零信任应用安全实施规范

CSA云安全联盟标准 CSAGCRC001—2025 零信任应用安全实施规范 ZeroTrustApplicationSecurityImplementationSpecification 2025-5-21发布 云安全联盟大中华区发布 目次 前言3 1范围4 2规范性引用文件4 3术语和定义4 4缩略语5 5概述5 6零信任系统建设实施流程6 6.1安全防护能力建设6 6.2安全分析6 6.3安全设计6 6.4安全加固7 6.5效果核验7 7应用安全零信任实施通用要求7 7.1逻辑架构8 7.2安全要求8 7.3性能要求9 7.4部署要求10 7.5容灾要求12 8车联网场景零信任实施技术要求13 8.1逻辑架构13 8.2安全要求14 8.3性能要求16 8.4部署要求16 8.5容灾要求17 9工业互联网场景零信任实施技术要求17 9.1逻辑架构17 9.2安全要求17 9.3性能要求19 9.4部署要求19 9.5容灾要求19 2 前言 本规范按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由云安全联盟大中华区归口。 本文件起草单位：联通（广东）产业互联网有限公司、华为有限技术公司、中国电信集团有限公司、北森云计算有限公司、三六零安全科技股份有限公司、启明星辰信息技术集团股份有限公司、三未信安科技股份有限公司、云深互联（北京）科技有限公司、中移（苏州）软件技术有限公司、江苏易安联网络技术有限公司、深圳市联软科技股份有限公司、上海安几科技有限公司。 本文件主要起草人：刘纯纯、林兵、罗柱明、苏轶、赖博林、汤辰歌、陈本峰、柴倩、于振伟、黄杰、赵锐、王贵宗、吴满、冯尧、何国锋、贾良玉、郭鹏程、姚凯、罗智杰、陶瑞岩、汪海、鹿淑煜、薛永刚、卜宋博、易利杰。 3 1范围 本标准规定了应用安全零信任系统实施的通用要求，并给出了应用安全零信任实施的典型场景。 本标准适用于车联网、工业互联网行业应用的零信任系统实施。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，标注日期的引用文件，仅该日期所对应的版本适用于本文件；不标注日期的引用文件，其最新版本 （包括所有的修改单）适用于本文件。 GB/T25069—2022信息安全技术术语 GB/T29242—2012信息安全技术鉴别与授权安全断言标记语言 T/CESA1165—2021零信任系统技术规范 3术语和定义 下列数据和定义适用于本文件。 访问主体accesssubject访问客体的主动实体。 注：访问主体如用户、终端设备、物联网设备等 访问客体accessobject被访问的目标资源。 注：访问客体如服务器、数据库、打印服务、网络等。 零信任技术zerotrusttechnology 旨在降低访问过程安全风险的持续动态安全访问控制技术。 注：零信任技术基于安全和信任状态对访问主体进行安全授权，并持续性的监测整个访问过程的安全性。 零信任系统zerotrustsystem 基于零信任技术的相关产品和服务，或者是产品和服务的组合。 4 前装智能车载终端telematicbox 符合严格的车规级标准，集成2G至5G无线通信模块，实现与车辆CAN总线直接通信，以收集关键的车辆状态和性能数据；支持数据向云端的传输，并能够接收云端指令执行远程操作，包括自检、远程查询、远程参数配置及固件远程升级等高级功能。 追踪器tracker 提供高精度的车辆定位管理，实时追踪车辆位置，根据不同配置，扩展功能包括4G通信、状态监测、异常事件通知等；支持4GWiFi、蓝牙4.0/3.0数据传输，以及驾驶行为分析，能够统计行驶里程，进行远程设置和维护。 后装设备on-boarddiagnostics 实时监控发动机电控系统及车辆其他功能模块的工作状态，通过算法分析，精确诊断并报告工况异常和故障；通过读取车辆CAN总线信息，支持车队管理平台的构建，实现车队的量化管理、安全监控、效率优化和成本控制。 4缩略语 下列缩略语适用于本文件。 CAN控制器局域网总线（ControllerAreaNetwork） DLC可下载内容（DownloadableContent） OBU车载单元（OnBoardUnit） CPU中央处理器（CentralProcessingUnit） DDoS分布式拒绝服务攻击（DistributedDenialofService） SSH安全外壳协议（SecureShell） RDP远程桌面协议（RemoteDesktopProtocol） WAN广域网（WideAreaNetwork） DCN数据通信网络（DataCommunicationNetwork） 5概述 零信任是一种网络安全架构，其核心理念是“永不信任，始终验证”。该架构不信任任何用户或设备，无论其位于网络内部还是外部，都必须经过严格的身份验证和授权。零信任 5 系统基于对网络环境的高度不信任，采取多层次的安全控制措施来保护企业的数据和资源。在这种模式下，用户和设备在访问企业资源时都需要进行身份验证和授权，以减少未经授权的访问和数据泄露的风险。 零信任系统的实施涉及多个角色，包括提供商、业务系统提供商、集成商、使用方、信息安全设备提供商和第三方测评机构等。这些角色需相互配合，共同完成安全防护建设。零信任系统的安全防护工作需贯彻企业安全体系规划、建设、运维等全生命周期过程，分为安全分析、安全设计、安全加固和效果核验四个步骤。 零信任系统适用于所有需要资源访问安全防护的场景，本标准提供了通用实施场景及车联网和工业互联网两种典型场景的具体技术要求。企业应根据自身的安全风险水平和投入，决定是否采用零信任系统。 6零信任系统建设实施流程 6.1安全防护能力建设 新建业务系统：零信任安全防护应贯穿业务系统全生命周期，包括规划、建设、运维，并在关键节点进行安全分析、设计、加固及核验。 存量业务系统：根据现有架构和安全状况，进行针对性的安全分析、设计，并逐步加固和核验。 6.2安全分析 确定目标安全效果，分析业务系统安全防护的收益、潜在损失和资源成本，形成安全防护分析报告。 新建业务系统：结合行业特点和企业资源，进行安全分析。 存量业务系统：基于现有架构和安全措施，进行综合安全分析。 6.3安全设计 在安全分析基础上，设计零信任安全防护方案，包括咨询、方案设计和评审。 6 新建业务系统：同步规划零信任安全防护，设计一体化方案和配套管理。存量业务系统：针对发现的风险，设计解决方案，提升安全防护能力。 6.4安全加固 根据安全设计方案，在业务系统上线前或停机期间进行加固。 技术措施：由相关部门组成实施小组，共同开展安全防护实施工作。管理措施：落实管理制度，监督第三方服务提供商。 6.5效果核验 对加固后的业务系统进行监视、测量、分析和评价，定期进行内部审核和管理评审，确保达到预期安全水平。 7应用安全零信任实施通用要求 7 7.1逻辑架构 图1通用零信任架构图 本架构图展示了应用系统与零信任安全网关、零信任代理和零信任控制中心之间的交互关系，以及数据流向。 7.2安全要求 应用安全零信任系统应满足行业应用业务安全的实际需要，应根据业务的访问对象、保护对象和安全要求等因素选择适当的零信任实现技术和方法。其基本要求包括以下几点： a）认证和授权：零信任系统要求对用户进行认证和授权，确保只有经过验证的用户可以访问系统资源。通过多因素身份验证访问控制等技术来实现。 b）细粒度的访问控制：零信任系统需要实施细粒度的访问控制，以确保用户只能访问其所需的资源，而不是整个网络。这可以通过基于角色的访问控制、动态访问控制和上下文感知的访问控制等技术来实现。 c）实时威胁检测和响应：零信任系统需要实时监测和检测潜在的威胁，并采取相应的 8 措施进行响应。这可以通过实时日志分析、行为分析和威胁情报共享等技术来实现。d）数据加密和隔离：零信任系统需要对数据进行加密和隔离，以防止未经授权的访问和数据泄露。这可以通过端到端加密、数据分类和分区、以及数据遗忘等技术来实现。e）持续监测和审计：零信任系统需要进行持续的监测和审计，以确保系统的安全性和合规性。这可以通过日志记录、事件管理和审计工具等技术来实现。 7.3性能要求 为了确保零信任系统在高负载情况下的稳定性和响应速度，我们对单节点网关的性能配置和测试指标有明确的要求。 7.3.1单节点网关配置 在零信任架构中，单节点网关是处理用户请求的关键组件，因此必须具备足够的处理能力来应对预期的负载。以下是推荐的最低配置标准： CPU：至少8核心，以确保在高并发请求下能够快速处理鉴权和数据传输任务。内存：至少16GB，以支持高效的数据处理和缓存机制，减少延迟。 磁盘：至少500GB，用于存储日志、配置文件以及其他必要的数据，同时保证足够的空间以应对未来的扩展需求。 7.3.2性能测试指标 性能测试是验证网关能否满足业务需求的重要环节。以下是必须满足的关键性能指标：静态页面鉴权访问并发：网关应能够处理每秒2000至8000次的并发请求量（QPS）。 这一指标反映了网关在面对大量用户请求时的处理能力，确保用户体验不受影响。 为了达到这些性能要求，建议进行定期的压力测试和性能监控，以便及时发现并解决潜在的性能瓶颈。此外，应考虑使用负载均衡技术分散请求，以提高系统的吞吐量和可用性。 9 7.4部署要求 7.4.1访问主体部署方式 访问主体部署功能要求应选择如下中的一种方式： a）支持有零信任代理的部署，设备操作系统类型：Windows、Macosx、Linux、Android、 iOS等； b）支持无零信任代理的部署模式，支持各类标准浏览器访问。 7.4.2控制中心部署 1.网络隔离和分段： a)部署控制中心时，需要放置在与业务网络隔离的安全区域，以确保控制中心不容易受到业务网络的攻击。 b)业务网络和控制中心之间需要分段，根据安全策略和访问需求划分不同的网络区域，限制业务网络对控制中心的访问权限。 2.数据保护和加密： a)对于在控制中心传输和存储的数据，需要加密保护，以防数据泄露和篡改。 b)对于敏感数据，如资产信息、用户隐私数据等，需要采用更高级别的加密算法和保护措施，确保数据的安全性。 3.高可用架构设计： a)部署多个控制中心实例，实现冗余和故障转移。当一个实例发生故障时，其他实例可以接管服务，保证系统的连续性。 b)使用负载均衡器来分发流量，确保控制中心的负载均衡和高可用性。负载均衡器可以实时监控控制中心的状态，将流量动态分配给可用的实例。 4.监控和告警系统： a)部署实时监控系统，对控制中心的性能和状态监控。通过监控系统，可以及时发现系统故障、性能下降等异常情况。 b)设置告警规则，当控制中心的性能或状态异常时，及时发送告警通知给相关人 10 员，以便快速响应和处理问题。 5.容灾和灾备计划： a)制定容灾和灾备计划，包括备用服务器、网络设备等基础设施的准备和配置，以应对自然灾害、硬件故障等突发情况。 b)定期进行容灾演练和测试，确保备用设备和系统能够正常运行，并能够在短时间内切换到备用设备，保证系统的连续性。 c)定期备份控制中心的数据，包括配置信息、用户数据、日志等。备份数据应存储在安全可靠的位置，以便在需要时用于恢复。 d)配置自动化的数据恢复机制，以便在发生故障或数据丢失时能够快速恢复数据，并尽量减少系统的停机时间。 6.自动化运维和维护： a)配置自动化运维和维护工具，自动化地管理控制中心的配置和更新，减少人工操作和减少出错的可能性。 b)定期进行系统巡检和维护，包括系统更新、安全补丁的安装、