零信任能力成熟度模型解讀

2022-04-29 17:59:28伊元嘉

伊元嘉

2022年8月25日，以“開放、創新、融合、共贏”為主題的2022年算網融合產業發展峰會在京成功召開。在“零信任產業發展論壇”上，北京郵電大學網絡空間安全學院執行院長李小勇解讀了零信任能力成熟度模型。

如今，全球各國都在加速零信任網絡安全戰略布局，根據知名身份和訪問管理廠商Okta的研究《2021零信任安全態勢》顯示，82 %的歐洲企業增加了零信任安全預算。

2021年7月，工信部出臺《網絡安全產業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》，做出“加快開展零信任網絡安全體系研發”和“推動零信任技術應用”的部署安排。我國逐步推進零信任相關研究與試點實驗項目落地。

在戰略層面，零信任發展的政策布局逐步形成，零信任規?；渴饘嵺`不斷加快。

在產業層面，在電信、金融、能源等行業中形成了一些零信任應用示范，不斷優化網絡安全產品升級。

在技術層面，將重塑現有網絡安全架構和網絡安全設施，深刻改變關鍵基礎設施的部署與應用模式。

零信任重建安全管理和訪問控制機制，引導安全體系架構從網絡中心化走向數字身份化，其本質訴求是以身份為中心進行訪問控制。默認情況下不應該信任網絡內部和外部的任何人、設備、系統，需要基于認證和授權重構訪問控制的信任基礎。

零信任秉承“永不信任，始終驗證”的理念，網絡安全架構以資源保護為核心，建設動態數字身份信任機制，可持續評估人、終端、業務、環境等風險，形成自適應全生命周期安全閉環管理模式。

零信任價值矩陣的核心要素包括：身份安全、網絡安全、數據安全、應用安全、基礎設施、安全管理。

零信任安全要求涵蓋實施、網絡、管理、應用等多個方式，涉及包括能源、醫療、金融等多個重點行業關鍵信息基礎設施的建設與運營，切實滿足了數字化轉型下的網絡防御需求。但零信任部署不是一蹴而就，需分步驟、分階段、分場景規劃方案和能力建設。

圍繞零信任架構安全、產品安全、用戶安全等多視角綜合考慮，零信任能力成熟度縱向分為五大階段成熟度等級。

無零信任階段，為不具備零信任安全技術能力的原始階段。

傳統階段，具備基本網絡安全技術能力，具備概念級的零信任系統能力。

初級階段，具備基礎零信任安全技術能力，具備部分零信任功能模塊的安全技術能力。

優化階段，具備系統級別的零信任安全技術能力，支持主動防御能力。

持續安全階段，具備標準級別、可持續提升的零信任安全技術能力。

需要把握各企業產品的零信任成熟度情況，同時精準定級，詳細診斷當前零信任關鍵能力中的短板，并指明企業后續改進方向。

零信任能力成熟度模型———參考架構設計遵循零信任的定義和原則，針對特定的業務場景和工作流，對構成的8個核心模塊的各個功能子組件、技術交互方式上提供指導和約束。

零信任能力成熟度橫向分為的8個關鍵能力特征：身份安全、基礎設施、網絡安全、數據安全、應用/負載安全、網絡可持續安全檢測與評估、網絡安全可視化和綜合安全管理。

零信任網絡安全架構下，信任體系的建立需要用戶、設備、應用的可信持續助力。在訪問資源前通過身份管理系統的身份鑒別，完成權限的動態下放，形成認證與授權并存的身份管理機制，打造端到端信任關系，推動訪問控制體系的構建。

基礎設施以網絡基礎設施、計算基礎設施、重要業務系統為核心支撐起零信任核心架構，是對零信任理念的落實與部署，其穩定性、包容性、可擴展性等方面的能力是零信任發展的基石，是形成訪問控制、安全審計等零信任核心體系的助力。

零信任從網絡控制機制、網絡數據安全、網絡訪問準入、網絡防御機制、安全威脅防護5個維度保障了網絡安全，在與傳統防火墻兼容的基礎上搭建零信任架構，實現了靈活、穩定的安全訪問控制。

零信任從數據采集與安全保護、數據防泄漏、數據活動監測與審計、數據脫敏與溯源、數據備份與恢復、數據使用保護6個維度建立數據安全防線，構建虛擬化數據資源的安全邊界，實現全流程管控。

零信任從訪問控制、負載安全、動態信任評估和動態授權4個維度入手，對應用程序及負載進行漏洞監測，實現訪問入網前的安全審核。

網絡可持續安全檢測與評估著眼于應急時間處理和風險管理2個維度，形成流程化處理模式，對網絡進行長期穩定的安全檢測與評估，實現零信任架構的全面部署。

網絡安全可視化借助終端、應用、行為和事件這四大主體實現，通過對企業網絡數據進行收集，優化網絡監測和響應，實現企業信息安全態勢進行實時反饋。

零信任對信息安全管理和組織人員管理進行規劃設計，借助管理措施統籌零信任關鍵技術融合升級，保障其持續穩定地輸出安全交付能力。

我們的愿景是“統籌布局零信任體系建設，多方共推產業高質量發展”。

加快自主技術體系建設。加大零信任架構關鍵技術的科研投入，構建零信任安全測評體系，深入剖析零信任技術能力與功能需求，助力零信任應用部署。全面推動“零信任能力成熟度”的評估實施，自主開展測試評估方法等體系的研制。

鼓勵試點示范應用。抓住行業數字化升級轉型機遇，在黨政、金融、能源、交通等領域開展零信任安全試點示范，廣泛征集零信任應用實踐案例，不斷推動優化零信任產品升級，打造一批有影響力可推廣的零信任行業應用標桿。

構建良性產業生態。凝聚產業共識，從市場的供需平衡入手了解當前主流零信任方案/產品供應商與需求采購商的核心訴求，依托CCSA TC621產業平臺實現供需雙方的協作聯動，促進形成更優的產業生態環境。