近日,工业和信息化部发布2023年第38号中华人民共和国工业和信息化部公告,正式批准发布YD/T 4574-2023《零信任安全技术参考框架》(下面简称《参考框架》),这是由工作组成员腾讯牵头提案、多个工作组单位联合研制的首个国家部委批准发布的行业标准,意味着行业今后在产业技术的发展升级、改善品质服务、降低部署成本等层面,都将“有标可依”。
《参考框架》于2019年正式通过中国通信标准化协会CCSA权威专家组评审并成功立项,此次获批填补了国内在零信任领域的技术标准空白。
从今以后,国内终于有了零信任的标准化定义,根据TD/T 4574-2023标准,零信任是指:一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始,通过持续的身份鉴别和监测评估、最小权限原则等,动态调整访问策略和权限,实施精细化的访问控制和安全防护。
本标准适用于零信任安全系统的设计、开发和使用,给出了零信任安全技术参考框架,包括基本原则、技术框架、工作过程、核心功能模块等内容的要求,对于行业构建高质量网络安全架构和网络安全设施具有重要意义。
本标准主要解决零信任网络安全技术的标准化、规范化等问题,帮助用户基于标准化的方式来评估其安全态势,重构网络与安全应用。其核心内容主要包括零信任网络访问主体、访问客体和零信任安全系统(零信任安全控制中心和零信任安全代理)三部分:其中,访问主体可通过现有的第三方安全产品/服务等方式接收并响应零信任安全系统的指令,向零信任安全控制中心上报安全状态,并通过安全代理与访问客体通信。
零信任安全技术参考框架
同时,明确了零信任安全系统是实现零信任安全技术的相关产品、服务或其组合;零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等功能;零信任安全代理具备访问流量的重定向和保护等功能;访问主体能否对访问客体进行访问,取决于零信任安全系统的持续安全监测、信任评估和授权决策,访问主体对访问客体的访问,不允许绕过零信任安全系统。
声明:本文来自零信任产业标准工作组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。