《零信任能力成熟度》标准研讨会召开 加快构建国内零信任网络安全的顶层设计

近年来，以“信任”为中心，以“边界防御+纵深防御”为结构设计的现有网络安全模型已经无法适应全行业朝着数字化升级转型的发展诉求。以“身份”为中心，基于“永不信任、持续评估”的零信任网络安全成为信息网络安全领域演进发展的重要方向。2021年9月，国外研究机构发布了《零信任成熟度模型》征求意见稿，其中明确指出“各级相关部门三年零信任网络安全架构部署路线图，达成身份、设备、网络、应用、数据五大具体零信任网络安全目标”。总体上看，有一些国家已经初步完成零信任网络安全领域的国家战略布局。

目前，我国零信任网络安全领域的技术创新研究与产业生态培育正在逐步兴起，但是，如何提高部署效率，凝聚行业发展共识，仍然缺乏有影响力的指导标准和参考模型，金融、能源、电信等行业缺乏自顶向下的整体设计和发展规划，这已经严重掣肘了企业数字化升级转型的发展节奏。为推进零信任系统化标准化研究工作，2021年7月，中国信息通信研究院（以下简称“中国信通院”）算网融合团队牵头发起了《零信任能力成熟度》的标准研制工作，2021年9月29日，中国信通院算网融合团队携手云安全联盟（CSA）组织召开了《零信任能力成熟度》标准研讨会，旨在进一步加快国内版“零信任成熟度模型”的建设，为相关行业发展和部署提供参考和借鉴。

本次研讨会邀请到云深互联（北京）科技有限公司、阿里云计算有限公司、奇安信科技集团股份有限公司、Fortinet、Palo Alto Networks、绿盟科技集团股份有限公司、山石网科通信技术股份有限公司、中兴通讯股份有限公司、上海派拉软件股份有限公司、上海缔安科技股份有限公司、格尔软件股份有限公司、天融信科技集团股份有限公司、杭州迪普科技股份有限公司、Ambergroup Ltd、杭州漠坦尼科技有限公司等20多家行业代表，围绕零信任网络安全在“设施、网络、管理、应用、数据”等方面的能力要求，共同设计了相对完备的参考架构，从无零信任部署到持续安全部署，形成了不同阶段的企业零信任网络安全的评估模型。

本次研讨会由中国信通院技术与标准研究所互联网中心副主任穆琙博主持并介绍《零信任能力成熟度》整体内容及编撰要点，云安全联盟零信任工作组组长陈本峰介绍了CSA国际标准的研制流程以及立项要求。随后各章节牵头单位代表分别就相关内容做了总体性解读：

• 奇安信的专家代表张彬介绍了零信任身份安全技术要求，包括用户身份识别与建立信任、受控设备识别与建立信任、应用识别与建立信任；
• 山石网科的专家代表对零信任基础设施技术要求做了介绍，包括可信网络连接能力、可信地址过滤能力、对网络进行分割管理能力、对网络进行隔离管理能力、制定无特权；
• Palo Alto Networks的专家代表马振国对零信任网络安全技术要求作了相关介绍，包括网络访问准入、保护企业资源网络隐身、访问控制策略、数据传输链路支持国密算法加密、威胁的识别和防御、防御网络攻击；
• 中兴通讯的专家代表梁晓艳介绍了数据安全方面的内容，包括对数据进行审计、识别、分类分级保护和加密、重要数据防泄漏、数据活动监测及审计分析、重要数据脱敏和溯源、重要数据备份和回复、数据使用保护；
• 阿里云的专家代表张玉峰介绍了零信任应用/负载安全技术要求包括（应用访问控制、负载管理能力、应用动态信任评估、应用的动态权限控制）和零信任网络可持续安全检测与评估技术要求（包括应急故障处理、风险预测管理）；
• 绿盟科技的专家代表李君劲对关键要素安全可视化相关内容做了介绍，包括综合态势、应用态势、终端态势、安全事件、违规态势、安全防护态势、网络可视化管理；
• Amber Group的专家代表胡恺健介绍了综合管理要求，包括风险评估和人员管理要求

随后参会专家对《零信任能力成熟度》整体内容进行了深度讨论，对零信任关键能力和技术要点分级分类达成一致观点。最后由中国信通院技术与标准研究所高级项目经理柴瑶琳介绍了标准的下一步工作计划。

接下来，中国信通院算网融合团队将继续与各单位共同协作，凝聚产业共识，共同推进零信任能力成熟度相关工作。