YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T [×××××]—[××××] [代替 YD/T] 零信任安全技术参考框架 Zero Trust Security Technology Reference Framework （报批稿） 2021 年 9 月 [××××]-[××]-[××]发布 [××××]-[××]-[××]实施 中华人民共和国工业和信息化部 发 布 XX/T XXXXX—XXXX 目  次 前  言........................................................................................................................................................................ II 1 范围....................................................................................................................................................................... 1 2 规范性引用文件................................................................................................................................................... 1 3 术语和定义........................................................................................................................................................... 1 4 零信任安全技术参考框架................................................................................................................................... 1 4.1 基本原则....................................................................................................................................................... 2 4.2 技术框架....................................................................................................................................................... 2 4.3 工作过程....................................................................................................................................................... 2 5 零信任安全系统核心功能................................................................................................................................... 3 5.1 概述............................................................................................................................................................... 3 5.2 安全控制中心模块....................................................................................................................................... 3 5.3 安全代理模块............................................................................................................................................... 3 附录 A （资料性） 零信任安全系统的技术实现参考方案................................................................................ 5 附录 B （资料性） 零信任的应用场景................................................................................................................7 参考文献................................................................................................................................................................. 10 I XX/T XXXXX—XXXX 前  言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由中国通信标准化协会（CCSA）提出并归口。 本文件起草单位：深圳市腾讯计算机系统有限公司、国家计算机网络应急技术处理协调中心、北京 奇虎科技有限公司、数据通信科学技术研究所、中国移动通信集团设计院有限公司、奇安信科技集团股 份有限公司、北京天融信网络安全技术有限公司、公安部第三研究所、中兴通讯股份有限公司、上海观 安信息技术股份有限公司、恒安嘉新（北京）科技股份公司、深信服科技股份有限公司、北京东方通网 信科技有限公司、西安邮电大学、广州大学网络空间先进技术研究院、新华三技术有限公司、杭州安恒 信息技术股份有限公司、杭州迪普科技股份有限公司、北京山石网科信息技术有限公司、京东科技控股 股份有限公司、京东科技信息技术有限公司、长扬科技（北京）有限公司、郑州信大捷安信息技术股份 有限公司、北京神州绿盟科技有限公司、腾讯云计算（北京）有限责任公司、亚信科技（成都）有限公 司。 本文件主要起草人：黄超、蔡东赟、龙凡、张屹、刘治平、王卫东、张勇、张晨、张彬、陈妍、王 文磊、闫兆腾、周继华、谢江、崔婷婷、王龑、李蓉、叶润国、李然、汪义舟、赵华、李宇、陈葭、黄 铭恺、刘为华、廖正赟、訾然、梁伟、仇俊杰、杨洪起、张亚京、吴强、鲁曈、李凯、刘国平、林海长、 梅宗林、刘海涛、王菲飞、殷丽华、姜政委、蔡晨、王宇、代威、李伟、张丽婷、常玲、谢仪頔、岳炳 词、周开宇、张睿、张利民、付超、于道森、郝振武。 II XX/T XXXXX—XXXX 零信任安全技术参考框架 1 范围 本文件给出了零信任安全技术参考框架，包括基本原则、技术框架、工作过程、核心功能模块等内 容。 本文件适用于零信任安全系统的设计、开发和使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069－2010 信息安全技术 术语 3 术语和定义 GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 访问主体 access subject 能访问客体的主动实体。 [来源：GB/T 29242-2012，3.7] 注：访问主体可以是发起访问的设备、用户、应用等。 3.2 资源 resource 可被通过网络访问的目标对象。 注：资源例如服务器、数据库、打印服务等。 3.3 零信任 zero trust 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的 身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 3.4 零信任安全系统 zero trust security system 参考零信任安全技术框架，实现了零信任核心能力的系统。 3.5 安全信道 secure channel 具备交换消息保密性和真实性的通信信道。 [来源：ISO/IEC 24745:2011，2.30] 3.6 终端代理 terminal proxy 实现对终端上访问流量的获取和转发等功能。 注：代理形式可以是在终端上部署代理软件或者基于浏览器等。 4 零信任安全技术参考框架 1 XX/T XXXXX—XXXX 4.1 基本原则 零信任安全技术参考框架应遵循以下基本原则： a）任何访问主体，在访问任何资源前，都应经过身份认证和授权； b）访问主体对资源的访问权限是动态的； c）所有的通信传输使用加密等方式保障安全； d）对访问主体的权限分配遵循最小权限原则； e）确保所有要保护的资源都处在尽可能安全的状态。 4.2 技术框架 零信任安全技术框架主要包括：访问主体、零信任安全系统（零信任安全控制中心和零信任安全代 理）和资源。零信任安全技术参考框架如图1所示： 其中，控制平面实现授予或拒绝对资源的访问，用于控制访问主体到资源之间的通信路径；数据平 面用于访问主体对资源的实际通信，直接处理访问主体到资源的所有流量。 访问主体通过零信任安全代理与资源通信。 零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等功 能，零信任安全代理具备访问流量的重定向和访问控制策略执行、流量加密等功能。访问主体能否对资 源进行访问，取决于零信任安全系统的持续安全监测、信任评估和授权决策。 注：其他安全模块为零信任安全系统核心模块