面向電信網(wǎng)的軟件定義邊界(SDP)技術(shù)要求_第1頁
面向電信網(wǎng)的軟件定義邊界(SDP)技術(shù)要求_第2頁
面向電信網(wǎng)的軟件定義邊界(SDP)技術(shù)要求_第3頁
面向電信網(wǎng)的軟件定義邊界(SDP)技術(shù)要求_第4頁
面向電信網(wǎng)的軟件定義邊界(SDP)技術(shù)要求_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1面向電信網(wǎng)的軟件定義邊界(SDP)技術(shù)要求本文件規(guī)定了面向電信業(yè)務(wù)網(wǎng)、管理網(wǎng)的軟件定義邊界(SDP)的技術(shù)體系、流程和接口、參考框架、技術(shù)要求和安全要求。本文件適用于SDP技術(shù)研發(fā)、設(shè)備研制、系統(tǒng)部署和運維。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件。僅該日期對應(yīng)的版本適用于本文件:不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。軟件定義邊界softwaredefinedperimeter一種以身份為中心、基于上下文對資源實施動態(tài)訪問控制的安全框架,通過對用戶身份、環(huán)境、動態(tài)權(quán)限三個層面的驗證,訪問者與被訪問者之間實時創(chuàng)建加密隧道,從而降低網(wǎng)絡(luò)系統(tǒng)的安全風險單包授權(quán)singlepacket通過發(fā)送攜帶一次性密碼等信息的單個認證數(shù)據(jù)包實現(xiàn)先驗證后連接的方法,在主體訪問客體前。先驗證訪問主體的身份。動態(tài)訪問控制dynamicaccesscontrol一種動態(tài)調(diào)節(jié)主體對客體執(zhí)行某些操作請求的機制,能夠?qū)崟r調(diào)整控制策略和訪問權(quán)限,用來保護資源不被未授權(quán)的用戶訪問下列縮略語適用于本文件。AI:人工智能(ArtificialBSS:業(yè)務(wù)支撐系統(tǒng)(BusinessSupportSystem)mTLS:相互傳輸層安全(MutualTransportLayerSecurity)SDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)SDP:軟件定義邊界(SoftwareSPA:單包授權(quán)(SinglePacketAuthorization)TLCP:傳輸層密碼協(xié)議(TransportLayerTLS:傳輸層安全協(xié)議(TransportLayerSecurity)7c)應(yīng)能夠保證合法實體正常地使用數(shù)據(jù),不會被非法拒絕。應(yīng)用安全要求如下:a)應(yīng)對應(yīng)用的訪問設(shè)置控制規(guī)則。減少非授權(quán)訪問;b)應(yīng)對應(yīng)用的安裝目錄和文件的訪問權(quán)限進行最小化設(shè)置,防止未授權(quán)用戶訪問相關(guān)資源:e)應(yīng)用系統(tǒng)應(yīng)設(shè)置登錄失敗處理功能,避免惡意訪問:d)應(yīng)用系統(tǒng)應(yīng)支持記錄安全日志審計事件,能夠生成、維護及保護審計過程,避免審計事件被非法訪問及篡改:e)應(yīng)用系統(tǒng)應(yīng)通過技術(shù)措施限制未授權(quán)用戶訪問審計數(shù)據(jù):f)應(yīng)用系統(tǒng)與第三方系統(tǒng)進行數(shù)據(jù)交互時,應(yīng)采用加密措施,以保護傳輸過程中端口與程序之間數(shù)據(jù)的保密性管理安全要求如下:a)應(yīng)支持設(shè)置不同管理員或授權(quán)用戶角色權(quán)限,明確權(quán)限分配策略和授權(quán)范圍,實現(xiàn)管理權(quán)限分離,防止出現(xiàn)越權(quán)訪問b)應(yīng)對授權(quán)用戶/設(shè)備進行定期管理維護,防止授權(quán)用戶/設(shè)備列表遭到篡改或副除:c)應(yīng)基于權(quán)限分配策略對下發(fā)的安全策略進行管理,避免存在非必要的應(yīng)用資源訪問權(quán)限:d)應(yīng)對上傳至控制模塊的日志進行定期管理查看,采取對應(yīng)的入侵防范措施。8面向電信網(wǎng)的SDP應(yīng)用場景示例A.1外部用戶或遠程運維接入0SS域在本場景中,電信運營支撐系統(tǒng)處于半開放狀態(tài),既需要提供面向公眾的業(yè)務(wù)系統(tǒng),又要支持內(nèi)部人員單獨訪問某些敏感資源,面臨運維人員結(jié)構(gòu)復(fù)雜、攻擊面暴露等問題,SDP基于用戶身份確定最小訪問權(quán)限,提供外部用戶、遠程運維用戶接入電信運營支撐系統(tǒng)的安全解決方案,通過細顆粒的訪問控制權(quán)限,使用戶無法訪問OSS域內(nèi)所有未經(jīng)授權(quán)的資源,以縮小攻擊面、降低域內(nèi)風險。A.2對外能力開放的服務(wù)新實例創(chuàng)建的權(quán)限繼承在本場景中,電信網(wǎng)對外提供網(wǎng)絡(luò)開放服務(wù),服務(wù)新實例的出現(xiàn)應(yīng)有規(guī)范的權(quán)限繼承機制,SDP可基于服務(wù)實例具備的元數(shù)據(jù)??焖賹ζ湓O(shè)置訪問控制權(quán)限,節(jié)約成本的同時避免越權(quán)、權(quán)限過低等傳統(tǒng)安全問題。A.3多云環(huán)境下的一致性訪問策略在本場景中,運營商采用多云架構(gòu),多個云承載不同業(yè)務(wù),不同云環(huán)境之間的邊界防護、控制訪問策略使得管理成本、運維成本大幅提升。若缺乏統(tǒng)一

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論