行业标准《零信任安全技术参考框架》正式发布

近日，工业和信息化部发布2023年第38号中华人民共和国工业和信息化部公告，正式批准发布YD/T 4574-2023《零信任安全技术参考框架》（下面简称《参考框架》），这是由工作组成员腾讯牵头提案、多个工作组单位联合研制的首个国家部委批准发布的行业标准，意味着行业今后在产业技术的发展升级、改善品质服务、降低部署成本等层面，都将“有标可依”。

《参考框架》于2019年正式通过中国通信标准化协会CCSA权威专家组评审并成功立项，此次获批填补了国内在零信任领域的技术标准空白。

从今以后，国内终于有了零信任的标准化定义，根据TD/T 4574-2023标准，零信任是指：一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。

本标准适用于零信任安全系统的设计、开发和使用，给出了零信任安全技术参考框架，包括基本原则、技术框架、工作过程、核心功能模块等内容的要求，对于行业构建高质量网络安全架构和网络安全设施具有重要意义。

本标准主要解决零信任网络安全技术的标准化、规范化等问题，帮助用户基于标准化的方式来评估其安全态势，重构网络与安全应用。其核心内容主要包括零信任网络访问主体、访问客体和零信任安全系统（零信任安全控制中心和零信任安全代理）三部分：其中，访问主体可通过现有的第三方安全产品/服务等方式接收并响应零信任安全系统的指令，向零信任安全控制中心上报安全状态，并通过安全代理与访问客体通信。

零信任安全技术参考框架‍‍

同时，明确了零信任安全系统是实现零信任安全技术的相关产品、服务或其组合；零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等功能；零信任安全代理具备访问流量的重定向和保护等功能；访问主体能否对访问客体进行访问，取决于零信任安全系统的持续安全监测、信任评估和授权决策，访问主体对访问客体的访问，不允许绕过零信任安全系统。

声明：本文来自零信任产业标准工作组，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。