面向电信网的软件定义边界（SDP）技术要求

1面向电信网的软件定义边界(SDP)技术要求本文件规定了面向电信业务网、管理网的软件定义边界(SDP)的技术体系、流程和接口、参考框架、技术要求和安全要求。本文件适用于SDP技术研发、设备研制、系统部署和运维。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件。仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。软件定义边界softwaredefinedperimeter一种以身份为中心、基于上下文对资源实施动态访问控制的安全框架，通过对用户身份、环境、动态权限三个层面的验证，访问者与被访问者之间实时创建加密隧道，从而降低网络系统的安全风险单包授权singlepacket通过发送携带一次性密码等信息的单个认证数据包实现先验证后连接的方法，在主体访问客体前。先验证访问主体的身份。动态访问控制dynamicaccesscontrol一种动态调节主体对客体执行某些操作请求的机制，能够实时调整控制策略和访问权限，用来保护资源不被未授权的用户访问下列缩略语适用于本文件。AI:人工智能(ArtificialBSS:业务支撑系统(BusinessSupportSystem)mTLS:相互传输层安全(MutualTransportLayerSecurity)SDK:软件开发工具包(SoftwareDevelopmentKit)SDP:软件定义边界(SoftwareSPA:单包授权(SinglePacketAuthorization)TLCP:传输层密码协议(TransportLayerTLS:传输层安全协议(TransportLayerSecurity)7c)应能够保证合法实体正常地使用数据，不会被非法拒绝。应用安全要求如下：a)应对应用的访问设置控制规则。减少非授权访问；b)应对应用的安装目录和文件的访问权限进行最小化设置，防止未授权用户访问相关资源：e)应用系统应设置登录失败处理功能，避免恶意访问：d)应用系统应支持记录安全日志审计事件，能够生成、维护及保护审计过程，避免审计事件被非法访问及篡改：e)应用系统应通过技术措施限制未授权用户访问审计数据：f)应用系统与第三方系统进行数据交互时，应采用加密措施，以保护传输过程中端口与程序之间数据的保密性管理安全要求如下：a)应支持设置不同管理员或授权用户角色权限，明确权限分配策略和授权范围，实现管理权限分离，防止出现越权访问b)应对授权用户/设备进行定期管理维护，防止授权用户/设备列表遭到篡改或副除：c)应基于权限分配策略对下发的安全策略进行管理，避免存在非必要的应用资源访问权限：d)应对上传至控制模块的日志进行定期管理查看，采取对应的入侵防范措施。8面向电信网的SDP应用场景示例A.1外部用户或远程运维接入0SS域在本场景中，电信运营支撑系统处于半开放状态，既需要提供面向公众的业务系统，又要支持内部人员单独访问某些敏感资源，面临运维人员结构复杂、攻击面暴露等问题，SDP基于用户身份确定最小访问权限，提供外部用户、远程运维用户接入电信运营支撑系统的安全解决方案，通过细颗粒的访问控制权限，使用户无法访问OSS域内所有未经授权的资源，以缩小攻击面、降低域内风险。A.2对外能力开放的服务新实例创建的权限继承在本场景中，电信网对外提供网络开放服务，服务新实例的出现应有规范的权限继承机制，SDP可基于服务实例具备的元数据。快速对其设置访问控制权限，节约成本的同时避免越权、权限过低等传统安全问题。A.3多云环境下的一致性访问策略在本场景中，运营商采用多云架构，多个云承载不同业务，不同云环境之间的边界防护、控制访问策略使得管理成本、运维成本大幅提升。若缺乏统一