YDT 4533-2023軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求 安全服務(wù)

ICS01.040.35

CCSM11YD

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)

XX/TXXXXX—XXXX

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技

術(shù)要求安全服務(wù)

TechnicalRequirementsofValue-AddedServicesofSoftware-DefinedWideArea

Network（SD-WAN）：SecurityService

（報(bào)批稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中華人民共和國(guó)工業(yè)和信息化部發(fā)布

XX/TXXXXX—XXXX

前??言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

內(nèi)容起草。

本標(biāo)準(zhǔn)是軟件定義廣域網(wǎng)絡(luò)SD-WAN技術(shù)系列標(biāo)準(zhǔn)之一，該系列標(biāo)準(zhǔn)的結(jié)構(gòu)和名稱如下：

——2019-1277T-YD_軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求

——2020-0171T-YD_軟件定義廣域網(wǎng)絡(luò)（SD-WAN）關(guān)鍵技術(shù)指標(biāo)體系

——2020-0172T-YD_軟件定義廣域網(wǎng)絡(luò)（SD-WAN）測(cè)試方法

——2020-0175T-YD_軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求敏捷運(yùn)維

——2020-0173T-YD_軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù)

——2020-0174T-YD_軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求廣域網(wǎng)加速

——2020-0572T-YD_軟件定義廣域網(wǎng)絡(luò)（SD-WAN）控制器北向接口技術(shù)要求

——2020-0573T-YD_軟件定義廣域網(wǎng)絡(luò)（SD-WAN）控制器南向接口數(shù)據(jù)模型規(guī)范

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位：奇安信科技集團(tuán)股份有限公司中國(guó)信息通信研究院中國(guó)電信股份有限公司中

國(guó)移動(dòng)通信集團(tuán)有限公司華為技術(shù)有限公司網(wǎng)宿科技股份有限公司北京高升數(shù)據(jù)系統(tǒng)有限公司、北

京華麒通信科技有限公司北京國(guó)信融通科技有限公司

本文件主要起草人：柴瑤琳穆琙博黨小東畢立波宋平韓淑君樊俊誠(chéng)劉菁王茜徐洪磊王巍

史凡程偉強(qiáng)楊鋒韓瑞波王瑞雪楊洋王力鵬林娥李晟黃斌李威居同交賈金柱

III

XX/TXXXXX—XXXX

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù)

1范圍

本文件規(guī)定了軟件定義廣域網(wǎng)絡(luò)（SD-WAN）的增值業(yè)務(wù)安全服務(wù)的技術(shù)要求。

本文件適用于SD-WAN服務(wù)提供商、SD-WAN解決方案提供商、SD-WAN基礎(chǔ)設(shè)施生產(chǎn)企業(yè)等，規(guī)

范了SD-WAN安全服務(wù)的行業(yè)標(biāo)準(zhǔn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

IETFRFC7426軟件定義網(wǎng)絡(luò)SoftwareDefinedNetwork(SDN)

RFC7348虛擬可擴(kuò)展局域網(wǎng)：基于三層網(wǎng)絡(luò)疊加的虛擬二層網(wǎng)絡(luò)框架

IETFRFC4364BGP/MPLSIP虛擬私有網(wǎng)絡(luò)IPVirtualPrivateNetworks(VPNs)

IETFRFC6101SSL協(xié)議標(biāo)準(zhǔn)

MEF70SD-WAN業(yè)務(wù)屬性和業(yè)務(wù)定義SD-WANServiceAttributesandServicesDefinition

SP800-153無線局域網(wǎng)絡(luò)安全指南

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1

軟件定義廣域網(wǎng)softwaredefinedwideareanetwork

通過軟件編程實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，實(shí)現(xiàn)廣域網(wǎng)組網(wǎng)。

3.1.2

客戶端設(shè)備customerpremisesequipment

是IPoverlay隧道的端點(diǎn)，SD-WANEdge的設(shè)備形態(tài)可以是物理硬件CPE或者NFV化的軟件形態(tài)

CPE。

3.1.3

1

SD-WAN網(wǎng)關(guān)SD-WANGW

是SD-WAN網(wǎng)絡(luò)連接其他非SD-WAN網(wǎng)絡(luò)的邊界設(shè)備，同時(shí)能夠互聯(lián)不同的SD-WANGW。運(yùn)營(yíng)和維

護(hù)SD-WAN網(wǎng)關(guān)是SD-WAN服務(wù)的一個(gè)重要部分。

3.1.4

SD-WAN控制器SD-WANcontroller

控制器提供面對(duì)與控制器相關(guān)聯(lián)的所有物理或虛擬的SD-WANEdge設(shè)備，SD-WANGW設(shè)備管理。

3.1.5

威脅情報(bào)threatintelligence

某種基于證據(jù)的知識(shí)，包括上下文、機(jī)制、標(biāo)記、含義與可行的建議，這些知識(shí)與資產(chǎn)所面臨已有

的或醞釀中的威脅或危害相關(guān)，可用于對(duì)這些威脅或危害進(jìn)行響應(yīng)的相關(guān)決策提供信息支持。

3.1.6

Web腳本攻擊webshell

ASP、PHP、JSP或者CGI等網(wǎng)頁(yè)文件形式存在的一種代碼執(zhí)行環(huán)境，主要用于網(wǎng)站管理、服務(wù)器管

理、權(quán)限管理等操作。

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

CVE通用漏洞披露CommonVulnerabilities&Exposures

FTP文件傳輸協(xié)議FileTransferProtocol

HTTP超文本傳輸協(xié)議HyperTextTransferProtocol

IOC陷落標(biāo)識(shí)、失陷檢測(cè)情報(bào)IndicatorofCompromise

WAN廣域網(wǎng)WideAreaNetwork

ZTNA零信任網(wǎng)絡(luò)訪問Zero-TrustNetworkAccess

4安全服務(wù)技術(shù)要求

4.1概述

2

XX/TXXXXX—XXXX

基于如今廣域網(wǎng)產(chǎn)業(yè)面臨更加廣泛的安全性、移動(dòng)性和算力分布的挑戰(zhàn)，互聯(lián)網(wǎng)的企業(yè)應(yīng)用需要更

細(xì)致的服務(wù)保護(hù)，企業(yè)信息基礎(chǔ)設(shè)施亟需擴(kuò)展企業(yè)網(wǎng)絡(luò)的服務(wù)邊界等。面向融合業(yè)務(wù)安全和運(yùn)營(yíng)安全的

企業(yè)內(nèi)生安全要求，SD-WAN有必要在基礎(chǔ)安全以外，提供更多的安全服務(wù)能力。

在《2019-1277T-YD_軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求》中提到的基礎(chǔ)安全業(yè)務(wù)包括：物

理安全、數(shù)據(jù)安全、認(rèn)證鑒權(quán)、防攻擊、安全審計(jì)等。

SD-WAN安全是以服務(wù)導(dǎo)向的，每個(gè)功能都會(huì)被打包成一個(gè)開放性的服務(wù)模塊，用戶可根據(jù)自身需求

訂購(gòu)不同的服務(wù)功能。

SD-WAN控制器管理關(guān)系

業(yè)務(wù)呈現(xiàn)層

SD-WAN控制器北向API

SD-WAN控制器

安全增值業(yè)務(wù)

SD-WAN網(wǎng)絡(luò)安全防護(hù)

Edge公有云站點(diǎn)2

SD-WAN遠(yuǎn)程訪問安全控制

Edge

公有云站點(diǎn)

1身份安全控制

SD-WANSD-WAN

骨干網(wǎng)Internet

GWGW

SD-WANInternetSD-WAN數(shù)據(jù)安全控制

EdgeEdge

分支站點(diǎn)

分支站點(diǎn)12持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估

軟件定義廣域網(wǎng)絡(luò)SD-WAN

Edge

分支站點(diǎn)3

圖1SD-WAN安全架構(gòu)

參考《2019-1277T-YD_軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求》8.3節(jié)SD-WAN增值服務(wù)說明，

SD-WAN網(wǎng)絡(luò)的安全服務(wù)技術(shù)要求可分為：

——基礎(chǔ)網(wǎng)絡(luò)安全服務(wù)技術(shù)要求，其中標(biāo)準(zhǔn)可參考《2019-1277T-YD_軟件定義廣域網(wǎng)（SD-WAN）

總體技術(shù)要求》中的5.1.13部分章節(jié)要求的功能，可包括全部或者部分，基礎(chǔ)網(wǎng)絡(luò)安全服務(wù)技術(shù)更多體

現(xiàn)在TCP/IP模型中的應(yīng)用層以下的網(wǎng)絡(luò)層、傳輸層。

如圖1所示，安全增值業(yè)務(wù)，更多體現(xiàn)在TCP/IP模型中的應(yīng)用層。可以包括除SD-WANEdge或SD-WAN

GW之外的VAS網(wǎng)元所實(shí)現(xiàn)的安全增值業(yè)務(wù)。在控制器平臺(tái)上可以通過網(wǎng)絡(luò)編排和安全服務(wù)編排，結(jié)合控

制器自動(dòng)組網(wǎng)，將安全服務(wù)技術(shù)應(yīng)用在SD-WAN虛擬網(wǎng)絡(luò)中，自動(dòng)構(gòu)建形成安全可靠的Overlay網(wǎng)絡(luò)。

——安全增值業(yè)務(wù)具體可以分為網(wǎng)絡(luò)安全防護(hù)攻擊、遠(yuǎn)程訪問安全控制、身份安全控制、數(shù)據(jù)安全

控制、持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估等安全功能，其中：

網(wǎng)絡(luò)安全防護(hù)攻擊要求：包括威脅情報(bào)、反病毒檢測(cè)、入侵防護(hù)、WEB攻擊防護(hù)、上網(wǎng)信息

泄漏防護(hù)等;

3

遠(yuǎn)程訪問安全控制要求：包括遠(yuǎn)程訪問隔離等；

身份安全控制要求：包含用戶、設(shè)備、應(yīng)用程序等身份認(rèn)證控制；

數(shù)據(jù)安全控制要求：包含數(shù)據(jù)審計(jì)、防泄漏、脫敏溯源、備份恢復(fù)等；

持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估要求：包括持續(xù)性的風(fēng)險(xiǎn)和信任評(píng)估等。

4.2網(wǎng)絡(luò)安全防護(hù)

4.2.1概述

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備威脅情報(bào)和各類網(wǎng)絡(luò)安全防護(hù)能力，防護(hù)能力可以在SD-WANEdge、

SD-WANGW，以靈活的方式提供。具體要求如下：

4.2.2威脅情報(bào)

安全服務(wù)應(yīng)支持內(nèi)嵌的威脅情報(bào)庫(kù)，并具備威脅情報(bào)庫(kù)的實(shí)時(shí)更新能力，對(duì)用戶的網(wǎng)絡(luò)訪問行為做

威脅分析，根據(jù)分析結(jié)果，對(duì)訪問進(jìn)行阻斷、放行，及按照用戶自定義規(guī)則執(zhí)行。

其中，威脅情報(bào)庫(kù)主要來自關(guān)于攻擊者的遠(yuǎn)程命令與控制服務(wù)器情報(bào)，和針對(duì)已知木馬、蠕蟲類惡

意軟件，并提供對(duì)應(yīng)網(wǎng)絡(luò)的IOC信息，以及針對(duì)來自互聯(lián)網(wǎng)攻擊IP地址的情報(bào)信息。

威脅分析主要包含：

——多線索關(guān)聯(lián)分析

通過惡意網(wǎng)絡(luò)行為的擴(kuò)展線索發(fā)現(xiàn)出更多信息，如攻擊者所用的網(wǎng)絡(luò)資源、攻擊者信息、受害人信

息等線索。

——提供針對(duì)性防御

提供定期安全情報(bào)資訊，客戶可優(yōu)先關(guān)注與其自身緊密相關(guān)的攻擊產(chǎn)生的預(yù)警和通知，并及時(shí)據(jù)此

做針對(duì)性的預(yù)防。

4.2.3反病毒檢測(cè)

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備反病毒檢測(cè)功能，具體要求如下：

——支持反病毒檢測(cè)，如蠕蟲病毒、后門木馬、間諜軟件等；

——支持檢測(cè)并攔截HTTP、FTP、電子郵件等協(xié)議所攜帶的病毒文件。

4.2.4入侵防護(hù)

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備入侵防護(hù)功能，具體要求如下：

——支持基于特征檢查惡意流量，如蠕蟲病毒、后門木馬、間諜軟件等；

——支持基于特征針對(duì)知名應(yīng)用的漏洞的檢查，如CVE相關(guān)漏洞。

4.2.5WEB攻擊防護(hù)

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備WEB攻擊防護(hù)功能，具體要求如下：

4

XX/TXXXXX—XXXX

——SQL注入攻擊檢測(cè)與防護(hù)，并支持BASE64編碼的SQL注入攻擊檢測(cè)與防護(hù)；

——XSS攻擊檢測(cè)與防護(hù)；

——對(duì)常見的Web服務(wù)器環(huán)境Web入侵的腳本攻擊工具（Webshell）的攔截。

4.2.6信息泄露防護(hù)

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備對(duì)流出的信息流進(jìn)行檢測(cè)，防止敏感信息泄露，具體要求如下：

——關(guān)鍵詞對(duì)流出SD-WANEdge設(shè)備的數(shù)據(jù)流進(jìn)行過濾，如HTTP上傳、外發(fā)郵件主題及正文等；

——文件類型對(duì)流出SD-WANEdge設(shè)備的數(shù)據(jù)流進(jìn)行過濾，如HTTP上傳、FTP上傳、外發(fā)郵件的

附件等；

——URL過濾，支持URL識(shí)別，通過URL分類識(shí)別能夠快速發(fā)現(xiàn)并識(shí)別可疑網(wǎng)站，能有效的防御掛馬

網(wǎng)站、釣魚網(wǎng)站，識(shí)別已被植入木馬的傀儡主機(jī)，切斷其與外界的通信，消除風(fēng)險(xiǎn)，通過對(duì)高風(fēng)險(xiǎn)

網(wǎng)站如色情、賭博等類別網(wǎng)站的控制，減少與掛馬、釣魚網(wǎng)站的接觸機(jī)會(huì)，降低風(fēng)險(xiǎn)。

4.3遠(yuǎn)程訪問安全控制

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)支持遠(yuǎn)程訪問安全控制，要具備可以保護(hù)SD-WAN的LAN側(cè)用戶的

網(wǎng)絡(luò)安全的能力。具體要求如下：

——防止黑客利用程序本身存在的安全漏洞傳播惡意程序（安全）

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)支持遠(yuǎn)程瀏覽器隔離技術(shù)，假定原則和“零信任”一致，不信任來自遠(yuǎn)

程WEB訪問的任何內(nèi)容和訪問行為，所有用戶的WEB瀏覽都可以在虛擬瀏覽器中遠(yuǎn)程進(jìn)行，只有安全

的信息才能發(fā)送到設(shè)備的瀏覽器，從而提供安全的數(shù)據(jù)訪問交互。

——防護(hù)瀏覽器域隔離錯(cuò)誤引發(fā)的安全漏洞（隱私）

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)支持遠(yuǎn)程瀏覽器使用虛擬化方式為瀏覽器實(shí)例提供安全執(zhí)行環(huán)境，即使

瀏覽器存在安全漏洞也能夠在服務(wù)器中做到安全隔離，避免用戶本地計(jì)算機(jī)受到攻擊。

4.4身份安全控制

4.4.1零信任網(wǎng)絡(luò)訪問

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備ZTNA（零信任網(wǎng)絡(luò)訪問）功能，具體要求如下：

——多因素身份驗(yàn)證和行為分析

應(yīng)具備多因素、多維度的用戶身份驗(yàn)證能力，如設(shè)備ID、生物指紋、動(dòng)態(tài)驗(yàn)證碼等技術(shù)手段，對(duì)用

戶進(jìn)行動(dòng)態(tài)身份認(rèn)證和持續(xù)的網(wǎng)絡(luò)行為分析。

——基于用戶、設(shè)備、應(yīng)用程序的身份驗(yàn)證

基于用戶的身份認(rèn)證，支持用戶名和密碼方式，對(duì)用戶進(jìn)行身份和口令鑒別；

基于設(shè)備的身份認(rèn)證，應(yīng)支持設(shè)備硬件識(shí)別碼方式，鑒別訪問網(wǎng)絡(luò)的設(shè)備的合法性；

基于應(yīng)用程序的身份認(rèn)證，應(yīng)支持身份令牌（token）軟件對(duì)用戶身份進(jìn)行動(dòng)態(tài)認(rèn)證。

5

——持續(xù)動(dòng)態(tài)策略評(píng)估

應(yīng)對(duì)終端、用戶等訪問主體進(jìn)行持續(xù)風(fēng)險(xiǎn)感知和信任評(píng)估，根據(jù)信任評(píng)估對(duì)訪問權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整。

訪問權(quán)限不是靜態(tài)的，而是根據(jù)主體屬性、客體屬性、環(huán)境屬性和持續(xù)的信任評(píng)估結(jié)果進(jìn)行動(dòng)態(tài)計(jì)算和

判定。

4.5數(shù)據(jù)安全控制

4.5.1概述

數(shù)據(jù)是企業(yè)的核心資產(chǎn)，企業(yè)內(nèi)部的敏感數(shù)據(jù)、隱私信息泄漏成為安全防護(hù)的重點(diǎn)，SD-WAN網(wǎng)絡(luò)

不但要保護(hù)SD-WAN的LAN側(cè)用戶的網(wǎng)絡(luò)安全，同時(shí)要具備LAN側(cè)用戶內(nèi)容安全的能力。

4.5.2對(duì)數(shù)據(jù)進(jìn)行識(shí)別、審計(jì)、分類分級(jí)保護(hù)和加密的安全策略

——數(shù)據(jù)自動(dòng)化識(shí)別。應(yīng)具備自動(dòng)化數(shù)據(jù)內(nèi)容識(shí)別引擎，可根據(jù)關(guān)鍵字、關(guān)鍵字對(duì)、詞組、正字表

達(dá)式、數(shù)據(jù)指紋、文件屬性等技術(shù)識(shí)別網(wǎng)絡(luò)中的敏感數(shù)據(jù)，具備數(shù)據(jù)分類能力，掌控網(wǎng)絡(luò)中的數(shù)據(jù)資產(chǎn)。

——審計(jì)。具備審計(jì)數(shù)據(jù)泄漏風(fēng)險(xiǎn)的各種行為和風(fēng)險(xiǎn)，并提供預(yù)警能力。包含用戶行為分析、風(fēng)險(xiǎn)

分析、事件捕獲預(yù)警、綜合匯總報(bào)告等。

——數(shù)據(jù)分級(jí)。包含數(shù)據(jù)梳理自動(dòng)聚類，可定義數(shù)據(jù)價(jià)值級(jí)別。

4.5.3重要數(shù)據(jù)防泄漏

——網(wǎng)絡(luò)數(shù)據(jù)防泄漏。泄漏防護(hù)可提供監(jiān)控和阻斷兩種防護(hù)能力。監(jiān)控防護(hù)需要分析網(wǎng)絡(luò)行為等來

源、目的地、傳輸內(nèi)容等。同時(shí)分析應(yīng)用程序后臺(tái)傳輸數(shù)據(jù)的行為，以監(jiān)控非主動(dòng)泄漏情景下的泄漏行

為。網(wǎng)絡(luò)阻斷防護(hù)，通過與網(wǎng)絡(luò)代理服務(wù)器聯(lián)動(dòng)配合，實(shí)現(xiàn)網(wǎng)絡(luò)上嚴(yán)重?cái)?shù)據(jù)泄漏行為的阻斷，防止敏感

數(shù)據(jù)擴(kuò)散至互聯(lián)網(wǎng)。

——郵件數(shù)據(jù)防泄漏。應(yīng)具備郵件數(shù)據(jù)流量旁路審計(jì)、加密郵件內(nèi)容審計(jì)、隔離和攔截包含保密數(shù)

據(jù)的傳輸，主動(dòng)防止敏感數(shù)據(jù)通過郵件泄漏。

——終端數(shù)據(jù)防泄漏（可選）。監(jiān)控和管控終端敏感數(shù)據(jù)的打開、拷貝、打印、截屏，敏感數(shù)據(jù)的

發(fā)送，網(wǎng)絡(luò)共享等。

4.5.4重要數(shù)據(jù)脫敏與溯源

——數(shù)據(jù)脫敏?？尚枰С?jǐn)?shù)據(jù)遮蔽、數(shù)據(jù)仿真、關(guān)鍵部分替換、隨機(jī)字符串、重置固定值等多種

多樣的敏感數(shù)據(jù)處理方式。保護(hù)用戶數(shù)據(jù)隱私。

——數(shù)據(jù)溯源?？蓪徲?jì)導(dǎo)致數(shù)據(jù)泄漏行為的來源、目的地、傳輸內(nèi)容等。

4.5.5重要數(shù)據(jù)備份與恢復(fù)

安全服務(wù)應(yīng)具備對(duì)重要數(shù)據(jù)備份和恢復(fù)的能力，應(yīng)對(duì)數(shù)據(jù)丟失和損壞等可能的意外情況。數(shù)據(jù)備份

應(yīng)支持熱備、冷備等常見方式，并提供靈活的恢復(fù)機(jī)制。

4.6持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備CARTA（持續(xù)性自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）功能，具體要求如下：

6

XX/TXXXXX—XXXX

——風(fēng)險(xiǎn)：判定網(wǎng)絡(luò)中安全風(fēng)險(xiǎn)，包括判定攻擊、漏洞、違規(guī)、異常等

安全服務(wù)應(yīng)具備從防護(hù)角度持續(xù)自適應(yīng)風(fēng)險(xiǎn)評(píng)估，在數(shù)據(jù)、威脅、攻擊、漏洞、資產(chǎn)等多種要素中

識(shí)別和評(píng)估風(fēng)險(xiǎn)。

——信任：判定身份，進(jìn)行訪問控制

提供持續(xù)自適應(yīng)信任評(píng)估能力，從訪問控制的角度進(jìn)行授權(quán)、認(rèn)證和訪問。

——自適應(yīng)：對(duì)網(wǎng)絡(luò)進(jìn)行細(xì)致檢測(cè)與響應(yīng)

指在判定風(fēng)險(xiǎn)（包括攻擊）的時(shí)候，要對(duì)網(wǎng)絡(luò)進(jìn)行細(xì)致地監(jiān)測(cè)與響應(yīng)，具備自適應(yīng)安全架構(gòu)的能力。

同時(shí)，在進(jìn)行身份與訪問控制的時(shí)候，要根據(jù)訪問的相互聯(lián)系和訪問行為進(jìn)行綜合研判，動(dòng)態(tài)賦權(quán)、變

更權(quán)限。

——持續(xù)性：持續(xù)不斷對(duì)風(fēng)險(xiǎn)和信任進(jìn)行研判

對(duì)風(fēng)險(xiǎn)和信任的研判過程是持續(xù)不斷，反復(fù)多次進(jìn)行的。

_________________________________

7

XX/TXXXXX—XXXX

目錄

前??言............................................................................III

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù).................................1

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語(yǔ)、定義和縮略語(yǔ)..................................................................1

3.1術(shù)語(yǔ)和定義......................................................................1

3.1.1.............................................................................1

3.1.2.............................................................................1

3.1.3.............................................................................1

3.1.4.............................................................................1

3.1.5.............................................................................2

3.1.6.............................................................................2

3.1.7.............................................................................2

3.2縮略語(yǔ)............................................................................2

4安全服務(wù)技術(shù)要求....................................................................2

4.1概述..............................................................................2

4.2網(wǎng)絡(luò)安全防護(hù)......................................................................4

4.2.1概述..........................................................................4

4.2.2威脅情報(bào)......................................................................4

4.2.3反病毒檢測(cè)....................................................................4

4.2.4入侵防護(hù)......................................................................4

4.2.5WEB攻擊防護(hù)...................................................................4

4.2.6信息泄露防護(hù)..................................................................5

4.3遠(yuǎn)程訪問安全控制..................................................................5

4.4身份安全控制......................................................................5

4.4.1零信任網(wǎng)絡(luò)訪問................................................................5

4.5數(shù)據(jù)安全控制......................................................................6

I

4.5.1概述..........................................................................6

4.5.2對(duì)數(shù)據(jù)進(jìn)行識(shí)別、審計(jì)、分類分級(jí)保護(hù)和加密的安全策略............................6

4.5.3重要數(shù)據(jù)防泄漏................................................................6

4.5.4重要數(shù)據(jù)脫敏與溯源............................................................6

4.5.5重要數(shù)據(jù)備份與恢復(fù)............................................................6

4.6持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估..........................................................6

XX/TXXXXX—XXXX

軟件定義廣域網(wǎng)絡(luò)（SD-WAN）增值業(yè)務(wù)技術(shù)要求安全服務(wù)

1范圍

本文件規(guī)定了軟件定義廣域網(wǎng)絡(luò)（SD-WAN）的增值業(yè)務(wù)安全服務(wù)的技術(shù)要求。

本文件適用于SD-WAN服務(wù)提供商、SD-WAN解決方案提供商、SD-WAN基礎(chǔ)設(shè)施生產(chǎn)企業(yè)等，規(guī)

范了SD-WAN安全服務(wù)的行業(yè)標(biāo)準(zhǔn)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

IETFRFC7426軟件定義網(wǎng)絡(luò)SoftwareDefinedNetwork(SDN)

RFC7348虛擬可擴(kuò)展局域網(wǎng)：基于三層網(wǎng)絡(luò)疊加的虛擬二層網(wǎng)絡(luò)框架

IETFRFC4364BGP/MPLSIP虛擬私有網(wǎng)絡(luò)IPVirtualPrivateNetworks(VPNs)

IETFRFC6101SSL協(xié)議標(biāo)準(zhǔn)

MEF70SD-WAN業(yè)務(wù)屬性和業(yè)務(wù)定義SD-WANServiceAttributesandServicesDefinition

SP800-153無線局域網(wǎng)絡(luò)安全指南

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1.1

軟件定義廣域網(wǎng)softwaredefinedwideareanetwork

通過軟件編程實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理，實(shí)現(xiàn)廣域網(wǎng)組網(wǎng)。

3.1.2

客戶端設(shè)備customerpremisesequipment

是IPoverlay隧道的端點(diǎn)，SD-WANEdge的設(shè)備形態(tài)可以是物理硬件CPE或者NFV化的軟件形態(tài)

CPE。

3.1.3

1

SD-WAN網(wǎng)關(guān)SD-WANGW

是SD-WAN網(wǎng)絡(luò)連接其他非SD-WAN網(wǎng)絡(luò)的邊界設(shè)備，同時(shí)能夠互聯(lián)不同的SD-WANGW。運(yùn)營(yíng)和維

護(hù)SD-WAN網(wǎng)關(guān)是SD-WAN服務(wù)的一個(gè)重要部分。

3.1.4

SD-WAN控制器SD-WANcontroller

控制器提供面對(duì)與控制器相關(guān)聯(lián)的所有物理或虛擬的SD-WANEdge設(shè)備，SD-WANGW設(shè)備管理。

3.1.5

威脅情報(bào)threatintelligence

某種基于證據(jù)的知識(shí)，包括上下文、機(jī)制、標(biāo)記、含義與可行的建議，這些知識(shí)與資產(chǎn)所面臨已有

的或醞釀中的威脅或危害相關(guān)，可用于對(duì)這些威脅或危害進(jìn)行響應(yīng)的相關(guān)決策提供信息支持。

3.1.6

Web腳本攻擊webshell

ASP、PHP、JSP或者CGI等網(wǎng)頁(yè)文件形式存在的一種代碼執(zhí)行環(huán)境，主要用于網(wǎng)站管理、服務(wù)器管

理、權(quán)限管理等操作。

3.2縮略語(yǔ)

下列縮略語(yǔ)適用于本文件：

CVE通用漏洞披露CommonVulnerabilities&Exposures

FTP文件傳輸協(xié)議FileTransferProtocol

HTTP超文本傳輸協(xié)議HyperTextTransferProtocol

IOC陷落標(biāo)識(shí)、失陷檢測(cè)情報(bào)IndicatorofCompromise

WAN廣域網(wǎng)WideAreaNetwork

ZTNA零信任網(wǎng)絡(luò)訪問Zero-TrustNetworkAccess

4安全服務(wù)技術(shù)要求

4.1概述

2

XX/TXXXXX—XXXX

基于如今廣域網(wǎng)產(chǎn)業(yè)面臨更加廣泛的安全性、移動(dòng)性和算力分布的挑戰(zhàn)，互聯(lián)網(wǎng)的企業(yè)應(yīng)用需要更

細(xì)致的服務(wù)保護(hù)，企業(yè)信息基礎(chǔ)設(shè)施亟需擴(kuò)展企業(yè)網(wǎng)絡(luò)的服務(wù)邊界等。面向融合業(yè)務(wù)安全和運(yùn)營(yíng)安全的

企業(yè)內(nèi)生安全要求，SD-WAN有必要在基礎(chǔ)安全以外，提供更多的安全服務(wù)能力。

在《2019-1277T-YD_軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求》中提到的基礎(chǔ)安全業(yè)務(wù)包括：物

理安全、數(shù)據(jù)安全、認(rèn)證鑒權(quán)、防攻擊、安全審計(jì)等。

SD-WAN安全是以服務(wù)導(dǎo)向的，每個(gè)功能都會(huì)被打包成一個(gè)開放性的服務(wù)模塊，用戶可根據(jù)自身需求

訂購(gòu)不同的服務(wù)功能。

SD-WAN控制器管理關(guān)系

業(yè)務(wù)呈現(xiàn)層

SD-WAN控制器北向API

SD-WAN控制器

安全增值業(yè)務(wù)

SD-WAN網(wǎng)絡(luò)安全防護(hù)

Edge公有云站點(diǎn)2

SD-WAN遠(yuǎn)程訪問安全控制

Edge

公有云站點(diǎn)

1身份安全控制

SD-WANSD-WAN

骨干網(wǎng)Internet

GWGW

SD-WANInternetSD-WAN數(shù)據(jù)安全控制

EdgeEdge

分支站點(diǎn)

分支站點(diǎn)12持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估

軟件定義廣域網(wǎng)絡(luò)SD-WAN

Edge

分支站點(diǎn)3

圖1SD-WAN安全架構(gòu)

參考《2019-1277T-YD_軟件定義廣域網(wǎng)（SD-WAN）總體技術(shù)要求》8.3節(jié)SD-WAN增值服務(wù)說明，

SD-WAN網(wǎng)絡(luò)的安全服務(wù)技術(shù)要求可分為：

——基礎(chǔ)網(wǎng)絡(luò)安全服務(wù)技術(shù)要求，其中標(biāo)準(zhǔn)可參考《2019-1277T-YD_軟件定義廣域網(wǎng)（SD-WAN）

總體技術(shù)要求》中的5.1.13部分章節(jié)要求的功能，可包括全部或者部分，基礎(chǔ)網(wǎng)絡(luò)安全服務(wù)技術(shù)更多體

現(xiàn)在TCP/IP模型中的應(yīng)用層以下的網(wǎng)絡(luò)層、傳輸層。

如圖1所示，安全增值業(yè)務(wù)，更多體現(xiàn)在TCP/IP模型中的應(yīng)用層?？梢园ǔ齋D-WANEdge或SD-WAN

GW之外的VAS網(wǎng)元所實(shí)現(xiàn)的安全增值業(yè)務(wù)。在控制器平臺(tái)上可以通過網(wǎng)絡(luò)編排和安全服務(wù)編排，結(jié)合控

制器自動(dòng)組網(wǎng)，將安全服務(wù)技術(shù)應(yīng)用在SD-WAN虛擬網(wǎng)絡(luò)中，自動(dòng)構(gòu)建形成安全可靠的Overlay網(wǎng)絡(luò)。

——安全增值業(yè)務(wù)具體可以分為網(wǎng)絡(luò)安全防護(hù)攻擊、遠(yuǎn)程訪問安全控制、身份安全控制、數(shù)據(jù)安全

控制、持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估等安全功能，其中：

網(wǎng)絡(luò)安全防護(hù)攻擊要求：包括威脅情報(bào)、反病毒檢測(cè)、入侵防護(hù)、WEB攻擊防護(hù)、上網(wǎng)信息

泄漏防護(hù)等;

3

遠(yuǎn)程訪問安全控制要求：包括遠(yuǎn)程訪問隔離等；

身份安全控制要求：包含用戶、設(shè)備、應(yīng)用程序等身份認(rèn)證控制；

數(shù)據(jù)安全控制要求：包含數(shù)據(jù)審計(jì)、防泄漏、脫敏溯源、備份恢復(fù)等；

持續(xù)性安全風(fēng)險(xiǎn)與信任評(píng)估要求：包括持續(xù)性的風(fēng)險(xiǎn)和信任評(píng)估等。

4.2網(wǎng)絡(luò)安全防護(hù)

4.2.1概述

軟件定義廣域網(wǎng)安全服務(wù)應(yīng)具備威脅情報(bào)和各類網(wǎng)絡(luò)安全防護(hù)能力，防護(hù)能力可以在SD-WAN