CSA SDP实现等保2.0合规技术指南白皮书 2020

m o c . 5 b u h t i g © 版权所有 2020 云安全联盟大中华区 0 软件定义边界 m o c . 5 SDP 实现等保 2.0 合规技术指南白皮书 b u h t i g 2020 年 4 月 1 编者信息由云安全联盟大中华区（CSA GCR）组织SDP工作组专家对《SDP实现等保2.0合规技术指南》进行编写。参与本文档编写的专家（排名不分先后）：  总编辑：陈本峰（云深互联）  安全通用要求章节：组长：卢艺（深信服）组员：刘鹏（深信服）、鹿淑煜（三未信安）、潘盛合（顺丰）、 m o c . 5 刘洪森  云计算安全扩展要求章节：组长：薛永刚（华为）组员：秦益飞（易安联）、于继万（华为）、魏琳琳（国云科技）、杨洋  组长：何国锋  b u 移动互联安全扩展要求章节：组员：张全伟（吉大正元）、张泽洲（奇安信）、孙刚、赵锐 h t i g 物联网安全扩展要求章节：组长：余晓光（华为）组员：张大海（三未信安）、高轶峰、马红杰、王安宇（OPPO）、杨喜龙  工控系统安全扩展要求章节：组长：汪云林（天融信）组员：靳明星（易安联）、袁初成（缔安科技）、姚凯、于新宇（安几网安）  CSA GCR 研究助理：朱晓璐、高健凯、廖飞感谢以下单位对本文档的支持和贡献（按拼音排序）：北京三未信安科技发展有限公司、北京天融信网络安全技术有限公司、长春吉大正元信息技术股份有限公司、国云科技股份有限公司、华为技术有限公司、江苏易安联网络技术有限公司、OPPO 广东移动通信有限公司、奇安信科技集团股份有限公司、上海安几科技有限公司、上海缔安科技股份有限公司、深信服科技股份有限公司、深圳顺丰泰森控股（集团）有限公司、深圳竹云科技有限公司、云深互联（北京）科技有限公司 2 序言网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法，由公安部牵头的网络安全等级保护制度 2.0 标准于 2019 年 12 月 1 日实施，等保 2.0 将等保 1.0 的被动式传统防御思路转变为主动式防御，覆盖工业控制系统、云计算、大数据、物联网等新技术新应用，为落实信息系统安全工作提供了方向 m o c . 5 和依据。云安全联盟提出的 SDP 软件定义边界是实施零信任安全架构的解决方案， SDP 将基于传统静态边界的被动防御转化为基于动态边界的主动防御，与等保 2.0 的防御思路非常吻合，成为满足等保 2.0 合规要求的优选解决方案。 b u CSA 大中华区 SDP 工作组的专家们对等保 2.0 做了深入解读，为读者们展示 h t i g 了如何通过 SDP 解决方案来满足企业的等保 2.0 合规要求，大家通过对这篇指南的学习也将在企业网络与信息安全保障能力提升方面受益。李雨航 Yale Li 云安全联盟大中华区主席 © 版权所有 2020 云安全联盟大中华区 3 目录编者信息.....................................................................................................................................2 序言.............................................................................................................................................3 目录.............................................................................................................................................4 1 简介.................................................................................................................................................8 1.1 关于软件定义边界 SDP..................................................................................................... 8 1.2 关于等保 2.0..................................................................................................................... 13 1.2.1 等级保护是国家信息安全管理的基本制度........................................................13 1.2.2 等保合规建设过程中遇到的问题........................................................................ 15 2 SDP 满足等保 2.0 安全通用要求................................................................................................ 16 2.1 概述................................................................................................................................... 16 2.2 二级安全通用要求........................................................................................................... 17 2.2.1 安全通用要求（二级）概述................................................................................ 17 2.2.2 对“7.1.2.1 网络架构”的适用策略........................................................................ 19 2.2.3 对“7.1.2.2 通信传输”的适用策略........................................................................ 19 2.2.4 对“7.1.3.1 边界安全”的适用策略........................................................................ 20 2.2.5 对“7.1.3.2 访问控制”的适用策略........................................................................ 20 2.2.6 对“7.1.3.3 入侵防范”的适用策略........................................................................ 22 2.2.7 对“7.1.3.5 安全审计”的适用策略........................................................................ 22 2.2.8 对“7.1.4.1 身份鉴别”的适用策略........................................................................ 23 2.2.9 对“7.1.4.2 访问控制”的适用策略........................................................................ 24 2.2.10 对“7.1.4.3 安全审计”的适用策略......................................................................24 2.2.11 对“7.1.4.4 入侵防护”的适用策略......................................................................25 2.2.12 对“7.1.4.7 数据完整性”的适用策略..................................................................26 2.3 三级安全通用要求........................................................................................................... 27 2.3.1 安全通用要求（三级）概述................................................................................ 27 2.3.2 对“8.1.2.1 网络架构”的适用策略........................................................................ 29 2.3.3 对“8.1.2.2 通信传输”的适用策略........................................................................ 30 2.3.4 对“8.1.3.1 边界防护”的适用策略......................................................................... 30 2.3.5 对“8.1.3.2 访问控制”的适用策略...................................................