各行业随着数字化转型的推进,安全需求愈发迫切,各行业纷纷开始探索利用零信任构建安全体系。中国信通院调研了三十余家零信任供应侧企业在各行业的应用实施情况,如图所示,政府机关、信息技术服务业、电信业作为排头兵,零信任应用占比靠前,金融业、制造业和交通业零信任用占比处于中部。
来源:中国信通院 2024年10月
零信任行业应用占比情况
越来越多行业关注零信任应用。对于政府机构,一是关注零信任的实施改造与合规要求之间的协调性;二是因存储大量关系国计民生的重要数据,通过零信任实现数据安全防护也是政务行业的重点。对于信息技术服务业,一是涉及大量开发运维工作,且外包人员众多,远程办公、远程运维是零信任实施的重要场景;二是大型企业探索业务出海,分支机构分布于全球,多分支机构的零信任接入体验是行业关注的重要方向。对于电信行业,电信行业涉及大量敏感数据和跨网关键信息基础设施,面临着严峻的内部威胁与外部攻击风险,零信任可以有效降低内部和外部的安全风险。对于金融业,因受较强的监督管理,更加关注零信任在实现行业合规要求方面的意义和作用。对于制造业,信息化设备尤其是物联网设备众多,用户希望通过零信任对各类设备进行统一安全管理。对于交通行业,在智能交通系统、车联网(V2X)以及自动驾驶技术日益普及的背景下,零信任有效确保网络联通和数据的安全性,为交通信息安全传输提供保障。
自2019年中国信通院云大所相关团队开始关注零信任应用的发展动态,2020年联合业内云厂商、安全厂商、零信任专精型企业专家,编写“面向云计算的零信任体系”系列标准,形成《面向云计算的零信任成熟度评价模型》。并依据标准开展零信任成熟度评估。现通过零信任成熟度分级能力检验,对各行业企业零信任应用能力进行摸排,为各行业IT安全进一步提升提供指引。
评估标准:《面向云计算的零信任成熟度评价模型》
评估企业零信任建设前中后期是否具备相应能力:
建设前期
建设前期对组织的零信任战略能力进行评估,有全局目标的谋划,按规划推动零信任安全架构落地,并为零信任战略实施提供保障措施。
建设中期
建设中期对组织内零信任技术建设相关的6个能力域进行评估:身份安全能力、终端安全能力、网络安全能力、应用云工作负载安全能力、数据安全能力、安全运营能力。
评估领域:其中,依据企业建设情况,企业可选择六个能力域中的任意能力域组合进行测试,如企业落地零信任主要是:
通过终端方案解决访问控制的安全问题,可以选择身份+终端领域进行测试;
解决云工作负载的访问安全问题,可以选择身份+应用云工作负载领域进行测试;
以此类推,灵活组合……
建设后期
建设后期对组织的零信任运维与运营能力进行评估,包括是否定期纳管企业新增业务资源,是否能对企业安全防护架构面临的安全威胁及时响应并处置等。
评估场景:六大场景,十个细分场景,企业选取目标场景开展测试
零信任应用成熟度评估
面向对象:零信任应用侧企业
首先从六大领域选择自身测试领域,主要看应用侧企业使用零信任解决自身哪些领域的安全问题,可以灵活组合;
其次选择某应用场景,测试该场景下零信任应用能力;
最终依据分数达到基础级、先进级、卓越级三级中某一级。
零信任能力成熟度评估
面向对象:零信任供应侧企业
首先从六大领域选择自身测试领域,主要看供应侧企业能够提供解决哪些领域安全问题的零信任解决方案,可以灵活组合;
其次选择某应用场景,测试该场景下零信任建设能力;
最终依据分数达到基础级、先进级、卓越级三级中某一级。
零信任应用成熟度通过企业
电信行业首批
天翼安全科技有限公司(中国电信股份有限公司网络安全产品运营中心)
金融行业、制造业、交通业等行业首批评估正在进行中!
详情垂询
吴倩琳 | 开源和软件安全部
云计算与大数据研究所 | 中国信息通信研究院
电话:13436559311
长按二维码关注
链接云端,可信而安
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...