中华人民共和国工业和信息化部公告2024年第39号文件正式发布行业标准:YD/T 4598.4-2024《面向云计算的零信任体系 第4部分:数据保护能力要求》(后简称“零信任数据保护能力”),并于2025年4月1日正式施行。

中国信通院于2021年开始牵头制定“面向云计算的零信任体系”系列标准,同年启动“零信任数据保护能力”标准编制工作,在标准制定的过程中汇集大量来自云用户、云厂商、安全厂商的专家建议与实践经验,齐聚行业智慧完成了标准的制定,更多详情见中国通信标准化协会官网(点击文末阅读原文查看)。

标准与评估介绍

零信任数据保护能力是“面向云计算的零信任体系”系列标准的第四部分,目的在于规范云环境下数据保护产品的能力要求,为基于零信任理念进行数据最小化授权和保护提供支撑。依据此标准,中国信通院开展零信任数据保护能力评估,以规范供应商开发、设计和建设基于零信任的数据保护能力产品或解决方案。

零信任数据保护能力总体架构

零信任数据保护能力总体架构如图所示,零信任理念要求对数据访问进行最小化授权和保护,在面向云计算的零信任体系中,需依托多项数据保护工具与零信任逻辑组件协同,以实现数据零信任访问。数据保护的场景主要有六项,一个场景的数据保护能力可由一个或多个数据保护工具实现,一个数据保护工具也可实现多个场景的能力要求,具体包括:

数据分类分级安全管理场景

指对数据资产进行分类分级管理,掌握数据构成和重要性,以支持并能够对不同类型、不同级别的数据采取不同等级的安全保护手段,是零信任理念下最小化数据授权访问的前提和基础;

数据脱敏场景

指对敏感数据进行脱敏处理,且脱敏后数据能够正常应用,以保证数据流转过程中的安全性;

数据安全审计场景

指对数据流转全过程的访问和使用行为进行审计,并发现、预警或追溯风险行为,并为零信任的信任评估提供支撑;

数据防泄露场景

指对数据存储、数据传输、使用等过程进行监测,及时发现数据泄露事件并阻断和追溯,并为零信任的信任评估提供支撑;

数据加密场景

指对数据进行加解密运算,实现数据密文存储或传输,并能够由密文数据解密还原到原始数据;

终端沙箱数据保护场景

指对终端应用数据的存储、使用过程进行保护,防止数据泄密和应用风险的发生,并为零信任的信任评估提供支撑,实现端侧、传输侧的一体化防护。

面向云计算的零信任体系 系列标准情况

此系列标准共6部分,已全部正式发布。

已发布第1部分:总体架构(点击看详情)

已发布第2部分:关键能力要求(点击看详情)

已发布第3部分:安全访问服务边缘能力要求(点击看详情)

已发布 第4部分:数据保护能力要求

已发布 第5部分:业务安全能力要求

已发布第6部分:数字身份安全能力要求(点击看详情)

正在推进的还有一项零信任成熟度标准。

征求意见面向云计算的零信任成熟度评价模型

声明:本文来自CAICT可信安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。