腾讯安全牵头首个零信任安全技术标准规范指引获工信部通过!

随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,边界概念日渐模糊,传统安全防御模型越来越不足以应对威胁,以往静态的“隐式信任”模型亟待重构革新。基于“持续验证,永不信任”的核心思想,零信任理念进入行业视野。

但由于方案设计、技术实现、测试评估、实际部署等阶段暂时缺乏统一和准确的指导框架,加之业内厂商的探索方向不尽相同,缺乏共通的话语体系,零信任的发展面临很大阻碍。因此,行业亟需建立具有前瞻性并达成共识的技术标准。

近日,工业和信息化部发布2023年第38号中华人民共和国工业和信息化部公告,正式批准发布YD/T 4574-2023《零信任安全技术参考框架》(下面简称《参考框架》),这是由腾讯牵头提案的首个国家部委批准发布的行业标准,意味着行业今后在产业技术的发展升级、改善品质服务、降低部署成本等层面,都将“有标可依”。

《参考框架》于2019年正式通过中国通信标准化协会CCSA权威专家组评审并成功立项,此次获批填补了国内在零信任领域的技术标准空白。标准适用于零信任安全系统的设计、开发和使用,给出了零信任安全技术参考框架,包括基本原则、技术框架、工作过程、核心功能模块等内容的规范化要求,对于行业构建高质量网络安全架构和网络安全设施具有重要意义。

《参考框架》主要解决零信任网络安全技术的标准化、规范化等问题,帮助用户基于标准化的方式来评估其安全态势,重构网络与安全应用。其核心内容主要包括零信任网络访问主体、访问客体和零信任安全系统(零信任安全控制中心和零信任安全代理)三部分:其中,访问主体可通过现有的第三方安全产品/服务等方式接收并响应零信任安全系统的指令,向零信任安全控制中心上报安全状态,并通过安全代理与访问客体通信。

同时,明确了零信任安全系统是实现零信任安全技术的相关产品、服务或其组合;零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等功能;零信任安全代理具备访问流量的重定向和保护等功能;访问主体能否对访问客体进行访问,取决于零信任安全系统的持续安全监测、信任评估和授权决策,访问主体对访问客体的访问,不允许绕过零信任安全系统。

作为国内最早实践零信任的企业,腾讯安全一直致力于推动零信任理念在中国的落地。早在2016年,腾讯就在国内率先落地零信任安全架构;2019年,腾讯将内部实践和研发出来的解决方案对外发布,形成了商业版iOA零信任安全管理系统,实现访问全程的4T可信零信任;2021年~2022年,腾讯将零信任解决方案升级,以接、防、管、控一体化实现零信任自适应持续保护机制。目前,零信任技术架构已在腾讯安全的产品中无缝落地,并在政务、医疗、交通、金融等多行业成功应用。

腾讯零信任iOA通过一体化终端的产品策略实现了零信任网络访问、职场办公安全、身份安全、以及终端安全管理、数据安全等维度的功能,基本满足了大部分公用云客户和私有化客户的定制需求。与此同时,腾讯零信任网络访问根据市场需求的变化不断调整,以更好满足企业的网络安全诉求。

未来,腾讯安全在输出自身安全能力的基础上,也将持续推动零信任理念在中国的加速落地,深耕“标准化+”新业态,助力网络安全产业有序健康发展,护航企业数字化建设。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )

Baidu
map