面向云計(jì)算的零信任體系 第6部分：數(shù)字身份安全能力要求

面向云計(jì)算的零信任體系第6部分：數(shù)字身份安全能力要求本文件規(guī)定了數(shù)字身份安全能力要求，包括身份管理能力要求、身份認(rèn)證能力要求、身份鳳險(xiǎn)分析能力要求、授權(quán)和訪問控制能力要求、審計(jì)管理能力要求、開發(fā)與集成管理能力要求和通用能力要本文件適用于供應(yīng)商開發(fā)、設(shè)計(jì)和建設(shè)基于零信任的數(shù)字身份安全管控產(chǎn)品或解決方案。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T29242-2012信息安全技術(shù)鑒別與授權(quán)安全斷言標(biāo)記語言GB/T31504-2015信息安全技術(shù)鑒別與授權(quán)數(shù)字身份信息服務(wù)框架規(guī)范3術(shù)語、定義和縮略語3.1術(shù)語和定義GB/T29242-2012和GB/T31504-2015界定的以及下列術(shù)語和定義適用于本文件。訪問主體accesssubject能訪問客體的主動(dòng)實(shí)體訪問客體accessobject系統(tǒng)中可供訪問的資源。根據(jù)對(duì)主體數(shù)字身份信息的評(píng)估，確定一個(gè)主體是否可以對(duì)資源實(shí)施指定類型的訪問的過程。一旦某個(gè)主體被鑒別，就可能擁有某些類型的訪問權(quán)限。2YD/TxXXXx—xXXx主體在互聯(lián)網(wǎng)中的虛擬身份表示，關(guān)聯(lián)了與該主體相關(guān)的屬性信息，通常由一個(gè)賬戶標(biāo)識(shí)其唯一數(shù)字身份信息digitalidentityinformation與數(shù)字身份關(guān)聯(lián)的主體相關(guān)的屬性信息。下列縮略語適用于本文件。ABAC:基于屬性的訪問控制模型(Attribute-BasedAccessControl)ACL:訪問控制列表(AccessControlList)AES:高級(jí)加密標(biāo)準(zhǔn)(AdvancedEneryptionStandard)API:應(yīng)用程序編程接口(ApplicationProgramInterface)CAS:中央認(rèn)證服務(wù)(CentralAuthenticatiFIDO:線上快速身份驗(yàn)證(FastIdentityOnline)LDAP:輕量目錄訪問協(xié)議(LightweightDirectoryAccessProtocol)MAC:強(qiáng)制訪問控制模型(MandatoryAccessControl)PBAC;基于策略的訪問控制(Policy-BasedAccessControl)PKI:公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure)RBAC?基于角色的訪問控制(Role-BasedAccessControl)SAML:安全斷言標(biāo)記語言(SecurityAsertionMarkupLanguageSDK:軟件開發(fā)工具包(SoftwareDevelopnentKit)5數(shù)字身份安全關(guān)鍵要素?cái)?shù)字身份安全關(guān)鍵要素如圖1所示，核心組成要素由七部分組成：身份管理、身份認(rèn)證、授權(quán)管理、審計(jì)管理、身份風(fēng)險(xiǎn)分析、開發(fā)與集成管理和通用能力。此外，數(shù)字身份安全管理系統(tǒng)可從上游系統(tǒng)同步數(shù)字身份信息至下游應(yīng)用系統(tǒng)，可與第三方系統(tǒng)對(duì)接獲取數(shù)字身份信息，可與安全系統(tǒng)進(jìn)行聯(lián)動(dòng)以提升身份風(fēng)險(xiǎn)分析準(zhǔn)確性，為零信任策略控制提供更精準(zhǔn)的判定依據(jù)。YD/Txxxxx—xxxx上游系上游系身圖1數(shù)字身份安全關(guān)鍵要素a)身份管理能力指管理訪問主體和訪問客體在組織內(nèi)多個(gè)系統(tǒng)或應(yīng)用中身份的能力，包括數(shù)字身份管理、屬性管理、角色管理、身份生命周期管理、身份源管理和自服務(wù)管理b)身份認(rèn)證能力指通過一系列手段完成訪問主體身份確認(rèn)的能力，包括對(duì)認(rèn)證源管理、用戶認(rèn)證、c)身份風(fēng)險(xiǎn)分析能力指對(duì)組織內(nèi)訪問主體和訪問客體進(jìn)行風(fēng)險(xiǎn)分析，為零信任策略控制提供更具預(yù)測(cè)性和規(guī)范性分析結(jié)果的能力，包括全域風(fēng)險(xiǎn)感知和風(fēng)險(xiǎn)評(píng)估與處置；d)授權(quán)管理能力指對(duì)組織內(nèi)資源權(quán)限的細(xì)粒度分配能力，包括訪問控制和特權(quán)訪問管理：e)審計(jì)管理能力指對(duì)組織內(nèi)訪問主體行為異常、賬號(hào)異常等分析的能力，包括日志審計(jì)、合規(guī)審計(jì)f)開發(fā)與集成管理指數(shù)字身份安全平臺(tái)的二次開發(fā)能力以及與其他系統(tǒng)的對(duì)接能力，包括開發(fā)友好、API開放、集成能力和接口支持；g)通用能力指數(shù)字身份安全平臺(tái)自身應(yīng)具備保障系統(tǒng)正常運(yùn)行的基本能力，包括數(shù)據(jù)安全性、業(yè)務(wù)連續(xù)性、多租戶隔離性和三員管理6身份管理能力要求數(shù)字身份管理對(duì)數(shù)字身份信息進(jìn)行集中管理，為訪問主體和訪問客體提供唯一標(biāo)識(shí)，具體要求如a)應(yīng)支持為訪問主體與客體身份分配唯一數(shù)字標(biāo)識(shí)：b)應(yīng)支持統(tǒng)一數(shù)字身份存儲(chǔ)；c)應(yīng)支持身份數(shù)據(jù)的清洗，形成統(tǒng)一的身份管理體系d)應(yīng)支持組織架構(gòu)管理，包括但不限于組織架構(gòu)的增、刪、改、查等e)應(yīng)支持賬號(hào)管理，對(duì)集成的應(yīng)用系統(tǒng)賬號(hào)進(jìn)行管理，包括但不限于賬號(hào)開通、刪除、分類等。6.2屬性管理應(yīng)支持對(duì)訪問主體與訪問客體的屬性進(jìn)行管理，具體要求如下：a)應(yīng)支持對(duì)用戶屬性的配置，包括但不限于性別、年齡、部門、崗位、職級(jí)、在職狀態(tài)等b)應(yīng)支持對(duì)組織屬性的配置，包括但不限于組織名稱、創(chuàng)建時(shí)間、創(chuàng)建方式等c)應(yīng)支持對(duì)設(shè)備屬性的配置，包括但不限于設(shè)備類別、級(jí)別、部門歸屬等：d)應(yīng)支持對(duì)云工作負(fù)載屬性的配置，包括但不限于云工作負(fù)載ID、創(chuàng)建時(shí)間、類別等；e)應(yīng)支持對(duì)應(yīng)用屬性的配置，包括但不限于應(yīng)用ID、創(chuàng)建來源、應(yīng)用名稱、應(yīng)用圖標(biāo)等f)應(yīng)支持對(duì)API屬性的配置，包括但不限于創(chuàng)建時(shí)間、API名稱、API類別等。應(yīng)支持角色設(shè)置，降低管理員配置權(quán)限的難度，具體要求如下：a)應(yīng)支持角色管理，包括但不限于角色的新增、編輯、刪除、啟用/停用等：b)應(yīng)支持角色授權(quán)，賦予角色相應(yīng)訪問權(quán)限：c)應(yīng)支持角色用戶管理，添加、解綁角色所屬用戶。6.4身份生命周期管理身份生命周期管理指身份的產(chǎn)生到消亡的整個(gè)過程，應(yīng)對(duì)組織內(nèi)各類實(shí)體制定管理流程，具體要求如下；a)應(yīng)支持對(duì)各類實(shí)體制定身份生命周期管理流程：1)對(duì)企業(yè)員工制定身份生命周期管理流程，包括但不限于入職、休假、調(diào)崗、離職等：2)對(duì)設(shè)備制定身份生命周期管理流程，包括但不限于入庫、激活、閑置、維修、報(bào)廢等：3)對(duì)應(yīng)用制定身份生命周期管理流程，包括但不限于開發(fā)、測(cè)試、上線、維護(hù)、下線等；4)對(duì)API制定身份生命周期管理流程，包括但不限于開發(fā)、測(cè)試、發(fā)布、維護(hù)、下線等。b)應(yīng)支持對(duì)賬戶狀態(tài)進(jìn)行管理：c)應(yīng)支持對(duì)數(shù)字身份的備份和注銷。6.5身份源管理身份源管理主要負(fù)責(zé)從上游系統(tǒng)和第三方系統(tǒng)同步身份信息，供下游系統(tǒng)使用，具體要求如下：a)上游同步，即將上游權(quán)威身份源的數(shù)據(jù)對(duì)接至身份管理平臺(tái)：1)應(yīng)支持同步賬號(hào)基本信息、職位關(guān)聯(lián)信息等2)應(yīng)支持將多個(gè)系統(tǒng)用戶數(shù)據(jù)匯聚、去重、歸并為一個(gè)完整的用戶目錄，便于統(tǒng)一管理包括但不限于人力資源系統(tǒng)、AD、第三方社交認(rèn)證源等：3)應(yīng)支持對(duì)多身份源進(jìn)行手動(dòng)或自動(dòng)管理。b)下游同步，即將身份管理平臺(tái)的數(shù)據(jù)對(duì)接至下游：1)應(yīng)支持按需從身份管理系統(tǒng)對(duì)接組織機(jī)構(gòu)、用戶數(shù)據(jù)至其他數(shù)據(jù)源或下游應(yīng)用系統(tǒng)：2)應(yīng)支持使用LDAP、API等方式進(jìn)行同步3)應(yīng)支持對(duì)敏感信息的向下同步設(shè)置規(guī)則。6.6自服務(wù)管理5YD/TxXXXx—xXXx自服務(wù)管理指用戶對(duì)數(shù)字身份進(jìn)行自助管理，提升用戶體驗(yàn)與企業(yè)管理效率，具體要求如下：a)應(yīng)支持身份信息維護(hù)；c)應(yīng)支持身份找回；d)應(yīng)支持賬號(hào)更替；f)應(yīng)支持任務(wù)管理：g)應(yīng)支持可選自服務(wù)管理。7身份認(rèn)證能力要求7.1認(rèn)證源管理應(yīng)支持使用第三方提供的認(rèn)證服務(wù)，具體要求如下：a)應(yīng)支持對(duì)第三方社交認(rèn)證源管理，例如，微信、釘釘；b)應(yīng)支持對(duì)內(nèi)部認(rèn)證源管理，例如，AD、LDAP。7.2用戶認(rèn)證數(shù)字身份管理平臺(tái)應(yīng)支持至少一種不同用戶認(rèn)證類別，提升用戶登錄體驗(yàn)，具體要求如下a)應(yīng)支持使用用戶所知進(jìn)行用戶認(rèn)證，包括但不限于靜態(tài)口令、驗(yàn)證碼等：b)應(yīng)支持使用用戶所持進(jìn)行用戶認(rèn)證，包括但不限于U盾、FID0設(shè)備、移動(dòng)終端上的手勢(shì)認(rèn)證、二維碼、動(dòng)態(tài)口令等：c)應(yīng)支持使用用戶生物特征進(jìn)行用戶認(rèn)證，包括但不限于指紋、人臉、聲紋、虹膜等；d)應(yīng)支持使用第三方用戶認(rèn)證，包括但不限于微信、釘釘?shù)葦?shù)字身份安全管理系統(tǒng)應(yīng)支持設(shè)備認(rèn)證，以防止設(shè)備被慕改或仿冒，具體要求如下：a)應(yīng)支持對(duì)設(shè)備的認(rèn)證進(jìn)行人工審核、撤銷；b)應(yīng)支持對(duì)設(shè)備的人工批量認(rèn)證：c)應(yīng)支持自動(dòng)認(rèn)證和自助認(rèn)證等設(shè)各認(rèn)證方式。7.4認(rèn)證方式管理數(shù)字身份安全管理系統(tǒng)應(yīng)支持協(xié)議類認(rèn)證和證書類認(rèn)證，具體要求如下a)協(xié)議類認(rèn)證方式管理：應(yīng)支持常見的認(rèn)證協(xié)議，包括但不限于CAS、SAML、0IDC、Kerberos、b)證書類認(rèn)證方式管理：1)應(yīng)支持證書模板管理，包括但不限于用戶、設(shè)備數(shù)字身份證書等2)應(yīng)支持證書驗(yàn)證，包括但不限于證書目錄發(fā)布，證書撤銷列表發(fā)布，在線證書狀態(tài)查詢認(rèn)證策略指用戶認(rèn)證時(shí)使用何種策略，針對(duì)訪問上下文采取不同的認(rèn)證策略，具體要求如下a)應(yīng)支持單因子身份認(rèn)證；6b)應(yīng)支持多因子身份認(rèn)證：c)宜支持單點(diǎn)登錄：d)宜支持聯(lián)邦身份認(rèn)證；e)應(yīng)支持二次認(rèn)證；f應(yīng)支持對(duì)認(rèn)證策略的靈活編排8身份風(fēng)險(xiǎn)分析能力要求8.1全域風(fēng)險(xiǎn)感知全域風(fēng)險(xiǎn)感知通過多維度進(jìn)行風(fēng)險(xiǎn)信息采集與處理，以感知身份全生命周期可能存在的風(fēng)險(xiǎn)，具體要求如下：a)應(yīng)支持對(duì)設(shè)備風(fēng)險(xiǎn)、行為鳳險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、環(huán)境風(fēng)險(xiǎn)等多種維度風(fēng)險(xiǎn)信息進(jìn)行采集：b)應(yīng)支持多種類型風(fēng)險(xiǎn)感知策略，包括但不限于時(shí)間、黑白名單、地點(diǎn)、行為等8.2風(fēng)險(xiǎn)評(píng)估與處置對(duì)感知風(fēng)險(xiǎn)進(jìn)行量化及處置，具體要求如下：a)應(yīng)支持對(duì)感知的風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，包括但不限于1)應(yīng)支持風(fēng)險(xiǎn)評(píng)分計(jì)算，如經(jīng)過多源評(píng)估得出的風(fēng)險(xiǎn)分?jǐn)?shù)與鳳險(xiǎn)處置策略對(duì)應(yīng)2)應(yīng)支持邏輯關(guān)系設(shè)置，如未安裝某軟件與風(fēng)險(xiǎn)處置策略對(duì)應(yīng)。b)應(yīng)支持多種風(fēng)險(xiǎn)處置策略，包括但不限于。1)應(yīng)支持風(fēng)險(xiǎn)阻斷，如登錄注銷：3)應(yīng)支持權(quán)限收斂，如賬戶鎖定；9授權(quán)和訪問控制能力要求9.1訪問控制訪問控制指根據(jù)系統(tǒng)設(shè)置的安全規(guī)則或者安全策略，用戶可以訪問且只能訪問被授權(quán)的資源，具體要求如下；a)應(yīng)支持對(duì)訪問過程進(jìn)行動(dòng)態(tài)訪間控制b)應(yīng)支持多種訪問控制模型，包括但不限于RBAC,ABAC、PBAC、DAC、MAC、RBAC+ACL等：c)應(yīng)保證權(quán)限策略的設(shè)置符合一定規(guī)則，包括但不限于1)一致性：策略之間不沖突；2)統(tǒng)一性：對(duì)所有資源進(jìn)行管理控制時(shí)，安全策略統(tǒng)一貫徹3)可審計(jì)性：所有授權(quán)有記錄可審查。d)應(yīng)支持對(duì)權(quán)限策略類別進(jìn)行管理，包括但不限于系統(tǒng)策略和自定義策略等e)應(yīng)支持細(xì)粒度授權(quán)，包括但不限于應(yīng)用、模塊、菜單等。9.2特權(quán)訪問管理特權(quán)訪問管理指發(fā)現(xiàn)、管理多個(gè)應(yīng)用系統(tǒng)上的特權(quán)賬號(hào)與特權(quán)訪問操作的過程，具體要求如下：YD/Txxxxx—xxxxa)應(yīng)支持人員、軟件和設(shè)備的特權(quán)賬號(hào)：b)應(yīng)支持特權(quán)場(chǎng)景管理；c)應(yīng)支持特權(quán)賬號(hào)權(quán)限和會(huì)話管理d)應(yīng)支持特權(quán)升級(jí)和委派管理；o)應(yīng)支持關(guān)鍵操作保護(hù)；10審計(jì)管理能力要求日志審計(jì)指對(duì)日志中記錄的信息進(jìn)行審計(jì)和檢查，發(fā)現(xiàn)存在異常，具體要求如下：a)應(yīng)支持對(duì)數(shù)字身份管理過程進(jìn)行審計(jì)，包括但不限于數(shù)字身份信息開通、授權(quán)變更、身份終b)應(yīng)支持訪問類審計(jì)，包括但不限于用戶與設(shè)備的登入、登出等訪問行為c)應(yīng)支持接口調(diào)用類審計(jì)，包括但不限于重置密碼、信息同步等接口；d)應(yīng)支持信息修改類審計(jì)，包括但不限于密碼修改、個(gè)人信息修改等10.2合規(guī)審計(jì)合規(guī)審計(jì)指對(duì)賬號(hào)與權(quán)限的設(shè)計(jì)合規(guī)性進(jìn)行管控的過程，具體要求如下：a)應(yīng)支持賬號(hào)合規(guī)審計(jì)，對(duì)不活動(dòng)賬號(hào)、過期賬號(hào)、孤兒賬號(hào)、重復(fù)賬號(hào)、特權(quán)賬號(hào)、接口賬b)應(yīng)支持權(quán)限合規(guī)審計(jì)，判定用戶所擁有的權(quán)限是否沖突，如越權(quán)行為、濫用權(quán)限、權(quán)限合理性、孤兒權(quán)限、權(quán)限互斥、權(quán)限變更、私開權(quán)限等進(jìn)行審計(jì)；安全審計(jì)指根據(jù)審計(jì)服務(wù)收集的日志記錄，識(shí)別高危操作等風(fēng)險(xiǎn)的過程，具體要求如下：a)應(yīng)支持對(duì)日志進(jìn)行安全分析，判斷用戶操作、設(shè)備訪問、應(yīng)用和API調(diào)用等是否符合權(quán)限要求；b)應(yīng)支持問題定位，當(dāng)某個(gè)特定資源或動(dòng)作出現(xiàn)問題，通過日志進(jìn)行定位：c)應(yīng)支持安全審計(jì)日志的查看與導(dǎo)出。11.1開發(fā)友好開發(fā)友好指為開發(fā)者提供友好的開發(fā)環(huán)境和完備的幫助文檔，具體要求如下a)應(yīng)支持開發(fā)對(duì)接應(yīng)提供多種開放API,供第三方開發(fā)者進(jìn)行二次開發(fā)，以實(shí)現(xiàn)功能定制化，包括但不限于組織管理、用戶管理、應(yīng)用管理等。11.3集成能力數(shù)字身份安全管理系統(tǒng)應(yīng)對(duì)類似功能提供集成解決方案，同時(shí)，需要與企業(yè)已有身份體系進(jìn)行對(duì)接集成，具體要求如下a)提供集成能力：b)對(duì)企業(yè)已有身份體系的集成；2)應(yīng)支持賬戶統(tǒng)一，即有管轄權(quán)：3)應(yīng)支持權(quán)限統(tǒng)一，即