2022软件定义边界实现等保2.0合规技术指南.docx

软件定义边界SDP实现等保2.0合规技术指南白皮书2020年4月目录编者信息2序言3目录41简介81.1 关于软件定义边界SDP81.2 关于等保2.0131.2.1 等级保护是国家信息安全管理的基本制度131.2.2 等保合规建设过程中遇到的问题152 SDP满足等保2.0安全通用要求162.1 概述162.2 二级安全通用要求172.2.1 安全通用要求（二级）概述172.2.2 对u7.1.2.1网络架构"的适用策略192.2.3 对u7.1.2.2通信传输"的适用策略192.2.4 对u7.1.3.1边界安全”的适用策略202.2.5 对u7.1.3.2访问控制”的适用策略202.2.6 对“7.133入侵防范"的适用策略222.2.7 对“7.135安全审计"的适用策略222.2.8 对u7.1.4.1身份鉴别"的适用策略232.2.9 对u7.1.4.2访问控制”的适用策略242.2.10 对“7.143安全审计"的适用策略242.2.11 对47.1.4.4入侵防护"的适用策略252.2.12 对47.1.47数据完整性”的适用策略262.3 三级安全通用要求272.3.1 安全通用要求（三级）概述272.3.2 对u8.1.2.1网络架构"的适用策略292.3.3 对u8.1.2.2通信传输"的适用策略302.3.4 对“8.131边界防护”的适用策略302.3.5 对u8.1.3.2访问控制”的适用策略312.3.6 对“8.133入侵防护"的适用策略322.3.7 对u8.1.3.5安全审计"的适用策略332.3.8 对u8.1.4.1身份鉴别"的适用策略342.3.9 对u8.1.4.2访问控制”的适用策略352.3.10 对,8.1,4.3安全审计"的适用策略362.3.11 对,8.1.4.4入侵防护"的适用策略372.3.12 对t,8.1,4.7数据完整性”的适用策略382.3.13 对,8.1,4.8数据保密性”的适用策略392.3.14 对,8.1,5,4集中管控”的适用策略392.4 四级安全通用要求41©版权所有2020云安全联盟大中华区2.4.1 安全通用要求（四级）概述412.4.2 对u9.1.2.1网络架构"的适用策略432.4.3 对u9.1.2.2通信传输"的适用策略442.4.4 对“9.131边界防护”的适用策略452.4.5 对u9.1.3.2访问控制”的适用策略462.4.6 对u9.1.3.3入侵防护"的适用策略482.4.7 对u9.1.3.5安全审计"的适用策略482.4.8 对u9.1.4.1身份鉴别"的适用策略492.4.9 对u9.1.4.2访问控制”的适用策略502.4.10 对"9.143安全审计"的适用策略512.4.11 对4,9.1,4.4入侵防护”的适用策略522.4.12 对419.1.4.7数据完整性”的适用策略532.4.13 对"9.1.4.8数据保密性”的适用策略542.4.14 对"9.154集中管控"的适用策略552.4.15 SDP应用于等级保护（四级）的合规注意事项563 SDP满足等保2.0云计算安全扩展要求583.1 概述583.2 云计算安全扩展二级要求603.2.1 对“722.1网络架构”的适用策略613.2.2 对,7.2,3.1访问控制”的适用策略623.2.3 对,7.2.3.2入侵防范”的适用策略623.2.4 对,7.2.3.3安全审计”的适用策略633.2.5 对“724.1访问控制”的适用策略643.3 云计算安全扩展三级要求643.3.1 对“8.221网络架构”的适用策略653.3.2 对,48.2,3.1访问控制”的适用策略673.3.3 对,48.2.3.2入侵防范”的适用策略673.3.4 对“823.3安全审计”的适用策略683.3.5 对,8.2,4.1身份鉴别”的适用策略693.3.6 对,48.2,4.2访问控制”的适用策略703.3.7 对,48.2.4.3入侵防范”的适用策略703.3.8 对,8.2.5.1集中管控”的适用策略713.4 云计算安全扩展四级要求723.4.1 对“922.1网络架构”的适用策略733.4.2 对,*9.2.3.1访问控制”的适用策略753.4.3 对,9.2.3.2入侵防范”的适用策略753.4.4 对,19.2.3.3安全审计”的适用策略763.4.5 对,9.2,4.1身份鉴别”的适用策略773.4.6 对,9.2.4.2访问控制”的适用策略773.4.7 对,9.2.4.3入侵防范”的适用策略783.4.8 对“925.1集中管控”的适用策略794 SDP满足等保2.0移动互联安全扩展要求804.1 概述804.2 移动互联安全扩展二级要求844.2.1 对“7.321边界防护”的适用策略854.2.2 对“7.322访问控制”的适用策略854.2.3 对7323入侵防范”的适用策略864.2.4 对“7.331移动应用管控”的适用策略874.2.5 对“734.1移动应用软件采购”的适用策略874.2.6 对“7.342移动应用软件开发”的适用策略884.3 移动互联安全扩展三级要求884.3.1 对“832.1边界防护”的适用策略894.3.2 对“8.322访问控制"的适用策略904.3.3 对“832.3入侵防范”的适用策略904.3.4 对“833.2移动应用管控”的适用策略914.3.5 对“834.1移动应用软件采购”的适用策略924.3.6 对u8.3.4.2移动应用软件开发”适用策略924.3.7 对“8.351配置管理”的适用策略934.4 移动互联安全扩展四级要求934.4.1 对“932.1边界防护”适用策略944.4.2 对u9.3.2.2访问控制"的适用策略954.4.3 对u9.3.2.3入侵防范"适用策略954.4.4 对u9.3.3.1移动终端管控”适用策略974.4.5 对u9.3.3.2移动应用管控"适用策略974.4.6 对u9.3,4.1移动应用软件采购”适用策略984.4.7 对u9.3,4.2移动应用软件开发”适用策略984.4.8 对u9.3.5.1配置管理"适用策略995 SDP满足等保2.0物联网安全扩展要求1005.1 概述1005.2 物联网安全扩展二级要求1015.2.1 SDP的适用情况1015.2.2 对"7.421接入控制”的适用策略1035.2.3 对"7.422入侵防范"的适用策略1045.2.4 对“743安全运维管理”的适用策略1045.3 物联网安全扩展三级要求1055.3.1 SDP的适用情况105532对"8.421接入控制"的适用策略106533对"8.4.2.2入侵防范”的适用策略107534对"8.4.3.2网关节点设备安全”的适用策略1085.4 物联网安全扩展四级要求1095.4.1 SDP的适用情况1095.4.2 对1,9.4.2.1接入控制”的适用策略110543对“9.422入侵防范"的适用策略1105.4.4 对u9.4.3.1感知节点设备安全”的适用策略Ill5.4.5 对“9.432网关节点设备安全”的适用策略1125.4.6 对“9.433抗数据重放”的适用策略1125.4.7 对“9.434数据融合处理”的适用策略1135.4.8 对u9.4.4.1感知节点管理”的适用策略1136 SDP满足等保2.0工业控制系统安全扩展要求1156.4 概述1156.5 工业控制系统安全扩展一级要求1176.2.1 对h5.5.2.1网络架构"的适用策略1186.2.2 对h6.5.3.1访问控制"的适用策略1186.2.3 对h6.5.3.2无线使用控制”的适用策略1196.3 工业控制系统安全扩展二级要求1196.3.1 对,7.5.2.1网络架构"的适用策略1206.3.2 对,7.5.2.2通讯传输”的适用策略1216.3.3 对,7.5.3.1访问控制”的适用策略1216.3.4 对,7.5.3.2拨号使用控制”的适用策略1226.3.5 对,7.5.3.2无线使用控制”的适用策略1236.4 工业控制系统安全扩展三级要求1236.4.1 对“8.521网络架构"的适用策略1246.4.2 对,48.5.2.2通信传输”的适用策略1256.4.3 对,48.5.3.1访问控制”的适用策略1256.4.4 对,48.5.3.2拨号使用控制”的适用策略1266.4.5 对l48.5.3.3无线使用控制”的适用策略1276.4.6 对148.5.4.1控制设备安全”的适用策略1276.5 工业控制系统安全扩展四级要求1286.5.1 对,9.5.2.1网络架构"的适用策略1296.5.2 对,49.5.2.2通信传输”的适用策略1306.5.3 对,49.5.3.1访问控制”的适用策略1306.5.4 对149.5.3.2拨号使用控制”的适用策略1316.5.5 对,9.5.3.3无线使用控制”的适用策略1326.5.6 对“954.1控制设备安全”的适用策略1327总结1331简介1.1 关于软件定义边界SDP传统企业网络安全架构通过建立一个固定的边界使内部网络与外部世界分离，这个边界包含一系列的防火墙策略来阻止外部用户的进入，但是允许内部用户对外的访问，即我们熟悉的“内网”。由于封锁了外部对于内部应用和设施的可见性和可访问性，传统的固定边界确保了内部服务对于外部威胁的安全。对于远程用户访问，最有效的办法也只是VPN接入。但是后期出现了各种各样的问题，云的租户不满足共用防火墙，希望得到更个性化的服务，传统防火墙和VPN不仅接入的体验、访问速度受限，更无法满足租户动态迁移、业务快速部署、策略随需生成、策略及时收回、策略路径可视等要求。另外，BYOD和钓鱼攻击提供了对于内部网络的不可信访问，以及SaaS和IaaS正在改变边界的位置，企业网络架构中的固定的边界模型正在变得过时。传统基于物理边界的安全模型已经不能满足云、移动、物联网时代的无处不在的连接需求以及日益严峻的企业内网渗透事故。公司企业纷纷将目光投向新一代的技术，比如基于零信任理念的软件定义边界，即SoftWare-Defined-Perimeter(SDP)安全技术架构。SDP方案是由国际云安全联盟CSA在2014年提出的一个零信任安全架构。在微软、Ggle等国际互联网巨头公司内部都已经有成熟的应用。此后Zscalers思科、赛门铁克、AkamaisVeriZOn等知名公司都推出了SDP产品。软件定义边界(SDP)架构由客户端(Client)x管控平台(也称控制器,Controller).应用网关（GateWay）三个主要组件组成，如下图所示：软件定义边界（SDP）架构基于SDP安全架构方案可有效减少攻击面，缓解或者彻底消除威胁、风险和漏洞，从而帮助政府部门/企业能够集中资源于其他领域。关于SDP安全模型的详细描述以及应用实践，请参考CSA发布的SDP系列白皮书。下表列出了国际云安全联盟CSA统计的十二大安全威胁（来自十二大网络安全威胁白皮书），并分析SDP方案对于解决这些威胁的作用：安全威胁SDP方案作用1数据泄露SDP通过添加预验证和预授权层来减少公开暴露的主机的攻击面，实现服务器和网络的安全性的“最小访问权限”模型，从而有助于减少数据泄露的许多攻击方式。剩余风险：数据泄露的几个其他攻击方式不适用于SDP,包括钓鱼、错误配置和终端保护。授权用户对授权资源的恶意访问将不会被SDP直接阻止。2弱身份、密码与访问管理过去，VPN访问密码被盗往往会导致数据丢失。这是因为VPN通常允许用户对整个网络进行广泛的访问，从而成为弱身份、密码与访问管理中的薄弱环节。相比之下，SDP不允许广泛的网络访问，并限制对这些主机的访问权限。这使得安全体系结构对弱身份、证书和访问管理有更大的弹性。SDP还可以在用户访问资源之前执行强认证。剩余风险：政府部门/企业必须有一个积极的参与者来调整IAM流程，并确保访问策略被正确定义。过于宽泛的准入政策会带来潜在的风险。3不安全的界面和APl保护用户界面不被未授权用户访问是SDP的核心能力。使用SDP,未经授权的用户（即攻击者）无法访问Ul,因此无法利用任何漏洞。SDP还可以通过在用户设备上运行的进程来保护APIo目前SDP部署的主要焦点一直是保护用户对服务器的访问。剩余风险：服务器到服务器APl调用在这个时候不是SDP的常见用例，因此APl服务可能不会受到SDP系统的保护。4系统和应用程序漏洞SDP显著减少攻击面，通过将系统和应用程序的漏洞隐藏起来，对于未授权用户不可见。剩余风险：授权用户可以访问授权的资源，存在潜在的攻击可能性。其它安全系统如SlEM或IDS必须用来监控访问和网络活动（见下文的内部恶意人员威胁）。5账号劫持基于会话ckie的帐户劫持被SDP完全消除。如果没有预先认证和预先授权，并且携带适当的SPA数据包，应用服务器会默认拒绝来自恶意终端的网络连接请求。因此，即使网络请求中携带被劫持的会话COOkie,也不会被SDP网关准入。剩余风险：钓鱼或密码窃取仍然是一个风险，但SDP可以通过执行强身份验证来减轻这种情况，并有基于诸如地理定位等属性来控制访问的策略。6内部恶意人员威胁SDP将限制内部人员造成安全威胁的能力。适当配置的SDP系统将具有限制用户仅能访问执行业务功能所需的资源。因此，所有其他资源都将被隐藏。剩余风险：SDP不阻止授权用户对授权资源的恶意访问。7高级持续威胁攻击APTS本质上是复杂的、多方面的，不会被任何单一(APTS)的安全防御所阻止。SDP通过限制受感染终端寻找网络目标的能力，并且在整个政府部门/企业中实施多因子认证，有效减少攻击面，从而降低APT的存在可能性和传播。剩余风险：预防和检测APTS需要多个安全系统和过程结合起来进行深入的防御。8数据丢失SDP通过执行最小权限原则，并将网络资源对未授权用户隐藏起来，来减少数据丢失的可能性。SDP可以通过适当的DLP解决方案来增强。剩余风险：SDP不阻止授权用户对授权资源的恶意访问。9尽职调查不足SDP不适用10滥用和非法使用云服务SDP并不直接适用，但SDP供应商的产品可能有能力检测和了解云服务使用状况。11DDOS拒绝服务SDP架构中的单包授权（SPA）技术使得SDP控制器和网关对阻止DDOS攻击更有弹性。SPA与典型的TCP握手连接相比可花费更少的资源，使服务器能够大规模处理、丢弃恶意的网络请求数据包。与TCP相比，基于UDP的SPA进一步提高了服务器的可用性。剩余风险：虽然SPA显著降低了由无效SPA包所施加的计算负担，但它仍然是非零的，因此面向公众的SDP系统仍然可能受到大规模DDoS攻击的影响。12共享技术问题SDP可以由云服务提供商使用，以确保管理员对硬件和虚拟化基础设施的访问管理。剩余风险：云服务提供商除了SDP之外，还必须使用各种安全系统和流程。1.2 关于等保2.01.2.1 等级保护是国家信息安全管理的基本制度随着政府、企事业单位信息化水平的不断提高，诸如泄密、黑客入侵等信息安全问题逐步凸现出来。近年来，国家层面越来越重视信息安全工作，确立了重要信息系统等级保护是国家信息安全管理的基本制度。1994年国务院发布了中华人民共和国国务院令（147号）中华人民共和国计算机信息系统安全保护条例。自此，国家相关主管部门陆续发布了多项政策及标准，等级保护作为国家信息安全保障整改建设的标准，逐步进入落地阶段： 2003年中办国办联合发布的中办发200327号文件一关于转发国家信息化领导小组关于加强信息安全保障工作的意见的通知； 2004年公安部、保密局、国密办以及国信办联合发布的公通字200466号文件一关于信息安全等级保护工作的实施意见； 2005年后公安部陆续发布了信息系统安全等级保护实施指南、信息系统安全等级保护定级指南、信息系统安全等级保护基本要求和信息系统安全等级保护测评指南。 2007年公安部、保密局、国密办和国信办联合发布的公通字200743号文件一信息安全等级保护管理办法。 2008年信息安全技术信息系统安全等级保护基本要求：明确对于各等级信息系统的安全保护基本要求。 2016年11月，网络安全法正式发布，2017年6月1日起开始施行。 2018年4月，国家发布全国医院信息化建设标准与规范（试行），此次规范中安全防护建设，对数据中心安全、终端安全、网络安全、容灾备份4个方面，19个项目做了明确要求。 2019年5月13日下午，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2.0标准正式发布，实施时间为2019年12月1日。各政府、企事业单位都需要通过开展等级保护工作，推动等级保护整改建设实施，使得相关信息系统能够达到相应等级的基本保护和防护能力，从而满足上级部门的监管要求和政策法规的合规需求。等保2.0一共分为五级，逐级安全要求增强，具体每一级内容如下：信息系统的安全保护等级内容第一级：自主保护级适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。第二级：指导保护级适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。第三级：监督保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成损害。第四级：强制保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成严重损害。第五级：专控保护级适用于涉及国家安全、社会秩序和公共利益的重要信息系统的核心系统，其受到破坏后，会对国家安全、社会秩序和公共利益造成特别严重损害。1.2.2等保合规建设过程中遇到的问题由于信息安全保障工作的专业性和复杂性，各个单位在开展等级保护合规建设的过程中都不同程度遇到了诸多问题。据市场反馈，有近60承单位不了解等级保护建设工作如何开展，70/勺单位不熟悉、不理解相关标准要求，大多数单位缺乏相关的知识和应对方案。2SDP满足等保2.0安全通用要求2.1 概述随着信息系统的迭代速度加快，网络环境日趋复杂，传统的边界安全防护因为缺失灵活性无法适应复杂多变的攻击手段，因此现代网络安全体系建设应能够快速有效的部署访问策略，形成纵深边界安全防御和检测机制。等级保护2.0标准体系较1.0时代最大的变化，就是充分体现了“一个中心三重防御”的思想。一个中心指“安全管理中心“，三重防御指“安全计算环境，安全区域边界，安全网络通信”。从这一点上，等级保护2.0标准体系相比LO时期的安全体系更注重整体动态的防御效果，强调事前预防、事中响应、事后审计。软件定义边界(SDP)其本质是一套访问控制的策略体系，核心思想是构建以身份为中心，对网络传输进行的动态访问控制。它强调建立包括用户，设备，应用，系统等实体的统一身份标识，并基于最小化授权原则构筑访问。SDP这种以网络为实施范围，以实体身份为抓手，最终实现对数据层面访问控制的安全体系很符合等级保护2。标准体系中对三重防御体系，特别是“安全区域边界”和“安全网络通信”的要求。事实上，SDP与等级保护2.0的总体思路是不谋而合的，这也体现了在安全挑战日新月异的大背景下，随着传统边界防护的瓦解，网络安全技术自身适应进化的一个过程。因此我们可以认为，借助SDP,能够更加有效的解决等级保护的要求，构建全新的安全架构基石。2.2 二级安全通用要求2.2.1 安全通用要求（二级）概述在国家等级保护2.0的二级要求中，明确了二级要求的保护能力即“能够防护免受来自外部小型组织的，拥有少量资源的威胁元发起的恶意攻击，一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和输出安全事件，在自身遭到损害后，能够在一段时间内恢复部分功ZX匕”由于二级要求是常见的相对基础层级的要求，在安全通用要求方面，主要针对多个领域，如物理安全，安全区域边界，安全计算环境，安全管理中心，安全管理制度，安全管理机构，安全管理人员和安全运维管理。通过对SDP的应用有效的提高安全管理效率，降低安全运维的成本与耗费，为真正的安全边界防护打开了起点。等级保护的第二级别安全通用要求中由多个方面的技术要求，其中对于SDP帮助用户的满足的条目如下表所示：要求项要求子项SDP适用情况7.1.1安全物理环境7.1.1.1-7.1.1.10不适用7.1.2安全通信网络7.1.2,1网络架构适用见222.17.1.2.2通信传输适用见222.27.1.2.3可信验证不适用7.1.3安全区域边界7.1.3.1边界防护适用见2.2237.1.3.2访问控制适用见2.2247.1.3.3入侵防范适用见222.57.1.3.4恶意代码防范不适用7.1.3.5安全审计适用见2.2267.1.3.6可信验证不适用7.1.4安全计算环境7.1.4.1身份鉴别适用见2.2277.142访问控制适用见2.2287.1.43安全审计适用见2.2297.1.4.4入侵防范适用见2.22107.1.4.5恶意代码防范不适用7.1.4.6可信验证不适用7.1.4.7数据完整性适用见222.117.1.4.8数据备份恢复不适用7.1.4.9剩余信息保护不适用7.1.4.10个人信息保护不适用7.1.5安全管理中心7.1.5.1系统管理不适用7.1,5.2审计管理不适用7.1.6安全管理制度7.1.6.1-7.1.6.4不适用7.1.7安全管理机构7.1.7.1-7.1.7.4不适用7.1.8安全管理人员7.1.8.1-7.1.8.4不适用7.1.9安全建设管理7.1.9.1-7.1.9.10不适用7.1.10安全运维管理7.1.10.1-7.1.10.14不适用2.2.2 对''7.121网络架构”的适用策略2.2.2.1, 本项要求包括：a）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。b）应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。2.2.2.2, SDP的适用策略针对第a、b条要求：SDP提供应用层的边界防护，应用网关起到技术隔离作用。SDP对于不同的网络分区支持发布特有的应用，由于SDP是通过SDP控制器来控制对应的连接访问，可以通过SDP的控制器来管理和控制对应的区域,同时对应的连接通过SDP客户端和SDP网关进行交互，大大提高了访问的可靠性和安全性。对于安全边界的确定，SDP有效的将其灵活性提高了，SDP提供云平台和私有化部署，可以根据需要进行选择部署。SDP实现的是边界防护，应用网关起到技术隔离作用，将应用服务器保护在网关后面，使外界扫描工具和攻击来源无法探测到服务器地址和端口。SDP将原本固化的边界模糊化以减小攻击面。2.2.3 对7122通信传输的适用策略2.2.3.1, 本项要求包括：a）应采用校验技术保证通信过程中数据的完整性。针对第a条要求：“应采用校验技术保证通信过程中数据的完整性”，传输过程使用双向TLS（mTLS）加密传输，防止被篡改，保障数据的完整性。2.2.4 对''7.L3.1边界安全的适用策略2.2.4.1, 本项要求包括：a）应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信；2.2.4.2, SDP的适用策略针对第a条要求：SDP作为软件定义的边界安全隔离产品，可以有效地提供跨越边界的安全访问以及跨越边界数据流的受控接口。由于独特的SDP三组件关系，数据流仅能通过特定的客户端和网关，且经合法授权后，方可进入另外一个内部网络。2.2.5 对''7132访问控制”的适用策略2.2.51 本项要求包括：a）应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外控接口拒绝所有通信。b）应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。c）应对源地址，目的地址，源端口，目的端口和协议等进行检查，以允许/拒绝数据包进出。d）应根据会话状态信息为进出数据或提供明确的允许/拒绝访问的能力。2.2.52 2SDP的适用策略对于访问控制来说，应根据具体情况部署SDP网关和控制器来保证对应的访问控制，SDP的优势其实是对于请求验证的会话进行有效的验证和对应的访问控制。因此，针对第a条要求：SDP默认不信任任何网络、人、设备，均需进行验证，默认拒绝一切连接，只有验证合法的访问请求才被允许。并根据控制策略进行访问控制，仅对于验证合法用户，允许受控端口进行通信。即便合法的用户，也需要根据自己的权重分配账户和访问权限。针对第b条要求：SDP基于用户身份与授权进行精细化、颗粒度访问控制。针对第C条：SDP会对源地址、目的地址、源端口、目的端口和协议等进行检查，会基于上述信息进行访问控制，以允许符合条件的数据包通过，并拒绝不符合条件的数据包。针对第d条要求：SDP以身份化为基础，所有的访问请求都需要经过身份认证并植入会话状态信息，对所有访问流量会检测会话状态信息的合法性，仅允许携带合法会话状态信息的流量到达业务系统，拒绝非法访问。对于其他的情况需要视情况而定对应的适用策略。2.2.6 对''7.L3.3入侵防范的适用策略2.2.6.1, 本项要求包括：a）应在关键网络节点监视网络攻击行为2.2.6.2, SDP的适用策略针对第a条要求：可以通过SDP控制器来监控所有对资源的访问日志以及异常行为，若对应的故障场景发生，则需要匹配对应的策略看是对应异常程度的严重程度，以帮助有效监控网络攻击行为。对应的场景如果有变化，相应的策略需要调整。2.2.7 对“7.L3.5安全审计的适用策略2.2.7.1, 本项要求包括：a）应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。2.2.7.2, SDP的适用策略SDP的审计内容覆盖到每个终端用户，对于行为和重要事件进行记录。包括日期、时间、事件等。并保存于管控平台，并进行定期备份，以防止未预期的删除、修改和覆盖等。针对第a、b条要求：SDP审计日志默认记录所有用户的所有访问日志，SDP审计日志详细记录日期时间、用户、事件详情信息。针对第c条要求：SDP控制器上支持设置审计日志的保存时间，并且定期备份。2.2.8 对7.141身份鉴别的适用策略2.2.81 本项要求包括：a应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。O当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。2.2.82 2SDP的适用策略针对第a条要求：SDP支持多因素认证，保证身份不易被冒用，并对密码复杂度有强制要求。针对第b条要求：SDP对登录认证有防爆破保护，以及连接超时自动注销保护。针对第C条要求：SDP对所有数据都使用双向TLS(mTLS)加密传输，防止数据在网络传输过程中被窃听，并且能防止中间人攻击。2.2.9 对“7.142访问控制的适用策略2.2.9.1, 本项要求包括：a）应对登录的用户分配账户和权限。b）应重命名或删除默认账户，修改默认账户的默认口令。c）应及时删除或停用多余的、过期的账户，避免共享账户的存在。d）应授予管理用户所需的最小权限，实现管理用户的权限分离。2.2.9.2, SDP的适用策略SDP属于访问控制类别产品，具备账号管理功能，能够分配账户访问与配置权限。即便合法的用户，也需要根据自己的角色确定账户和访问权限。针对第a、b条要求：SDP对所有的用户的访问连接都会进行授权校验。针对第c、d条要求：SDP控制器对账号会设置过期时间，对于长时间不登录的账号会禁止登录。2.2.10 对''7.L4.3安全审计的适用策略2.2.10.1, 本项要求包括：a应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。O应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。2.2.10.2, SDP的适用策略针对第a、b条要求：SDP审计日志默认记录所有用户的所有访问日志，SDP审计日志详细记录日期时间、用户、事件详情信息。针对第c条要求：SDP控制器上支持设置审计日志的保存时间，并且定期备份。2.2.11 对7144入侵防护的适用策略2.2.11.1, 本项要求包括：a）应遵循最小安装的原则，仅安装需要的组件和应用程序。b）应关闭不需要的系统服务、默认共享和高危端口。c）应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。d）应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。e）应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞。2.2.11.2, SDP的适用策略针对第a、b条要求：SDP本身的特性就默认关闭所有端口，拒绝一切连接,不存在共享和高危的端口，应用网关仅面向授权客户端开放访问权限，极大地控制了使用范围，减小了暴露面。通过客户端和控制器，可检测到入侵的行为，并在发生严重入侵事件时提供预警。针对第C条要求：SDP客户端在连接网关之前需要先去控制器进行身份和设备的验证，控制器可以对终端的接入方式或网络地址范围进行有效控制。针对第d条要求：SDP客户端和SDP网关之间使用特殊的通信协议以及加密（mTLS）的数据传输，以保证数据的正确性和有效性。针对第e条要求：SDP三组件（客户端、网关、控制器）支持自动更新和升级，保证可以及时修补漏洞。2.2.12 对7147数据完整性的适用策略2.2.12.1, 本项要求包括：3应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。2.2.12.2, SDP的适用策略针对第a条要求：SDP通过密码技术（mTLS双向TLS加密）对网络传输进行数据加密，保障数据的完整性。2.3 三级安全通用要求2.3.1 安全通用要求（三级）概述等保三级又被称为国家信息安全等级保护三级认证，是中国最权威的信息产品安全等级资格认证，由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。其中三级是国家对非银行机构的最高级认证，属于“监管级别”，由国家信息安全监管部门进行监督、检查，认证需要测评内容涵盖等级保护安全技术要求5个层面和安全管理要求的5个层面，主要包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类，要求十分严格。等保三级中，通用安全要求项与SDP适用项如下表所示：要求项要求子项SDP适用情况8.1.1安全物理环境8.1.1.1-8.1.1.10不适用8.1.2安全通信网络8.1.2.1网络架构适用见2.3218.1.2.2通信传输适用见2.3228.1.2.3可信验证不适用8.1.3安全区域边界8.1.3.1边界防护适用见2.3238.1.3.2访问控制适用见2.3248.1.3.3入侵防范适用见2.3258.1.3.4恶意代码防范不适用8.1.3.5安全审计适用见2.3268.1.3.6可信验证不适用8.1.4安全计算环境8.1.4.1身份鉴别适用见2.3278.142访问控制适用见2.3288.1.4.3安全审计适用见2.3298.1.4.4入侵防范适用见2.32108.1.4.5恶意代码防范不适用8.1.4.6可信验证不适用8.1.4.7数据完整性适用见2.32118.1.4.8数据保密性适用见2.32128.1.4.9数据备份恢复不适用8.1.4.10剩余信息保护不适用8.1.4.10个人信息保护不适用8.1.5安全管理中心8.1.5.1系统管理不适用8.1,5.2审计管理不适用8.1.5.3安全管理不适用8.154集中管控适用见2.32138.1.6安全管理制度8.1.6.1-8.1.6.4不适用8.1.7安全管理机构8.1.7.1-8.1.7.4不适用8.1.8安全管理人员8.1.8.1-8.1.8.4不适用8.1.9安全建设管理8.1.9.1-8.1.9.10不适用8.1.10安全运维管理8.1.10.1-8.1.10.14不适用2.3.2 对''8.121网络架构”的适用策略2.3.2.1, 本项要求包括：a）应保证网络设备的业务处理能力满足业务高峰期需要。b）应保证网络各个部分的带宽满足业务高峰期需要。c）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址。d）应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠