T∕CIITA 117-2021 信息安全技术 零信任参考架构.pdf
《T∕CIITA 117-2021 信息安全技术 零信任参考架构.pdf》由会员分享,可在线阅读,更多相关《T∕CIITA 117-2021 信息安全技术 零信任参考架构.pdf(11页珍藏版)》请在咨信网上搜索。
1、 ICS 35.020 CCS L60 团体标准团体标准 T/CIITA 1172021 信息安全技术 零信任参考架构 Information security technology-Zero trust reference architecture 2021-12-20 发布 中 国 信 息 产 业 商 会中 国 信 息 产 业 商 会 发 布发 布 2022-02-01 实施 T/CIITA 117-2021 I 目 次 前 言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.1 5 概述.2 6 整体框架.2 7 组件间关系.5 8 工作流程.6 参考文献.
2、8 T/CIITA 117-2021 III 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准专业委员会提出并归口。本文件起草单位:奇安信科技集团股份有限公司、中电(海南)联合创新研究院有限公司、中国信息安全研究院有限公司、中国电子信息产业集团有限公司。本文件主要起草人:张泽洲、韩永刚、安锦程、张彬、焦峰、邬怡、张妍、冯词童、孔坚、谢慧昭、魏勇、李伟、陈蛟、张丽婷、罗清林、王江。T/CIITA 117-2021 1 信息安全技术 零
3、信任参考架构 1 范围 本文件给出了零信任参考体系架构,包括构建零信任体系架构的整体框架、组件间关系和工作流程。本文件适用于信息系统零信任体系架构的设计和开发。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 18794.3-2003 信息技术 开放系统互连 开放系统安全框架 第3部分:访问控制框架 T/CIITA 100-2021 PKS体系 术语 3 术语和定义 T/CIITA 100-2021界定的以及下列术语和定义适用于本文
4、件。3.1 零信任 zero trust 一种以资源保护为核心的网络安全理念。该理念认为:主体访问资源时,主体和资源之间的信任关系都需要从零开始,通过持续环境感知与动态信任评估进行构建,从而实施访问控制。3.2 资源 resource 系统中可供访问的客体,包括应用、系统、接口、服务、数据等。3.3 控制平面 control plane 控制和管理在主体到资源之间建立、维持或阻断数据访问信道的逻辑平面。3.4 数据平面 data plane 在控制平面的控制下,实施访问者和资源之间数据传输的逻辑平面。4 缩略语 下列缩略语适用于本文件:PKI 公钥基础设施(public key infrast
5、ructure)T/CIITA 117-2021 2 URL 统一资源定位符(uniform resource locator)5 零信任访问模型 零信任是一种以资源保护为核心的网络安全理念,依据零信任理念建立的零信任访问模型见图 1。在主体访问资源的过程中,零信任访问模型的核心部分通过持续环境感知、动态信任评估、最小权限访问的循环过程,进行零信任策略决定与执行,实现对资源的访问保护;同时,主体和资源之间的传输需要加密。图 1 零信任访问模型 零信任访问模型具有以下基本原则:a)持续对主体环境、资源环境、网络环境等进行数据采集,感知安全威胁、脆弱性等安全态势;b)在主体访问资源之前,根据主体属
6、性、资源属性、环境属性等进行信任评估,在访问过程中,根据属性变化进行动态信任评估,维持或改变策略;c)根据业务需求和风险容忍度动态调整策略,对每次允许的访问请求主体授予最小权限,并保证及时执行调整后的最小权限;d)访问资源的主体可能位于内部网络,也可能来自外部网络,所有的通信都需要采用安全加密传输。6 整体框架 6.1 零信任体系架构 参考GB/T 18794.3-2003 基本访问控制相关内容,将主体作为发起者、资源作为目标,由主体、资源、核心组件和支撑组件组成零信任体系架构,如图2所示。核心组件由策略决定点和策略执行点组成,执行主体对资源的策略决定。支撑组件由密码服务和应用、身份管理、设备
7、管理、资源管理、态势感知等组件组成,为核心组件提供多来源信息,并支撑核心组件运行的多种服务。T/CIITA 117-2021 3 图 2 零信任体系架构整体框架图 假设数据在不安全的网络环境中传输,所有实现主体到资源之间数据传输的组件共同组成数据平面,包括主体到资源之间的信道、网络设备、密码系统/设备等,在控制平面的管理和控制下,采用密码技术建立、维持或阻断主体到资源的数据访问信道。6.2 主体 主体是发起资源访问请求的人员、设备、软件应用、系统等对象,可以是单一的人员、设备、软件应用、系统等,也可以是人员、设备、软件应用、系统等的组合。在进行主体安全属性评估和身份鉴别时,组合主体共同作为主体
8、对象。主体使用数字身份作为标识,标识将关联主体的属性信息。主体的安全属性包括:主体自然属性、主体身份权威属性、主体身份鉴别属性、主体访问行为属性、主体环境属性、主体安全态势、主体威胁情报等。6.3 资源 基于资源属性,将遵从共同策略的资源最小集合划分为同一资源单元,并予以标识。资源的属性包括资源分级分类属性、资源配置、资源环境属性、资源安全态势、资源威胁情报等。采用隔离、标识等技术手段进行资源单元划分,典型技术手段包括:统一资源标识、数据标识、软件定义边界、微隔离等。资源单元可定义多个不同的访问权限;例如,数据字段具有读取、写入、执行和删除等权限。6.4 核心组件 6.4.1 策略决定和策略执
9、行过程 核心组件的信息传递过程分为信息控制传递和基于会话的安全通信。在主体发起对资源的访问请求,核心组件的策略决定和策略执行过程如下:a)策略执行点将访问请求传递到策略决定点,在支撑组件辅助下,策略决定点创建、更新、调整策略决定,并将策略决定实时传递到策略执行点。访问请求、策略创建、策略更新、策略调整、策略执行等管理控制信息,在控制平面进行传递;b)策略执行点在策略决定点的管理下,建立、维持或阻断主体到资源的数据访问信道,在数据平面基于会话进行加密传输。T/CIITA 117-2021 4 6.4.2 策略决定点 6.4.2.1 概述 策略决定点接收支撑组件提供的多来源信息,提取主体属性、资源
10、属性以及主体和资源的环境属性信息,持续进行威胁感知。在接收到策略执行点转发的访问请求后,在多来源信息支持下,持续进行信任评估、策略决策以及策略动态调整,并控制执行策略决定。该组件由策略引擎和策略管理组成,使用控制平面进行通信。策略决定点与其他组件关系包括:a)策略决定点接收支撑组件提供的多来源信息,识别、提取、归纳主体属性信息、资源属性信息、环境属性信息、策略基准等;b)策略决定点接收策略执行点转发的主体访问请求,控制策略执行点执行策略决定;c)策略决定点在支撑组件服务支撑下,对主体持续进行身份鉴别和身份鉴别动态调整,精细管理资源。6.4.2.2 策略引擎 策略引擎在支撑组件提供的多来源信息支
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- TCIITA 117-2021 信息安全技术 零信任参考架构 CIITA 117 2021 信息 安全技术 信任 参考 架构
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【liy****99】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【liy****99】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。