面向云计算的零信任体系 第6部分：数字身份安全能力要求

面向云计算的零信任体系第6部分：数字身份安全能力要求本文件规定了数字身份安全能力要求，包括身份管理能力要求、身份认证能力要求、身份凤险分析能力要求、授权和访问控制能力要求、审计管理能力要求、开发与集成管理能力要求和通用能力要本文件适用于供应商开发、设计和建设基于零信任的数字身份安全管控产品或解决方案。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T29242-2012信息安全技术鉴别与授权安全断言标记语言GB/T31504-2015信息安全技术鉴别与授权数字身份信息服务框架规范3术语、定义和缩略语3.1术语和定义GB/T29242-2012和GB/T31504-2015界定的以及下列术语和定义适用于本文件。访问主体accesssubject能访问客体的主动实体访问客体accessobject系统中可供访问的资源。根据对主体数字身份信息的评估，确定一个主体是否可以对资源实施指定类型的访问的过程。一旦某个主体被鉴别，就可能拥有某些类型的访问权限。2YD/TxXXXx—xXXx主体在互联网中的虚拟身份表示，关联了与该主体相关的属性信息，通常由一个账户标识其唯一数字身份信息digitalidentityinformation与数字身份关联的主体相关的属性信息。下列缩略语适用于本文件。ABAC:基于属性的访问控制模型(Attribute-BasedAccessControl)ACL:访问控制列表(AccessControlList)AES:高级加密标准(AdvancedEneryptionStandard)API:应用程序编程接口(ApplicationProgramInterface)CAS:中央认证服务(CentralAuthenticatiFIDO:线上快速身份验证(FastIdentityOnline)LDAP:轻量目录访问协议(LightweightDirectoryAccessProtocol)MAC:强制访问控制模型(MandatoryAccessControl)PBAC;基于策略的访问控制(Policy-BasedAccessControl)PKI:公钥基础设施(PublicKeyInfrastructure)RBAC₁基于角色的访问控制(Role-BasedAccessControl)SAML:安全断言标记语言(SecurityAsertionMarkupLanguageSDK:软件开发工具包(SoftwareDevelopnentKit)5数字身份安全关键要素数字身份安全关键要素如图1所示，核心组成要素由七部分组成：身份管理、身份认证、授权管理、审计管理、身份风险分析、开发与集成管理和通用能力。此外，数字身份安全管理系统可从上游系统同步数字身份信息至下游应用系统，可与第三方系统对接获取数字身份信息，可与安全系统进行联动以提升身份风险分析准确性，为零信任策略控制提供更精准的判定依据。YD/Txxxxx—xxxx上游系上游系身图1数字身份安全关键要素a)身份管理能力指管理访问主体和访问客体在组织内多个系统或应用中身份的能力，包括数字身份管理、属性管理、角色管理、身份生命周期管理、身份源管理和自服务管理b)身份认证能力指通过一系列手段完成访问主体身份确认的能力，包括对认证源管理、用户认证、c)身份风险分析能力指对组织内访问主体和访问客体进行风险分析，为零信任策略控制提供更具预测性和规范性分析结果的能力，包括全域风险感知和风险评估与处置；d)授权管理能力指对组织内资源权限的细粒度分配能力，包括访问控制和特权访问管理：e)审计管理能力指对组织内访问主体行为异常、账号异常等分析的能力，包括日志审计、合规审计f)开发与集成管理指数字身份安全平台的二次开发能力以及与其他系统的对接能力，包括开发友好、API开放、集成能力和接口支持；g)通用能力指数字身份安全平台自身应具备保障系统正常运行的基本能力，包括数据安全性、业务连续性、多租户隔离性和三员管理6身份管理能力要求数字身份管理对数字身份信息进行集中管理，为访问主体和访问客体提供唯一标识，具体要求如a)应支持为访问主体与客体身份分配唯一数字标识：b)应支持统一数字身份存储；c)应支持身份数据的清洗，形成统一的身份管理体系d)应支持组织架构管理，包括但不限于组织架构的增、删、改、查等e)应支持账号管理，对集成的应用系统账号进行管理，包括但不限于账号开通、删除、分类等。6.2属性管理应支持对访问主体与访问客体的属性进行管理，具体要求如下：a)应支持对用户属性的配置，包括但不限于性别、年龄、部门、岗位、职级、在职状态等b)应支持对组织属性的配置，包括但不限于组织名称、创建时间、创建方式等c)应支持对设备属性的配置，包括但不限于设备类别、级别、部门归属等：d)应支持对云工作负载属性的配置，包括但不限于云工作负载ID、创建时间、类别等；e)应支持对应用属性的配置，包括但不限于应用ID、创建来源、应用名称、应用图标等f)应支持对API属性的配置，包括但不限于创建时间、API名称、API类别等。应支持角色设置，降低管理员配置权限的难度，具体要求如下：a)应支持角色管理，包括但不限于角色的新增、编辑、删除、启用/停用等：b)应支持角色授权，赋予角色相应访问权限：c)应支持角色用户管理，添加、解绑角色所属用户。6.4身份生命周期管理身份生命周期管理指身份的产生到消亡的整个过程，应对组织内各类实体制定管理流程，具体要求如下；a)应支持对各类实体制定身份生命周期管理流程：1)对企业员工制定身份生命周期管理流程，包括但不限于入职、休假、调岗、离职等：2)对设备制定身份生命周期管理流程，包括但不限于入库、激活、闲置、维修、报废等：3)对应用制定身份生命周期管理流程，包括但不限于开发、测试、上线、维护、下线等；4)对API制定身份生命周期管理流程，包括但不限于开发、测试、发布、维护、下线等。b)应支持对账户状态进行管理：c)应支持对数字身份的备份和注销。6.5身份源管理身份源管理主要负责从上游系统和第三方系统同步身份信息，供下游系统使用，具体要求如下：a)上游同步，即将上游权威身份源的数据对接至身份管理平台：1)应支持同步账号基本信息、职位关联信息等2)应支持将多个系统用户数据汇聚、去重、归并为一个完整的用户目录，便于统一管理包括但不限于人力资源系统、AD、第三方社交认证源等：3)应支持对多身份源进行手动或自动管理。b)下游同步，即将身份管理平台的数据对接至下游：1)应支持按需从身份管理系统对接组织机构、用户数据至其他数据源或下游应用系统：2)应支持使用LDAP、API等方式进行同步3)应支持对敏感信息的向下同步设置规则。6.6自服务管理5YD/TxXXXx—xXXx自服务管理指用户对数字身份进行自助管理，提升用户体验与企业管理效率，具体要求如下：a)应支持身份信息维护；c)应支持身份找回；d)应支持账号更替；f)应支持任务管理：g)应支持可选自服务管理。7身份认证能力要求7.1认证源管理应支持使用第三方提供的认证服务，具体要求如下：a)应支持对第三方社交认证源管理，例如，微信、钉钉；b)应支持对内部认证源管理，例如，AD、LDAP。7.2用户认证数字身份管理平台应支持至少一种不同用户认证类别，提升用户登录体验，具体要求如下a)应支持使用用户所知进行用户认证，包括但不限于静态口令、验证码等：b)应支持使用用户所持进行用户认证，包括但不限于U盾、FID0设备、移动终端上的手势认证、二维码、动态口令等：c)应支持使用用户生物特征进行用户认证，包括但不限于指纹、人脸、声纹、虹膜等；d)应支持使用第三方用户认证，包括但不限于微信、钉钉等数字身份安全管理系统应支持设备认证，以防止设备被慕改或仿冒，具体要求如下：a)应支持对设备的认证进行人工审核、撤销；b)应支持对设备的人工批量认证：c)应支持自动认证和自助认证等设各认证方式。7.4认证方式管理数字身份安全管理系统应支持协议类认证和证书类认证，具体要求如下a)协议类认证方式管理：应支持常见的认证协议，包括但不限于CAS、SAML、0IDC、Kerberos、b)证书类认证方式管理：1)应支持证书模板管理，包括但不限于用户、设备数字身份证书等2)应支持证书验证，包括但不限于证书目录发布，证书撤销列表发布，在线证书状态查询认证策略指用户认证时使用何种策略，针对访问上下文采取不同的认证策略，具体要求如下a)应支持单因子身份认证；6b)应支持多因子身份认证：c)宜支持单点登录：d)宜支持联邦身份认证；e)应支持二次认证；f应支持对认证策略的灵活编排8身份风险分析能力要求8.1全域风险感知全域风险感知通过多维度进行风险信息采集与处理，以感知身份全生命周期可能存在的风险，具体要求如下：a)应支持对设备风险、行为凤险、网络风险、环境风险等多种维度风险信息进行采集：b)应支持多种类型风险感知策略，包括但不限于时间、黑白名单、地点、行为等8.2风险评估与处置对感知风险进行量化及处置，具体要求如下：a)应支持对感知的风险进行量化评估，包括但不限于1)应支持风险评分计算，如经过多源评估得出的风险分数与凤险处置策略对应2)应支持逻辑关系设置，如未安装某软件与风险处置策略对应。b)应支持多种风险处置策略，包括但不限于。1)应支持风险阻断，如登录注销：3)应支持权限收敛，如账户锁定；9授权和访问控制能力要求9.1访问控制访问控制指根据系统设置的安全规则或者安全策略，用户可以访问且只能访问被授权的资源，具体要求如下；a)应支持对访问过程进行动态访间控制b)应支持多种访问控制模型，包括但不限于RBAC,ABAC、PBAC、DAC、MAC、RBAC+ACL等：c)应保证权限策略的设置符合一定规则，包括但不限于1)一致性：策略之间不冲突；2)统一性：对所有资源进行管理控制时，安全策略统一贯彻3)可审计性：所有授权有记录可审查。d)应支持对权限策略类别进行管理，包括但不限于系统策略和自定义策略等e)应支持细粒度授权，包括但不限于应用、模块、菜单等。9.2特权访问管理特权访问管理指发现、管理多个应用系统上的特权账号与特权访问操作的过程，具体要求如下：YD/Txxxxx—xxxxa)应支持人员、软件和设备的特权账号：b)应支持特权场景管理；c)应支持特权账号权限和会话管理d)应支持特权升级和委派管理；o)应支持关键操作保护；10审计管理能力要求日志审计指对日志中记录的信息进行审计和检查，发现存在异常，具体要求如下：a)应支持对数字身份管理过程进行审计，包括但不限于数字身份信息开通、授权变更、身份终b)应支持访问类审计，包括但不限于用户与设备的登入、登出等访问行为c)应支持接口调用类审计，包括但不限于重置密码、信息同步等接口；d)应支持信息修改类审计，包括但不限于密码修改、个人信息修改等10.2合规审计合规审计指对账号与权限的设计合规性进行管控的过程，具体要求如下：a)应支持账号合规审计，对不活动账号、过期账号、孤儿账号、重复账号、特权账号、接口账b)应支持权限合规审计，判定用户所拥有的权限是否冲突，如越权行为、滥用权限、权限合理性、孤儿权限、权限互斥、权限变更、私开权限等进行审计；安全审计指根据审计服务收集的日志记录，识别高危操作等风险的过程，具体要求如下：a)应支持对日志进行安全分析，判断用户操作、设备访问、应用和API调用等是否符合权限要求；b)应支持问题定位，当某个特定资源或动作出现问题，通过日志进行定位：c)应支持安全审计日志的查看与导出。11.1开发友好开发友好指为开发者提供友好的开发环境和完备的帮助文档，具体要求如下a)应支持开发对接应提供多种开放API,供第三方开发者进行二次开发，以实现功能定制化，包括但不限于组织管理、用户管理、应用管理等。11.3集成能力数字身份安全管理系统应对类似功能提供集成解决方案，同时，需要与企业已有身份体系进行对接集成，具体要求如下a)提供集成能力：b)对企业已有身份体系的集成；2)应支持账户统一，即有管辖权：3)应支持权限统一，即