標準解讀:零信任能力成熟度模型

網路通訊頻道發表於2022-08-26
模型

8月25日,以“開放、創新、融合、共贏”為主題的2022年算網融合產業發展峰會在京成功召開。在“零信任產業發展論壇”上,北京郵電大學網路空間安全學院執行院長李小勇發表了《標準解讀:零信任能力成熟度模型》的主題演講。

▲北京郵電大學網路空間安全學院執行院長 李小勇

一、零信任總體發展背景

全球各國加速零信任網路安全戰略佈局,根據知名身份和訪問管理廠商Okta的研究《2021零信任安全態勢》顯示,82%歐洲企業增加其零信任安全預算。

2021年7月,工信部出臺《網路安全產業高質量發展三年行動計劃(2021-2023年)(徵求意見稿)》,做出“加快開展零信任網路安全體系研發”和“推動零信任技術應用”的部署安排。

我國逐步推進零信任相關研究與試點實驗專案落地。

  • 在戰略層面,零信任發展的政策佈局逐步形成,零信任規模化部署實踐不斷加快。

  • 在產業層面,在電信、金融、能源等行業中形成了一些零信任應用示範,不斷最佳化網路安全產品升級。

  • 在技術層面,將重塑現有網路安全架構和網路安全設施,深刻改變關鍵基礎設施的部署與應用模式。

零信任重建安全管理和訪問控制機制,引導安全體系架構從網路中心化走向數字身份化,其本質訴求是以身份為中心進行訪問控制。預設情況下不應該信任網路內部和外部的任何人/裝置/系統,需要基於認證和授權重構訪問控制的信任基礎。

零信任秉承“永不信任,始終驗證”的理念,網路安全架構以資源保護為核心,建設動態數字身份信任機制,可持續評估人、終端、業務、環境等風險,形成自適應全生命週期安全閉環管理模式。

零信任價值矩陣的核心要素包括:身份安全、網路安全、資料安全、應用安全、基礎設施、安全管理。

二、零信任能力成熟度模型解析

零信任安全要求涵蓋實施、網路、管理、應用等多個方式,涉及包括能源、醫療、金融等多個重點行業關鍵資訊基礎設施的建設與運營,切實滿足了數字化轉型下的網路防禦需求。但零信任部署不是一蹴而就,需分步驟、分階段、分場景規劃方案和能力建設。

圍繞零信任架構安全、產品安全、使用者安全等多視角綜合考慮,零信任能力成熟度被分為縱向的五個階段零信任能力成熟度等級。

零信任能力成熟度五大階段:

無零信任階段,不具備零信任安全技術能力的原始階段。

傳統階段,具備基本網路安全技術能力,具備概念級的零信任系統能力。

初級階段,具備基礎零信任安全技術能力,具備部分零信任功能模組的安全技術能力。

最佳化階段,具備系統級別的零信任安全技術能力,支援主動防禦能力。

持續安全階段,具備標準級別、可持續提升的零信任安全技術能力。

把握各企業產品的零信任成熟度情況,同時精準定級,詳細診斷當前零信任關鍵能力中的短板,並指明企業後續改進方向。

零信任能力成熟度模型-參考架構設計遵循零信任的定義和原則,針對特定的業務場景和工作流,對構成的8個核心模組的各個功能子元件、技術互動方式上提供指導和約束。

零信任能力成熟度被分為橫向的八大關鍵能力特徵:身份安全、基礎設施、網路安全、資料安全、應用/負載安全、網路可持續安全檢測與評估、網路安全視覺化、綜合安全管理。

身份安全——零信任訪問控制的基礎

零信任網路安全架構下,信任體系的建立需要使用者、裝置、應用的可信持續助力。在訪問資源前透過身份管理系統的身份鑑別,完成許可權的動態下放,形成認證與授權並存的身份管理機制,打造端到端信任關係,推動訪問控制體系的構建。

基礎設施——零信任架構的關鍵支撐

基礎設施以網路基礎設施、計算基礎設施、重要業務系統為核心支撐起零信任核心架構,是對零信任理念的落實與部署,其穩定性、包容性、可擴充套件性等方面的能力是零信任發展的基石,是形成訪問控制、安全審計等零信任核心體系的助力。

網路安全——零信任解決的根本問題

零信任從網路控制機制、網路資料安全、網路訪問准入、網路防禦機制、安全威脅防護這五個維度保障了網路安全,在與傳統防火牆相容的基礎上搭建零信任架構,實現了靈活、穩定的安全訪問控制。

資料安全——零信任架構實施的首要任務

零信任從資料採集與安全保護、資料防洩漏、資料活動監測與審計、資料脫敏與溯源、資料備份與恢復、資料使用保護這六大維度建立資料安全防線,構建虛擬化資料資源的安全邊界,實現全流程管控。

應用/負載安全——零信任架構實施的保障

零信任從訪問控制、負載安全、動態信任評估和動態授權四個維度入手,對應用程式及負載進行漏洞監測,實現訪問入網前的安全稽核。

網路可持續安全檢測與評估——零信任架構實施的保障

網路可持續安全檢測與評估著眼於應急時間處理和風險管理兩個維度,形成流程化處理模式,對網路進行長期穩定的安全檢測與評估,實現零信任架構的全面部署。

網路安全視覺化——零信任架構的堅實基礎

網路安全視覺化藉助終端、應用、行為和事件這四大主體實現,透過對企業網路資料進行收集,最佳化網路監測和響應,實現企業資訊保安態勢進行實時反饋。

綜合安全管理——零信任交付的安全保障

零信任對資訊保安管理和組織人員管理進行規劃設計,藉助管理措施統籌零信任關鍵技術融合升級,保障其持續穩定地輸出安全交付能力。

三、總結與展望

我們的願景是“統籌佈局零信任體系建設,多方共推產業高質量發展。”

加快自主技術體系建設。加大零信任架構關鍵技術的科研投入,構建零信任安全測評體系,深入剖析零信任技術能力與功能需求,助力零信任應用部署。全面推動“零信任能力成熟度”的評估實施,自主開展測試評估方法等體系的研製。

鼓勵試點示範應用。抓住行業數字化升級轉型機遇,在黨政、金融、能源、交通等領域開展零信任安全試點示範,廣泛徵集零信任應用實踐案例,不斷推動最佳化零信任產品升級,打造一批有影響力可推廣的零信任行業應用標杆。

構建良性產業生態。凝聚產業共識,從市場的供需平衡入手瞭解當前主流零信任方案/產品供應商與需求採購商的核心訴求,依託CCSA TC621產業平臺實現供需雙方的協作聯動,促進形成更優的產業生態環境。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31545813/viewspace-2912097/,如需轉載,請註明出處,否則將追究法律責任。

相關文章