面向电信网的软件定义边界（SDP）技术要求.docx

1

YD/TXXXXX—xXXX

面向电信网的软件定义边界(SDP)技术要求

1范围

本文件规定了面向电信业务网、管理网的软件定义边界(SDP)的技术体系、流程和接口、参考框架、技术要求和安全要求。

本文件适用于SDP技术研发、设备研制、系统部署和运维。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件。仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

软件定义边界softwaredefinedperimeter

一种以身份为中心、基于上下文对资源实施动态访问控制的安全框架，通过对用户身份、环境、动态权限三个层面的验证，访问者与被访问者之间实时创建加密隧道，从而降低网络系统的安全风险

3.2

单包授权singlepacketauthorization

通过发送携带一次性密码等信息的单个认证数据包实现先验证后连接的方法，在主体访问客体前。先验证访问主体的身份。

3.3

动态访问控制dynamicaccesscontrol

一种动态调节主体对客体执行某些操作请求的机制，能够实时调整控制策略和访问权限，用来保护资源不被未授权的用户访问

4缩略语

下列缩略语适用于本文件。

AI:人工智能(ArtificialIntelligence)

API:应用程序接口(ApplicationPrograaningInterface)

BSS:业务支撑系统(BusinessSupportSystem)

FW:防火墙(Firewall)

ID:身份标识码(Identity)

IT:信息技术(InformationTechnology)

MSS:管理支撑系统(ManagementSupportSystem)

mTLS:相互传输层安全(MutualTransportLayerSecurity)

0SS:运营支撑系统(OperationSupportSystem)

SDK:软件开发工具包(SoftwareDevelopmentKit)

SDP:软件定义边界(SoftwareDefinedPerimeter)

SPA:单包授权(SinglePacketAuthorization)

TLCP:传输层密码协议(TransportLayerCryptographyProtocol)

TLS:传输层安全协议(TransportLayerSecurity)

接口

7

c)应能够保证合法实体正常地使用数据，不会被非法拒绝。

10.3应用安全

应用安全要求如下：

a)应对应用的访问设置控制规则。减少非授权访问；

b)应对应用的安装目录和文件的访问权限进行最小化设置，防止未授权用户访问相关资源：

e)应用系统应设置登录失败处理功能，避免恶意访问：

d)应用系统应支持记录安全日志审计事件，能够生成、维护及保护审计过程，避免审计事件被非法访问及篡改：

e)应用系统应通过技术措施限制未授权用户访问审计数据：

f)应用系统与第三方系统进行数据交互时，应采用加密措施，以保护传输过程中端口与程序之间数据的保密性

10.4管理安全

管理安全要求如下：

a)应支持设置不同管理员或授权用户角色权限，明确权限分配策略和授权范围，实现管理权限分离，防止出现越权访问

b)应对授权用户/设备进行定期管理维护，防止授权用户/设备列表遭到篡改或副除：

c)应基于权限分配策略对下发的安全策略进行管理，避免存在非必要的应用资源访问权限：

d)应对上传至控制模块的日志进行定期管理查看，采取对应的入侵防范措施。

8

YD/TXXXXX—xXXX

附录A(资料性)

面向电信网的SD