ICS 35.240 CCS L67 YD 中华人民共和国通信行业标准 YD/TXXXX-XXXX 面向云计算的零信任体系 第5部分:业务安全能力要求 Cloud puting oriented zero-trust system Part 5:Service security capabilityrequirement 行业标准信息服务平台 (报批稿) [xxxx]-[×x]-[xx]发布 [xxxx]-[x×]-[xx]实施 中华人民共和国工业和信息化部发布
YD/Txxxxxxxxx 目次 前 言 IV 言 MI 1范围 2规范性引用文件 3术语和定义.
4业务安全体系适用场景, 5业务安全应用体系架构. 6画像层... 7算法层, 8业务风险运营. 9业务安全能力要求, 附录A(规范性)内容安全能力要求 附录B(规范性)交易安全能力要求.
II' 附录C(规范性)信贷安全能力要求 .15 附录D(规范性)营销安全能力要求. 18 附录E(规范性)钧负安全能力要求. 21 附录F(规范性)防伪溯源安全能力要求 信息服务平台 23 附录G(规范性)私域安全能力要求 .25
YD/Txxxxxxxxx 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
本文件是YD/T4598《面向云计算的零信任体系》的第5部分.
YD/T4598已经发布了以下部分: 第1部分:总体架构 第2部分:关键能力要求 第3部分:安全访问服务边缘能力要求 请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件代替YD/T3796-2020《基于云计算的业务安全风险解决方案技术要求》,与YD/T3796- 2020相比,除编辑性修改外主要技术变化如下: 增加了私域的术语和定义(见第3.5章) 增加了业务安全适用场景(见第4章) 增加了业务安全体系架构(见第5章) 删除了业务安全能力等级划分(见2020年版第4章) 增加了防伪溯源安全能力要求(见附件F) 增加了私域安全能力要求(见第附件G) 本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、深圳市腾讯计算机系统有限公司、中国移动通信集团有 限公司、中国电信集团有限公司、浪潮云信息技术股份公司、新华三技术有限公司、北京天融信网络 安全技术有限公司、北京百度网讯科技有限公司、天翼安全科技有限公司、华为云计算技术有限公 司、中兴通讯股份有限公司、网宿科技股份有限公司、中国联合网络通信集团有限公司、北京芯盾时 代科技有限公司.
7 本文件主要起草人:卫斌、郭雪、孔松、李忆晨、马铭洋、吴倩琳、王永霞、王浩硕、何亮忠、 杨佳丽、季文东、林顺东、王鑫渊、张锐刚、信雨含、康和、万晓兰、孙松儿、谌鹏、邹艳鹏、张 敏、李萌、郑佳佳、吴潇、陈东鹏、杨志伟.
难信息服务平台 I1
YD/TxxxXxXxxx 引言 近年来,云计算、大数据等新一代信息技术与实体经济加速融合,为各产业提质降本增效带来活 力,产业数字化转型迎来发展浪潮.
同时,数字化转型中IT架构的变革为企业带来新的安全需求和挑 战,传统安全建设理念和手段遭遇瓶颈,如何更有效地保障数字资产与业务的安全可信,成为企业数 字化转型中的难点.
零信任、安全即服务、原生安全等新一代安全技术与业态兴起,为企业数字化转 型安全建设提供思路和手段.
《面向云计算的零信任体系》标准对满足数字化转型需求的新一代零信任安全架构进行规范,拟 由六个部分构成.
一第1部分:总体架构.
目的在于规范系列标准所涵盖的内容.
-第2部分:关键能力要求.
目的在于规范云环境下零信任产品的核心能力.
第3部分:安全访问服务边缘能力要求.
目的在于规范SASE场景下网络与安全的能力.
第4部分:数据保护能力要求.
目的在于规范云环境下数据保护产品的能力要求,为基于零信 任理念进行数据最小化授权和保护提供支撑.
第5部分:业务安全能力要求.
目的在于规范云环境下基于零信任理念的业务安全能力.
一第6部分:数字身份安全能力要求.
目的在于规范云上资源全面身份化后,其数字身份的安全 管控能力.
本文件是《面向云计算的零信任体系》的第5部分主要规范云环境下零信任产品的业务安全能力, 包括业务形态安全以及业务流程安全两个部分,业务形态安全包括内容安全、钓鱼安全、防伪溯源安 全、私域安全四个部分的能力要求,业务流程安全包括交易安全、信贷安全与营销安全三个部分的能 力要求.
行业标准信息服务平台 II1
YD/Txxxxxxxxx 面向云计算的零信任体系第5部分:业务安全能力要求 1范围 本文件规定了面向云计算零信任体系的业务安全能力要求,包括面向零信任的业务安全能力体系 适用场景、业务安全总体架构、业务安全能力要求.
本文件适用于服务提供商在提供业务安全服务时的功能设计、产品研制、能力评估,同时适用于 用户在进行业务安全能力管理、对自身业务安全体系进行设计和评价时参照使用.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
GB/T32400-2015信息技术云计算概览与词汇 3术语和定义 下列术语和定义适用于本文件.
3.1 云计算cloudputing 一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式.
[来源:GB/T32400-2015.3.2.5] 3.2 业务安全 business security 保护业务系统正常逻辑免受被滥用或募改,减少业务目的与业务结果产生不确定性的措施或手 段.
3.3 业务安全风险business security risk 业务正常逻辑面临的被滥用或募改的威胁,进而导致业务目的与业务结果产生不确定性的威胁.
注:威助包含但不限于金融欺诈、账户盗刷、内容违规等.
3. 4 业务安全解决方案business security risk solutions