ICS 35.020 CCS L60 团体标准 T/CIITA 117—2021 信息安全技术 零信任参考架构 Information security technology - Zero trust reference architecture 2021-12-20发布 中国信息产业商会 发布 2022-02-01实施 CIITA ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ 全国团体标准信息平台 全国团体标准信息平台 T/CIITA 117-2021 I 目 次 前 言 ................................ ................................ ....... III 1 范围 ................................ ................................ ......... 1 2 规范性引用文件 ................................ ............................... 1 3 术语和定义 ................................ ................................ ... 1 4 缩略语 ................................ ................................ ....... 1 5 概述 ................................ ................................ ......... 2 6 整体框架 ................................ ................................ ..... 2 7 组件间关系 ................................ ................................ ... 5 8 工作流程 ................................ ................................ ..... 6 参考文献 ................................ ................................ ....... 8 CIITA ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ 全国团体标准信息平台 全国团体标准信息平台 T/CIITA 117-2021 III 前 言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国信息产业商会团体标准专业委员会提出并归口。 本文件起草单位：奇安信科技集团股份有限公司、 中电（海南）联合创新研究院有限公司 、中国信 息安全研究院有限公司 、中国电子信息产业集团有限公司。 本文件主要起草人：张泽洲、韩永刚、安锦程、张彬 、焦峰、邬怡、张妍、冯词童、孔坚、谢慧昭、 魏勇、李伟、陈蛟、张丽婷、罗清林、王江。 CIITA ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ 全国团体标准信息平台 全国团体标准信息平台 T/CIITA 117-2021 1 信息安全技术 零信任参考架构 1 范围 本文件给出了零信任参考体系架构， 包括构建零信任体系架构的整体框架、 组件间关系和工作流程。 本文件适用于信息系统零信任体系架构的设计和开发。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 18794.3 -2003 信息技术 开放系统互连 开放系统安全框架 第3部分:访问控制框架 T/CIITA 1 00-2021 PKS体系 术语 3 术语和定义 T/CIITA 1 00-2021界定的以及下列术语和定义适用于本文件。 3.1 零信任 zero trust 一种以资源保护为核心的网络安全理念。 该理念认为：主体访问资源时，主体和资源之间的信任关 系都需要从零开始，通过持续环境感知与动态信任评估进行构建，从而实施访问控制。 3.2 资源 resource 系统中可供访问的客体，包括应用、系统、接口、服务、数据等。 3.3 控制平面 control plane 控制和管理在主体到资源之间建立、维持或阻断数据访问信道的逻辑平面。 3.4 数据平面 data plane 在控制平面的控制下，实施访问者和资源之间数据传输的逻辑平面。 4 缩略语 下列缩略语适用于本文件： PKI 公钥基础设施（ public key infra structure） CIITA ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ 全国团体标准信息平台 T/CIITA 117-2021 2 URL 统一资源定位符（ uniform resource locator） 5 零信任访问模型 零信任是一种以资源保护为核心的网络安全理念，依据零信任理念建立的零信任访问模型见图 1。 在主体访问资源的过程中，零信任访问模型的核心部分通过持续环境感知、动态信任评估、最小权限访 问的循环过程，进行零信任策略决定与执行，实现对资源的访问保护；同时，主体和资源之间的传输需 要加密。 图 1 零信任访问模型 零信任访问模型具有以下基本原则： a）持续对主体环境 、资源环境、网络环境等进行数据采集，感知安全威胁、脆弱性等安全态势； b）在主体访问资源之前，根据主体属性、资源属性、环境属性等进行信任评估，在访问过程中， 根据属性变化进行动态信任评估，维持或改变策略； c）根据业务需求和风险容忍度动态调整策略，对每次允许的访问请求主体授予最小权限，并保证 及时执行调整后的最小权限； d）访问资源的主体可能位于内部网络，也可能来自外部网络，所有的通信都需要采用安全加密传 输。 6 整体框架 6.1 零信任体系架构 参考GB/T 18794.3 -2003 基本访问控制相关内容，将主体作为发起 者、资源作为目标，由主体、资 源、核心组件和支撑组件组成零信任体系架构，如图 2所示。 核心组件由策略决定点和策略执行点组成，执行主体对资源的策略决定。 支撑组件由密码服务和应用、身份管理、设备管理、资源管理、态势感知等组件组成，为核心组件 提供多来源信息，并支撑核心组件运行的多种服务。 CIITA ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ ÑϽû¸´ÖÆ 全国团体标准信息平台 T/CIITA 117-2021 3 图 2 零信任体系架构整体框架图 假设数据在不安全的网络环境中传输，所有实现主体到资源之间数据传输的组件共同组成数据平 面，包括主体到资源