您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[CSA GCR]:SDP实现等保2.0合规技术指南 - 发现报告
当前位置:首页/行业研究/报告详情/

SDP实现等保2.0合规技术指南

信息技术2023-02-22CSA GCR�***
AI智能总结
查看更多
SDP实现等保2.0合规技术指南

©版权所有2020云安全联盟大中华区 0 软件定义边界 SDP实现等保2.0合规技术指南白皮书 2020年4月 编者信息 由云安全联盟大中华区(CSAGCR)组织SDP工作组专家对《SDP实现等保2.0合规技术指南》进行编写。 参与本文档编写的专家(排名不分先后): 总编辑:陈本峰(云深互联) 安全通用要求章节: 组长:卢艺(深信服)组员:刘鹏(深信服)、鹿淑煜(三未信安)、潘盛合(顺丰)、刘洪森 云计算安全扩展要求章节: 组长:薛永刚(华为)组员:秦益飞(易安联)、于继万(华为)、魏琳琳(国云科技)、杨洋 移动互联安全扩展要求章节: 组长:何国锋组员:张全伟(吉大正元)、张泽洲(奇安信)、孙刚、赵锐 物联网安全扩展要求章节: 组长:余晓光(华为)组员:张大海(三未信安)、高轶峰、马红杰、王安宇(OPPO)、杨喜龙 工控系统安全扩展要求章节: 组长:汪云林(天融信)组员:靳明星(易安联)、袁初成(缔安科技)、姚凯、于新宇(安几网安) CSAGCR研究助理:朱晓璐、高健凯、廖飞 感谢以下单位对本文档的支持和贡献(按拼音排序): 北京三未信安科技发展有限公司、北京天融信网络安全技术有限公司、长春吉大正元信息技术股份有限公司、国云科技股份有限公司、华为技术有限公司、江苏易安联网络技术有限公司、OPPO广东移动通信有限公司、奇安信科技集团股份有限公司、上海安几科技有限公司、上海缔安科技股份有限公司、深信服科技股份有限公司、深圳顺丰泰森控股(集团)有限公司、深圳竹云科技有限公司、云深互联(北京)科技有限公司 序言 网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,由公安部牵头的网络安全等级保护制度2.0标准于2019年12月1日实施,等保 2.0将等保1.0的被动式传统防御思路转变为主动式防御,覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。 云安全联盟提�的SDP软件定义边界是实施零信任安全架构的解决方案,SDP将基于传统静态边界的被动防御转化为基于动态边界的主动防御,与等保 2.0的防御思路非常吻合,成为满足等保2.0合规要求的优选解决方案。 CSA大中华区SDP工作组的专家们对等保2.0做了深入解读,为读者们展示了如何通过SDP解决方案来满足企业的等保2.0合规要求,大家通过对这篇指南的学习也将在企业网络与信息安全保障能力提升方面受益。 李雨航YaleLi云安全联盟大中华区主席 目录 编者信息2 序言3 目录4 1简介8 1.1关于软件定义边界SDP8 1.2关于等保2.013 1.2.1等级保护是国家信息安全管理的基本制度13 1.2.2等保合规建设过程中遇到的问题15 2SDP满足等保2.0安全通用要求16 2.1概述16 2.2二级安全通用要求17 2.2.1安全通用要求(二级)概述17 2.2.2对“7.1.2.1网络架构”的适用策略19 2.2.3对“7.1.2.2通信传输”的适用策略19 2.2.4对“7.1.3.1边界安全”的适用策略20 2.2.5对“7.1.3.2访问控制”的适用策略20 2.2.6对“7.1.3.3入侵防范”的适用策略22 2.2.7对“7.1.3.5安全审计”的适用策略22 2.2.8对“7.1.4.1身份鉴别”的适用策略23 2.2.9对“7.1.4.2访问控制”的适用策略24 2.2.10对“7.1.4.3安全审计”的适用策略24 2.2.11对“7.1.4.4入侵防护”的适用策略25 2.2.12对“7.1.4.7数据完整性”的适用策略26 2.3三级安全通用要求27 2.3.1安全通用要求(三级)概述27 2.3.2对“8.1.2.1网络架构”的适用策略29 2.3.3对“8.1.2.2通信传输”的适用策略30 2.3.4对“8.1.3.1边界防护”的适用策略30 2.3.5对“8.1.3.2访问控制”的适用策略31 2.3.6对“8.1.3.3入侵防护”的适用策略32 2.3.7对“8.1.3.5安全审计”的适用策略33 2.3.8对“8.1.4.1身份鉴别”的适用策略34 2.3.9对“8.1.4.2访问控制”的适用策略35 2.3.10对“8.1.4.3安全审计”的适用策略36 2.3.11对“8.1.4.4入侵防护”的适用策略37 2.3.12对“8.1.4.7数据完整性”的适用策略38 2.3.13对“8.1.4.8数据保密性”的适用策略39 2.3.14对“8.1.5.4集中管控”的适用策略39 2.4四级安全通用要求41 2.4.1安全通用要求(四级)概述41 2.4.2对“9.1.2.1网络架构”的适用策略43 2.4.3对“9.1.2.2通信传输”的适用策略44 2.4.4对“9.1.3.1边界防护”的适用策略45 2.4.5对“9.1.3.2访问控制”的适用策略46 2.4.6对“9.1.3.3入侵防护”的适用策略48 2.4.7对“9.1.3.5安全审计”的适用策略48 2.4.8对“9.1.4.1身份鉴别”的适用策略49 2.4.9对“9.1.4.2访问控制”的适用策略50 2.4.10对“9.1.4.3安全审计”的适用策略51 2.4.11对“9.1.4.4入侵防护”的适用策略52 2.4.12对“9.1.4.7数据完整性”的适用策略53 2.4.13对“9.1.4.8数据保密性”的适用策略54 2.4.14对“9.1.5.4集中管控”的适用策略55 2.4.15SDP应用于等级保护(四级)的合规注意事项56 3SDP满足等保2.0云计算安全扩展要求58 3.1概述58 3.2云计算安全扩展二级要求60 3.2.1对“7.2.2.1网络架构”的适用策略61 3.2.2对“7.2.3.1访问控制”的适用策略62 3.2.3对“7.2.3.2入侵防范”的适用策略62 3.2.4对“7.2.3.3安全审计”的适用策略63 3.2.5对“7.2.4.1访问控制”的适用策略64 3.3云计算安全扩展三级要求64 3.3.1对“8.2.2.1网络架构”的适用策略65 3.3.2对“8.2.3.1访问控制”的适用策略67 3.3.3对“8.2.3.2入侵防范”的适用策略67 3.3.4对“8.2.3.3安全审计”的适用策略68 3.3.5对“8.2.4.1身份鉴别”的适用策略69 3.3.6对“8.2.4.2访问控制”的适用策略70 3.3.7对“8.2.4.3入侵防范”的适用策略70 3.3.8对“8.2.5.1集中管控”的适用策略71 3.4云计算安全扩展四级要求72 3.4.1对“9.2.2.1网络架构”的适用策略73 3.4.2对“9.2.3.1访问控制”的适用策略75 3.4.3对“9.2.3.2入侵防范”的适用策略75 3.4.4对“9.2.3.3安全审计”的适用策略76 3.4.5对“9.2.4.1身份鉴别”的适用策略77 3.4.6对“9.2.4.2访问控制”的适用策略77 3.4.7对“9.2.4.3入侵防范”的适用策略78 3.4.8对“9.2.5.1集中管控”的适用策略79 4SDP满足等保2.0移动互联安全扩展要求80 4.1概述80 4.2移动互联安全扩展二级要求84 4.2.1对“7.3.2.1边界防护”的适用策略85 4.2.2对“7.3.2.2访问控制”的适用策略85 4.2.3对“7.3.2.3入侵防范”的适用策略86 4.2.4对“7.3.3.1移动应用管控”的适用策略87 4.2.5对“7.3.4.1移动应用软件采购”的适用策略87 4.2.6对“7.3.4.2移动应用软件开发”的适用策略88 4.3移动互联安全扩展三级要求88 4.3.1对“8.3.2.1边界防护”的适用策略89 4.3.2对“8.3.2.2访问控制”的适用策略90 4.3.3对“8.3.2.3入侵防范”的适用策略90 4.3.4对“8.3.3.2移动应用管控”的适用策略91 4.3.5对“8.3.4.1移动应用软件采购”的适用策略92 4.3.6对“8.3.4.2移动应用软件开发”适用策略92 4.3.7对“8.3.5.1配置管理”的适用策略93 4.4移动互联安全扩展四级要求93 4.4.1对“9.3.2.1边界防护”适用策略94 4.4.2对“9.3.2.2访问控制”的适用策略95 4.4.3对“9.3.2.3入侵防范”适用策略95 4.4.4对“9.3.3.1移动终端管控”适用策略97 4.4.5对“9.3.3.2移动应用管控”适用策略97 4.4.6对“9.3.4.1移动应用软件采购”适用策略98 4.4.7对“9.3.4.2移动应用软件开发”适用策略98 4.4.8对“9.3.5.1配置管理”适用策略99 5SDP满足等保2.0物联网安全扩展要求100 5.1概述100 5.2物联网安全扩展二级要求101 5.2.1SDP的适用情况101 5.2.2对“7.4.2.1接入控制”的适用策略103 5.2.3对“7.4.2.2入侵防范”的适用策略104 5.2.4对“7.4.3安全运维管理”的适用策略104 5.3物联网安全扩展三级要求105 5.3.1SDP的适用情况105 5.3.2对“8.4.2.1接入控制“的适用策略106 5.3.3对“8.4.2.2入侵防范”的适用策略107 5.3.4对“8.4.3.2网关节点设备安全”的适用策略108 5.4物联网安全扩展四级要求109 5.4.1SDP的适用情况109 5.4.2对“9.4.2.1接入控制”的适用策略110 5.4.3对“9.4.2.2入侵防范”的适用策略110 5.4.4对“9.4.3.1感知节点设备安全”的适用策略111 5.4.5对“9.4.3.2网关节点设备安全”的适用策略112 5.4.6对“9.4.3.3抗数据重放”的适用策略112 5.4.7对“9.4.3.4数据融合处理”的适用策略113 5.4.8对“9.4.4.1感知节点管理”的适用策略113 6SDP满足等保2.0工业控制系统安全扩展要求115 6.1概述115 6.2工业控制系统安全扩展一级要求117 6.2.1对“5.5.2.1网络架构”的适用策略118 6.2.2对“6.5.3.1访问控制”的适用策略118 6.2.3对“6.5.3.2无线使用控制”的适用策略119 6.3工业控制系统安全扩展二级要求119 6.3.1对“7.5.2.1网络架构”的适用策略120 6.3.2对“7.5.2.2通讯传输”的适用策略121 6.3.3对“7.5.3.1访问控制”的适用策略121 6.3.4对“7.5.3.2拨号使用控制”的适用策略122 6.3.5对“7.5.3.2无线使用控制”的适用策略123 6.4工业控制系统安全扩展三级要求123 6.4.1对“8.5.2.1网络架构”的适用策略124 6.4.2对“8.5.2.2通信传输”的适用策略125 6.4.3对“8.5.3.1访问控制”的适用策略125 6.4.4对“8.5.3.2拨号使用控制”的适用策略126 6.4.5对“8.5.3.3无线使用控制”的适用策略127 6.4.6对“8.5.4.1控制设备安全”的适用策略127 6.5工业控制系统安全扩展四级要求128 6.5.1对“9.5.2.1网络架构”的适用策略129 6.5.2对“9.5.2.2通信传输”的适用策略130 6.5.3对“9.5.3.1访问控制”的适用策略130 6.5.4对“9.5.3.2拨号使用控制”的适用策略131 6.5.5对“9.5.3.3无线使用控制”的适用策略132 6.5.6对“9.5.4.1控制设备安全”的适用策略132 7总结133 1简介 1.1关于软件定义边界SDP 传统企业网络安全架构通过建立一个固定的边界使内部网络与外部世界分离,这个边界包含一系列的防火墙策略来阻止外部用户的进入,但是允许内部用户对外的访问,即我们熟悉的“内网”。由于封锁了外部对于内部应用和设施的