ICS35.240

CCSL79

T/CAICI

中國通信企業(yè)協(xié)會團體標準

T/CAICIXXXXX—XXXX

電信業(yè)務運營支撐網(wǎng)零信任安全能力要求

Requirementsforzerotrustsecuritycapabilityoftelecombusinessoperationsupport

network

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國通信企業(yè)協(xié)會發(fā)布

T/CAICIXXXXX—XXXX

電信業(yè)務運營支撐網(wǎng)零信任安全能力要求

1范圍

本標準給出了電信業(yè)務運營支撐網(wǎng)零信任安全體系的能力要求，包括核心安全能力、安全管理能力

和基礎平臺能力。

本標準適用于網(wǎng)絡運營者對零信任安全體系的規(guī)劃、設計、實施和應用。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T29242—2012信息安全技術(shù)鑒別與授權(quán)安全斷言置標語言術(shù)語與定義

T/CESA1165-2021零信任系統(tǒng)技術(shù)規(guī)范零信任概述

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1主體subject

能訪問客體的主動實體。

[來源：GB/T29242-2012，3.7]

3.2資源resource

可供主體訪問的對象。

注：例如應用、系統(tǒng)、接口、服務、數(shù)據(jù)等。

3.3數(shù)字身份digitalidentity

用于標識實體身份的數(shù)據(jù)信息，包括唯一標識符和鑒別憑據(jù)。

注：鑒別憑據(jù)依賴于身份鑒別方法，如密碼、數(shù)字證書、生物特征等。

4縮略語

下列縮略語適用于本文件。

BOSS：業(yè)務運營支撐系統(tǒng)（Business&OperationSupportSystem）

CRM：客戶關系管理（CustomerRelationshipManagement）

4A：賬號、認證、授權(quán)和審計（Account，Authentication，Authorization，Audit）

4

T/CAICIXXXXX—XXXX

ID：標識符（Identifier）

OAuth：開放授權(quán)（OpenAuthorization）

SAML：安全斷言標記語言（SecurityAssertionMarkupLanguage）

API：應用程序編程接口（ApplicationProgrammingInterface）

MFA：多因子認證（Multi-factorAuthentication）

5安全能力框架

在電信網(wǎng)絡中，業(yè)務支撐系統(tǒng)（包括BOSS/CRM系統(tǒng)、經(jīng)營分析系統(tǒng)、運營管理系統(tǒng)及各種安全支撐

系統(tǒng)）和系統(tǒng)資源（包括操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備等）受4A等安全支撐系統(tǒng)的保護。電

信業(yè)務運營支撐網(wǎng)的零信任安全體系（如圖1）基于零信任理念，通過數(shù)字身份管理、可信安全認證、

持續(xù)信任評估和動態(tài)訪問控制，實現(xiàn)動態(tài)、細粒度的訪問授權(quán)，形成體系化的零信任安全能力。

第三方平臺零信任安全中心安全支撐系統(tǒng)

資產(chǎn)管理4A系統(tǒng)

身份管理安全認證

威脅情報堡壘系統(tǒng)

信任評估動態(tài)授權(quán)

安全監(jiān)管金庫服務

零信任客戶端業(yè)務應用

BOSS

零信任網(wǎng)關

CRM

不可信可信

控制器

經(jīng)分系統(tǒng)

網(wǎng)關

用戶運維系統(tǒng)

終端系統(tǒng)資源

圖1電信業(yè)務運營支撐網(wǎng)的零信任安全體系參考架構(gòu)

零信任安全體系由零信任客戶端、零信任網(wǎng)關和零信任安全中心的各種安全服務組成，零信任客戶

端為用戶提供業(yè)務訪問入口和數(shù)據(jù)導流功能；零信任網(wǎng)關作為策略執(zhí)行點，為零信任安全中心提供與訪

問相關的主體、資源和訪問動作等信息，并執(zhí)行零信任安全中心下發(fā)的動態(tài)授權(quán)結(jié)果，例如阻斷、允許

等；零信任安全中心作為零信任體系的控制中心，提供身份管理、安全認證、信任評估、動態(tài)策略決策

等安全服務，以及各種安全服務的控制協(xié)調(diào)。

上述各零信任組件通過相互配合、協(xié)調(diào)聯(lián)動，構(gòu)建形成體系化的零信任安全能力，包括核心安全能

力、安全管理能力、基礎平臺能力三個部分，其組成框架如圖2所示。其中，

a）核心安全能力對零信任安全體系的關鍵控制能力提出要求，包含數(shù)字身份管理、可信安全認證、

持續(xù)信任評估和動態(tài)訪問控制四個部分；

b）安全管理能力指零信任安全體系提供的安全管理和用戶服務能力，包括策略管理、日志審計和

告警處置；

c）基礎平臺能力指零信任安全體系應滿足的部署運行和互操作聯(lián)動能力，包括安全自保、部署運

行和操作聯(lián)動。

5

T/CAICIXXXXX—XXXX

安全管理能力核心安全能力

策略管理數(shù)可持動

字信續(xù)態(tài)

身安信訪

日志審計份全任問

管認評控

告警處置理證估制

基礎平臺能力安全自保部署運行操作聯(lián)動

圖2電信業(yè)務運營支撐網(wǎng)的零信任安全能力框架

6核心安全能力

數(shù)字身份管理

數(shù)字身份管理指對主體、資源的身份標識和訪問鑒別憑證進行管理的能力，包括：

a）應支持對用戶、設備、應用等實體生成統(tǒng)一規(guī)范的身份ID；

b）應支持對用戶、設備、應用的分組分類管理，包括：

1）按組織機構(gòu)、訪問權(quán)限等對用戶進行分組管理；

2）按設備類型、安全等級等對設備進行分組管理；

3）按業(yè)務類型、安全等級等對應用進行分組管理；

c）應支持從現(xiàn)有身份管理系統(tǒng)中導入數(shù)字身份，例如4A賬號、主從賬號；

d）應支持對訪問憑證的安全強度檢查，例如密碼復雜度、證書有效期；

e）應支持對身份數(shù)據(jù)的生命周期管理，包括數(shù)字身份的創(chuàng)建、凍結(jié)、變更和注銷等。

可信安全認證

可信安全認證指對主體、資源的身份鑒別能力，包括：

a）應支持單點登錄技術(shù)，例如OAuth2.0、SAML2.0；

b）應支持基于動態(tài)策略的MFA，認證方式包括但不限于：

1）靜態(tài)口令；

2）短信認證；

3）數(shù)字證書；

4）生物特征認證；

5）第三方認證；

c）宜具備調(diào)用4A認證服務的能力；

d）宜支持對用戶終端的接入認證；

e）宜支持業(yè)務應用的雙向身份認證；

f）認證過程應具備抗重放攻擊能力。

持續(xù)信任評估

6

T/CAICIXXXXX—XXXX

持續(xù)信任評估指對訪問會話進行安全評估的能力，包括：

a）應支持對風險數(shù)據(jù)的周期性采集處理，風險數(shù)據(jù)來源包括：

1）應包括終端環(huán)境的安全狀態(tài)、配置和日志；

2）應包括零信任安全體系組件的狀態(tài)、配置和日志；

3）宜包括外部安全工具日志和威脅情報；

4）宜包括業(yè)務應用和支撐系統(tǒng)的日志和流量；

b）應支持異常登錄場景的信任評估，例如異地登錄、異常IP登錄、異常時間登錄；

c）應支持異常終端場景的信任評估，例如終端狀態(tài)異常，終端資產(chǎn)歸屬未知；

d）宜支持異常訪問場景的信任評估，例如數(shù)據(jù)越權(quán)訪問，異常操作行為，腳本/機器人模擬訪問；

e）宜支持自定義風險評估模型的定制，適配用戶自定義的風險場景；

f）宜支持向4A審計平臺上報風險數(shù)據(jù)。

動態(tài)訪問控制

動態(tài)訪問控制指對訪問請求的動態(tài)、細粒度授權(quán)控制能力，包括：

a）應支持基于角色/屬性的訪問控制機制；

b）宜提供對資源的細粒度保護能力，如應用級、功能級和API級；

c）應支持基于會話的訪問控制粒度；

d）應支持基于持續(xù)信任評估的動態(tài)授權(quán)，授權(quán)結(jié)果形式包括但不限于：

1）放行；

2）阻止；

3）觸發(fā)二次認證；

4）觸發(fā)雙人認證；

5）終止會話；

e）應遵循最小權(quán)限原則，在不影響用戶業(yè)務的情況下，缺省阻止授權(quán)。

7安全管理能力

策略管理

策略管理指對零信任安全策略的統(tǒng)一管理能力，包括：

a）應具備訪問憑證的安全強度檢查規(guī)則，包括但不限于：

1）密碼長度至少8位字符；

2）密碼復雜性要求至少包含大寫字母、小寫字母、數(shù)字、特殊符號4種類別中的2種；

3）密碼有效時限應不超過90天；

4）驗證碼應具備失效超時時限，例如60秒；

b）應具備多因子用戶認證規(guī)則；

c）宜具備用戶身份稽核和賬號鎖定規(guī)則，包括但不限于：

1）非實名賬號稽核規(guī)則；

2）僵尸賬號稽核規(guī)則；

3）信息缺失賬號鎖定規(guī)則；

d）訪問控制規(guī)則應支持包含主體、資源、位置和時間等因素的條件組合；

e）應具備分權(quán)分域的控制規(guī)則；

f）應具備日志、審計信息的標準字段定義和完整性檢查規(guī)則；

g）應具備告警信息的處置規(guī)則；

7

T/CAICIXXXXX—XXXX

h）可支持策略編排，按業(yè)務場景對用戶認證、終端接入和訪問控制規(guī)則進行組合編制。

日志審計

日志審計指對零信任組件日志的處理分析能力，包括：

a）應支持對安全業(yè)務日志的管理審計，包括認證日志、鑒權(quán)日志和訪問日志等；

b）日志記錄應包含事件的基本信息，包括發(fā)生時間、事件類型、用戶標識、操作行為等；

c）應支持按組合條件對日志進行過濾檢索，包括按業(yè)務類型、按記錄字段、按關鍵字等；

d）宜具備標準化的日志查詢和上報能力。

告警處置

告警處置指對用戶訪問的安全風險和異常事件進行告警和處理的能力，包括：

a）應支持按風險來源對風險事件進行分類處理，包括但不限于：

1)終端環(huán)境類風險，如安裝非準入軟件、未安裝防病毒軟件；

2）賬號變化類風險，如賬號鎖定；

3）認證類風險，如終端首次接入；

4）審計行為風險，如異常頻次訪問，異常時間登錄，非常用IP訪問；

5）授權(quán)變化風險，如授權(quán)關系變動，賬號權(quán)限異常；

b）應支持按嚴重性對風險事件進行分級告警，例如低級、中級、高危；

c）告警內(nèi)容應包含風險事件的基本信息，包括告警主體、來源終端設備、源IP，告警描述、告警

時間和分類等級等；

d）應支持對風險告警的過濾查詢與歸并存儲。

8基礎平臺能力

安全自保

安全自保指零信任安全體系的自我保護能力，包括：

a）應提供對底層系統(tǒng)環(huán)境和基礎組件的安全加固，包括但不限于：

1）應關閉不需要的系統(tǒng)服務、默認共享和高危端口；

2）應修改默認管理員賬戶名和默認密碼；

3）應修復基礎組件的安全缺陷和漏洞；

b）管理角色的權(quán)限應滿足職責分離的要求，例如管理員、審計員和業(yè)務員；

c）應支持對管理操作的全過程審計，包括注冊、登錄、配置、注銷等操作；

d）應支持對敏感數(shù)據(jù)的加密存儲和傳輸，例如用戶信息、密碼信息、審計信息；

e）應支持采用國密算法實