YDT 4533-2023软件定义广域网络（SD-WAN）增值业务技术要求 安全服务

ICS01.040.35

CCSM11YD

中华人民共和国通信行业标准

XX/TXXXXX—XXXX

软件定义广域网络（SD-WAN）增值业务技

术要求安全服务

TechnicalRequirementsofValue-AddedServicesofSoftware-DefinedWideArea

Network（SD-WAN）：SecurityService

（报批稿）

XXXX-XX-XX发布XXXX-XX-XX实施

中华人民共和国工业和信息化部发布

XX/TXXXXX—XXXX

前  言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

内容起草。

本标准是软件定义广域网络SD-WAN技术系列标准之一，该系列标准的结构和名称如下：

——2019-1277T-YD_软件定义广域网（SD-WAN）总体技术要求

——2020-0171T-YD_软件定义广域网络（SD-WAN）关键技术指标体系

——2020-0172T-YD_软件定义广域网络（SD-WAN）测试方法

——2020-0175T-YD_软件定义广域网络（SD-WAN）增值业务技术要求敏捷运维

——2020-0173T-YD_软件定义广域网络（SD-WAN）增值业务技术要求安全服务

——2020-0174T-YD_软件定义广域网络（SD-WAN）增值业务技术要求广域网加速

——2020-0572T-YD_软件定义广域网络（SD-WAN）控制器北向接口技术要求

——2020-0573T-YD_软件定义广域网络（SD-WAN）控制器南向接口数据模型规范

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：奇安信科技集团股份有限公司中国信息通信研究院中国电信股份有限公司中

国移动通信集团有限公司华为技术有限公司网宿科技股份有限公司北京高升数据系统有限公司、北

京华麒通信科技有限公司北京国信融通科技有限公司

本文件主要起草人：柴瑶琳穆琙博党小东毕立波宋平韩淑君樊俊诚刘菁王茜徐洪磊王巍

史凡程伟强杨锋韩瑞波王瑞雪杨洋王力鹏林娥李晟黄斌李威居同交贾金柱

III

XX/TXXXXX—XXXX

软件定义广域网络（SD-WAN）增值业务技术要求安全服务

1范围

本文件规定了软件定义广域网络（SD-WAN）的增值业务安全服务的技术要求。

本文件适用于SD-WAN服务提供商、SD-WAN解决方案提供商、SD-WAN基础设施生产企业等，规

范了SD-WAN安全服务的行业标准。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

IETFRFC7426软件定义网络SoftwareDefinedNetwork(SDN)

RFC7348虚拟可扩展局域网：基于三层网络叠加的虚拟二层网络框架

IETFRFC4364BGP/MPLSIP虚拟私有网络IPVirtualPrivateNetworks(VPNs)

IETFRFC6101SSL协议标准

MEF70SD-WAN业务属性和业务定义SD-WANServiceAttributesandServicesDefinition

SP800-153无线局域网络安全指南

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

软件定义广域网softwaredefinedwideareanetwork

通过软件编程实现对网络设备的管理，实现广域网组网。

3.1.2

客户端设备customerpremisesequipment

是IPoverlay隧道的端点，SD-WANEdge的设备形态可以是物理硬件CPE或者NFV化的软件形态

CPE。

3.1.3

1

SD-WAN网关SD-WANGW

是SD-WAN网络连接其他非SD-WAN网络的边界设备，同时能够互联不同的SD-WANGW。运营和维

护SD-WAN网关是SD-WAN服务的一个重要部分。

3.1.4

SD-WAN控制器SD-WANcontroller

控制器提供面对与控制器相关联的所有物理或虚拟的SD-WANEdge设备，SD-WANGW设备管理。

3.1.5

威胁情报threatintelligence

某种基于证据的知识，包括上下文、机制、标记、含义与可行的建议，这些知识与资产所面临已有

的或酝酿中的威胁或危害相关，可用于对这些威胁或危害进行响应的相关决策提供信息支持。

3.1.6

Web脚本攻击webshell

ASP、PHP、JSP或者CGI等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管

理、权限管理等操作。

3.2缩略语

下列缩略语适用于本文件：

CVE通用漏洞披露CommonVulnerabilities&Exposures

FTP文件传输协议FileTransferProtocol

HTTP超文本传输协议HyperTextTransferProtocol

IOC陷落标识、失陷检测情报IndicatorofCompromise

WAN广域网WideAreaNetwork

ZTNA零信任网络访问Zero-TrustNetworkAccess

4安全服务技术要求

4.1概述

2

XX/TXXXXX—XXXX

基于如今广域网产业面临更加广泛的安全性、移动性和算力分布的挑战，互联网的企业应用需要更

细致的服务保护，企业信息基础设施亟需扩展企业网络的服务边界等。面向融合业务安全和运营安全的

企业内生安全要求，SD-WAN有必要在基础安全以外，提供更多的安全服务能力。

在《2019-1277T-YD_软件定义广域网（SD-WAN）总体技术要求》中提到的基础安全业务包括：物

理安全、数据安全、认证鉴权、防攻击、安全审计等。

SD-WAN安全是以服务导向的，每个功能都会被打包成一个开放性的服务模块，用户可根据自身需求

订购不同的服务功能。

SD-WAN控制器管理关系

业务呈现层

SD-WAN控制器北向API

SD-WAN控制器

安全增值业务

SD-WAN网络安全防护

Edge公有云站点2

SD-WAN远程访问安全控制

Edge

公有云站点

1身份安全控制

SD-WANSD-WAN

骨干网Internet

GWGW

SD-WANInternetSD-WAN数据安全控制

EdgeEdge

分支站点

分支站点12持续性安全风险与信任评估

软件定义广域网络SD-WAN

Edge

分支站点3

图1SD-WAN安全架构

参考《2019-1277T-YD_软件定义广域网（SD-WAN）总体技术要求》8.3节SD-WAN增值服务说明，

SD-WAN网络的安全服务技术要求可分为：

——基础网络安全服务技术要求，其中标准可参考《2019-1277T-YD_软件定义广域网（SD-WAN）

总体技术要求》中的5.1.13部分章节要求的功能，可包括全部或者部分，基础网络安全服务技术更多体

现在TCP/IP模型中的应用层以下的网络层、传输层。

如图1所示，安全增值业务，更多体现在TCP/IP模型中的应用层。可以包括除SD-WANEdge或SD-WAN

GW之外的VAS网元所实现的安全增值业务。在控制器平台上可以通过网络编排和安全服务编排，结合控

制器自动组网，将安全服务技术应用在SD-WAN虚拟网络中，自动构建形成安全可靠的Overlay网络。

——安全增值业务具体可以分为网络安全防护攻击、远程访问安全控制、身份安全控制、数据安全

控制、持续性安全风险与信任评估等安全功能，其中：

网络安全防护攻击要求：包括威胁情报、反病毒检测、入侵防护、WEB攻击防护、上网信息

泄漏防护等;

3

远程访问安全控制要求：包括远程访问隔离等；

身份安全控制要求：包含用户、设备、应用程序等身份认证控制；

数据安全控制要求：包含数据审计、防泄漏、脱敏溯源、备份恢复等；

持续性安全风险与信任评估要求：包括持续性的风险和信任评估等。

4.2网络安全防护

4.2.1概述

软件定义广域网安全服务应具备威胁情报和各类网络安全防护能力，防护能力可以在SD-WANEdge、

SD-WANGW，以灵活的方式提供。具体要求如下：

4.2.2威胁情报

安全服务应支持内嵌的威胁情报库，并具备威胁情报库的实时更新能力，对用户的网络访问行为做

威胁分析，根据分析结果，对访问进行阻断、放行，及按照用户自定义规则执行。

其中，威胁情报库主要来自关于攻击者的远程命令与控制服务器情报，和针对已知木马、蠕虫类恶

意软件，并提供对应网络的IOC信息，以及针对来自互联网攻击IP地址的情报信息。

威胁分析主要包含：

——多线索关联分析

通过恶意网络行为的扩展线索发现出更多信息，如攻击者所用的网络资源、攻击者信息、受害人信

息等线索。

——提供针对性防御

提供定期安全情报资讯，客户可优先关注与其自身紧密相关的攻击产生的预警和通知，并及时据此

做针对性的预防。

4.2.3反病毒检测

软件定义广域网安全服务应具备反病毒检测功能，具体要求如下：

——支持反病毒检测，如蠕虫病毒、后门木马、间谍软件等；

——支持检测并拦截HTTP、FTP、电子邮件等协议所携带的病毒文件。

4.2.4入侵防护

软件定义广域网安全服务应具备入侵防护功能，具体要求如下：

——支持基于特征检查恶意流量，如蠕虫病毒、后门木马、间谍软件等；

——支持基于特征针对知名应用的漏洞的检查，如CVE相关漏洞。

4.2.5WEB攻击防护

软件定义广域网安全服务应具备WEB攻击防护功能，具体要求如下：

4

XX/TXXXXX—XXXX

——SQL注入攻击检测与防护，并支持BASE64编码的SQL注入攻击检测与防护；

——XSS攻击检测与防护；

——对常见的Web服务器环境Web入侵的脚本攻击工具（Webshell）的拦截。

4.2.6信息泄露防护

软件定义广域网安全服务应具备对流出的信息流进行检测，防止敏感信息泄露，具体要求如下：

——关键词对流出SD-WANEdge设备的数据流进行过滤，如HTTP上传、外发邮件主题及正文等；

——文件类型对流出SD-WANEdge设备的数据流进行过滤，如HTTP上传、FTP上传、外发邮件的

附件等；

——URL过滤，支持URL识别，通过URL分类识别能够快速发现并识别可疑网站，能有效的防御挂马

网站、钓鱼网站，识别已被植入木马的傀儡主机，切断其与外界的通信，消除风险，通过对高风险

网站如色情、赌博等类别网站的控制，减少与挂马、钓鱼网站的接触机会，降低风险。

4.3远程访问安全控制

软件定义广域网安全服务应支持远程访问安全控制，要具备可以保护SD-WAN的LAN侧用户的

网络安全的能力。具体要求如下：

——防止黑客利用程序本身存在的安全漏洞传播恶意程序（安全）

软件定义广域网安全服务应支持远程浏览器隔离技术，假定原则和“零信任”一致，不信任来自远

程WEB访问的任何内容和访问行为，所有用户的WEB浏览都可以在虚拟浏览器中远程进行，只有安全

的信息才能发送到设备的浏览器，从而提供安全的数据访问交互。

——防护浏览器域隔离错误引发的安全漏洞（隐私）

软件定义广域网安全服务应支持远程浏览器使用虚拟化方式为浏览器实例提供安全执行环境，即使

浏览器存在安全漏洞也能够在服务器中做到安全隔离，避免用户本地计算机受到攻击。

4.4身份安全控制

4.4.1零信任网络访问

软件定义广域网安全服务应具备ZTNA（零信任网络访问）功能，具体要求如下：

——多因素身份验证和行为分析

应具备多因素、多维度的用户身份验证能力，如设备ID、生物指纹、动态验证码等技术手段，对用

户进行动态身份认证和持续的网络行为分析。

——基于用户、设备、应用程序的身份验证

基于用户的身份认证，支持用户名和密码方式，对用户进行身份和口令鉴别；

基于设备的身份认证，应支持设备硬件识别码方式，鉴别访问网络的设备的合法性；

基于应用程序的身份认证，应支持身份令牌（token）软件对用户身份进行动态认证。

5

——持续动态策略评估

应对终端、用户等访问主体进行持续风险感知和信任评估，根据信任评估对访问权限进行动态调整。

访问权限不是静态的，而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和

判定。

4.5数据安全控制

4.5.1概述

数据是企业的核心资产，企业内部的敏感数据、隐私信息泄漏成为安全防护的重点，SD-WAN网络

不但要保护SD-WAN的LAN侧用户的网络安全，同时要具备LAN侧用户内容安全的能力。

4.5.2对数据进行识别、审计、分类分级保护和加密的安全策略

——数据自动化识别。应具备自动化数据内容识别引擎，可根据关键字、关键字对、词组、正字表

达式、数据指纹、文件属性等技术识别网络中的敏感数据，具备数据分类能力，掌控网络中的数据资产。

——审计。具备审计数据泄漏风险的各种行为和风险，并提供预警能力。包含用户行为分析、风险

分析、事件捕获预警、综合汇总报告等。

——数据分级。包含数据梳理自动聚类，可定义数据价值级别。

4.5.3重要数据防泄漏

——网络数据防泄漏。泄漏防护可提供监控和阻断两种防护能力。监控防护需要分析网络行为等来

源、目的地、传输内容等。同时分析应用程序后台传输数据的行为，以监控非主动泄漏情景下的泄漏行

为。网络阻断防护，通过与网络代理服务器联动配合，实现网络上严重数据泄漏行为的阻断，防止敏感

数据扩散至互联网。

——邮件数据防泄漏。应具备邮件数据流量旁路审计、加密邮件内容审计、隔离和拦截包含保密数

据的传输，主动防止敏感数据通过邮件泄漏。

——终端数据防泄漏（可选）。监控和管控终端敏感数据的打开、拷贝、打印、截屏，敏感数据的

发送，网络共享等。

4.5.4重要数据脱敏与溯源

——数据脱敏。可需要支持数据遮蔽、数据仿真、关键部分替换、随机字符串、重置固定值等多种

多样的敏感数据处理方式。保护用户数据隐私。

——数据溯源。可审计导致数据泄漏行为的来源、目的地、传输内容等。

4.5.5重要数据备份与恢复

安全服务应具备对重要数据备份和恢复的能力，应对数据丢失和损坏等可能的意外情况。数据备份

应支持热备、冷备等常见方式，并提供灵活的恢复机制。

4.6持续性安全风险与信任评估

软件定义广域网安全服务应具备CARTA（持续性自适应风险与信任评估）功能，具体要求如下：

6

XX/TXXXXX—XXXX

——风险：判定网络中安全风险，包括判定攻击、漏洞、违规、异常等

安全服务应具备从防护角度持续自适应风险评估，在数据、威胁、攻击、漏洞、资产等多种要素中

识别和评估风险。

——信任：判定身份，进行访问控制

提供持续自适应信任评估能力，从访问控制的角度进行授权、认证和访问。

——自适应：对网络进行细致检测与响应

指在判定风险（包括攻击）的时候，要对网络进行细致地监测与响应，具备自适应安全架构的能力。

同时，在进行身份与访问控制的时候，要根据访问的相互联系和访问行为进行综合研判，动态赋权、变

更权限。

——持续性：持续不断对风险和信任进行研判

对风险和信任的研判过程是持续不断，反复多次进行的。

_________________________________

7

XX/TXXXXX—XXXX

目录

前  言............................................................................III

软件定义广域网络（SD-WAN）增值业务技术要求安全服务.................................1

1范围................................................................................1

2规范性引用文件......................................................................1

3术语、定义和缩略语..................................................................1

3.1术语和定义......................................................................1

3.1.1.............................................................................1

3.1.2.............................................................................1

3.1.3.............................................................................1

3.1.4.............................................................................1

3.1.5.............................................................................2

3.1.6.............................................................................2

3.1.7.............................................................................2

3.2缩略语............................................................................2

4安全服务技术要求....................................................................2

4.1概述..............................................................................2

4.2网络安全防护......................................................................4

4.2.1概述..........................................................................4

4.2.2威胁情报......................................................................4

4.2.3反病毒检测....................................................................4

4.2.4入侵防护......................................................................4

4.2.5WEB攻击防护...................................................................4

4.2.6信息泄露防护..................................................................5

4.3远程访问安全控制..................................................................5

4.4身份安全控制......................................................................5

4.4.1零信任网络访问................................................................5

4.5数据安全控制......................................................................6

I

4.5.1概述..........................................................................6

4.5.2对数据进行识别、审计、分类分级保护和加密的安全策略............................6

4.5.3重要数据防泄漏................................................................6

4.5.4重要数据脱敏与溯源............................................................6

4.5.5重要数据备份与恢复............................................................6

4.6持续性安全风险与信任评估..........................................................6

XX/TXXXXX—XXXX

软件定义广域网络（SD-WAN）增值业务技术要求安全服务

1范围

本文件规定了软件定义广域网络（SD-WAN）的增值业务安全服务的技术要求。

本文件适用于SD-WAN服务提供商、SD-WAN解决方案提供商、SD-WAN基础设施生产企业等，规

范了SD-WAN安全服务的行业标准。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

IETFRFC7426软件定义网络SoftwareDefinedNetwork(SDN)

RFC7348虚拟可扩展局域网：基于三层网络叠加的虚拟二层网络框架

IETFRFC4364BGP/MPLSIP虚拟私有网络IPVirtualPrivateNetworks(VPNs)

IETFRFC6101SSL协议标准

MEF70SD-WAN业务属性和业务定义SD-WANServiceAttributesandServicesDefinition

SP800-153无线局域网络安全指南

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

软件定义广域网softwaredefinedwideareanetwork

通过软件编程实现对网络设备的管理，实现广域网组网。

3.1.2

客户端设备customerpremisesequipment

是IPoverlay隧道的端点，SD-WANEdge的设备形态可以是物理硬件CPE或者NFV化的软件形态

CPE。

3.1.3

1

SD-WAN网关SD-WANGW

是SD-WAN网络连接其他非SD-WAN网络的边界设备，同时能够互联不同的SD-WANGW。运营和维

护SD-WAN网关是SD-WAN服务的一个重要部分。

3.1.4

SD-WAN控制器SD-WANcontroller

控制器提供面对与控制器相关联的所有物理或虚拟的SD-WANEdge设备，SD-WANGW设备管理。

3.1.5

威胁情报threatintelligence

某种基于证据的知识，包括上下文、机制、标记、含义与可行的建议，这些知识与资产所面临已有

的或酝酿中的威胁或危害相关，可用于对这些威胁或危害进行响应的相关决策提供信息支持。

3.1.6

Web脚本攻击webshell

ASP、PHP、JSP或者CGI等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管

理、权限管理等操作。

3.2缩略语

下列缩略语适用于本文件：

CVE通用漏洞披露CommonVulnerabilities&Exposures

FTP文件传输协议FileTransferProtocol

HTTP超文本传输协议HyperTextTransferProtocol

IOC陷落标识、失陷检测情报IndicatorofCompromise

WAN广域网WideAreaNetwork

ZTNA零信任网络访问Zero-TrustNetworkAccess

4安全服务技术要求

4.1概述

2

XX/TXXXXX—XXXX

基于如今广域网产业面临更加广泛的安全性、移动性和算力分布的挑战，互联网的企业应用需要更

细致的服务保护，企业信息基础设施亟需扩展企业网络的服务边界等。面向融合业务安全和运营安全的

企业内生安全要求，SD-WAN有必要在基础安全以外，提供更多的安全服务能力。

在《2019-1277T-YD_软件定义广域网（SD-WAN）总体技术要求》中提到的基础安全业务包括：物

理安全、数据安全、认证鉴权、防攻击、安全审计等。

SD-WAN安全是以服务导向的，每个功能都会被打包成一个开放性的服务模块，用户可根据自身需求

订购不同的服务功能。

SD-WAN控制器管理关系

业务呈现层

SD-WAN控制器北向API

SD-WAN控制器

安全增值业务

SD-WAN网络安全防护

Edge公有云站点2

SD-WAN远程访问安全控制

Edge

公有云站点

1身份安全控制

SD-WANSD-WAN

骨干网Internet

GWGW

SD-WANInternetSD-WAN数据安全控制

EdgeEdge

分支站点

分支站点12持续性安全风险与信任评估

软件定义广域网络SD-WAN

Edge

分支站点3

图1SD-WAN安全架构

参考《2019-1277T-YD_软件定义广域网（SD-WAN）总体技术要求》8.3节SD-WAN增值服务说明，

SD-WAN网络的安全服务技术要求可分为：

——基础网络安全服务技术要求，其中标准可参考《2019-1277T-YD_软件定义广域网（SD-WAN）

总体技术要求》中的5.1.13部分章节要求的功能，可包括全部或者部分，基础网络安全服务技术更多体

现在TCP/IP模型中的应用层以下的网络层、传输层。

如图1所示，安全增值业务，更多体现在TCP/IP模型中的应用层。可以包括除SD-WANEdge或SD-WAN

GW之外的VAS网元所实现的安全增值业务。在控制器平台上可以通过网络编排和安全服务编排，结合控

制器自动组网，将安全服务技术应用在SD-WAN虚拟网络中，自动构建形成安全可靠的Overlay网络。

——安全增值业务具体可以分为网络安全防护攻击、远程访问安全控制、身份安全控制、数据安全

控制、持续性安全风险与信任评估等安全功能，其中：

网络安全防护攻击要求：包括威胁情报、反病毒检测、入侵防护、WEB攻击防护、上网信息

泄漏防护等;

3

远程访问安全控制要求：包括远程访问隔离等；

身份安全控制要求：包含用户、设备、应用程序等身份认证控制；

数据安全控制要求：包含数据审计、防泄漏、脱敏溯源、备份恢复等；

持续性安全风险与信任评估要求：包括持续性的风险和信任评估等。

4.2网络安全防护

4.2.1概述

软件定义广域网安全服务应具备威胁情报和各类网络安全防护能力，防护能力可以在SD-WAN