国家标准计划《网络安全技术 鉴别与授权 基于属性的访问控制模型与管理规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 北京中关村实验室 、中国科学院大学 、奇安信网神信息技术（北京）股份有限公司 、华北电力大学 、中国科学院软件研究所 、北京数字认证股份有限公司 、公安部第三研究所 、中国电子信息产业集团有限公司第六研究所 、中国信息通信研究院 、陕西省信息化工程研究院 、蚂蚁科技集团股份有限公司 、江苏易安联网络技术有限公司 、北京芯盾时代科技有限公司 、北京持安科技有限公司等 、中科信息安全共性技术国家工程研究中心有限公司 、国民认证科技（重庆）有限公司 、浙江大华技术股份有限公司 、亚数信息科技（上海）有限公司 。

在我国数字化转型不断深入的趋势下，云计算、大数据等成为了资源的主要载体，跨系统的数据共享、交换变得日趋频繁和复杂，随之而来的新型攻击手段、风险和威胁等数字安全风险直接影响主体访问资源过程中的持续信任关系。

零信任是目前全球网络安全产业界重点关注的一种网络安全理念，其以资源保护为核心，通过持续环境感知和动态信任评估为受保护资源实施细粒度的端到端安全的访问控制。

现阶段，我国逐步强化数据资源法律保护，零信任也在我国获得接受并逐渐在重点行业部署推广。

2024年5月，《网络安全技术 零信任参考体系架构》国家标准的发布，将为零信任在大型机构的部署提供指引。

零信任能否有效落地，做出和执行授权决定的访问控制模型的选择是一个关键问题。

基于属性的访问控制模型因其根据主、客体的特定属性、环境条件以及根据这些属性和条件预定义的数字策略和规则，能够动态、细粒度的执行访问授权，被认为是现有各类访问控制模型中，能够支撑零信任有效实施的合理选择。

然而，由于缺少广为接受的模型，相关行业在零信任及动态访问控制应用实践中对ABAC的控制效用和含义理解存在分歧和不确定性，导致动态、细粒度的资源访问控制难以有效落地。

为进一步深化零信任理念在我国的准确应用，推动持续、动态和细粒度访问控制策略在我国大型机构的有效部署，深化零信任参考体系架构在我国的标准化落地，丰富我国零信任标准体系内容，故制定《网络安全技术 鉴别与授权 基于属性的访问控制模型》国家标准。

（1）适用对象 本标准的适用对象包括三类：一是大型企业机构，该标准可用于指导大型企业机构积极部署基于属性的访问控制模型，推动机构内部的信息系统落地零信任策略；二是网信主管部门，该标准可帮助网信主管部门在推动零信任体系架构应用和数据安全保护方面，提供管理工作方面的标准支撑；三是网络安全测评机构，该标准可帮助测评机构在评价大型企业机构访问控制的策略的有效性，并给出科学的测试意见提供参考。 （2）解决的具体问题 本标准拟解决传统的静态访问控制难以满足的，针对适用于大型企业的动态、持续和细粒度的访问控制要求的问题。 （3）主要技术内容 本标准拟给出基于属性的访问控制（ABAC）的概念、参考模型组成、工作机制及基于属性的访问控制策略实现等内容。具体来说，该标准包括以下具体内容： （1）术语定义：明确基于属性的访问控制（ABAC）、基于属性的访问控制模型、属性、环境条件以及访问控制策略等基本定义； （2）参考模型组成：给出基于属性访问控制的参考模型，以及主客体、环境条件、属性、访问控制机制、访问控制策略等模型基本要素； （3）工作机制：访问控制机制组成部分、属性来源等内容； （4）基于属性的访问控制策略：如何实现动态、持续、细粒度的访问控制的内容。