近年来,网络软件化、虚拟化、算力化的全面演进打破了原有的“边界防御+纵深防御”的网络安全机制,带来了基础设施安全、供应链安全、数据安全等一系列安全挑战。基于“持续验证,永不信任”的核心理念,零信任通过引入权限动态控制机制实现身份标识细粒度权限管理,切实重塑了现有网络安全架构和网络安全设施。然而我国当前零信任领域面临市场碎片化、生态分散化的严峻挑战,零信任应用部署还未走向成熟,行业市场的高水平发展亟需规范引导。
为深入推动零信任规模化部署,全方面促进零信任产业高水平质量的发展,中国信息通信研究院牵头研制国家标准《网络安全技术 零信任能力成熟度模型》,并成功入选全国网络安全标准化技术委员会发布的2024年44项网络安全国家标准项目立项清单。
本标准围绕零信任关键能力域应用部署需求和构建原则,提出了零信任能力成熟度模型,提供一套通用的零信任分阶目标和路线图,正确引导零信任分步骤、分阶段、分模块整体规划、部署实施。
本标准拟明确零信任各关键能力特征的技术方面的要求,解决针对零信任应用方开展零信任能力建设缺乏统一的标准依据问题。本标准规范零信任相关生产开发者的功能设计与产品运营实践机制,识别其能力差距,一直在改进提升其零信任产品功能设计和运营开发,解决针对生产开发者零信任能力评价缺乏统一的标准依据问题。
本标准围绕零信任关键能力域应用部署需求和构建原则,提出了零信任能力成熟度模型,提供一套通用的零信任分阶目标和路线图,正确引导零信任分步骤、分阶段、分模块整体规划、部署实施。
本标准拟明确零信任各关键能力特征的技术方面的要求,解决针对零信任应用方开展零信任能力建设缺乏统一的标准依据问题。本标准规范零信任相关生产开发者的功能设计与产品运营实践机制,识别其能力差距,一直在改进提升其零信任产品功能设计和运营开发,解决针对生产开发者零信任能力评价缺乏统一的标准依据问题。
该标准提案将重点研究零信任能力成熟度模型,包括身份安全、设备安全、网络安全、数据安全、应用与工作负载、网络可持续安全检测与评估和网络安全可视化等技术方面的要求,同时深入研究综合安全管理要求,为零信任产品开发者、零信任产品使用者等提供参考。
“零信任能力成熟度”评估围绕零信任架构安全、产品安全、用户安全等多维度将其成熟度分为五个等级(无零信任级、传统级、初级、优化级、持续安全级),涵盖身份安全、基础设施、网络安全、应用负载安全、网络可持续安全检测与评估、网络安全可视化、数据安全、综合安全管理这八大模块,全面评估企业零信任产品的功能、性能与服务质量。
本评估项目充足表现零信任企业产品能力,同时明确应用实践过程中的可操作性和易推广性,有益于零信任产品提供商明确其产品技术水平,协助推进产品优化设计,进而对零信任产业生态建设提供助力,促进垂直行业加快规模化应用实践。
本次征集活动设置零信任智慧守护计划 创新产品及方案奖和零信任智慧守护计划 行业应用优秀案例奖、零信任产业图谱(设置零信任最受行业欢迎厂商Top5)。我们将在2025年算网融合产业高质量发展大会发布零信任智慧守护计划优秀案例集和零信任产业图谱。
中国信通院牵头发起《网络安全技术 零信任能力成熟度模型》国家标准项目成功立项