国家标准计划《网络安全技术 零信任能力成熟度模型及评价方法》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委。
主要起草单位 中国信息通信研究院 、中国移动通信集团有限公司 、中讯邮电咨询设计院有限公司 、奇安信网神信息技术(北京)股份有限公司 。
| 35 信息技术、办公机械 |
| 35.030 IT安全 |
| 编号 | 语种 | 翻译承担单位 | 国内外需求情况 |
|---|---|---|---|
| 1 | EN | 中国信息通信研究院 | 国际方面: 2020年8月,美国国家标准与技术研究院(NIST)发布800-207《零信任架构》,主要讨论了构成零信任架构 (ZTA) 的核心逻辑组件。零信任是指一套不断发展的安全范式,将防御范围从广泛的网络边界缩小到单个或小组资源。 2021年,美国网络安全与基础设施安全局发布了《零信任成熟度模型》,从身份、设备、网络、应用程序和数据五个方面形成了零信任能力成熟度的五大支柱,从战略层面对零信任网络安全架构部署进行了整体规划。 国内方面: 2020年开始,国内研究零信任标准的标准化组织主要有:全国信息安全标准化技术委员会、中国通信行业标准化协会(CCSA)、中国通信学会 目前零信任标准推进情况如下: 2020年8月《网络安全技术 零信任参考体系架构》在全国信息安全标准化技术委员会WG4(鉴别与授权组)工作组成功立项,目前已正式发布,但因其未涉及参考体系架构的成熟度级别判定要求,因此不适用于零信任能力成熟度定级。 2021年3月8日,CCSA TC8/WG2联合TC5/WG5提交了《零信任安全在移动网络中应用的研究》的标准草案送审稿,但因其限制了应用场景,因此不是普适性零信任标准。 2022年6月27日,CCSA TC8/WG2提交了《网络安全产品能力评价体系 第11部分:基于零信任架构的业务安全平台评价方法》标准项目建议书,目前标准已到标准草案送审稿阶段,其研究内容与重点与本标准有本质性差异。 2022年8月24日,CCSA TC8/WG1提交了《电信网和互联网云网融合场景零信任技术要求》标准项目建议书,目前标准已到标准草案报批稿阶段,该标准侧重考虑云计算和网络服务的安全需求,与本标准从研究内容、研究重点、适用场景上均有较大差异。 2021年8月,中国通信学会算网融合标准工作组通过《零信任能力成熟度模型》标准立项,目前该标准已正式发布,但因其为团标,应用范围和实践范围相对受限,覆盖范围存在不足。 2023年4月,CCSA TC8/WG4提交了《基于零信任的算力网络安全技术要求》标准项目建议书,目前标准已经完成立项,其研究侧重考虑算网安全的安全需求,与本标准从适用场景和研究重点上有较大差异。 |
近年来,网络软件化、虚拟化、算力化的全面演进打破了原有的“边界防御+纵深防御”的网络安全机制,带来了基础设施安全、供应链安全、数据安全等一系列安全挑战。
基于“持续验证,永不信任”的核心理念,零信任通过引入权限动态控制机制实现身份标识细粒度权限管理,切实重塑了现有网络安全架构和网络安全设施。
然而我国当前零信任领域面临市场碎片化、生态分散化的严峻挑战,零信任应用部署还未走向成熟,行业市场的高质量发展亟需规范引导。
为了进一步完善零信任相关规范体系,提出可参考的零信任能力成熟度模型,形成零信任能力成熟度测试要求,为行业应用以及零信任产业规模化发展奠定基础。
同时该标准也提出相应零信任关键能力特征及零信任能力成熟度等级,以供后续零信任架构成熟度定级提供参考。
该标准主要对零信任成熟度模型、零信任身份安全技术要求、零信任基础设施技术要求、零信任网络安全技术要求、零信任数据安全技术要求、零信任应用/负载安全技术要求、零信任网络可持续安全检测与评估技术要求、零信任网络安全可视化技术要求、综合安全管理要求做出相应规范,具体的内容包括以下几个方面: 1)使用范围 2)规范性引用文件 3)术语和定义 4)零信任成熟度模型:参考功能视图、关键能力和整体能力分级要求 5)零信任身份安全技术要求 6)零信任基础设施技术要求 7)零信任网络安全技术要求 8)零信任数据安全技术要求 9)零信任应用/负载安全技术要求 10)零信任网络可持续安全检测与评估技术要求 11)零信任网络安全可视化技术要求 12)综合安全管理要求
全国标准信息公共服务平台
