ICS 35. 240 CCS L67 YD 中华人民共和国通信行业标准 [××××]-[×××××]1/0 [代替YD/T] 面向云计算的零信任体系 第2部分:关键能力要求 Cloud puting oriented zero-trust system Part 2:Critical capabilityrequirements [点击此处添加与国际标准一致性程度的标识] 行业标准信息服务平台 (报批稿) 2022. 11 [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部 发布
YD/Txxxxxxxxx 目次 2规范性引用文件 3术语、定义和缩略语 3.1术语和定义. 3.2缩略语. 4零信任安全设计原则. 5零信任安全总体架构, 6零信任安全通用能力要求. 7零信任安全核心能力要求. 7.1零信任安全策略执行能力要求 7.2零信任安全多源评估能力要求 7.3零信任安全策略控制能力要求. 8零信任安全管理能力要求. 9外部其他能力.. 行业标准信息服务平台
YD/Txxxxxxxxx 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
《》 一一第1部分:总体架构 一一第2部分:关键能力要求 第3部分:安全访问服务边缘能力要求 一第4部分:数据保护工具要求 一一第5部分:业务安全能力要求 一第6部分:数字身份安全能力要求 本文件为YD/TXXXXX-XXX×的第2部分.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、腾讯云计算(北京)有限责任公司、北京天融信网络安 全技术有限公司、北京蔷薇灵动科技有限公司、深信服科技股份有限公司、绿盟科技集团股份有限公 司、成都云山雾隐科技有限公司、奇安信科技集团股份有限公司、北京京东尚科信息技术有限公司、 深圳华为云计算技术有限公司、中兴通讯股份有限公司、杭州安恒信息技术股份有限公司、中国移动 通信集团有限公司、天翼云科技有限公司、网宿科技股份有限公司、新华三技术有限公司、北京持安 科技有限公司、北京金山云网络技术有限公司、西安邮电大学、北京芯盾时代科技有限公司、北京西 骏数据科技股份有限公司、北京神州泰岳软件股份有限公司、江苏易安联网络技术有限公司、数篷科 技(深圳)有限公司、曙光云计算集团有限公司.
本文件主要起草人:吴倩琳、孔松、郭雪、黄超、蔡东赞、熊瑛、王、刘晨、王浩硕、张泽洲、 何艺、秦益飞、杨仕忠、郭肠、付怀勇、曾帅、林木林、申习之、彭园、张丽婷、李然、吴奕鹏、于 振伟、田旭达、孙悦、季文东、宋园园、卫斌、韩非、王睿宁、高志民、刘迎曦、侯芳、李晓明、刘 娜、张磊、张慧莹、雷新、杨一飞、冯娜、杨文斌、许金旺、陈晓、沈舒莉、王鑫渊.
准信息服务平台 I1
YD/Txxxxxxxxx 引言 近年来,云计算、大数据等新一代信息技术与实体经济加速融合,为各产业提质降本增效带来活 力,产业数字化转型迎来发展浪潮.
同时,数字化转型中IT架构的变革为企业带来新的安全需求和 挑战,传统安全建设理念和手段遭遇瓶颈,如何更有效地保障数字资产与业务的安全可信,成为企业 数字化转型中的难点.
零信任、安全即服务、原生安全等新一代安全技术与业态兴起,为企业数字化 转型安全建设提供思路和手段.
《面向云计算的零信任体系》标准对满足数字化转型需求的新一代零信任安全架构进行规范,拟 由六个部分构成.
一一第1部分:总体架构.
目的在于规范系列标准所涵盖的内容.
第2部分:关键能力要求.
目的在于规范云环境下零信任产品的核心能力.
一一第3部分:安全访问服务边缘能力要求.
目的在于规范SASE场景下网络与安全的能力.
一一第4部分:数据保护工具要求.
目的在于规范云环境下数据保护工具的能力要求,为基于零信 任理念进行数据最小化授权和保护提供支撑.
一一第5部分:业务安全能力要求.
目的在于规范云环境下基于零信任理念的业务安全能力.
一一第6部分:数字身份安全能力要求.
目的在于规范云上资源全面身份化后,其数字身份的安全 管控能力.
行业标准信息服务平台 II1
YD/Txxxxxxxxx 面向云计算的零信任体系第2部分:关键能力要求 1范围 本文件规定了零信任的设计原则、总体架构、通用能力要求、核心能力要求和管理能力要求.
本文件适用于供应商开发、设计和建设基于零信任理念的产品或解决方案.
2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适 用于本文件.
GB/T29242-2012信息安全技术鉴别与授权安全断言标记语言 GB/T29246-2017信息安全技术信息安全管理体系概述和词汇 T/CESA1165-2021零信任系统技术规范 3术语、定义和缩略语 3.1术语和定义 GB/T29242-2012和GB/T29246-2017界定的以及下列术语和定义适用于本文件.
3. 1. 1 能访问客体的主动实体.
[来源:GB/T29242-2012,3.7] 3.1. 2 访问客体accessobject 系统中可供访问的资源.
注:资源如应用、系统、接口、服务、数据等.
3.1. 3 云工作负载cloudworkload 云环境中从应用程序层到管理程序或处理的自包含组件的整个应用程序堆栈.
注:自包含组件指堆栈中的虚拟机和容器
