零信任应用安全实施规范

零信任应用安全实施规范 ZeroTrustApplicationSecurityImplementationSpecification （征求意见稿） 目次 前言.........................................................31范围.........................................................42规范性引用文件...............................................43术语和定义...................................................44缩略语.......................................................55概述.........................................................56零信任系统建设实施流程.......................................66.1安全防护能力建设.......................................66.2安全分析...............................................66.3安全设计...............................................66.4安全加固...............................................76.5效果核验...............................................77应用安全零信任实施通用要求...................................77.1逻辑架构..............................................87.2安全要求..............................................87.3性能要求..............................................97.4部署要求.............................................107.5容灾要求.............................................128车联网场景零信任实施技术要求................................138.1逻辑架构.............................................138.2安全要求.............................................148.3性能要求.............................................168.4部署要求.............................................168.5容灾要求.............................................179工业互联网场景零信任实施技术要求............................179.1逻辑架构.............................................179.2安全要求.............................................179.3性能要求.............................................199.4部署要求.............................................199.5容灾要求.............................................19 前言 本规范按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由云安全联盟大中华区归口。 本文件起草单位： 本文件主要起草人： 1范围 本标准规定了应用安全零信任系统实施的通用要求，并给出了应用安全零信任实施的典型场景。 本标准适用于车联网、工业互联网行业应用的零信任系统实施。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2022信息安全技术术语 GB/T29242—2012信息安全技术鉴别与授权安全断言标记语言 T/CESA1165—2021零信任系统技术规范 3术语和定义 下列数据和定义适用于本文件。 访问主体access subject 访问客体的主动实体。 注：访问主体如用户、终端设备、物联网设备等 访问客体access object 被访问的目标资源。 零信任技术zerotrust technology 旨在降低访问过程安全风险的持续动态安全访问控制技术。 注：零信任技术基于安全和信任状态对访问主体进行安全授权，并持续性的监测整个访问过程的安全性。 零信任系统zerotrust system 基于零信任技术的相关产品和服务，或者是产品和服务的组合。 前装智能车载终端telematic box 符合严格的车规级标准，集成2G至5G无线通信模块，实现与车辆CAN总线直接通信，以收集关键的车辆状态和性能数据；支持数据向云端的传输，并能够接收云端指令执行远程操作，包括自检、远程查询、远程参数配置及固件远程升级等高级功能。 追踪器tracker 提供高精度的车辆定位管理，实时追踪车辆位置，根据不同配置，扩展功能包括4G通信、状态监测、异常事件通知等；支持4GWiFi、蓝牙4.0/3.0数据传输，以及驾驶行为分析，能够统计行驶里程，进行远程设置和维护。 后装设备on-board diagnostics 实时监控发动机电控系统及车辆其他功能模块的工作状态，通过算法分析，精确诊断并报告工况异常和故障；通过读取车辆CAN总线信息，支持车队管理平台的构建，实现车队的量化管理、安全监控、效率优化和成本控制。 4缩略语 下列缩略语适用于本文件。 CAN控制器局域网总线（Controller Area Network） DLC可下载内容（Downloadable Content） OBU车载单元（OnBoardUnit） CPU中央处理器（CentralProcessingUnit） DDoS分布式拒绝服务攻击（Distributed DenialofService） SSH安全外壳协议（SecureShell） RDP远程桌面协议（RemoteDesktop Protocol） WAN广域网（WideArea Network） DCN数据通信网络（DataCommunication Network） 5概述 零信任是一种网络安全架构，其核心理念是“永不信任，始终验证”。该架构不信任任何用户或设备，无论其位于网络内部还是外部，都必须经过严格的身份验证和授权。零信任 系统基于对网络环境的高度不信任，采取多层次的安全控制措施来保护企业的数据和资源。在这种模式下，用户和设备在访问企业资源时都需要进行身份验证和授权，以减少未经授权的访问和数据泄露的风险。 零信任系统的实施涉及多个角色，包括提供商、业务系统提供商、集成商、使用方、信息安全设备提供商和第三方测评机构等。这些角色需相互配合，共同完成安全防护建设。零信任系统的安全防护工作需贯彻企业安全体系规划、建设、运维等全生命周期过程，分为安全分析、安全设计、安全加固和效果核验四个步骤。 零信任系统适用于所有需要资源访问安全防护的场景，本标准提供了通用实施场景及车联网和工业互联网两种典型场景的具体技术要求。企业应根据自身的安全风险水平和投入，决定是否采用零信任系统。 6零信任系统建设实施流程 6.1安全防护能力建设 新建业务系统：零信任安全防护应贯穿业务系统全生命周期，包括规划、建设、运维，并在关键节点进行安全分析、设计、加固及核验。 存量业务系统：根据现有架构和安全状况，进行针对性的安全分析、设计，并逐步加固和核验。 6.2安全分析 确定目标安全效果，分析业务系统安全防护的收益、潜在损失和资源成本，形成安全防护分析报告。 新建业务系统：结合行业特点和企业资源，进行安全分析。 存量业务系统：基于现有架构和安全措施，进行综合安全分析。 6.3安全设计 在安全分析基础上，设计零信任安全防护方案，包括咨询、方案设计和评审。 新建业务系统：同步规划零信任安全防护，设计一体化方案和配套管理。 存量业务系统：针对发现的风险，设计解决方案，提升安全防护能力。 6.4安全加固 根据安全设计方案，在业务系统上线前或停机期间进行加固。 技术措施：由相关部门组成实施小组，共同开展安全防护实施工作。 管理措施：落实管理制度，监督第三方服务提供商。 6.5效果核验 对加固后的业务系统进行监视、测量、分析和评价，定期进行内部审核和管理评审，确保达到预期安全水平。 7应用安全零信任实施通用要求 7.1逻辑架构 本架构图展示了应用系统与零信任安全网关、零信任代理和零信任控制中心之间的交互关系，以及数据流向。 7.2安全要求 应用安全零信任系统应满足行业应用业务安全的实际需要，应根据业务的访问对象、保护对象和安全要求等因素选择适当的零信任实现技术和方法。其基本要求包括以下几点： a）认证和授权：零信任系统要求对用户进行认证和授权，确保只有经过验证的用户可以访问系统资源。通过多因素身份验证访问控制等技术来实现。 b）细粒度的访问控制：零信任系统需要实施细粒度的访问控制，以确保用户只能访问其所需的资源，而不是整个网络。这可以通过基于角色的访问控制、动态访问控制和上下文感知的访问控制等技术来实现。 c）实时威胁检测和响应：零信任系统需要实时监测和检测潜在的威胁，并采取相应的 措施进行响应。这可以通过实时日志分析、行为分析和威胁情报共享等技术来实现。 d）数据加密和隔离：零信任系统需要对数据进行加密和隔离，以防止未经授权的访问和数据泄露。这可以通过端到端加密、数据分类和分区、以及数据遗忘等技术来实现。e）持续监测和审计：零信任系统需要进行持续的监测和审计，以确保系统的安全性和合规性。这可以通过日志记录、事件管理和审计工具等技术来实现。 7.3性能要求 为了确保零信任系统在高负载情况下的稳定性和响应速度，我们对单节点网关的性能配置和测试指标有明确的要求。 7.3.1单节点网关配置 在零信任架构中，单节点网关是处理用户请求的关键组件，因此必须具备足够的处理能力来应对预期的负载。以下是推荐的最低配置标准： CPU：至少8核心，以确保在高并发请求下能够快速处理鉴权和数据传输任务。 内存：至少16GB，以支持高效的数据处理和缓存机制，减少延迟。 磁盘：至少500GB，用于存储日志、配置文件以及其他必要的数据，同时保证足够的空间以应对未来的扩展需求。 7.3.2性能测试指标 性能测试是验证网关能否满足业务需求的重要环节。以下是必须满足的关键性能指标： 静态页面鉴权访问并发：网关应能够处理每秒2000至8000次的并发请求量（QPS）。这一指标反映了网关在面对大量用户请求时的处理能力，确保用户体验不受影响。 为了达到这些性能要求，建议进行定期的压力测试和性能