m o c . 5 b u h t i g © 版权所有 2020 云安全联盟大中华区 0 软件定义边界 m o c . 5 SDP 实现等保 2.0 合规技术指南 白皮书 b u h t i g 2020 年 4 月 1 编者信息 由云安全联盟大中华区（CSA GCR）组织SDP工作组专家对《SDP实现等保2.0合规技术指 南》进行编写。 参与本文档编写的专家（排名不分先后）：  总编辑：陈本峰（云深互联）  安全通用要求章节： 组长：卢艺（深信服） 组员：刘鹏（深信服）、鹿淑煜（三未信安）、潘盛合（顺丰）、 m o c . 5 刘洪森  云计算安全扩展要求章节： 组长：薛永刚（华为） 组员：秦益飞（易安联）、于继万（华为）、魏琳琳（国云科 技）、杨洋  组长：何国锋  b u 移动互联安全扩展要求章节： 组员：张全伟（吉大正元）、张泽洲（奇安信）、孙刚、赵锐 h t i g 物联网安全扩展要求章节： 组长：余晓光（华为） 组员：张大海（三未信安）、高轶峰、马红杰、王安宇（OPPO）、 杨喜龙  工控系统安全扩展要求章节： 组长：汪云林（天融信）组员：靳明星（易安联）、袁初成（缔安科技）、姚凯、于新 宇（安几网安）  CSA GCR 研究助理：朱晓璐、高健凯、廖飞 感谢以下单位对本文档的支持和贡献（按拼音排序）： 北京三未信安科技发展有限公司、北京天融信网络安全技术有限公司、长春吉大正元信 息技术股份有限公司、国云科技股份有限公司、华为技术有限公司、江苏易安联网络技 术有限公司、OPPO 广东移动通信有限公司、奇安信科技集团股份有限公司、上海安 几科技有限公司、上海缔安科技股份有限公司、深信服科技股份有限公司、深圳顺丰泰 森控股（集团）有限公司、深圳竹云科技有限公司、云深互联（北京）科技有限公司 2 序言 网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法， 由公安部牵头的网络安全等级保护制度 2.0 标准于 2019 年 12 月 1 日实施，等保 2.0 将等保 1.0 的被动式传统防御思路转变为主动式防御，覆盖工业控制系统、 云计算、大数据、物联网等新技术新应用，为落实信息系统安全工作提供了方向 m o c . 5 和依据。 云安全联盟提出的 SDP 软件定义边界是实施零信任安全架构的解决方案， SDP 将基于传统静态边界的被动防御转化为基于动态边界的主动防御，与等保 2.0 的防御思路非常吻合，成为满足等保 2.0 合规要求的优选解决方案。 b u CSA 大中华区 SDP 工作组的专家们对等保 2.0 做了深入解读，为读者们展示 h t i g 了如何通过 SDP 解决方案来满足企业的等保 2.0 合规要求，大家通过对这篇指南 的学习也将在企业网络与信息安全保障能力提升方面受益。 李雨航 Yale Li 云安全联盟大中华区主席 © 版权所有 2020 云安全联盟大中华区 3 目录 编者信息.....................................................................................................................................2 序言.............................................................................................................................................3 目录.............................................................................................................................................4 1 简介.................................................................................................................................................8 1.1 关于软件定义边界 SDP..................................................................................................... 8 1.2 关于等保 2.0..................................................................................................................... 13 1.2.1 等级保护是国家信息安全管理的基本制度........................................................13 1.2.2 等保合规建设过程中遇到的问题........................................................................ 15 2 SDP 满足等保 2.0 安全通用要求................................................................................................ 16 2.1 概述................................................................................................................................... 16 2.2 二级安全通用要求........................................................................................................... 17 2.2.1 安全通用要求（二级）概述................................................................................ 17 2.2.2 对“7.1.2.1 网络架构”的适用策略........................................................................ 19 2.2.3 对“7.1.2.2 通信传输”的适用策略........................................................................ 19 2.2.4 对“7.1.3.1 边界安全”的适用策略........................................................................ 20 2.2.5 对“7.1.3.2 访问控制”的适用策略........................................................................ 20 2.2.6 对“7.1.3.3 入侵防范”的适用策略........................................................................ 22 2.2.7 对“7.1.3.5 安全审计”的适用策略........................................................................ 22 2.2.8 对“7.1.4.1 身份鉴别”的适用策略........................................................................ 23 2.2.9 对“7.1.4.2 访问控制”的适用策略........................................................................ 24 2.2.10 对“7.1.4.3 安全审计”的适用策略......................................................................24 2.2.11 对“7.1.4.4 入侵防护”的适用策略......................................................................25 2.2.12 对“7.1.4.7 数据完整性”的适用策略..................................................................26 2.3 三级安全通用要求........................................................................................................... 27 2.3.1 安全通用要求（三级）概述................................................................................ 27 2.3.2 对“8.1.2.1 网络架构”的适用策略........................................................................ 29 2.3.3 对“8.1.2.2 通信传输”的适用策略........................................................................ 30 2.3.4 对“8.1.3.1 边界防护”的适用策略......................................................................... 30 2.3.5 对“8.1.3.2 访问控制”的适用策略...................................................