騰訊安全牽頭首個零信任安全技術標準規(guī)范指引獲工信部通過!

  • 人閱讀
  • 2024-01-09 13:25:20

  • 來源:西盟科技資訊

  • 相關關鍵詞

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術的不斷興起,企業(yè)IT架構正在從“有邊界”向“無邊界”轉(zhuǎn)變,邊界概念日漸模糊,傳統(tǒng)安全防御模型越來越不足以應對威脅,以往靜態(tài)的“隱式信任”模型亟待重構革新。基于“持續(xù)驗證,永不信任”的核心思想,零信任理念進入行業(yè)視野。

但由于方案設計、技術實現(xiàn)、測試評估、實際部署等階段暫時缺乏統(tǒng)一和準確的指導框架,加之業(yè)內(nèi)廠商的探索方向不盡相同,缺乏共通的話語體系,零信任的發(fā)展面臨很大阻礙。因此,行業(yè)亟需建立具有前瞻性并達成共識的技術標準。

近日,工業(yè)和信息化部發(fā)布2023年第38號中華人民共和國工業(yè)和信息化部公告,正式批準發(fā)布YD/T 4574-2023《零信任安全技術參考框架》(下面簡稱《參考框架》),這是由騰訊牽頭提案的首個國家部委批準發(fā)布的行業(yè)標準,意味著行業(yè)今后在產(chǎn)業(yè)技術的發(fā)展升級、改善品質(zhì)服務、降低部署成本等層面,都將“有標可依”。

《參考框架》于2019年正式通過中國通信標準化協(xié)會CCSA權威專家組評審并成功立項,此次獲批填補了國內(nèi)在零信任領域的技術標準空白。標準適用于零信任安全系統(tǒng)的設計、開發(fā)和使用,給出了零信任安全技術參考框架,包括基本原則、技術框架、工作過程、核心功能模塊等內(nèi)容的規(guī)范化要求,對于行業(yè)構建高質(zhì)量網(wǎng)絡安全架構和網(wǎng)絡安全設施具有重要意義。

《參考框架》主要解決零信任網(wǎng)絡安全技術的標準化、規(guī)范化等問題,幫助用戶基于標準化的方式來評估其安全態(tài)勢,重構網(wǎng)絡與安全應用。其核心內(nèi)容主要包括零信任網(wǎng)絡訪問主體、訪問客體和零信任安全系統(tǒng)(零信任安全控制中心和零信任安全代理)三部分:其中,訪問主體可通過現(xiàn)有的第三方安全產(chǎn)品/服務等方式接收并響應零信任安全系統(tǒng)的指令,向零信任安全控制中心上報安全狀態(tài),并通過安全代理與訪問客體通信。

同時,明確了零信任安全系統(tǒng)是實現(xiàn)零信任安全技術的相關產(chǎn)品、服務或其組合;零信任安全控制中心具備對整個訪問過程的持續(xù)安全監(jiān)測、信任評估和動態(tài)更新訪問控制策略等功能;零信任安全代理具備訪問流量的重定向和保護等功能;訪問主體能否對訪問客體進行訪問,取決于零信任安全系統(tǒng)的持續(xù)安全監(jiān)測、信任評估和授權決策,訪問主體對訪問客體的訪問,不允許繞過零信任安全系統(tǒng)。

作為國內(nèi)最早實踐零信任的企業(yè),騰訊安全一直致力于推動零信任理念在中國的落地。早在2016年,騰訊就在國內(nèi)率先落地零信任安全架構;2019年,騰訊將內(nèi)部實踐和研發(fā)出來的解決方案對外發(fā)布,形成了商業(yè)版iOA零信任安全管理系統(tǒng),實現(xiàn)訪問全程的4T可信零信任;2021年~2022年,騰訊將零信任解決方案升級,以接、防、管、控一體化實現(xiàn)零信任自適應持續(xù)保護機制。目前,零信任技術架構已在騰訊安全的產(chǎn)品中無縫落地,并在政務、醫(yī)療、交通、金融等多行業(yè)成功應用。

騰訊零信任iOA通過一體化終端的產(chǎn)品策略實現(xiàn)了零信任網(wǎng)絡訪問、職場辦公安全、身份安全、以及終端安全管理、數(shù)據(jù)安全等維度的功能,基本滿足了大部分公用云客戶和私有化客戶的定制需求。與此同時,騰訊零信任網(wǎng)絡訪問根據(jù)市場需求的變化不斷調(diào)整,以更好滿足企業(yè)的網(wǎng)絡安全訴求。

未來,騰訊安全在輸出自身安全能力的基礎上,也將持續(xù)推動零信任理念在中國的加速落地,深耕“標準化+”新業(yè)態(tài),助力網(wǎng)絡安全產(chǎn)業(yè)有序健康發(fā)展,護航企業(yè)數(shù)字化建設。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )