8月25日，以“開放、創新、融合、共赢”為主題的2022年算網融合産業發展峰會在京成功召開。在“零信任産業發展論壇”上，北京郵電大學網絡空間安全學院執行院長李小勇發表了《标準解讀：零信任能力成熟度模型》的主題演講。

北京郵電大學網絡空間安全學院執行院長李小勇

一、零信任總體發展背景

全球各國加速零信任網絡安全戰略布局，根據知名身份和訪問管理廠商Okta的研究《2021零信任安全态勢》顯示，82%歐洲企業增加其零信任安全預算。

2021年7月，工信部出台《網絡安全産業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》，做出“加快開展零信任網絡安全體系研發”和“推動零信任技術應用”的部署安排。

我國逐步推進零信任相關研究與試點實驗項目落地。

在戰略層面，零信任發展的政策布局逐步形成，零信任規模化部署實踐不斷加快。

在産業層面，在電信、金融、能源等行業中形成了一些零信任應用示範，不斷優化網絡安全産品升級。

在技術層面，将重塑現有網絡安全架構和網絡安全設施，深刻改變關鍵基礎設施的部署與應用模式。

零信任重建安全管理和訪問控制機制，引導安全體系架構從網絡中心化走向數字身份化，其本質訴求是以身份為中心進行訪問控制。默認情況下不應該信任網絡内部和外部的任何人/設備/系統，需要基于認證和授權重構訪問控制的信任基礎。

零信任秉承“永不信任，始終驗證”的理念，網絡安全架構以資源保護為核心，建設動态數字身份信任機制，可持續評估人、終端、業務、環境等風險，形成自适應全生命周期安全閉環管理模式。

零信任價值矩陣的核心要素包括：身份安全、網絡安全、數據安全、應用安全、基礎設施、安全管理。

二、零信任能力成熟度模型解析

零信任安全要求涵蓋實施、網絡、管理、應用等多個方式，涉及包括能源、醫療、金融等多個重點行業關鍵信息基礎設施的建設與運營，切實滿足了數字化轉型下的網絡防禦需求。但零信任部署不是一蹴而就，需分步驟、分階段、分場景規劃方案和能力建設。

圍繞零信任架構安全、産品安全、用戶安全等多視角綜合考慮，零信任能力成熟度被分為縱向的五個階段零信任能力成熟度等級。

零信任能力成熟度五大階段：

無零信任階段，不具備零信任安全技術能力的原始階段。

傳統階段，具備基本網絡安全技術能力，具備概念級的零信任系統能力。

初級階段，具備基礎零信任安全技術能力，具備部分零信任功能模塊的安全技術能力。

優化階段，具備系統級别的零信任安全技術能力，支持主動防禦能力。

持續安全階段，具備标準級别、可持續提升的零信任安全技術能力。

把握各企業産品的零信任成熟度情況，同時精準定級，詳細診斷當前零信任關鍵能力中的短闆，并指明企業後續改進方向。

零信任能力成熟度模型-參考架構設計遵循零信任的定義和原則，針對特定的業務場景和工作流，對構成的8個核心模塊的各個功能子組件、技術交互方式上提供指導和約束。

零信任能力成熟度被分為橫向的八大關鍵能力特征：身份安全、基礎設施、網絡安全、數據安全、應用/負載安全、網絡可持續安全檢測與評估、網絡安全可視化、綜合安全管理。

身份安全——零信任訪問控制的基礎

零信任網絡安全架構下，信任體系的建立需要用戶、設備、應用的可信持續助力。在訪問資源前通過身份管理系統的身份鑒别，完成權限的動态下放，形成認證與授權并存的身份管理機制，打造端到端信任關系，推動訪問控制體系的構建。

基礎設施——零信任架構的關鍵支撐

基礎設施以網絡基礎設施、計算基礎設施、重要業務系統為核心支撐起零信任核心架構，是對零信任理念的落實與部署，其穩定性、包容性、可擴展性等方面的能力是零信任發展的基石，是形成訪問控制、安全審計等零信任核心體系的助力。

網絡安全——零信任解決的根本問題

零信任從網絡控制機制、網絡數據安全、網絡訪問準入、網絡防禦機制、安全威脅防護這五個維度保障了網絡安全，在與傳統防火牆兼容的基礎上搭建零信任架構，實現了靈活、穩定的安全訪問控制。

數據安全——零信任架構實施的首要任務

零信任從數據采集與安全保護、數據防洩漏、數據活動監測與審計、數據脫敏與溯源、數據備份與恢複、數據使用保護這六大維度建立數據安全防線，構建虛拟化數據資源的安全邊界，實現全流程管控。

應用/負載安全——零信任架構實施的保障

零信任從訪問控制、負載安全、動态信任評估和動态授權四個維度入手，對應用程序及負載進行漏洞監測，實現訪問入網前的安全審核。

網絡可持續安全檢測與評估——零信任架構實施的保障

網絡可持續安全檢測與評估着眼于應急時間處理和風險管理兩個維度，形成流程化處理模式，對網絡進行長期穩定的安全檢測與評估，實現零信任架構的全面部署。

網絡安全可視化——零信任架構的堅實基礎

網絡安全可視化借助終端、應用、行為和事件這四大主體實現，通過對企業網絡數據進行收集，優化網絡監測和響應，實現企業信息安全态勢進行實時反饋。

綜合安全管理——零信任交付的安全保障

零信任對信息安全管理和組織人員管理進行規劃設計，借助管理措施統籌零信任關鍵技術融合升級，保障其持續穩定地輸出安全交付能力。

三、總結與展望

我們的願景是“統籌布局零信任體系建設，多方共推産業高質量發展。”

加快自主技術體系建設。加大零信任架構關鍵技術的科研投入，構建零信任安全測評體系，深入剖析零信任技術能力與功能需求，助力零信任應用部署。全面推動“零信任能力成熟度”的評估實施，自主開展測試評估方法等體系的研制。

鼓勵試點示範應用。抓住行業數字化升級轉型機遇，在黨政、金融、能源、交通等領域開展零信任安全試點示範，廣泛征集零信任應用實踐案例，不斷推動優化零信任産品升級，打造一批有影響力可推廣的零信任行業應用标杆。

構建良性産業生态。凝聚産業共識，從市場的供需平衡入手了解當前主流零信任方案/産品供應商與需求采購商的核心訴求，依托CCSA TC621産業平台實現供需雙方的協作聯動，促進形成更優的産業生态環境。

本文首發于個人公衆号“通信官”，轉載請聯系授權。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部