《電信業(yè)務(wù)運營支撐網(wǎng)零信任安全能力要求》

ICS35.240

CCSL79

T/CAICI

中國通信企業(yè)協(xié)會團體標(biāo)準(zhǔn)

T/CAICIXXXXX—XXXX

電信業(yè)務(wù)運營支撐網(wǎng)零信任安全能力要求

Requirementsforzerotrustsecuritycapabilityoftelecombusinessoperationsupport

network

（征求意見稿）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國通信企業(yè)協(xié)會發(fā)布

T/CAICIXXXXX—XXXX

電信業(yè)務(wù)運營支撐網(wǎng)零信任安全能力要求

1范圍

本標(biāo)準(zhǔn)給出了電信業(yè)務(wù)運營支撐網(wǎng)零信任安全體系的能力要求，包括核心安全能力、安全管理能力

和基礎(chǔ)平臺能力。

本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)運營者對零信任安全體系的規(guī)劃、設(shè)計、實施和應(yīng)用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T29242—2012信息安全技術(shù)鑒別與授權(quán)安全斷言置標(biāo)語言術(shù)語與定義

T/CESA1165-2021零信任系統(tǒng)技術(shù)規(guī)范零信任概述

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1主體subject

能訪問客體的主動實體。

[來源：GB/T29242-2012，3.7]

3.2資源resource

可供主體訪問的對象。

注：例如應(yīng)用、系統(tǒng)、接口、服務(wù)、數(shù)據(jù)等。

3.3數(shù)字身份digitalidentity

用于標(biāo)識實體身份的數(shù)據(jù)信息，包括唯一標(biāo)識符和鑒別憑據(jù)。

注：鑒別憑據(jù)依賴于身份鑒別方法，如密碼、數(shù)字證書、生物特征等。

4縮略語

下列縮略語適用于本文件。

BOSS：業(yè)務(wù)運營支撐系統(tǒng)（Business&OperationSupportSystem）

CRM：客戶關(guān)系管理（CustomerRelationshipManagement）

4A：賬號、認(rèn)證、授權(quán)和審計（Account，Authentication，Authorization，Audit）

4

T/CAICIXXXXX—XXXX

ID：標(biāo)識符（Identifier）

OAuth：開放授權(quán)（OpenAuthorization）

SAML：安全斷言標(biāo)記語言（SecurityAssertionMarkupLanguage）

API：應(yīng)用程序編程接口（ApplicationProgrammingInterface）

MFA：多因子認(rèn)證（Multi-factorAuthentication）

5安全能力框架

在電信網(wǎng)絡(luò)中，業(yè)務(wù)支撐系統(tǒng)（包括BOSS/CRM系統(tǒng)、經(jīng)營分析系統(tǒng)、運營管理系統(tǒng)及各種安全支撐

系統(tǒng)）和系統(tǒng)資源（包括操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）受4A等安全支撐系統(tǒng)的保護。電

信業(yè)務(wù)運營支撐網(wǎng)的零信任安全體系（如圖1）基于零信任理念，通過數(shù)字身份管理、可信安全認(rèn)證、

持續(xù)信任評估和動態(tài)訪問控制，實現(xiàn)動態(tài)、細(xì)粒度的訪問授權(quán)，形成體系化的零信任安全能力。

第三方平臺零信任安全中心安全支撐系統(tǒng)

資產(chǎn)管理4A系統(tǒng)

身份管理安全認(rèn)證

威脅情報堡壘系統(tǒng)

信任評估動態(tài)授權(quán)

安全監(jiān)管金庫服務(wù)

零信任客戶端業(yè)務(wù)應(yīng)用

BOSS

零信任網(wǎng)關(guān)

CRM

不可信可信

控制器

經(jīng)分系統(tǒng)

網(wǎng)關(guān)

用戶運維系統(tǒng)

終端系統(tǒng)資源

圖1電信業(yè)務(wù)運營支撐網(wǎng)的零信任安全體系參考架構(gòu)

零信任安全體系由零信任客戶端、零信任網(wǎng)關(guān)和零信任安全中心的各種安全服務(wù)組成，零信任客戶

端為用戶提供業(yè)務(wù)訪問入口和數(shù)據(jù)導(dǎo)流功能；零信任網(wǎng)關(guān)作為策略執(zhí)行點，為零信任安全中心提供與訪

問相關(guān)的主體、資源和訪問動作等信息，并執(zhí)行零信任安全中心下發(fā)的動態(tài)授權(quán)結(jié)果，例如阻斷、允許

等；零信任安全中心作為零信任體系的控制中心，提供身份管理、安全認(rèn)證、信任評估、動態(tài)策略決策

等安全服務(wù)，以及各種安全服務(wù)的控制協(xié)調(diào)。

上述各零信任組件通過相互配合、協(xié)調(diào)聯(lián)動，構(gòu)建形成體系化的零信任安全能力，包括核心安全能

力、安全管理能力、基礎(chǔ)平臺能力三個部分，其組成框架如圖2所示。其中，

a）核心安全能力對零信任安全體系的關(guān)鍵控制能力提出要求，包含數(shù)字身份管理、可信安全認(rèn)證、

持續(xù)信任評估和動態(tài)訪問控制四個部分；

b）安全管理能力指零信任安全體系提供的安全管理和用戶服務(wù)能力，包括策略管理、日志審計和

告警處置；

c）基礎(chǔ)平臺能力指零信任安全體系應(yīng)滿足的部署運行和互操作聯(lián)動能力，包括安全自保、部署運

行和操作聯(lián)動。

5

T/CAICIXXXXX—XXXX

安全管理能力核心安全能力

策略管理數(shù)可持動

字信續(xù)態(tài)

身安信訪

日志審計份全任問

管認(rèn)評控

告警處置理證估制

基礎(chǔ)平臺能力安全自保部署運行操作聯(lián)動

圖2電信業(yè)務(wù)運營支撐網(wǎng)的零信任安全能力框架

6核心安全能力

數(shù)字身份管理

數(shù)字身份管理指對主體、資源的身份標(biāo)識和訪問鑒別憑證進行管理的能力，包括：

a）應(yīng)支持對用戶、設(shè)備、應(yīng)用等實體生成統(tǒng)一規(guī)范的身份ID；

b）應(yīng)支持對用戶、設(shè)備、應(yīng)用的分組分類管理，包括：

1）按組織機構(gòu)、訪問權(quán)限等對用戶進行分組管理；

2）按設(shè)備類型、安全等級等對設(shè)備進行分組管理；

3）按業(yè)務(wù)類型、安全等級等對應(yīng)用進行分組管理；

c）應(yīng)支持從現(xiàn)有身份管理系統(tǒng)中導(dǎo)入數(shù)字身份，例如4A賬號、主從賬號；

d）應(yīng)支持對訪問憑證的安全強度檢查，例如密碼復(fù)雜度、證書有效期；

e）應(yīng)支持對身份數(shù)據(jù)的生命周期管理，包括數(shù)字身份的創(chuàng)建、凍結(jié)、變更和注銷等。

可信安全認(rèn)證

可信安全認(rèn)證指對主體、資源的身份鑒別能力，包括：

a）應(yīng)支持單點登錄技術(shù)，例如OAuth2.0、SAML2.0；

b）應(yīng)支持基于動態(tài)策略的MFA，認(rèn)證方式包括但不限于：

1）靜態(tài)口令；

2）短信認(rèn)證；

3）數(shù)字證書；

4）生物特征認(rèn)證；

5）第三方認(rèn)證；

c）宜具備調(diào)用4A認(rèn)證服務(wù)的能力；

d）宜支持對用戶終端的接入認(rèn)證；

e）宜支持業(yè)務(wù)應(yīng)用的雙向身份認(rèn)證；

f）認(rèn)證過程應(yīng)具備抗重放攻擊能力。

持續(xù)信任評估

6

T/CAICIXXXXX—XXXX

持續(xù)信任評估指對訪問會話進行安全評估的能力，包括：

a）應(yīng)支持對風(fēng)險數(shù)據(jù)的周期性采集處理，風(fēng)險數(shù)據(jù)來源包括：

1）應(yīng)包括終端環(huán)境的安全狀態(tài)、配置和日志；

2）應(yīng)包括零信任安全體系組件的狀態(tài)、配置和日志；

3）宜包括外部安全工具日志和威脅情報；

4）宜包括業(yè)務(wù)應(yīng)用和支撐系統(tǒng)的日志和流量；

b）應(yīng)支持異常登錄場景的信任評估，例如異地登錄、異常IP登錄、異常時間登錄；

c）應(yīng)支持異常終端場景的信任評估，例如終端狀態(tài)異常，終端資產(chǎn)歸屬未知；

d）宜支持異常訪問場景的信任評估，例如數(shù)據(jù)越權(quán)訪問，異常操作行為，腳本/機器人模擬訪問；

e）宜支持自定義風(fēng)險評估模型的定制，適配用戶自定義的風(fēng)險場景；

f）宜支持向4A審計平臺上報風(fēng)險數(shù)據(jù)。

動態(tài)訪問控制

動態(tài)訪問控制指對訪問請求的動態(tài)、細(xì)粒度授權(quán)控制能力，包括：

a）應(yīng)支持基于角色/屬性的訪問控制機制；

b）宜提供對資源的細(xì)粒度保護能力，如應(yīng)用級、功能級和API級；

c）應(yīng)支持基于會話的訪問控制粒度；

d）應(yīng)支持基于持續(xù)信任評估的動態(tài)授權(quán)，授權(quán)結(jié)果形式包括但不限于：

1）放行；

2）阻止；

3）觸發(fā)二次認(rèn)證；

4）觸發(fā)雙人認(rèn)證；

5）終止會話；

e）應(yīng)遵循最小權(quán)限原則，在不影響用戶業(yè)務(wù)的情況下，缺省阻止授權(quán)。

7安全管理能力

策略管理

策略管理指對零信任安全策略的統(tǒng)一管理能力，包括：

a）應(yīng)具備訪問憑證的安全強度檢查規(guī)則，包括但不限于：

1）密碼長度至少8位字符；

2）密碼復(fù)雜性要求至少包含大寫字母、小寫字母、數(shù)字、特殊符號4種類別中的2種；

3）密碼有效時限應(yīng)不超過90天；

4）驗證碼應(yīng)具備失效超時時限，例如60秒；

b）應(yīng)具備多因子用戶認(rèn)證規(guī)則；

c）宜具備用戶身份稽核和賬號鎖定規(guī)則，包括但不限于：

1）非實名賬號稽核規(guī)則；

2）僵尸賬號稽核規(guī)則；

3）信息缺失賬號鎖定規(guī)則；

d）訪問控制規(guī)則應(yīng)支持包含主體、資源、位置和時間等因素的條件組合；

e）應(yīng)具備分權(quán)分域的控制規(guī)則；

f）應(yīng)具備日志、審計信息的標(biāo)準(zhǔn)字段定義和完整性檢查規(guī)則；

g）應(yīng)具備告警信息的處置規(guī)則；

7

T/CAICIXXXXX—XXXX

h）可支持策略編排，按業(yè)務(wù)場景對用戶認(rèn)證、終端接入和訪問控制規(guī)則進行組合編制。

日志審計

日志審計指對零信任組件日志的處理分析能力，包括：

a）應(yīng)支持對安全業(yè)務(wù)日志的管理審計，包括認(rèn)證日志、鑒權(quán)日志和訪問日志等；

b）日志記錄應(yīng)包含事件的基本信息，包括發(fā)生時間、事件類型、用戶標(biāo)識、操作行為等；

c）應(yīng)支持按組合條件對日志進行過濾檢索，包括按業(yè)務(wù)類型、按記錄字段、按關(guān)鍵字等；

d）宜具備標(biāo)準(zhǔn)化的日志查詢和上報能力。

告警處置

告警處置指對用戶訪問的安全風(fēng)險和異常事件進行告警和處理的能力，包括：

a）應(yīng)支持按風(fēng)險來源對風(fēng)險事件進行分類處理，包括但不限于：

1)終端環(huán)境類風(fēng)險，如安裝非準(zhǔn)入軟件、未安裝防病毒軟件；

2）賬號變化類風(fēng)險，如賬號鎖定；

3）認(rèn)證類風(fēng)險，如終端首次接入；

4）審計行為風(fēng)險，如異常頻次訪問，異常時間登錄，非常用IP訪問；

5）授權(quán)變化風(fēng)險，如授權(quán)關(guān)系變動，賬號權(quán)限異常；

b）應(yīng)支持按嚴(yán)重性對風(fēng)險事件進行分級告警，例如低級、中級、高危；

c）告警內(nèi)容應(yīng)包含風(fēng)險事件的基本信息，包括告警主體、來源終端設(shè)備、源IP，告警描述、告警

時間和分類等級等；

d）應(yīng)支持對風(fēng)險告警的過濾查詢與歸并存儲。

8基礎(chǔ)平臺能力

安全自保

安全自保指零信任安全體系的自我保護能力，包括：

a）應(yīng)提供對底層系統(tǒng)環(huán)境和基礎(chǔ)組件的安全加固，包括但不限于：

1）應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口；

2）應(yīng)修改默認(rèn)管理員賬戶名和默認(rèn)密碼；

3）應(yīng)修復(fù)基礎(chǔ)組件的安全缺陷和漏洞；

b）管理角色的權(quán)限應(yīng)滿足職責(zé)分離的要求，例如管理員、審計員和業(yè)務(wù)員；

c）應(yīng)支持對管理操作的全過程審計，包括注冊、登錄、配置、注銷等操作；

d）應(yīng)支持對敏感數(shù)據(jù)的加密存儲和傳輸，例如用戶信息、密碼信息、審計信息；

e）應(yīng)支持采用國密算法實