《電信業(yè)務(wù)運(yùn)營(yíng)支撐網(wǎng)零信任安全能力要求》

ICS35.240

CCSL79

T/CAICI

中國(guó)通信企業(yè)協(xié)會(huì)團(tuán)體標(biāo)準(zhǔn)

T/CAICIXXXXX—XXXX

電信業(yè)務(wù)運(yùn)營(yíng)支撐網(wǎng)零信任安全能力要求

Requirementsforzerotrustsecuritycapabilityoftelecombusinessoperationsupport

network

（征求意見(jiàn)稿）

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

中國(guó)通信企業(yè)協(xié)會(huì)發(fā)布

T/CAICIXXXXX—XXXX

電信業(yè)務(wù)運(yùn)營(yíng)支撐網(wǎng)零信任安全能力要求

1范圍

本標(biāo)準(zhǔn)給出了電信業(yè)務(wù)運(yùn)營(yíng)支撐網(wǎng)零信任安全體系的能力要求，包括核心安全能力、安全管理能力

和基礎(chǔ)平臺(tái)能力。

本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)零信任安全體系的規(guī)劃、設(shè)計(jì)、實(shí)施和應(yīng)用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)

GB/T29242—2012信息安全技術(shù)鑒別與授權(quán)安全斷言置標(biāo)語(yǔ)言術(shù)語(yǔ)與定義

T/CESA1165-2021零信任系統(tǒng)技術(shù)規(guī)范零信任概述

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1主體subject

能訪問(wèn)客體的主動(dòng)實(shí)體。

[來(lái)源：GB/T29242-2012，3.7]

3.2資源resource

可供主體訪問(wèn)的對(duì)象。

注：例如應(yīng)用、系統(tǒng)、接口、服務(wù)、數(shù)據(jù)等。

3.3數(shù)字身份digitalidentity

用于標(biāo)識(shí)實(shí)體身份的數(shù)據(jù)信息，包括唯一標(biāo)識(shí)符和鑒別憑據(jù)。

注：鑒別憑據(jù)依賴于身份鑒別方法，如密碼、數(shù)字證書(shū)、生物特征等。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

BOSS：業(yè)務(wù)運(yùn)營(yíng)支撐系統(tǒng)（Business&OperationSupportSystem）

CRM：客戶關(guān)系管理（CustomerRelationshipManagement）

4A：賬號(hào)、認(rèn)證、授權(quán)和審計(jì)（Account，Authentication，Authorization，Audit）

4

T/CAICIXXXXX—XXXX

ID：標(biāo)識(shí)符（Identifier）

OAuth：開(kāi)放授權(quán)（OpenAuthorization）

SAML：安全斷言標(biāo)記語(yǔ)言（SecurityAssertionMarkupLanguage）

API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）

MFA：多因子認(rèn)證（Multi-factorAuthentication）

5安全能力框架

在電信網(wǎng)絡(luò)中，業(yè)務(wù)支撐系統(tǒng)（包括BOSS/CRM系統(tǒng)、經(jīng)營(yíng)分析系統(tǒng)、運(yùn)營(yíng)管理系統(tǒng)及各種安全支撐

系統(tǒng)）和系統(tǒng)資源（包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）受4A等安全支撐系統(tǒng)的保護(hù)。電

信業(yè)務(wù)運(yùn)營(yíng)支撐網(wǎng)的零信任安全體系（如圖1）基于零信任理念，通過(guò)數(shù)字身份管理、可信安全認(rèn)證、

持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制，實(shí)現(xiàn)動(dòng)態(tài)、細(xì)粒度的訪問(wèn)授權(quán)，形成體系化的零信任安全能力。

第三方平臺(tái)零信任安全中心安全支撐系統(tǒng)

資產(chǎn)管理4A系統(tǒng)

身份管理安全認(rèn)證

威脅情報(bào)堡壘系統(tǒng)

信任評(píng)估動(dòng)態(tài)授權(quán)

安全監(jiān)管金庫(kù)服務(wù)

零信任客戶端業(yè)務(wù)應(yīng)用

BOSS

零信任網(wǎng)關(guān)

CRM

不可信可信

控制器

經(jīng)分系統(tǒng)

網(wǎng)關(guān)

用戶運(yùn)維系統(tǒng)

終端系統(tǒng)資源

圖1電信業(yè)務(wù)運(yùn)營(yíng)支撐網(wǎng)的零信任安全體系參考架構(gòu)

零信任安全體系由零信任客戶端、零信任網(wǎng)關(guān)和零信任安全中心的各種安全服務(wù)組成，零信任客戶

端為用戶提供業(yè)務(wù)訪問(wèn)入口和數(shù)據(jù)導(dǎo)流功能；零信任網(wǎng)關(guān)作為策略執(zhí)行點(diǎn)，為零信任安全中心提供與訪

問(wèn)相關(guān)的主體、資源和訪問(wèn)動(dòng)作等信息，并執(zhí)行零信任安全中心下發(fā)的動(dòng)態(tài)授權(quán)結(jié)果，例如阻斷、允許

等；零信任安全中心作為零信任體系的控制中心，提供身份管理、安全認(rèn)證、信任評(píng)估、動(dòng)態(tài)策略決策

等安全服務(wù)，以及各種安全服務(wù)的控制協(xié)調(diào)。

上述各零信任組件通過(guò)相互配合、協(xié)調(diào)聯(lián)動(dòng)，構(gòu)建形成體系化的零信任安全能力，包括核心安全能

力、安全管理能力、基礎(chǔ)平臺(tái)能力三個(gè)部分，其組成框架如圖2所示。其中，

a）核心安全能力對(duì)零信任安全體系的關(guān)鍵控制能力提出要求，包含數(shù)字身份管理、可信安全認(rèn)證、

持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制四個(gè)部分；

b）安全管理能力指零信任安全體系提供的安全管理和用戶服務(wù)能力，包括策略管理、日志審計(jì)和

告警處置；

c）基礎(chǔ)平臺(tái)能力指零信任安全體系應(yīng)滿足的部署運(yùn)行和互操作聯(lián)動(dòng)能力，包括安全自保、部署運(yùn)

行和操作聯(lián)動(dòng)。

5

T/CAICIXXXXX—XXXX

安全管理能力核心安全能力

策略管理數(shù)可持動(dòng)

字信續(xù)態(tài)

身安信訪

日志審計(jì)份全任問(wèn)

管認(rèn)評(píng)控

告警處置理證估制

基礎(chǔ)平臺(tái)能力安全自保部署運(yùn)行操作聯(lián)動(dòng)

圖2電信業(yè)務(wù)運(yùn)營(yíng)支撐網(wǎng)的零信任安全能力框架

6核心安全能力

數(shù)字身份管理

數(shù)字身份管理指對(duì)主體、資源的身份標(biāo)識(shí)和訪問(wèn)鑒別憑證進(jìn)行管理的能力，包括：

a）應(yīng)支持對(duì)用戶、設(shè)備、應(yīng)用等實(shí)體生成統(tǒng)一規(guī)范的身份ID；

b）應(yīng)支持對(duì)用戶、設(shè)備、應(yīng)用的分組分類管理，包括：

1）按組織機(jī)構(gòu)、訪問(wèn)權(quán)限等對(duì)用戶進(jìn)行分組管理；

2）按設(shè)備類型、安全等級(jí)等對(duì)設(shè)備進(jìn)行分組管理；

3）按業(yè)務(wù)類型、安全等級(jí)等對(duì)應(yīng)用進(jìn)行分組管理；

c）應(yīng)支持從現(xiàn)有身份管理系統(tǒng)中導(dǎo)入數(shù)字身份，例如4A賬號(hào)、主從賬號(hào)；

d）應(yīng)支持對(duì)訪問(wèn)憑證的安全強(qiáng)度檢查，例如密碼復(fù)雜度、證書(shū)有效期；

e）應(yīng)支持對(duì)身份數(shù)據(jù)的生命周期管理，包括數(shù)字身份的創(chuàng)建、凍結(jié)、變更和注銷等。

可信安全認(rèn)證

可信安全認(rèn)證指對(duì)主體、資源的身份鑒別能力，包括：

a）應(yīng)支持單點(diǎn)登錄技術(shù)，例如OAuth2.0、SAML2.0；

b）應(yīng)支持基于動(dòng)態(tài)策略的MFA，認(rèn)證方式包括但不限于：

1）靜態(tài)口令；

2）短信認(rèn)證；

3）數(shù)字證書(shū)；

4）生物特征認(rèn)證；

5）第三方認(rèn)證；

c）宜具備調(diào)用4A認(rèn)證服務(wù)的能力；

d）宜支持對(duì)用戶終端的接入認(rèn)證；

e）宜支持業(yè)務(wù)應(yīng)用的雙向身份認(rèn)證；

f）認(rèn)證過(guò)程應(yīng)具備抗重放攻擊能力。

持續(xù)信任評(píng)估

6

T/CAICIXXXXX—XXXX

持續(xù)信任評(píng)估指對(duì)訪問(wèn)會(huì)話進(jìn)行安全評(píng)估的能力，包括：

a）應(yīng)支持對(duì)風(fēng)險(xiǎn)數(shù)據(jù)的周期性采集處理，風(fēng)險(xiǎn)數(shù)據(jù)來(lái)源包括：

1）應(yīng)包括終端環(huán)境的安全狀態(tài)、配置和日志；

2）應(yīng)包括零信任安全體系組件的狀態(tài)、配置和日志；

3）宜包括外部安全工具日志和威脅情報(bào)；

4）宜包括業(yè)務(wù)應(yīng)用和支撐系統(tǒng)的日志和流量；

b）應(yīng)支持異常登錄場(chǎng)景的信任評(píng)估，例如異地登錄、異常IP登錄、異常時(shí)間登錄；

c）應(yīng)支持異常終端場(chǎng)景的信任評(píng)估，例如終端狀態(tài)異常，終端資產(chǎn)歸屬未知；

d）宜支持異常訪問(wèn)場(chǎng)景的信任評(píng)估，例如數(shù)據(jù)越權(quán)訪問(wèn)，異常操作行為，腳本/機(jī)器人模擬訪問(wèn)；

e）宜支持自定義風(fēng)險(xiǎn)評(píng)估模型的定制，適配用戶自定義的風(fēng)險(xiǎn)場(chǎng)景；

f）宜支持向4A審計(jì)平臺(tái)上報(bào)風(fēng)險(xiǎn)數(shù)據(jù)。

動(dòng)態(tài)訪問(wèn)控制

動(dòng)態(tài)訪問(wèn)控制指對(duì)訪問(wèn)請(qǐng)求的動(dòng)態(tài)、細(xì)粒度授權(quán)控制能力，包括：

a）應(yīng)支持基于角色/屬性的訪問(wèn)控制機(jī)制；

b）宜提供對(duì)資源的細(xì)粒度保護(hù)能力，如應(yīng)用級(jí)、功能級(jí)和API級(jí)；

c）應(yīng)支持基于會(huì)話的訪問(wèn)控制粒度；

d）應(yīng)支持基于持續(xù)信任評(píng)估的動(dòng)態(tài)授權(quán)，授權(quán)結(jié)果形式包括但不限于：

1）放行；

2）阻止；

3）觸發(fā)二次認(rèn)證；

4）觸發(fā)雙人認(rèn)證；

5）終止會(huì)話；

e）應(yīng)遵循最小權(quán)限原則，在不影響用戶業(yè)務(wù)的情況下，缺省阻止授權(quán)。

7安全管理能力

策略管理

策略管理指對(duì)零信任安全策略的統(tǒng)一管理能力，包括：

a）應(yīng)具備訪問(wèn)憑證的安全強(qiáng)度檢查規(guī)則，包括但不限于：

1）密碼長(zhǎng)度至少8位字符；

2）密碼復(fù)雜性要求至少包含大寫字母、小寫字母、數(shù)字、特殊符號(hào)4種類別中的2種；

3）密碼有效時(shí)限應(yīng)不超過(guò)90天；

4）驗(yàn)證碼應(yīng)具備失效超時(shí)時(shí)限，例如60秒；

b）應(yīng)具備多因子用戶認(rèn)證規(guī)則；

c）宜具備用戶身份稽核和賬號(hào)鎖定規(guī)則，包括但不限于：

1）非實(shí)名賬號(hào)稽核規(guī)則；

2）僵尸賬號(hào)稽核規(guī)則；

3）信息缺失賬號(hào)鎖定規(guī)則；

d）訪問(wèn)控制規(guī)則應(yīng)支持包含主體、資源、位置和時(shí)間等因素的條件組合；

e）應(yīng)具備分權(quán)分域的控制規(guī)則；

f）應(yīng)具備日志、審計(jì)信息的標(biāo)準(zhǔn)字段定義和完整性檢查規(guī)則；

g）應(yīng)具備告警信息的處置規(guī)則；

7

T/CAICIXXXXX—XXXX

h）可支持策略編排，按業(yè)務(wù)場(chǎng)景對(duì)用戶認(rèn)證、終端接入和訪問(wèn)控制規(guī)則進(jìn)行組合編制。

日志審計(jì)

日志審計(jì)指對(duì)零信任組件日志的處理分析能力，包括：

a）應(yīng)支持對(duì)安全業(yè)務(wù)日志的管理審計(jì)，包括認(rèn)證日志、鑒權(quán)日志和訪問(wèn)日志等；

b）日志記錄應(yīng)包含事件的基本信息，包括發(fā)生時(shí)間、事件類型、用戶標(biāo)識(shí)、操作行為等；

c）應(yīng)支持按組合條件對(duì)日志進(jìn)行過(guò)濾檢索，包括按業(yè)務(wù)類型、按記錄字段、按關(guān)鍵字等；

d）宜具備標(biāo)準(zhǔn)化的日志查詢和上報(bào)能力。

告警處置

告警處置指對(duì)用戶訪問(wèn)的安全風(fēng)險(xiǎn)和異常事件進(jìn)行告警和處理的能力，包括：

a）應(yīng)支持按風(fēng)險(xiǎn)來(lái)源對(duì)風(fēng)險(xiǎn)事件進(jìn)行分類處理，包括但不限于：

1)終端環(huán)境類風(fēng)險(xiǎn)，如安裝非準(zhǔn)入軟件、未安裝防病毒軟件；

2）賬號(hào)變化類風(fēng)險(xiǎn)，如賬號(hào)鎖定；

3）認(rèn)證類風(fēng)險(xiǎn)，如終端首次接入；

4）審計(jì)行為風(fēng)險(xiǎn)，如異常頻次訪問(wèn)，異常時(shí)間登錄，非常用IP訪問(wèn)；

5）授權(quán)變化風(fēng)險(xiǎn)，如授權(quán)關(guān)系變動(dòng)，賬號(hào)權(quán)限異常；

b）應(yīng)支持按嚴(yán)重性對(duì)風(fēng)險(xiǎn)事件進(jìn)行分級(jí)告警，例如低級(jí)、中級(jí)、高危；

c）告警內(nèi)容應(yīng)包含風(fēng)險(xiǎn)事件的基本信息，包括告警主體、來(lái)源終端設(shè)備、源IP，告警描述、告警

時(shí)間和分類等級(jí)等；

d）應(yīng)支持對(duì)風(fēng)險(xiǎn)告警的過(guò)濾查詢與歸并存儲(chǔ)。

8基礎(chǔ)平臺(tái)能力

安全自保

安全自保指零信任安全體系的自我保護(hù)能力，包括：

a）應(yīng)提供對(duì)底層系統(tǒng)環(huán)境和基礎(chǔ)組件的安全加固，包括但不限于：

1）應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；

2）應(yīng)修改默認(rèn)管理員賬戶名和默認(rèn)密碼；

3）應(yīng)修復(fù)基礎(chǔ)組件的安全缺陷和漏洞；

b）管理角色的權(quán)限應(yīng)滿足職責(zé)分離的要求，例如管理員、審計(jì)員和業(yè)務(wù)員；

c）應(yīng)支持對(duì)管理操作的全過(guò)程審計(jì)，包括注冊(cè)、登錄、配置、注銷等操作；

d）應(yīng)支持對(duì)敏感數(shù)據(jù)的加密存儲(chǔ)和傳輸，例如用戶信息、密碼信息、審計(jì)信息；

e）應(yīng)支持采用國(guó)密算法實(shí)