《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 設(shè)計(jì)應(yīng)用 > 美國(guó)零信任制度研究及啟示
美國(guó)零信任制度研究及啟示
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 2期
姚相振,李彥峰,孫 彥,羨喻杰
(中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院,北京100007)
摘要: 梳理分析了美國(guó)國(guó)防部和聯(lián)邦政府的零信任政策相關(guān)標(biāo)準(zhǔn)情況,介紹了我國(guó)零信任相關(guān)政策標(biāo)準(zhǔn)以及產(chǎn)業(yè)發(fā)展情況。在此基礎(chǔ)上,提出了加快零信任體系架構(gòu)相關(guān)國(guó)家標(biāo)準(zhǔn)研制、開(kāi)展零信任試點(diǎn)示范工作、推動(dòng)零信任安全評(píng)估體系建設(shè)、積極推動(dòng)零信任產(chǎn)業(yè)發(fā)展等建議。
中圖分類(lèi)號(hào): TP393
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.20044/j.csdg.2097-1788.2022.02.006
引用格式: 姚相振,李彥峰,孫彥,等. 美國(guó)零信任制度研究及啟示[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2022,41(2):35-40,67.
Research on American zero trust and its enlightenment
Yao Xiangzhen,Li Yanfeng,Sun Yan,Xian Yujie
(China Electronics Standardization Institute,Beijing 100007,China)
Abstract: This paper analyzes the standards related to the zero trust policy of the United States Department of Defense and the federal government, and introduces the zero trust related policy criteria and industrial development in China. Based on the analysis, some suggestions are put forward, such as accelerating the development of national standards related to the zero trust architecture, carrying out zero trust pilots and demonstrations, promoting the construction of the zero trust security evaluation system, and actively promoting the development of the zero trust industry.
Key words : zero trust;policy criteria;industrial development;maturity model

0 引言

隨著網(wǎng)絡(luò)環(huán)境日益復(fù)雜,基于固定邊界的網(wǎng)絡(luò)安全防護(hù)策略面臨越來(lái)越嚴(yán)峻的挑戰(zhàn),例如,難以防御內(nèi)部網(wǎng)絡(luò)攻擊、對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)缺少有效防護(hù)措施等[1]。為應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn),美國(guó)國(guó)防部和聯(lián)邦政府制定了一系列政策標(biāo)準(zhǔn),推進(jìn)相關(guān)領(lǐng)域信息系統(tǒng)零信任架構(gòu)改造。

零信任作為一種安全理念,通過(guò)對(duì)訪問(wèn)發(fā)起方進(jìn)行認(rèn)證授權(quán)、持續(xù)監(jiān)測(cè)和評(píng)估,動(dòng)態(tài)調(diào)整訪問(wèn)控制策略,以實(shí)現(xiàn)對(duì)訪問(wèn)發(fā)起方的動(dòng)態(tài)細(xì)粒度訪問(wèn)控制,有效管控安全風(fēng)險(xiǎn)。2010年,咨詢(xún)公司Forrester推出零信任(Zero Trust)概念,首次提出通過(guò)對(duì)每次訪問(wèn)過(guò)程進(jìn)行評(píng)估建立信任關(guān)系的安全理念[2]?;诹阈湃卫砟?,一批企業(yè)開(kāi)展了落地實(shí)踐工作,其中Forrester提出了零信任擴(kuò)展(Zero Trust eXtended,ZTX)和零信任邊緣(Zero Trust Edge,ZTE)[3];Gartner設(shè)計(jì)了零信任網(wǎng)絡(luò)(Zero Trust Network Access,ZTNA)[4];谷歌推動(dòng)了BeyondCorp零信任項(xiàng)目[5];微軟開(kāi)發(fā)了Azure零信任架構(gòu);云安全聯(lián)盟(Cloud Security Alliance,CSA)提出了軟件定義邊界(Software Defined Perimeter,SDP)協(xié)議等[6]。據(jù)Forrester統(tǒng)計(jì),2020年全球范圍內(nèi)零信任業(yè)務(wù)年?duì)I收超過(guò)1億美元的廠商有10家,零信任架構(gòu)主要應(yīng)用于政府、金融、制造業(yè)、醫(yī)療、教育等領(lǐng)域[7]。

本文梳理了美國(guó)零信任相關(guān)政策標(biāo)準(zhǔn)情況,并基于零信任在我國(guó)發(fā)展現(xiàn)狀,提出了推動(dòng)零信任發(fā)展相關(guān)建議。




本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000004856




作者信息:

姚相振,李彥峰,孫  彥,羨喻杰

(中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院,北京100007)


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。