3.5。8.3.4.2 移動應用軟件開發部分適用，SDP組件驗證要求嚴格，符合開發要求可通過驗證。見4.3

159、.6。8.3.5 安全運維管理8.3.5.1配置管理適用，見4.3.7。4.3.1 對“8.3.2.1 邊界防護”的適用策略4 4.3.1.1.3.1.1 本項要求包括：本項要求包括：a)應保證有線網絡與無線網絡邊界之間的訪問和數據流通過無線接入網關設備。904.3.1.24.3.1.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿足 a)的邊界防護要求。無線終端作為 SDP 客客戶端，使用 SDP 網關作為無線接入網關。4.3.2 對“8.3.2.2 訪問控制”的適用策略4 4.3.2.1.3.2.1 本項要求包括：本項要求包括：a)無

160、線接入設備應開啟接入認證功能，并支持采用認證服務器認證或國家密碼管理機構批準的密碼模塊進行認證。4.3.2.24.3.2.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿足 a)的訪問控制要求。SDP 客戶端中每次連接網關的會話都需要認證后連接，天然支持接入認證。SDP 默認采用多因子認證，認證方式支持認證服務器認證或國家密碼管理機構批準的密碼模塊進行認證。4.3.3 對“8.3.2.3 入侵防范”的適用策略4 4.3.3.1.3.3.1 本項要求包括：本項要求包括：a)應能夠檢測到非授權無線接入設備和非授權移動終端的接入行為。b)應能夠

161、檢測到針對無線接入設備的網絡掃描、DDoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為。91c)應能夠檢測到無線接入設備的 SSID 廣播、WPS 等高風險功能的開啟狀態。d)應禁用無線接入設備和無線接入網關存在風險的功能，如：SSID 廣播、WEP 認證等。e)應禁止多個 AP 使用同一個認證密鑰。f)應能夠阻斷非授權無線接入設備或非授權移動終端。4.3.3.24.3.3.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能部分滿足：a）和 b)要求：由于 SDP 采用先認證后接入的方式，天然拒絕非授權連接，而非檢測。c)要求：SDP 不適用

162、，依賴無線設備自身功能。d）和 e)要求：SDP 不適用，屬于管理范疇。f)要求：SDP 支持阻斷非授權連接。對于符合訪問策略的網絡攻擊行為，SDP 需要結合用戶行為日志大數據分析軟件，發現異常行為并且發出預警。4.3.4 對“8.3.3.2 移動應用管控”的適用策略4 4.3.4.1.3.4.1 本項要求包括：本項要求包括：a)應具有選擇應用軟件安裝、運行的功能。b)應只允許指定證書簽名的應用軟件安裝和運行。c)應具有軟件白名單功能，應能根據白名單控制應用軟件安裝、運行。924.3.4.24.3.4.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應用移動應用管控能力，但 SDP

163、 插件需要滿足移動應用管控要求，如需要合適的證書簽名，加入到白名單中。4.3.5 對“8.3.4.1 移動應用軟件采購”的適用策略4 4.3.5.1.3.5.1 本項要求包括：本項要求包括：a)應保證移動終端安裝、運行的應用軟件來自可靠分發渠道或使用可靠證書簽名。b)應保證移動終端安裝、運行的應用軟件由指定的開發者開發。4.3.5.24.3.5.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應用移動應用管控能力，但 SDP 軟件采購時需要滿足移動應用軟件采購的要求，如需要合適的證書簽名，或者可信的開發者開發。4.3.6 對“8.3.4.2 移動應用軟件開發”適用策略4.3.6.1

164、4.3.6.1 本項要求包括：本項要求包括：a)應對移動業務應用軟件開發者進行資格審查。b)應保證開發移動業務應用軟件的簽名證書合法性。4.3.6.24.3.6.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應用移動應用管控能力，但是 SDP 要求發起方進行身份驗93證，即移動終端的應用軟件在管控范圍內，軟件開發時需要滿足移動應用軟件開發的要求，如需要合適的證書簽名，或者可信的開發者開發。4.3.7 對“8.3.5.1 配置管理”的適用策略4 4.3.7.1.3.7.1 本項要求包括：本項要求包括：a)應建立合法無線接入設備和合法移動終端配置庫，用于對非法無線接入設備和非法移動終

165、端的識別。4.3.7.24.3.7.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿足，SDP 需要先認證后連接，因此必須要有終端配置管理和認證服務。4.4 移動互聯安全擴展四級要求等級保護 2.0 中第四級要求中，規定了多個方面的具體技術要求。其中 SDP能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在后續分節詳細闡述。要求項要求子項SDP適用情況9.3.1 安全物理環境9.3.1.1無線接入點的物理位置不適用9.3.2 安全區域邊界9.3.2.1 邊界防護適用，見4.4.1949.3.2.2 訪問控制適用，見4.4.29

166、.3.2.3 入侵防范部分適用，“無線接入設備的SSID廣播、WPS等高風險功能”檢測和禁止未覆蓋，見4.4.3。9.3.3 安全計算環境9.3.3.1 移動終端管控部分適用，“移動終端遠程管控（如：遠程鎖定、遠程擦除等）”未涵蓋，見4.4.4。9.3.3.2 移動應用管控部分適用，“根據白名單控制應用軟件安裝、運行”未覆蓋，見4.4.59.3.4 安全建設管理9.3.4.1 移動應用軟件采購部分適用，SDP組件驗證要求嚴格，符合采購要求可通過驗證，見4.4.6。9.3.4.2 移動應用軟件開發部分適用，SDP組件驗證要求嚴格，符合開發要求可通過驗證，見4.4.7。9.3.5 安全運維管理9.

167、3.5.1配置管理適用，見4.4.84.4.1 對“9.3.2.1 邊界防護”適用策略4 4.4.1.1.4.1.1 本項要求包括：本項要求包括：a）應保證有線網絡與無線網絡邊界之間的訪問和數據流通過無線接入網關設95備。4.4.1.24.4.1.2 SDPSDP 的適用策略的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿足 a)的邊界防護要求。無線終端作為 SDP 客客戶端，使用 SDP 網關作為無線接入網關。4.4.2 對“9.3.2.2 訪問控制”的適用策略4.4.2.14.4.2.1 本項要求包括：本項要求包括：a）無線接入設備應開啟接入認證功能，并支持采用認

168、證服務器認證或國家密碼管理機構批準的密碼模塊進行認證。4.4.2.24.4.2.2 SDPSDP 的適用策略的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿足 a)的訪問控制要求。SDP 客戶端中每次連接網關的會話都需要認證后連接，天然支持接入認證。SDP 推薦采用多因子認證，認證方式支持適用認證服務器進行認證或國家密碼管理機構批準的密碼模塊進行認證。4.4.3 對“9.3.2.3 入侵防范”適用策略4 4.4.3.1.4.3.1 本項要求包括：本項要求包括：a)應能夠檢測到非授權無線接入設備和非授權移動終端的接入行為。96b)應能夠檢測到針對無線接入設備的網絡掃描、

169、DDoS 攻擊、密鑰破解、中間人攻擊和欺騙攻擊等行為。c)應能夠檢測到無線接入設備的SSID廣播、WPS等高風險功能的開啟狀態。d)應禁用無線接入設備和無線接入網關存在風險的功能，如：SSID 廣播、WEP 認證等。e)應禁止多個 AP 使用同一個認證密鑰。f)應能夠阻斷非授權無線接入設備或非授權移動終端。4.4.3.24.4.3.2 SDPSDP 的適用策略：的適用策略：可通過內嵌式或應用側 SDP 網關或移動側 SDP 網關都能部分滿足：a）和 b)要求：由于 SDP 采用先認證后接入的方式，天然拒絕非授權連接，而非檢測。c)要求：SDP 不適用，依賴無線設備自身功能。d）和 e)要求：S

170、DP 不適用，屬于管理范疇。f)要求：SDP 支持阻斷非授權連接。對于符合訪問策略的網絡攻擊行為，SDP 需要結合用戶行為日志大數據分析軟件，發現異常行為并且發出預警。974.4.4 對“9.3.3.1 移動終端管控”適用策略4 4.4.4.1.4.4.1 本項要求包括：本項要求包括：a)應保證移動終端安裝、注冊并運行終端管理客戶端軟件。b)移動終端應接受移動終端管理服務端的設備生命周期管理、設備遠程控制，如：遠程鎖定、遠程擦除等。c)應保證移動終端只用于處理指定業務。4.4.4.24.4.4.2 SDPSDP 的適用策略：的適用策略：SDP 可以與移動設備管理軟件（MDM）配合，保證移動終端

171、安裝了管理軟件才可以訪問網絡，滿足要求 a）。并且，通過在網絡出口處部署 SDP 網關來實現移動端只能用于處理制定業務，滿足要求 c）。4.4.5 對“9.3.3.2 移動應用管控”適用策略4 4.4.5.1.4.5.1 本項要求包括：本項要求包括：a)應具有選擇應用軟件安裝、運行的功能。b)應只允許指定證書簽名的應用軟件安裝和運行。c)應具有軟件白名單功能，應能根據白名單控制應用軟件安裝、運行。d)應具有接受移動終端管理服務端推送的移動應用軟件管理策略，并根據該策略對軟件實施管控的能力。984.4.4.4.5 5.2.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應用移動應用管

172、控能力，但 SDP 插件需要滿足移動應用管控要求，如需要合適的證書簽名，加入到白名單中。4.4.6 對“9.3.4.1 移動應用軟件采購”適用策略4 4.4.6.1.4.6.1 本項要求包括：本項要求包括：a)應保證移動終端安裝、運行的應用軟件來自可靠分發渠道或使用可靠證書簽名。b)應保證移動終端安裝、運行的應用軟件由指定的開發者開發。4.4.6.24.4.6.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應用移動應用管控能力，但 SDP 軟件采購時需要滿足移動應用軟件采購的要求，如需要合適的證書簽名，或者可信的開發者開發。4.4.7 對“9.3.4.2 移動應用軟件開發”適用策

173、略4 4.4.7.1.4.7.1 本項要求包括：本項要求包括：a)應對移動業務應用軟件開發者進行資格審查。b)應保證開發移動業務應用軟件的簽名證書合法性。994.4.7.24.4.7.2 SDPSDP 的適用策略：的適用策略：SDP 本身不提供應用移動應用管控能力，但是 SDP 要求發起方進行身份驗證，即移動終端的應用軟件在管控范圍內，軟件開發時需要滿足移動應用軟件開發的要求，如需要合適的證書簽名，或者可信的開發者開發。4.4.8 對“9.3.5.1 配置管理”適用策略4 4.4.8.1.4.8.1 本項要求包括：本項要求包括：a）應建立合法無線接入設備和合法移動終端配置庫，用于對非法無線接入

174、設備和非法移動終端的識別。4.4.8.24.4.8.2 SDPSDP 的適用策略：的適用策略：按照 SDP 標準規范，“SDP 組件”：SDP 控制器：SDP 控制器確定哪些 SDP 主機可以相互通信。SDP 控制器可以將信息中繼到外部認證服務，例如認證，地理位置和/或身份服務器。SDP 連接發起主機（Initiating Host,即 IH）：SDP 連接發起主機（IH）與 SDP控制器通信以請求它們可以連接的 SDP 連接接受方（AH）列表。在提供任何信息之前，控制器可以從 SDP 連接發起主機請求諸如硬件或軟件清單之類的信息?？赏ㄟ^內嵌式或應用側 SDP 網關或移動側 SDP 網關都能滿

175、足，SDP 需要先認證后連接，因此必須要有終端配置管理和認證服務。移動終端作為 SDP 連接發起主機，在包括 SDP 控制器在內的移動接入平臺，100管理平臺內建立列表，進行設備識別。5 SDP 滿足等保 2.0 物聯網安全擴展要求5.1 概述物聯網面臨著錯綜復雜的安全風險。從管理角度看，物聯網應用 涉及國家重要行業、關鍵基礎設施，產業合作鏈條長、數據采集范圍 廣、業務場景多，各類應用場景的業務規模、責任主體、數據種類、信息傳播形態存在差異，為物聯網安全管理帶來挑戰。從技術角度看，物聯網涉及通信網絡、云計算、移動 APP、WEB 等技術，本身沿襲 了傳統互聯網的安全風險，加之物聯網終端規模巨大

176、、部署環境復雜，傳統安全問題的危害在物聯網環境下會被急劇放大。我國政府早在 2013 年就將安全能力建設納入物聯網發展規劃。近年來，隨著物聯網技術應用的不斷成熟，物聯網安全標準化得到進 一步重視，成為國家促進關鍵信息基礎設施保護、行業應用安全可控 的重要抓手。值此物聯網產業發展的關鍵時期，加快研制應用物聯網 安全基礎標準和關鍵技術標準，尤其是工業互聯網、車聯網、智能家 居等產業急需的物聯網安全服務標準，已成為尤為緊迫的一項工作。大量的新設備正在連接到互聯網上。管理這些設備或從這些設備中提取信息抑或兩者兼有的 后端應用程序的任務很關鍵，因為要充當私有或敏感數據的保管人。軟件定義邊界可用于隱藏這

177、些服務器及其在 Internet 上的交互，以最大限度地提高安全性和正常運行時間。101等級保護基本要求附錄 F 中，描述了物聯網應用場景。物聯網從結構上可分為三個邏輯層，即感知層、網絡傳輸層和處理應用層。其中感知層包括傳感器節點和傳感網網關節點，網絡傳輸層包括將這些感知數據遠距離傳輸到處理中心的網絡，處理應用層包括對感知數據進行存儲與智能處理的平臺，并對業務應用終端提供服務。圖：物聯網構成下面將會對等保每一級別的物聯網安全與 SDP 的適用策略方面進行詳細描述。5.2 物聯網安全擴展二級要求5.2.1 SDP 的適用情況在物聯網場景中，感知節點通常不是集中化部署在數據中心的，并且在能源、10

178、2交通等行業中感知節點往往還會在戶外部署，進而通過有線或無線的方式與遠程數據中心或云平臺進行數據交互。分布式部署在數據中心外部的感知節點，及其與遠程數據中心的通信渠道是物聯網場景下的重要攻擊面，攻擊者有可能利用物理接觸等手段對感知節點設備做深入的分析研究，從而發現其中可被利用的漏洞。還可以通過通信渠道將含有惡意代碼的設備或攻擊者的電腦連入遠程數據中心。并且具有相同功能的感知節點設備的型號與配置通常區別不大，因此攻擊者一旦掌握了某個感知節點設備的漏洞，便可能獲得批量攻擊整個物聯網系統的能力，而這通常是攻擊者對物聯網系統的最終攻擊目的。對此，軟件定義邊界（SDP）將通過“零信任”框架，重構物聯網系

179、統的安全機制，并利用強化身份驗證（多因素/逐步驗證）、身份與設備的雙向驗證、網絡微隔離、安全遠程訪問等技術手段實現增強物聯網安全。物聯網感知節點通常遵循“服務器-服務器”的 SDP 部署模式，但是由于物聯網感知節點還分為感知層終端和感知層網關，因此從連接方式上可以進一步分為如下兩種情況：感知層終端-遠程數據中心（服務器-服務器模式）：感知層終端設備與遠程數據中心，均屬于 SDP 部署模式中的“服務器”。服務器之間的連接都是加密的，無論底層網絡或 IP 結構如何，SDP 模型要求服務器部署輕量級 SPA（單包授權）技術，即服務器之間首先通過 SPA 完成鑒權并建立加密連接，然后才進行正常通行，任

180、何未授權的訪問都不會得到服務器的回應。感知層終端-感知層網關-遠程數據中心的模式（客戶端-網關-服務器模式）：這類連接方式通常是由于感知層終端計算或存儲資源不夠，或感知層終端設備需要更快速的實時響應，因此通過感知層網關設備提供邊緣計算能力。此類連接方式要求感知層網關與感知層終端設備進行白名單機制的增強雙向103設備驗證（設備 ID/MAC/固件或 OS 內核完整性等多因素驗證），同時感知層網關與遠程數據中心均使用 SPA（單包授權）技術，確保感知層終端與感知層網關，以及感知層網關與遠程數據中心進行通信前，應當首先完成授權驗證，否則將不做任何響應。等級保護 2.0 中第二級要求中，規定了多個方面

181、的具體技術要求。其中 SDP能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在下個章節詳細闡述。等保要求項等保要求子項SDP適用情況7.4.1 安全物理環境7.4.1.1 感知節點設備物理防護不適用7.4.2 安全區域邊界7.4.2.1 接入控制適用，見5.2.27.4.2.2 入侵防范適用，見5.2.37.4.3 安全運維管理7.4.3.1 感知節點管理部分適用，見5.2.45.2.2 對“7.4.2.1 接入控制”的適用策略5 5.2.2.1.2.2.1 本項要求包括：本項要求包括：a）應保證只有授權的節點可以接入5.2.2.25.2.2.2 SDPSDP 的適用策略的適用策略

182、對設備進行身份認證和驗證動態連接管理1045.2.3 對“7.4.2.2 入侵防范”的適用策略5 5.2.3.1.2.3.1 本項要求包括：本項要求包括：a)應能夠限制與感知節點通信的目標地址，以避免對陌生地址的攻擊行為。b)應能夠限制與網關節點通信的目標地址，以避免對陌生地址的攻擊行為。5.2.3.25.2.3.2 SDPSDP 的適用策略的適用策略：對于未進行身份驗證的請求不做回應，使設備在網絡中被“隱藏”。通過部署“DenyAll”SDP 網關（充當網絡防火墻）可以確保未被認證和授權的訪問無法進入內部網絡。通過檢測“錯誤包”（非授權的請求等）識別可能存在的攻擊行為。5.2.4 對“7.4

183、.3 安全運維管理”的適用策略5.2.4.15.2.4.1 本項要求包括：本項要求包括：a)應指定人員定期巡視感知節點設備、網關節點設備的部署環境，對可能影響感知節點設備、網關節點設備正常工作的環境異常進行記錄和維護。b)應對感知節點設備、網關節點設備入庫、存儲、部署、攜帶、維修、丟失和報廢過程作出明確規定，并進行全程管理。5.2.4.25.2.4.2 SDPSDP 的適用策略：的適用策略：要求 a）屬于管理范疇，不屬于 SDP 支持范圍之內?？赏ㄟ^ SDP 客戶端的身份鑒別內置在感知節點設備、網關節點設備上，SDP客戶端支持各種已有身份認證體系，增強的身份驗證方式，符合等保 2.0 要求。1

184、05感知節點設備、網關節點設備身份認證通過后，即可在安全管理系統上進行注冊，在設備入庫、存儲、部署、攜帶、維修、丟失和報廢全過程進行整體跟蹤管理，從而滿足 b）項要求。5.3 物聯網安全擴展三級要求5.3.1 SDP 的適用情況根據 GB/T 22239-2019信息安全技術 網絡安全等級保護基本要求8.4章節“物聯網安全擴展要求”的描述，第三級的物聯網安全擴展要求要求主要包括：安全物理環境、安全區域邊界、安全計算環境、安全運維管理共四個部分。根據附錄 F（物聯網應用場景說明）的描述：物聯網通常從架構上可分為三個邏輯層，即感知層、網絡傳輸層和處理應用層。對物聯網的安全防護應包括感知層、網絡傳輸

185、層和處理應用層，由于網絡傳輸層和處理應用層通常是由計算機設備構成，因此這兩部分按照安全通用要求提出的要求進行保護，此標準的物聯網安全擴展要求針對感知層提出特殊安全要求，與安全通用要求一起構成對物聯網的完整安全要求。其中感知層包括傳感器節點和傳感網網關節點，或RFID標簽和RFID讀寫器，也包括這些感知設備及傳感網網關、RFID 標簽與閱讀器之間的短距離通信（通常為無線）部分。在感知層的各組件之中只有感知網關節點（例如 IoT 網關）具備底層計算系統，可以部署 SDP 功能模塊。等級保護 2.0 中第三級要求中，規定了多個方面的具體技術要求。其中 SDP能夠幫助用戶滿足或部分滿足的條目如下表所示

186、。詳細的適用說明將在下個章節106詳細闡述。要求項-1要求項-2要求項-3SDP適用情況8.4 物 聯網安全擴展要求8.4.1 安全物理環境8.4.1.1 感知節點設備物理防護不適用8.4.2 安全區域邊界8.4.2.1 接入控制適用，見5.3.28.4.2.2 入侵防范適用，見5.3.38.4.3 安全計算環境8.4.3.1 感知節點設備安全不適用8.4.3.2 網關節點設備安全部 分 適 用，見5.3.48.4.3.3 抗數據重放不適用8.4.3.4 數據融合處理不適用8.4.4 安全運維管理8.4.4.1 感知節點管理不適用5.3.2 對“8.4.2.1 接入控制“的適用策略5.3.2.

187、15.3.2.1 本項要求包括本項要求包括:a)應保證只有授權的感知節點可以接人。5.3.2.25.3.2.2 SDPSDP 的適用策略：的適用策略：可以在物聯網感知節點上部署 SDP 客戶端，在物聯網接入設備上部署 SDP網關，因為 SDP 客戶端連接前都需要經過 SDP 控制器認證和授權，因此只有授107權的感知節點可以接入。5.3.3 對“8.4.2.2 入侵防范”的適用策略5 5.3.3.1.3.3.1 本項要求包括：本項要求包括：a)應能夠限制與感知節點通信的目標地址，以避免對陌生地址的攻擊行為。b)應能夠限制與網關節點通信的目標地址，以避免對陌生地址的攻擊行為。5.3.3.25.3

188、.3.2 SDPSDP 的適用策略：的適用策略：假設指定感知節點連接在網關節點上，在網關節點和目標通信節點上都有部署 SDP 功能組件，在此情況下可通過 SDP 技術滿足：a）受限制的感知節點連接在網關節點上作為SDP架構中的連接發起主機IH，與目標通訊節點作為 SDP 架構中的連接接受主機 AH 建立 SDP 連接，同時 SDP控制器發送安全策略，只允許受限感知節點去往允許的目標通訊節點進行通訊，從而實現此項控制要求。b）受限制的網關節點作為 SDP 架構中的連接發起主機 IH，與目標通訊節點作為 SDP 架構中的連接接受主機 AH 建立 SDP 連接，同時 SDP 控制器發送安全策略，只允

189、許受限網關節點去往允許的目標通訊節點進行通訊，從而滿足此項控制要求。1085.3.4 對“8.4.3.2 網關節點設備安全”的適用策略5 5.3.4.1.3.4.1 本項要求包括：本項要求包括：a)應具備對合法連接設備（包括終端節點、路由節點、數據處理中心）進行標識和鑒別的能力。b)應具備過濾非法節點和偽造節點所發送的數據的能力。c)授權用戶應能夠在設備使用過程中對關鍵秘鑰進行在線更新。d)授權用戶應能夠在設備使用過程中對關鍵配置參數進行在線更新。5.3.4.25.3.4.2 SDPSDP 的適用策略：的適用策略：假設指定網關節點和目標連接設備上都有部署 SDP 功能組件，在此情況下可通過 S

190、DP 技術滿足：a）如果網關節點和目標連接設備都部署了 SDP 功能組件且處于同一 SDP 環境中可以通過控制器實現標識和鑒別能力，從而滿足此項要求。b）在 SDP 架構中可以通過控制器進行授權指定允許的連接節點，并通過授權來限制偽造節點發送數據，從而滿足此項要求。e）和 f）授權用戶終端上的 SDP 客戶端在接入時需要到 SDP 控制器進行身份和設備的驗證，在這個過程可以進行秘鑰和關鍵配置參數的更新。除此以外的其它要求不適用于 SDP 解決方案。1095.4 物聯網安全擴展四級要求5.4.1 SDP 的適用情況等級保護 2.0 中第四級要求中，規定了多個方面的具體技術要求。其中 SDP能夠幫

191、助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在下個章節詳細闡述。要求項要求子項SDP適用情況9.4.1 安全物理環境9.4.1.1 感知節點設備物理安全不適用9.4.2 安全區域邊界9.4.2.1接入控制適用，見5.4.29.4.2.2 入侵防范適用，見5.4.39.4.3 安全計算環境9.4.3.1 感知節點設備安全適用，見5.4.49.4.3.2 網關節點設備安全適用，見5.4.59.4.3.3 抗數據重放適用，見5.4.69.4.3.4 數據融合處理適用，見5.4.79.4.4 安全運維管理9.4.4.1 感知節點管理適用，見5.4.81105.4.2 對“9.4.2.1 接入

192、控制”的適用策略5 5.4.2.1.4.2.1 本項要求包括本項要求包括:a)應保證只有授權的感知節點可以接人。5.4.2.25.4.2.2 SDPSDP 的適用策略：的適用策略：可以在物聯網感知節點上部署 SDP 客戶端，在物聯網接入設備上部署 SDP網關，因為 SDP 客戶端連接前都需要經過 SDP 控制器認證和授權，因此只有授權的感知節點可以接入。5.4.3 對“9.4.2.2 入侵防范”的適用策略5.4.3.15.4.3.1 本項要求包括本項要求包括:a)應能夠限制與感知節點通信的目標地址，以避免對陌生地址的攻擊行為。b)應能夠限制與網關節點通信的目標地址，以避免對陌生地址的攻擊行為。

193、5.4.3.25.4.3.2 SDPSDP 的適用策略：的適用策略：物聯網感知節點設備，在接入網絡時需要具有身份鑒別機制，采用訪問控制機制，確保授權才允許接入。邊界防護：SDP 作為邊界隔離產品，不會存在邊界設備提供的受控接口進行通信的可能。由于獨特的三組件關系，僅能通過特定的客戶端，且經合法授權后，方可連入到內部網絡。入侵防范：SDP 本身的特性就不存在共享和高危的端口，應用網關僅面向客111戶端開放訪問權限，極大的控制了使用范圍。通過客戶端和管控平臺，可檢測到入侵的行為，并在發生嚴重入侵事件時提供預警。訪問控制：SDP 默認不信任任何網絡、人、設備，均需進行驗證，默認拒絕一切連接，只有驗證

194、合法的訪問請求才被允許。并根據控制策略進行訪問控制，僅對于驗證合法用戶，允許受控端口進行通信。即便合法的用戶，也需要根據自己的權重分配賬戶和訪問權限。身份鑒別：客戶端支持各種已有身份認證體系，增強的身份驗證方式，符合等保 2.0 要求。5.4.4 對“9.4.3.1 感知節點設備安全”的適用策略5 5.4.4.1.4.4.1 本項要求包括：本項要求包括：a）應保證只有授的用戶可以對感知節點設備的軟件用進行配置或變更。b）應具有對其連接的網關節點設備 包括讀器進行身份標識和鑒別的能力。c）應具有對其連接的其他感知節點設備（包括路曲節點）進行身份標識和鑒別的能力。5.4.4.25.4.4.2 SD

195、PSDP 的適用策略：的適用策略：物聯網感知節點通常處于網絡邊緣，弱終端負責數據采集，強終端會涉及到一些邊緣計算，安全計算環境首先要保證設備的安全。身份標識和鑒別是基本要求，通過可信 ID，確保資產不會被替換和偽造。SDP 可以提供身份和訪問管理。1125.4.5 對“9.4.3.2 網關節點設備安全”的適用策略5 5.4.5.1.4.5.1 本項要求包括：本項要求包括：a）應具備對合法連接設備（包括終端節點路由節點數據處理中心）進行標識和鑒別的能力。b）應具備過濾非法節點和偽造點所發送的數的能力。c）授衩用戶應能夠在設備使用過程中對關踺密鑰進行在線更新。d）授權用戶應能夠在設備使用過程中對關

196、鍵配置參數進行在線更新。5 5.4.5.2.4.5.2 SDPSDP 的適用策略：的適用策略：物聯網網關節點主要用于和弱終端的連接，需要對與其連接的設備合法性進行判斷。設備的密鑰和配置參數的更新，相當于有安全基線的要求，同時需要支持授權用戶的在線更新。5.4.6 對“9.4.3.3 抗數據重放”的適用策略5 5.4.6.1.4.6.1 本項要求包栝：本項要求包栝：a）應能夠鑒別數據的新鮮性，避兔歷史數據的重放攻擊。b）應能夠鑒別歷史數據的非法忤改，避免數據的修改重放攻擊。5.4.6.25.4.6.2 SDPSDP 的適用策略：的適用策略：數據新鮮性是指對所接收的歷史數據或超出時限的數據能夠進行

197、識別。物聯網數據使用有可用性、完整性、保密性的要求，以避免數據重放攻擊。SDP 拒絕113無效的數據包（可能來自未經授權的用戶），所以它們可以防止和未經授權的用戶或設備建立 TCP 連接，以避免數據重放攻擊。5.4.7 對“9.4.3.4 數據融合處理”的適用策略5 5.4.7.1.4.7.1 本項要求包括：本項要求包括：a）應對來自傳感網的數行數據融合處理，使不同種類的數據可以在同一個平臺被使用。b)應對不同數之間的依賴關系和制約關系等進行智能處理，如一類數據達到某個門限時可以影響對另一類數據采集終端的管理指令。5.4.7.25.4.7.2 SDPSDP 的適用策略：的適用策略：對于數據融合

198、處理有兩種方案，不同終端廠商設計時按照行業標準，使用通用協議加私有協議方式，為平臺提供數據?；蛘咂脚_自己能夠支持多種協議的數據融合。5.4.8 對“9.4.4.1 感知節點管理”的適用策略5.4.8.15.4.8.1 本項要求包括：本項要求包括：a）應指定人員定期巡視感知節點設備網關節點設備的部署環境，對可能影響感知節點設備網關節點設備正常工作的環境異常進行記錄和維護。b）對感知節點設備網關節點設備人厙、存儲，部署，維修、丟失和報廢等過程作出明確規定，并進行全程管理。114c）應加強對感知節點設備、網關節點設備部署環境的保密性管理。包括負責檢查和維護的人員調離工作崗位應立即交還相關臉查工具和檢

199、查維護記錄等。5.4.8.25.4.8.2 SDPSDP 適用策略：適用策略：物聯網感知節點設備，部署位置廣泛環境惡劣，會因日久年深導致設備不可用。對運維管理提出要求是定期巡視設備并進行記錄和維護，并對設備的入庫、部署到報廢的全生命周期進行管理。此外對運維的保密性管理也提出了要求。軟件定義邊界可用于隱藏這些服務器及其在 Internet 上的交互，以最大限度地提高安全性和正常運行時間?？尚膨炞C：SDP 通過客戶端進行可信驗證，在檢測到可信異常后進行報警，并將審計記錄反饋至管控平臺。安全審計：SDP 的審計內容覆蓋到每個終端用戶，對于行為和重要事件進行記錄。包括日期、時間、事件等。并保存于管控平

200、臺，并進行定期備份，以防止未預期的刪除、修改和覆蓋等。審計管理：所有的審計操作，審計管理員均需要進行身份驗證。只在特定界面進行安全審計操作，并對所有操作行為進行記錄。支持審計記錄分析，分析結果可進行再處理。1156 SDP滿足等保2.0工業控制系統安全擴展要求6.1 概述工業控制系統涉及應用層、控制層和實時操作層，與傳統的信息系統不同，其具有實時性、集成性、穩定性、高可用性和人機互操作性要求，工業控制系統網絡組件涉及傳統網絡系統組件如OS、網絡及網絡設備、數據庫等，同時包括工業控制專用設備或系統，如SCADA、PLC、DCS等，系統投入運營后不會輕易變更（如一般工業控制系統使用生命周期至少25

201、年），因此隨著運營年限增長各系統的漏洞、缺陷越來越多，易被病毒、惡意代碼攻擊，造成工業控制系統風險。另外由于工業控制系統穩定性要求，安全防護措施實施均要求對環境及業務零影響，傳統的安全防護措施不太適用于工業控制系統防護，因此安全防護措施不足。隨著國家提出的工業互聯網發展的戰略，傳統封閉式工業控制系統網絡逐步走向外網、互聯網，網絡安全面臨更大的挑戰。軟件定義邊界（SDP）的功能與技術在工業控制系統中有較好的應用環境，是工業控制系統（特別是工業互聯網）安全加強的輕量級可選技術，包括SDP實現工業控制網絡中的白名單機制（如應用白單名、設備白單名、用戶白單名），可有效提升對網絡安全管理；通過先認證再連

202、接，實現對接入用戶與設備安全管理；通過基于用戶策略安全防護，實現用戶身份鑒別、資源授權等安全；通過加密實現對工業系統指令與數據安全傳輸等等。根據SDP 指南，SDP的部署可以分為以下幾種方式。116客戶端網關模型：一個或多個服務器位于 SDP 連接接受主機（AH）后面，SDP 連接接受主機（AH）充當客戶端和受保護服務器之間的網關。這種模式將受保護的服務器與未經授權的用戶隔離開，同時減輕了常見的橫向移動攻擊風險?？蛻舳朔掌髂Ｐ停哼@種情況下，受保護的服務器將直接運行可接受連接主機（AH）的軟件，而無需通過運行該軟件的服務器前面的網關，從而建立了客戶端和服務器之間的直接聯系。服務器服務器模型：這

203、種模式可以保護提供REST、SOAP、RPC等服務或 API的服務器免受網絡上未經授權的主機的攻擊客戶端-服務器-客戶端模型：使用此模式，受保護的服務器將需要配備網關或輕量級SPA協議。受保護服務器所在的網絡不需要限制入向（inbound）連接。服務器上的網關(執行點)使用SPA來防止內部和外部未經授權的連接。結合在工業控制系統環境網絡特殊情況，推薦SDP部署如下：實時生產控制區與非實時生產控制區：實時生產控制區與非實時生產控制區部署SDP，利用先認證再連接對所有訪問實時生產控制區、非實時生產控制區資源實現的接入準入；采用基于用戶策略防護針對操作人員、運維人員、臨時運維人員等進行嚴格授權與控制

204、。管理信息區：在管理信息區部署SDP，實現對網絡關鍵資源安全保護，降低病毒、木馬等安全威脅，同時，針對外部網絡的遠程接入、臨接接入及訪問等提供資源隱身、訪問控制、傳輸加密、身份鑒別、資源授權117等功能。工業互聯網：工業互聯網為全新的工業控制系統網絡，可與SDP安全架構進行整合，利用SDP的準入、授權、動態、隱身、加密等安全功能與特性、實現對工業互聯網實時控制系統、非實時控制系統、信息管理系統等提供多方位的安全保護，為工業互聯網應用提供安全支撐。6.26.2 工業控制系統安全擴展一級要求等級保護 2.0 工業控制系統擴展要求第一級要求中，規定了多個方面的具體技術要求。其中 SDP 能夠幫助用戶

205、滿足或部分滿足安全要求如下表所示。詳細的適用說明將在下列章節詳細闡述。要求項要求子項SDP適用情況6.5.1 安全物理環境6.5.1.1 室外控制設備物理防護不適用6.5.2 安全通信網絡6.5.2.1 網絡架構適用，見6.2.16.5.3 安全區域邊界6.5.3.1 訪問控制適用，見6.2.26.5.3.2 無線使用控制適用，見6.2.36.5.4 安全計算環境6.5.4.1 控制設備安全不適用1186.2.1 對“5.5.2.1 網絡架構”的適用策略6 6.2.1.1.2.1.1 本項要求包括：本項要求包括：a)工業控制系統與企業其他系統之間應劃分兩個區域，區域間應采用單向的技術隔離手段

206、b)工業控制系統內部應根據業務特點劃分為不同的安全區域，安全域之間應采用技術隔離手段。6.2.1.26.2.1.2 SDPSDP 的適用策略：的適用策略：實時生產控制區與非實時生產控制區、管理信息區部署 SDP 可滿足 a)。在實時生產控制區與非實時生產控制區之間安全區域部署 SDP，可實現基于業務需求的技術隔離，可按網絡、資源、應用、用戶等進行技術隔離訪問控制，可滿足 b)要求。6.2.2 對“6.5.3.1 訪問控制”的適用策略6 6.2.2.1.2.2.1 本項要求包括：本項要求包括：a)應在工業控制系統與企業其它系統之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的 e-M

207、ail、Web、Telnet、Rlogin、FTP 等通用網絡服務。6.2.2.26.2.2.2 SDPSDP 的適用策略的適用策略：管理信息區部署 SDP 可實現對所有網絡訪問控制細粒度管理，可對 e-Mail、Web、Telnet、Rlogin、FTP 等通用網絡服務進行禁止?？蓾M足 a)要求。1196.2.3 對“6.5.3.2 無線使用控制”的適用策略6 6.2.3.1.2.3.1 本項要求包括：本項要求包括：a)應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識和鑒別。b)應對無線通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護。6.2.3.26.2.3.2 SD

208、PSDP 的適用策略的適用策略:通過管理信息區部署部署 SDP，利用先認證再連接、零信任等機制，實現無線用戶、設備唯一性標識和鑒別，實現對網絡資源的安全授權和使用，通過隧道加密，提升傳輸加密，滿足 a)、b)要求。6.36.3 工業控制系統安全擴展二級要求第二級工業控制系統信息安全保護環境的設計目標是在第一級工業控制系統信息安全保護環境的基礎上，增加系統安全審計等安全功能，并實施以用戶為基本粒度的自主訪問控制，使系統具有更強的自主安全保護能力。等級保護 2.0中第二級要求中，規定了多個方面的具體技術要求。其中 SDP 能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在下一章節詳細闡

209、述。要求項要求子項SDP適用情況7.5.1 安全物理環境7.5.1.1 室外控制設備物理防護不適用1207.5.2 安全通信網絡7.5.2.1 網絡架構適用，見6.3.17.5.2.2 通訊傳輸適用，見6.3.27.5.3 安全區域邊界7.5.3.1 訪問控制適用，見6.3.37.5.3.2 撥號使用控制適用，見6.3.47.5.3.3 無線使用控制適用，見6.3.57.5.4 安全計算環境7.5.4.1 控制設備安全不適用7.5.5 安全建設管理7.5.5.1 產品采購和使用不適用7.5.5.2 外包軟件開發不適用6.3.1 對“7.5.2.1 網絡架構”的適用策略6 6.3.1.1.3.1

210、.1 本項要求包括：本項要求包括：a)工業控制系統與企業其他系統之間應劃分兩個區域，區域間應采用單向的技術隔離手段。b)工業控制系統內部應根據業務特點劃分為不同的安全區域，安全域之間應采用技術隔離手段。c)涉及實時控制和數據傳輸的工業控制系統，應使用獨立的網絡設備組網，在物理層面上實現與其他數據網及外部公共信息網的安全隔離。6.3.1.26.3.1.2 SDPSDP 的適用策略的適用策略實時生產控制區與非實時生產控制區、管理信息區、工業互聯網部署 SDP可滿足：121在實時生產控制區與非實時生產控制區之間安全區域部署 SDP 網關，可實現基于業務需求的技術隔離，可按網絡、資源、應用、用戶等進行

211、技術隔離訪問控制，可滿足 b)要求。在管理信息區內部部署 SDP，可滿足 b)要求。在工業互聯網中，因需要跨越互聯網，傳統網閘措施不被推薦使用，因此，SDP 更適用于工業互聯網的安全保護，部署 SDP 可滿足 a)、b)、c)要求。6.3.2 對“7.5.2.2 通訊傳輸”的適用策略6 6.3.2.1.3.2.1 本項要求包括：本項要求包括：在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密認證技術手段實現身份認證、訪問控制和數據加密措施。6.3.2.26.3.2.2 SDPSDP 的適用策略的適用策略：管理信息區、工業互聯網部署 SDP 可滿足：部署 SDP 實現傳輸加密、身份

212、零信任管理、訪問控制等功能，滿足等級保護 2.0 中工業安全擴展通信傳輸要求?？蓾M足該要求。6.3.3 對“7.5.3.1 訪問控制”的適用策略6 6.3.3.1.3.3.1 本項要求包括：本項要求包括：a）應在工業控制系統與企業其他系統之間部署訪問控制設備、配置訪問控制策略禁止任何穿越區域邊界的 E-Mail，Web、Telnet、Rlogin、FTP 等通用網絡服務。122b）應在工業控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警。6.3.3.26.3.3.2 SDPSDP 的適用策略的適用策略：管理信息區、工業互聯網部署 SDP，實現對所有網絡訪問控制細粒度管理，可對 e

213、-Mail、Web、Telnet、Rlogin、FTP 等通用網絡服務進行禁止；滿足 a)要求。6.3.4 對“7.5.3.2 撥號使用控制”的適用策略6 6.3.4.1.3.4.1 本項要求包括：本項要求包括：a)工業控制系統確需使用撥號訪問服務的，應限制具有撥號訪問權限的用戶數量，并采取用戶身份鑒別和訪問控制等措施。6.3.4.26.3.4.2 SDPSDP 的適用策略的適用策略：實時生產控制區與非實時生產控制區、管理信息區、工業互聯網部署 SDP可滿足：通過 SDP 實現對遠程撥號終端準入與用戶零信任，訪問傳輸加密以及訪問資源按需授權，滿足 a)要求。1236.3.5 對“7.5.3.2

214、 無線使用控制”的適用策略6 6.3.5.1.3.5.1 本項要求包括：本項要求包括：a）應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識鑒別。b）應對所有參與無線通信的用戶（人員、軟件進程或者設備）進行授權以及執行使用進行限制。6.3.5.26.3.5.2 SDPSDP 的適用策略的適用策略：管理信息區、工業互聯網部署 SDP 可滿足：通過部署 SDP，利用先認證再連接、零信任等機制，實現無線用戶、設備唯一性標識和鑒別，實現對網絡資源的安全授權和使用，通過隧道加密，提升傳輸加密，滿足 a)、b)要求。6.46.4 工業控制系統安全擴展三級要求等級保護2.0工控安全擴展第三級

215、要求中，規定了多個方面的具體技術要求。其中 SDP 能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在下個章節詳細闡述。要求項要求子項SDP 適用情況8.5.1 安全物理環境8.5.1.1 室外控制設備物理防護不適用1248.5.2 安全通信網絡8.5.2.1 網絡架構適用，見 6.4.18.5.2.2 通信傳輸適用，見 6.4.28.5.3 安全區域邊界8.5.3.1 訪問控制適用，見 6.4.38.5.3.2 撥號使用控制部 分 適 用，見6.4.48.5.3.3 無線使用控制適用，見 6.4.58.5.4 安全計算環境8.5.4.1 控制設備安全適用，見 6.4.68.5.5

216、 安全建設管理8.5.5.1 產品采購和使用不適用8.5.5.2 外包軟件開發不適用6.4.1 對“8.5.2.1 網絡架構”的適用策略6 6.4.1.1.4.1.1 本項要求包括：本項要求包括：a）工業控制系統與企業其他系統之間應劃分兩個區域，區域間應采用單向的技術隔離手段。b）工業控制系統內部應根據業務特點劃分為不同的安全區域，安全域之間應采用技術隔離手段。c）涉及實時控制和數據傳輸的工業控制系統，應使用獨立的網絡設備組網，在物理層面上實現與其他數據網及外部公共信息網的安全隔離。6.4.1.26.4.1.2 SDPSDP 的適用策略的適用策略：實時生產控制區與非實時生產控制區、管理信息區、

217、工業互聯網部署 SDP可滿足：125在實時生產控制區與非實時生產控制區之間安全區域部署 SDP 網關，可實現基于業務需求的技術隔離，可按網絡、資源、應用、用戶等進行技術隔離訪問控制，可滿足 b)要求。在管理信息區內部部署 SDP，可滿足 b)要求。在工業互聯網中，因需要跨越互聯網，傳統網閘措施不被推薦使用，因此，SDP 更適用于工業互聯網的安全保護，部署 SDP 可滿足 a)、b)、c)要求。6.4.2 對“8.5.2.2 通信傳輸”的適用策略6 6.4.2.1.4.2.1 本項要求包括：本項要求包括：a）在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密信證技術手段實現身份認證

218、、訪問控制和數據加密傳輸。6.4.2.26.4.2.2 SDPSDP 的適用策略的適用策略：管理信息區、工業互聯網部署 SDP 可滿足：部署 SDP 實現傳輸加密、身份零信任管理、訪問控制等功能，滿足等級保護2.0 中工業安全擴展通信傳輸要求?？蓾M足 a)要求。6.4.3 對“8.5.3.1 訪問控制”的適用策略6 6.4.3.1.4.3.1 本項要求包括：本項要求包括：a）應在工業控制系統與企業其它系統之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的 e-Mail、Web、Telnet、Rlogin、FTP 等通用網絡服務。126b）應在工業控制系統內安全域和安全域之間的邊界防

219、護機制失效時，及時進行報警。6.4.3.26.4.3.2 SDPSDP 的適用策略的適用策略管理信息區、工業互聯網部署 SDP 可滿足：管理信息區、工業互聯網部署 SDP，實現對所有網絡訪問控制細粒度管理，可對 e-Mail、Web、Telnet、Rlogin、FTP 等通用網絡服務進行禁止；滿足 a)要求。6.4.4 對“8.5.3.2 撥號使用控制”的適用策略6 6.4.4.1.4.4.1 本項要求包括：本項要求包括：a)工業控制系統確需使用撥號訪問服務的，應限制具有撥號訪問權限的用戶數量，并采取用戶身份鑒別和訪順控制等措施。b)撥號服務器和客戶端應使用安全加固的操作系統，并采取數字證書認

220、證，傳輸加密訪問控制等措施。6.4.4.26.4.4.2 SDPSDP 的適用策略的適用策略：實時生產控制區與非實時生產控制區、管理信息區、工業互聯網部署 SDP可滿足：通過 SDP 實現對遠程撥號終端準入與用戶零信任，訪問傳輸加密以及訪問資源按需授權，滿足 a)要求，部分滿足 b)要求。1276.4.5 對“8.5.3.3 無線使用控制”的適用策略6 6.4.5.1.4.5.1 本項要求包括：本項要求包括：a)應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識和鑒別。b)應對所有參與無線通信的用戶（人員、軟件進程或者設備）進行授權以及執行使用進行限制。c)應對無線通信采取傳輸

221、加密的安全措施，實現傳輸報文的機密性保護；d)對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的無線設備，報告未經授權試圖接入或干擾控制系統的行為。6.4.5.26.4.5.2 SDPSDP 的適用策略的適用策略：管理信息區、工業互聯網部署 SDP 可滿足：通過部署 SDP，利用先認證再連接、零信任等機制，實現無線用戶、設備唯一性標識和鑒別，實現對網絡資源的安全授權和使用，通過隧道加密，提升傳輸加密，滿足 a)、b)、c)要求。6.4.6 對“8.5.4.1 控制設備安全”的適用策略6 6.4.6.1.4.6.1 本項要求包括：本項要求包括：a)控制設備自身應實現相

222、應級別安全通用要求提出的身份鑒別，訪問控制和安全審計等安全要求，如受條件限制控制設備無法實現上述要求，應由基上位控制或管理設備實現同等功能或通過管理手段控制。128b)應在經過充分測試評估后，在不影響系統安全穩定運行的情況下對控制設備進行補丁更新，固件更新等工作。c)應關閉或拆除控制設備的軟盤驅動、光盤驅動、USB 接口、串行口或多余網口等，確需保留的應通過相關的技術措施實施嚴格的監控管理。d)應使用專用設備和專用軟件對控制設備進行更新。e)應保證控制設備在上線前經過安全性測試，避免控制設備固件中存在惡意代碼程序。6.4.6.26.4.6.2 SDPSDP 的適用策略的適用策略：實時生產控制區

223、與非實時生產控制區、管理信息區、工業互聯網部署 SDP可滿足：通過部署 SDP，可實現內部應用準入、身份鑒別和訪問控制，同時實現基于用戶行為的安全審計，滿足 a)要求。6.56.5 工業控制系統安全擴展四級要求等級保護 2.0 第四級要求中，規定了多個方面的具體技術要求。其中 SDP能夠幫助用戶滿足或部分滿足的條目如下表所示。詳細的適用說明將在下個章節詳細闡述。要求項要求子項SDP適用情況9.5.1 安全物理環境9.5.1.1 感知節點設備物理防護不適用1299.5.2安全通信網絡9.5.2.1 網絡架構部分適用，見6.5.19.5.2.2 通信傳輸適用，見6.5.29.5.3 安全區域邊界9

224、.5.3.1 訪問控制適用，見6.5.39.5.3.2 撥號使用控制適用，見6.5.49.5.3.3 無線使用控制部分適用，見6.5.59.5.4 安全計算環境9.5.4.1 控制設備安全部分適用，見6.5.69.5.5 安全建設管理9.5.1.1 產品采購和使用不適用9.5.1.2 外包軟件開發不適用6.5.1 對“9.5.2.1 網絡架構”的適用策略6 6.5.1.1.5.1.1 本項要求包括：本項要求包括：a）工業控制系統與企業其他系統之間應劃分為兩個區域，區域間應采用符合國家或行業規定的專用產品實現單向安全隔離。b）工業控制系統內部應根據業務特點劃分為不同的安全域，安全域之間應采用技術

225、隔離手段。c）涉及實時控制和數據傳輸的工業控制系統，應使用獨立的網絡設備組網，在物理層面上實現與其他數據網及外部公共信息網的安全隔離。6.5.1.26.5.1.2 SDPSDP 的適用策略的適用策略：a)SDP 只能實現連接的控制，連接一旦建立，無法控制數據的通訊方向。b)安全域之間的隔離，依賴 a 項提供的設備，SDP 無法滿足。c)內嵌式部署或者 SDP 網關可以進行分層組網，分層控制，可以滿足該項130需求6.5.2 對“9.5.2.2 通信傳輸”的適用策略6 6.5.2.1.5.2.1 本項要求包括：本項要求包括：a）在工業控制系統內使用廣域網進行控制指令或相關數據交換的應采用加密認證

226、技術手段實現身份認證、訪問控制和數據加密傳輸。6.5.2.26.5.2.2 SDPSDP 的適用策略的適用策略可通過“內嵌式”或“網關式”部署 SDP 滿足。SDP 可以跨廣域網部署，且通過 TLS 進行加密通訊，通過部署 SDP，結合適當的 IAM（Identity and Access Management 身份識別與訪問管理）可以實現對網絡訪問控制細粒度管理，滿足 a 項要求。6.5.3 對“9.5.3.1 訪問控制”的適用策略6 6.5.3.1.5.3.1 本項要求包括：本項要求包括：a）應在工業控制系統與企業其他系統之間部署訪問控制設備，配置訪問控制策略，禁止任何穿越區域邊界的 E-

227、Mail、Web、Telnet、Rlogin、FTP 等通用網絡服務。b）應在工業控制系統內安全域和安全域之間的邊界防護機制失效時，及時進行報警。1316.5.3.26.5.3.2 SDPSDP 的適用策略的適用策略：可通過“內嵌式”或“網關式”部署 SDP 滿足。SDP 本身就可以實現針對不同的應用（主要是通過端口來判斷）進行不同的訪問控制策略，針對不同的應用進行白名單管理，滿足 a 項要求。防護機制失效通知依賴 SDP 設備本身的功能實現，尤其適用于網關式部署，通過在網關上部署相應的安全檢測機制，進行預警和報警。6.5.4 對“9.5.3.2 撥號使用控制”的適用策略6 6.5.4.1.5

228、.4.1 本項要求包括：本項要求包括：a）工業控制系統確需使用撥號訪問服務的，應限制具有撥號訪問權限的用戶數量，并采取用戶身份鑒別和訪問控制等措施。b）撥號服務器和客戶端均應使用經安全加固的操作系統，并采取數字證書認證、傳輸加密和訪問控制等措施。c）涉及實時控制和數據傳輸的工業控制系統禁止使用撥號訪問服務。6.5.4.26.5.4.2 SDPSDP 的適用策略的適用策略：可通過“內嵌式”或“網關式”部署 SDP 滿足。通過 SDP 實現對設備準入與用戶零信任，訪問控制以及訪問資源按需授權，滿足 a)、b)、c)要求。但是 SDP 只能進行訪問的控制，具體的控制，例如用戶數量，身份鑒別等，需要結

229、合撥號服務器進行二次控制。1326.5.5 對“9.5.3.3 無線使用控制”的適用策略6 6.5.5.1.5.5.1 本項要求包括：本項要求包括：a)應對所有參與無線通信的用戶（人員、軟件進程或者設備）提供唯一性標識和鑒別。b)應對所有參與無線通信的用戶（人員、軟件進程或者設備）進行授權以及執行使用進行限制。c)應對無線通信采取傳輸加密的安全措施，實現傳輸報文的機密性保護。d)對采用無線通信技術進行控制的工業控制系統，應能識別其物理環境中發射的未經授權的無線設備，報告未經授權試圖接入或干擾控制系統的行為。6.5.5.26.5.5.2 SDPSDP 的適用策略的適用策略可通過“內嵌式”或“網關

230、式”部署 SDP 進行部分滿足。通過 SDP 內部集成 IAM功能，可以滿足 a）b)要求。SDP 通訊本身就是加密的，可滿足 c）項要求。針對 d）項需要部署專門的無線檢測設備進行檢測，SDP 無法滿足。6.5.6 對“9.5.4.1 控制設備安全”的適用策略6 6.5.6.1.5.6.1 本項要求包括：本項要求包括：a)控制設備自身應實現相應級別安全通用要求提出的身份鑒別、訪問控制和安全審計等安全要求，如受條件限制控制設備無法實現上述要求，應由其上位控制或管理設備實現同等功能或通過管理手段控制。b)應在經過充分測試評估后，在不影響系統安全穩定運行的情況下對控制133設備進行補丁更新、固件更

231、新等工作。c)應關閉或拆除控制設備的軟盤驅動、光盤驅動、USB 接口、串行口或多余網口等，確需保留的應通過相關的技術措施實施嚴格的監控管理。d)應使用專用設備和專用軟件對控制設備進行更新。e)應保證控制設備在上線前經過安全性檢測，避免控制設備固件中存在惡意代碼程序。6.5.6.26.5.6.2 SDPSDP 的適用策略的適用策略b）c）項為管理要求，SDP 無法滿足。d)e)項可以通過 SDP 客戶端進行輔助實現。7 總結本白皮書對 SDP 的基本原理、等保 2.0 的發展背景及要求、SDP 與等保 2.0的關系、SDP 滿足等保 2.0 的二級、三級、四級安全通用要求、云計算安全擴展要求、移

232、動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求等做了詳細的闡述和說明。力求將 SDP 與等保 2.0 的每一項具體要求進行對比說明，方便本書的讀者對 SDP 如何滿足等保 2.0 的具體細節有更清晰的指導?；诹阈湃卫砟畹能浖x邊界（SDP）技術不僅能夠幫助企業做好網絡安全建設，同時也能夠滿足等保 2.0 中的多項安全要求，除了在通用安全方面，還在諸如云計算、移動互聯、物聯網、工業控制等新興領域方面發揮著巨大的作用。在邊界防護、入侵防范、通信傳輸、身份鑒別、數據保密等方面，可以幫助企業134進一步收窄業務系統暴露面，保障業務系統的邊界安全，是更符合新時代網絡安全發展趨勢的安全解決方案。在網絡安全已經上升到國家戰略層面的今天，以等保 2.0 為代表的國家標準正在發揮越來越重要的作用。而如何將這些標準做到“落地實施”，則需要依托于所有的網絡安全從業人員和廠商的共同努力。而這其中，以軟件定義邊界 SDP為代表的新一代網絡完全架構，正在顛覆傳統的企業網絡安全體系，將在今后企業網絡安全建設和發展過程中發揮舉足輕重的作用。