《零信任能力成熟度》標準研討會召開 加快構建國內零信任網絡安全的頂層設計

近年來，以“信任”為中心，以“邊界防御+縱深防御”為結構設計的現有網絡安全模型已經無法適應全行業朝著數字化升級轉型的發展訴求。以“身份”為中心，基于“永不信任、持續評估”的零信任網絡安全成為信息網絡安全領域演進發展的重要方向。2021年9月，國外研究機構發布了《零信任成熟度模型》征求意見稿，其中明確指出“各級相關部門三年零信任網絡安全架構部署路線圖，達成身份、設備、網絡、應用、數據五大具體零信任網絡安全目標”。總體上看，有一些國家已經初步完成零信任網絡安全領域的國家戰略布局。

目前，我國零信任網絡安全領域的技術創新研究與產業生態培育正在逐步興起，但是，如何提高部署效率，凝聚行業發展共識，仍然缺乏有影響力的指導標準和參考模型，金融、能源、電信等行業缺乏自頂向下的整體設計和發展規劃，這已經嚴重掣肘了企業數字化升級轉型的發展節奏。為推進零信任系統化標準化研究工作，2021年7月，中國信息通信研究院（以下簡稱“中國信通院”）算網融合團隊牽頭發起了《零信任能力成熟度》的標準研制工作，2021年9月29日，中國信通院算網融合團隊攜手云安全聯盟（CSA）組織召開了《零信任能力成熟度》標準研討會，旨在進一步加快國內版“零信任成熟度模型”的建設，為相關行業發展和部署提供參考和借鑒。

本次研討會邀請到云深互聯（北京）科技有限公司、阿里云計算有限公司、奇安信科技集團股份有限公司、Fortinet、Palo Alto Networks、綠盟科技集團股份有限公司、山石網科通信技術股份有限公司、中興通訊股份有限公司、上海派拉軟件股份有限公司、上海締安科技股份有限公司、格爾軟件股份有限公司、天融信科技集團股份有限公司、杭州迪普科技股份有限公司、Ambergroup Ltd、杭州漠坦尼科技有限公司等20多家行業代表，圍繞零信任網絡安全在“設施、網絡、管理、應用、數據”等方面的能力要求，共同設計了相對完備的參考架構，從無零信任部署到持續安全部署，形成了不同階段的企業零信任網絡安全的評估模型。

本次研討會由中國信通院技術與標準研究所互聯網中心副主任穆琙博主持并介紹《零信任能力成熟度》整體內容及編撰要點，云安全聯盟零信任工作組組長陳本峰介紹了CSA國際標準的研制流程以及立項要求。隨后各章節牽頭單位代表分別就相關內容做了總體性解讀：

• 奇安信的專家代表張彬介紹了零信任身份安全技術要求，包括用戶身份識別與建立信任、受控設備識別與建立信任、應用識別與建立信任；
• 山石網科的專家代表對零信任基礎設施技術要求做了介紹，包括可信網絡連接能力、可信地址過濾能力、對網絡進行分割管理能力、對網絡進行隔離管理能力、制定無特權；
• Palo Alto Networks的專家代表馬振國對零信任網絡安全技術要求作了相關介紹，包括網絡訪問準入、保護企業資源網絡隱身、訪問控制策略、數據傳輸鏈路支持國密算法加密、威脅的識別和防御、防御網絡攻擊；
• 中興通訊的專家代表梁曉艷介紹了數據安全方面的內容，包括對數據進行審計、識別、分類分級保護和加密、重要數據防泄漏、數據活動監測及審計分析、重要數據脫敏和溯源、重要數據備份和回復、數據使用保護；
• 阿里云的專家代表張玉峰介紹了零信任應用/負載安全技術要求包括（應用訪問控制、負載管理能力、應用動態信任評估、應用的動態權限控制）和零信任網絡可持續安全檢測與評估技術要求（包括應急故障處理、風險預測管理）；
• 綠盟科技的專家代表李君勁對關鍵要素安全可視化相關內容做了介紹，包括綜合態勢、應用態勢、終端態勢、安全事件、違規態勢、安全防護態勢、網絡可視化管理；
• Amber Group的專家代表胡愷健介紹了綜合管理要求，包括風險評估和人員管理要求

隨后參會專家對《零信任能力成熟度》整體內容進行了深度討論，對零信任關鍵能力和技術要點分級分類達成一致觀點。最后由中國信通院技術與標準研究所高級項目經理柴瑤琳介紹了標準的下一步工作計劃。

接下來，中國信通院算網融合團隊將繼續與各單位共同協作，凝聚產業共識，共同推進零信任能力成熟度相關工作。