騰訊安全牽頭首個(gè)零信任安全技術(shù)標(biāo)準(zhǔn)規(guī)范指引獲工信部通過!

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷興起,企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,邊界概念日漸模糊,傳統(tǒng)安全防御模型越來越不足以應(yīng)對(duì)威脅,以往靜態(tài)的“隱式信任”模型亟待重構(gòu)革新?;?ldquo;持續(xù)驗(yàn)證,永不信任”的核心思想,零信任理念進(jìn)入行業(yè)視野。

但由于方案設(shè)計(jì)、技術(shù)實(shí)現(xiàn)、測試評(píng)估、實(shí)際部署等階段暫時(shí)缺乏統(tǒng)一和準(zhǔn)確的指導(dǎo)框架,加之業(yè)內(nèi)廠商的探索方向不盡相同,缺乏共通的話語體系,零信任的發(fā)展面臨很大阻礙。因此,行業(yè)亟需建立具有前瞻性并達(dá)成共識(shí)的技術(shù)標(biāo)準(zhǔn)。

近日,工業(yè)和信息化部發(fā)布2023年第38號(hào)中華人民共和國工業(yè)和信息化部公告,正式批準(zhǔn)發(fā)布YD/T 4574-2023《零信任安全技術(shù)參考框架》(下面簡稱《參考框架》),這是由騰訊牽頭提案的首個(gè)國家部委批準(zhǔn)發(fā)布的行業(yè)標(biāo)準(zhǔn),意味著行業(yè)今后在產(chǎn)業(yè)技術(shù)的發(fā)展升級(jí)、改善品質(zhì)服務(wù)、降低部署成本等層面,都將“有標(biāo)可依”。

《參考框架》于2019年正式通過中國通信標(biāo)準(zhǔn)化協(xié)會(huì)CCSA權(quán)威專家組評(píng)審并成功立項(xiàng),此次獲批填補(bǔ)了國內(nèi)在零信任領(lǐng)域的技術(shù)標(biāo)準(zhǔn)空白。標(biāo)準(zhǔn)適用于零信任安全系統(tǒng)的設(shè)計(jì)、開發(fā)和使用,給出了零信任安全技術(shù)參考框架,包括基本原則、技術(shù)框架、工作過程、核心功能模塊等內(nèi)容的規(guī)范化要求,對(duì)于行業(yè)構(gòu)建高質(zhì)量網(wǎng)絡(luò)安全架構(gòu)和網(wǎng)絡(luò)安全設(shè)施具有重要意義。

《參考框架》主要解決零信任網(wǎng)絡(luò)安全技術(shù)的標(biāo)準(zhǔn)化、規(guī)范化等問題,幫助用戶基于標(biāo)準(zhǔn)化的方式來評(píng)估其安全態(tài)勢,重構(gòu)網(wǎng)絡(luò)與安全應(yīng)用。其核心內(nèi)容主要包括零信任網(wǎng)絡(luò)訪問主體、訪問客體和零信任安全系統(tǒng)(零信任安全控制中心和零信任安全代理)三部分:其中,訪問主體可通過現(xiàn)有的第三方安全產(chǎn)品/服務(wù)等方式接收并響應(yīng)零信任安全系統(tǒng)的指令,向零信任安全控制中心上報(bào)安全狀態(tài),并通過安全代理與訪問客體通信。

同時(shí),明確了零信任安全系統(tǒng)是實(shí)現(xiàn)零信任安全技術(shù)的相關(guān)產(chǎn)品、服務(wù)或其組合;零信任安全控制中心具備對(duì)整個(gè)訪問過程的持續(xù)安全監(jiān)測、信任評(píng)估和動(dòng)態(tài)更新訪問控制策略等功能;零信任安全代理具備訪問流量的重定向和保護(hù)等功能;訪問主體能否對(duì)訪問客體進(jìn)行訪問,取決于零信任安全系統(tǒng)的持續(xù)安全監(jiān)測、信任評(píng)估和授權(quán)決策,訪問主體對(duì)訪問客體的訪問,不允許繞過零信任安全系統(tǒng)。

作為國內(nèi)最早實(shí)踐零信任的企業(yè),騰訊安全一直致力于推動(dòng)零信任理念在中國的落地。早在2016年,騰訊就在國內(nèi)率先落地零信任安全架構(gòu);2019年,騰訊將內(nèi)部實(shí)踐和研發(fā)出來的解決方案對(duì)外發(fā)布,形成了商業(yè)版iOA零信任安全管理系統(tǒng),實(shí)現(xiàn)訪問全程的4T可信零信任;2021年~2022年,騰訊將零信任解決方案升級(jí),以接、防、管、控一體化實(shí)現(xiàn)零信任自適應(yīng)持續(xù)保護(hù)機(jī)制。目前,零信任技術(shù)架構(gòu)已在騰訊安全的產(chǎn)品中無縫落地,并在政務(wù)、醫(yī)療、交通、金融等多行業(yè)成功應(yīng)用。

騰訊零信任iOA通過一體化終端的產(chǎn)品策略實(shí)現(xiàn)了零信任網(wǎng)絡(luò)訪問、職場辦公安全、身份安全、以及終端安全管理、數(shù)據(jù)安全等維度的功能,基本滿足了大部分公用云客戶和私有化客戶的定制需求。與此同時(shí),騰訊零信任網(wǎng)絡(luò)訪問根據(jù)市場需求的變化不斷調(diào)整,以更好滿足企業(yè)的網(wǎng)絡(luò)安全訴求。

未來,騰訊安全在輸出自身安全能力的基礎(chǔ)上,也將持續(xù)推動(dòng)零信任理念在中國的加速落地,深耕“標(biāo)準(zhǔn)化+”新業(yè)態(tài),助力網(wǎng)絡(luò)安全產(chǎn)業(yè)有序健康發(fā)展,護(hù)航企業(yè)數(shù)字化建設(shè)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )