GB/T 43696-2024
基本信息
标准号: GB/T 43696-2024
中文名称:网络安全技术 零信任参考体系架构
标准类别:国家标准(GB)
英文名称:Cybersecurity security technology—Zero trust reference architecture
标准状态:现行
发布日期:2024-04-25
实施日期:2024-11-01
出版语种:简体中文
下载格式:.pdf .zip
下载大小:1492418
标准分类号
标准ICS号:35.030
中标分类号:电子元器件与信息技术>>信息处理技术>>L80数据加密
关联标准
出版信息
出版社:中国标准出版社
页数:12页
标准价格:29.0
相关单位信息
起草人:齐向东 吴云坤 张彬 刘勇 张泽洲 安锦程 荆继武 詹榜华 李新友 张立武 左晓栋 邬怡 韩永刚 金一 孟楠 赵泰 张严 刘丽敏 陈亮 李海玲 陈妍 夏冰冰 国强 黄卉 朱鹏飞 陆舟 刘治平 王龑 秦益飞 杨正权 李俊 韩少波 蒋蓉生 王文路 戴立伟 郑强 何晨迪 高雪松 郑驰 蔡东赟 訾然等
起草单位:奇安信网神信息技术(北京)股份有限公司、中国科学院大学、中国信息通信研究院、中国科学院软件研究所、国家计算机网络应急技术处理协调中心、中国科学技术大学、国家信息技术安全研究中心、北京数字认证股份有限公司、公安部第三研究所、国家信息中心等
归口单位:全国网络安全标准化技术委员会(SAC/TC 260)
提出单位:全国网络安全标准化技术委员会(SAC/TC 260)
发布部门:国家市场监督管理总局 国家标准化管理委员会
标准简介
本文件规定了零信任参考体系架构,描述了主体、资源、核心组件和支撑组件以及相互间的关系。
本文件适用于采用零信任体系架构的信息系统的规划、设计、开发、应用、评价。
标准图片预览
标准内容
ICS35.030
CCSL80
中华人民共和国国家标准
GB/T43696—2024
网络安全技术
零信任参考体系架构
Cybersecurity security technologyZero trust reference architecture2024-04-25发布
国家市场监督管理总局
国家标准化管理委员会
2024-11-01实施
规范性引用文件
术语和定义
典型特征
参考体系架构
核心组件
策略判决组件
策略执行组件
7支撑组件
任务管理组件
身份管理组件
资源管理组件
7.4环境感知组件
密码服务组件
参考文献.·
GB/T43696—2024
GB/T43696—2024
本文件按照GB/T1.1一2020《标准化工作导则厂第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:奇安信网神信息技术(北京)股份有限公司、中国科学院大学、中国信息通信研究院、中国科学院软件研究所、国家计算机网络应急技术处理协调中心、中国科学技术大学、国家信息技术安全研究中心、北京数字认证股份有限公司、公安部第三研究所、国家信息中心、飞天诚信科技股份有限公司、北京天融信网络安全技术有限公司、江苏易安联网络技术有限公司、国民认证科技(北京)有限公司、启明星辰信息技术集团股份有限公司、深圳竹云科技股份有限公司、格尔软件股份有限公司、海信集团控股股份有限公司、大唐高鸿信安(浙江)信息科技有限公司、腾讯科技(深圳)有限公司、深信服科技股份有限公司、北京芯盾时代科技有限公司,本标准主要起草人:齐向东、吴云坤、张彬、刘勇、张泽洲、安锦程、荆继武、詹榜华、李新友、张立武、左晓栋、邬怡、韩永刚、金一、孟楠、赵泰、张严、刘丽敏、陈亮、李海玲、陈妍、夏冰冰、国强、黄卉、朱鹏飞、陆舟、刘治平、王契、秦益飞、杨正权、李俊、韩少波、蒋蓉生、王文路、戴立伟、郑强、何晨迪、高雪松、郑驰、蔡东赞、皆然、孙悦。
1范围
网络安全技术
零信任参考体系架构
GB/T43696—2024
本文件规定了零信任参考体系架构,描述了主体、资源、核心组件和支撑组件以及相互间的关系。本文件适用于采用零信任体系架构的信息系统的规划、设计、开发、应用、评价。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069
信息安全技术
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
零信任zerotrust
种以资源保护为核心的网络安全理念。注:该理念认为主体访问资源时,无论主体和资源是否可信,主体和资源之间的信任关系都需要通过持续状态感知与动态信任评估,从零开始进行构建,以实施端到端安全的访问间控制。3.2
零信任体系架构
zerotrustarchitecture
基于零信任建立的信息系统体系架构注:包括构成架构的系统组件,以及组件间关系。3.3
主体subject
发起访问请求的实体。
resource
可供主体访问的对象。
典型特征
零信任体系架构具有以下典型特征持续状态感知:
持续对主体、资源、环境的相关信息进行采集、分析安全态势b)
动态信任评估:
在主体访问资源的过程中,根据持续感知到的主体、资源、环境等安全态势的变化,不断进行信GB/T43696—2024
任评估,维持或改变策略决定。最小权限:
按照任务要求和策略决定,结合时间窗口和被访问资源粒度,对访问主体授予最小权限。d)
加密传输:
采用密码技术建立主体访问资源的端到端的数据安全信道。5参考体系架构
零信任参考体系架构由主体、资源、核心组件和支撑组件组成,如图1所示。支撑组件
任务管理组件
身份管理组件
资源管理组件
环境感知组件
密码服务组件
图例:
控制层
数据层
二控制信息
核心组件
策略判决组件
策略引擎
策略管理器
策略执行组件
图1零信任参考体系架构
>数据安全信道
核心组件包括策略判决组件和策略执行组件,支撑组件包括任务管理组件、身份管理组件、资源管理组件、环境感知组件和密码服务组件。主体是用户、设备、信息系统、应用软件等一种或多种的组合。资源以数据为主,通常也包括设备、信息系统、应用软件、服务、功能接口等,当主体访问资源时,根据任务管理组件提交的需求,利用身份管理组件、资源管理组件、环境感知组件提供的状态信息进行状态感知,由策略判决组件通过信任评估生成策略判决,策略执行组件执行策略判决,实现最小权限访问控制;在整个访问过程中,通过持续状态感知、动态信任评估、最小权限控制的循环过程,实施对被访问资源的保护。密码服务组件提供全过程密码服务保障。控制层和数据层是两个逻辑层面。在控制层传输和处理控制信息,在数据层安全传输和处理数据。6核心组件
策略判决组件
策略判决组件由策略引擎和策略管理器组成,主要功能如下,策略引擎:负责判决主体对资源的访问权限。根据安全策略和支撑组件提供的信息,持续进行a)
信任评估,做出允许、拒绝或撤销的访问控制判决策略管理器:负责发布主体与资源之间连接的控制指令。依赖策略引擎做出的访问控制判b)
决,向策略执行组件发布建立、维持或阻断数据安全信道的指令。2
6.2策略执行组件
GB/T43696—2024
策略执行组件在策略判决组件管理下,实施身份鉴别,控制主体与资源之间的数据安全信道a)身份鉴别:根据策略判决组件指令,与支撑组件协同,对主体实施身份鉴别。b)控制数据安全信道:按照策略管理器发布指令,启动、监控和终止主体和被授权资源之间的数据安全信道。
7支撑组件
7.1任务管理组件
协同主体访问事由,驱动主体访问资源的任务,包括任务目标、任务职责和任务流程等,对接实体权限,为主体、资源、核心组件和其他支撑组件提供关联任务生命周期管理服务、任务与资源权限协同服务、任务审批服务、任务鉴别服务、任务审计服务以及任务相关信息,包括主体任务属性信息、资源任务属性信息、任务状态信息、任务审批信息、任务审计信息等。7.2身份管理组件
为主体、资源、核心组件和其他支撑组件提供实体身份标识管理服务、实体身份属性关联服务、个人实体身份鉴别服务、设备身份鉴别服务、实体权限管理服务以及身份相关信息,包括实体身份标识、实体身份信息、实体属性信息、实体权限信息等。7.3资源管理组件
为主体、资源、核心组件和其他支撑组件提供数据资源管理服务、设备资源管理服务、网络资源管理服务、计算资源管理服务、应用资源管理服务、资源实体身份鉴别服务、资源属性关联服务、资源业务协同管理服务以及资源相关信息,资源分级分类信息、设备配置信息、资源身份信息、资源访问权限信息、资源访问上下文信息等。
资源管理以资源单元作为最小单位,若干资源单元组合为被访问资源。资源单元关联同一资源标识、具有统一资源属性、执行共同的安全策略。7.4环境感知组件
在主体访问资源过程中,通过采集网络流量、资产信息、日志、漏洞信息、用户行为、威胁信息等数据,分析访问过程中的网络行为、用户行为,为主体、资源、核心组件和其他支撑组件获取、理解、回溯、显示主体、资源和访问环境的状态变化和变化趋势。7.5密码服务组件
保障主体、资源、核心组件和其他支撑组件的实体身份真实性、数据的机密性和完整性、操作行为的不可否认性,为主体、资源、核心组件和其他支撑组件提供密码相关的网络和通信安全服务,设备和计算安全服务、应用和数据安全服务。3
GB/T43696—2024
参考文献
GB/T11457—2006
信息技术
软件工程术语
GB/T18794.3—2003
GB/T25070—2019
GB/T39786—2021
GB/T42453—2023
信息技术开放系统互连开放系统安全框架第3部分:访问控制
信息安全技术免费标准bzxz.net
网络安全等级保护安全设计技术要求信息系统密码应用基本要求
信息安全技术
网络安全态势感知通用技术要求信息安全技术
ISO/IEC 24760-1:2019
Part 1: Terminology and concepts[7]
ISO/IEC24760-2:2015
IT security and privacyA framework for identity managementInformation technologySecurity techniquesA framework foridentitymanagement-Part2:Reference architecture and requirements[8ISO/IEC24760-3:2016Informationtechnology—Securitytechniques—Aframework foridentitymanagementPart3:PracticeE9]ISO/IEC29146:2016Informationtechnology—Securitytechniques—Aframeworkforaccess management
[10]
erations
NISTSP800-162
Guideto attributebasedaccess control(ABAC)definitionand consid-NISTSP800-207
Zero trust architecture
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
CCSL80
中华人民共和国国家标准
GB/T43696—2024
网络安全技术
零信任参考体系架构
Cybersecurity security technologyZero trust reference architecture2024-04-25发布
国家市场监督管理总局
国家标准化管理委员会
2024-11-01实施
规范性引用文件
术语和定义
典型特征
参考体系架构
核心组件
策略判决组件
策略执行组件
7支撑组件
任务管理组件
身份管理组件
资源管理组件
7.4环境感知组件
密码服务组件
参考文献.·
GB/T43696—2024
GB/T43696—2024
本文件按照GB/T1.1一2020《标准化工作导则厂第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:奇安信网神信息技术(北京)股份有限公司、中国科学院大学、中国信息通信研究院、中国科学院软件研究所、国家计算机网络应急技术处理协调中心、中国科学技术大学、国家信息技术安全研究中心、北京数字认证股份有限公司、公安部第三研究所、国家信息中心、飞天诚信科技股份有限公司、北京天融信网络安全技术有限公司、江苏易安联网络技术有限公司、国民认证科技(北京)有限公司、启明星辰信息技术集团股份有限公司、深圳竹云科技股份有限公司、格尔软件股份有限公司、海信集团控股股份有限公司、大唐高鸿信安(浙江)信息科技有限公司、腾讯科技(深圳)有限公司、深信服科技股份有限公司、北京芯盾时代科技有限公司,本标准主要起草人:齐向东、吴云坤、张彬、刘勇、张泽洲、安锦程、荆继武、詹榜华、李新友、张立武、左晓栋、邬怡、韩永刚、金一、孟楠、赵泰、张严、刘丽敏、陈亮、李海玲、陈妍、夏冰冰、国强、黄卉、朱鹏飞、陆舟、刘治平、王契、秦益飞、杨正权、李俊、韩少波、蒋蓉生、王文路、戴立伟、郑强、何晨迪、高雪松、郑驰、蔡东赞、皆然、孙悦。
1范围
网络安全技术
零信任参考体系架构
GB/T43696—2024
本文件规定了零信任参考体系架构,描述了主体、资源、核心组件和支撑组件以及相互间的关系。本文件适用于采用零信任体系架构的信息系统的规划、设计、开发、应用、评价。规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069
信息安全技术
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
零信任zerotrust
种以资源保护为核心的网络安全理念。注:该理念认为主体访问资源时,无论主体和资源是否可信,主体和资源之间的信任关系都需要通过持续状态感知与动态信任评估,从零开始进行构建,以实施端到端安全的访问间控制。3.2
零信任体系架构
zerotrustarchitecture
基于零信任建立的信息系统体系架构注:包括构成架构的系统组件,以及组件间关系。3.3
主体subject
发起访问请求的实体。
resource
可供主体访问的对象。
典型特征
零信任体系架构具有以下典型特征持续状态感知:
持续对主体、资源、环境的相关信息进行采集、分析安全态势b)
动态信任评估:
在主体访问资源的过程中,根据持续感知到的主体、资源、环境等安全态势的变化,不断进行信GB/T43696—2024
任评估,维持或改变策略决定。最小权限:
按照任务要求和策略决定,结合时间窗口和被访问资源粒度,对访问主体授予最小权限。d)
加密传输:
采用密码技术建立主体访问资源的端到端的数据安全信道。5参考体系架构
零信任参考体系架构由主体、资源、核心组件和支撑组件组成,如图1所示。支撑组件
任务管理组件
身份管理组件
资源管理组件
环境感知组件
密码服务组件
图例:
控制层
数据层
二控制信息
核心组件
策略判决组件
策略引擎
策略管理器
策略执行组件
图1零信任参考体系架构
>数据安全信道
核心组件包括策略判决组件和策略执行组件,支撑组件包括任务管理组件、身份管理组件、资源管理组件、环境感知组件和密码服务组件。主体是用户、设备、信息系统、应用软件等一种或多种的组合。资源以数据为主,通常也包括设备、信息系统、应用软件、服务、功能接口等,当主体访问资源时,根据任务管理组件提交的需求,利用身份管理组件、资源管理组件、环境感知组件提供的状态信息进行状态感知,由策略判决组件通过信任评估生成策略判决,策略执行组件执行策略判决,实现最小权限访问控制;在整个访问过程中,通过持续状态感知、动态信任评估、最小权限控制的循环过程,实施对被访问资源的保护。密码服务组件提供全过程密码服务保障。控制层和数据层是两个逻辑层面。在控制层传输和处理控制信息,在数据层安全传输和处理数据。6核心组件
策略判决组件
策略判决组件由策略引擎和策略管理器组成,主要功能如下,策略引擎:负责判决主体对资源的访问权限。根据安全策略和支撑组件提供的信息,持续进行a)
信任评估,做出允许、拒绝或撤销的访问控制判决策略管理器:负责发布主体与资源之间连接的控制指令。依赖策略引擎做出的访问控制判b)
决,向策略执行组件发布建立、维持或阻断数据安全信道的指令。2
6.2策略执行组件
GB/T43696—2024
策略执行组件在策略判决组件管理下,实施身份鉴别,控制主体与资源之间的数据安全信道a)身份鉴别:根据策略判决组件指令,与支撑组件协同,对主体实施身份鉴别。b)控制数据安全信道:按照策略管理器发布指令,启动、监控和终止主体和被授权资源之间的数据安全信道。
7支撑组件
7.1任务管理组件
协同主体访问事由,驱动主体访问资源的任务,包括任务目标、任务职责和任务流程等,对接实体权限,为主体、资源、核心组件和其他支撑组件提供关联任务生命周期管理服务、任务与资源权限协同服务、任务审批服务、任务鉴别服务、任务审计服务以及任务相关信息,包括主体任务属性信息、资源任务属性信息、任务状态信息、任务审批信息、任务审计信息等。7.2身份管理组件
为主体、资源、核心组件和其他支撑组件提供实体身份标识管理服务、实体身份属性关联服务、个人实体身份鉴别服务、设备身份鉴别服务、实体权限管理服务以及身份相关信息,包括实体身份标识、实体身份信息、实体属性信息、实体权限信息等。7.3资源管理组件
为主体、资源、核心组件和其他支撑组件提供数据资源管理服务、设备资源管理服务、网络资源管理服务、计算资源管理服务、应用资源管理服务、资源实体身份鉴别服务、资源属性关联服务、资源业务协同管理服务以及资源相关信息,资源分级分类信息、设备配置信息、资源身份信息、资源访问权限信息、资源访问上下文信息等。
资源管理以资源单元作为最小单位,若干资源单元组合为被访问资源。资源单元关联同一资源标识、具有统一资源属性、执行共同的安全策略。7.4环境感知组件
在主体访问资源过程中,通过采集网络流量、资产信息、日志、漏洞信息、用户行为、威胁信息等数据,分析访问过程中的网络行为、用户行为,为主体、资源、核心组件和其他支撑组件获取、理解、回溯、显示主体、资源和访问环境的状态变化和变化趋势。7.5密码服务组件
保障主体、资源、核心组件和其他支撑组件的实体身份真实性、数据的机密性和完整性、操作行为的不可否认性,为主体、资源、核心组件和其他支撑组件提供密码相关的网络和通信安全服务,设备和计算安全服务、应用和数据安全服务。3
GB/T43696—2024
参考文献
GB/T11457—2006
信息技术
软件工程术语
GB/T18794.3—2003
GB/T25070—2019
GB/T39786—2021
GB/T42453—2023
信息技术开放系统互连开放系统安全框架第3部分:访问控制
信息安全技术免费标准bzxz.net
网络安全等级保护安全设计技术要求信息系统密码应用基本要求
信息安全技术
网络安全态势感知通用技术要求信息安全技术
ISO/IEC 24760-1:2019
Part 1: Terminology and concepts[7]
ISO/IEC24760-2:2015
IT security and privacyA framework for identity managementInformation technologySecurity techniquesA framework foridentitymanagement-Part2:Reference architecture and requirements[8ISO/IEC24760-3:2016Informationtechnology—Securitytechniques—Aframework foridentitymanagementPart3:PracticeE9]ISO/IEC29146:2016Informationtechnology—Securitytechniques—Aframeworkforaccess management
[10]
erations
NISTSP800-162
Guideto attributebasedaccess control(ABAC)definitionand consid-NISTSP800-207
Zero trust architecture
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。