T-CATIS 028-2024 零信任能力成熟度模型

ICS35.080CCSL77ZerotrustcapabilitymaturityIT/CATIS028—2024 12规范性引用文件 13术语、定义和缩略语 14概述 25零信任身份要求 35.1一级能力要求 35.2二级能力要求 35.3三级能力要求 46零信任设备要求 56.1一级能力要求 56.2二级能力要求 66.3三级能力要求 67零信任网络要求 77.1一级能力要求 77.2二级能力要求 87.3三级能力要求 88零信任应用和工作负载要求 98.1一级能力要求 98.2二级能力要求 8.3三级能力要求 9零信任数据要求 9.1一级能力要求 9.2二级能力要求 9.3三级能力要求 10零信任可视化和分析要求 10.1一级能力要求 10.2二级能力要求 10.3三级能力要求 11零信任自动化编排和安全运营要求 11.1一级能力要求 11.2二级能力要求 11.3三级能力要求 T/CATIS028—2024附录A（资料性）零信任能力成熟度评估流程和模型使用方法 附录B（资料性）一级零信任能力评估方法 附录C（资料性）二级零信任能力评估方法 附录D（资料性）三级零信任能力评估方法 T/CATIS028—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国服务贸易协会信息技术服务委员会提出。本文件由中国服务贸易协会归口。本文件起草单位：深圳竹云科技股份有限公司、中国服务贸易协会信息技术服务委员会、国家计算机网络应急技术处理协调中心、中国石油化工集团有限公司、中国海洋石油集团有限公司、中国有色矿业集团有限公司、石化盈科信息技术有限责任公司、华为技术有限公司、中国电信集团有限公司、中国软件评测中心、广州市信息安全测评中心、中国石化集团共享服务有限公司、北京华科软科技有限公司、国新数据有限责任公司、中电云计算技术有限公司、广州越秀集团股份有限公司、中能建数字科技集团有限公司、广州蓬勃教育科技有限公司、国家体育总局体育彩票管理中心。本文件主要起草人：谢坚、陈世俊、黄超、赵洪岩、王同良、刘阳、王庆、黄喆磊、杨宇帆、敖玉泠、景志尧、李想、杨少兵、张婷婷、陈昱翰、周润松、徐超、向辉、韩世聪、陈源、李云志、万民、刘延鹏、麻恒瑞、史鉴、廖均龙、张宁、曾志刚。1T/CATIS028—2024零信任能力成熟度模型本文件确立了组织机构零信任能力的成熟度模型架构，规定了各级别的能力要求，提供了各级别的能力评估流程和方法。本文件适用于对组织机构零信任能力进行评估，以及作为组织机构开展零信任能力建设时的依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T43696—2024信息安全技术零信任参考体系架构3术语、定义和缩略语3.1术语和定义GB/T43696—2024界定的以及下列术语和定义适用于本文件。3.1.1零信任zerotrust；ZT一种以资源保护为核心的网络安全理念。认为对资源的访问，无论主体和资源是否可信，主体和资源之间的信任关系都需要从零开始，通过持续环境感知与动态信任评估进行构建，从而实施访问控制。3.1.2零信任能力zerotrustcapability基于零信任在身份、设备、网络、应用、数据等方面对资源的安全保障能力。3.2缩略语下列缩略语适用于本文件。API：应用程序接口（applicationprograminginterface）DevSecOps：开发安全运营（Development、Security、Operations）PKI：公钥基础设施（PublicKeyInfrastructure）2T/CATIS028—20244概述本文件依据资源保护为核心的网络安全理念，将零信任能力分为三个等级，从低到高依次是一级、二级和三级，其中一级要求主要体现基础能力的实现，二级要求主要体现工具化使用及自动化处理，三级要求主要体现通过智能化手段实现动态管理和处置能力。一二三级的零信任能力要求包括身份、设备、网络、应用和工作负载、数据、可视化和分析、自动化编排和安全运营七个方面共33个部分，如图1所示。第5章到第11章分别规定了七个方面的能力部分，以及一级、二级和三级零信任能力要求，高级别在低级别的基础上提出增强要求或新的要求。零信任身份要求是基于身份信息持续地进行身份的验证、访问控制和行为管理，以管理用户的授权、访问和特权。身份信息包括的用户、设备、软件应用、系统等对象的自然属性信息、身份鉴别属性信息、访问行为属性信息等。零信任设备要求是了解设备的健康状况和状态，实时检查、评估和修补设备问题，为风险决策提供信息。零信任网络要求是使用动态的、细粒度的策略和访问控制来分段、隔离和控制（物理上的和逻辑上的）网络环境。零信任应用和工作负载要求是保护从应用程序开发到管理程序的一切安全，也包括容器和虚拟机的保护。零信任数据要求是零信任所指数据包括由企业信息基础设施、业务应用系统所承载的各类数据，含业务数据和系统数据等。零信任可视化和分析要求是分析事件、活动和行为，以推导上下文，并应用智能化手段来实现高度个性化的模型，从而提高实时访问决策时的检测和反应时间。3T/CATIS028—2024零信任自动化编排和安全运营要求是基于智能手段自动安全响应，辅助安全运营流程和应急响应流程落地。零信任能力成熟度评估根据被评估组织机构申请的能力级别，按照相应级别的零信任能力要求进行评估。附录A给出了整体评估流程和零信任能力成熟度模型使用方法。一级、二级和三级零信任能力各项要求的评估方法见附录B、附录C和附录D。5零信任身份要求5.1一级能力要求5.1.1身份目录身份目录要求如下（包括但不限于）：具有针对特定系统的业务应用的身份目录，包括内外部用户和特权用户的身份信息。5.1.2受限用户访问受限用户访问要求如下（包括但不限于）：基于身份目录，通过预定义的访问控制规则，授权和控制用户的访问，并遵循最小权限原则。5.1.3多因素认证多因素认证要求如下（包括但不限于）：基于身份目录，针对特定系统的业务应用的用户认证时，采用两种不同因素的认证方式。5.1.4用户行为和情境用户行为和情境要求如下（包括但不限于）：收集整理特定系统的基本的用户行为和情境信息。5.1.5持续认证持续认证要求如下（包括但不限于）：基于身份目录，针对特定系统的跨业务应用的会话中，进行单次认证。5.1.6证书管理证书管理要求如下（包括但不限于针对特定系统的数字证书使用和维护。5.2二级能力要求5.2.1身份目录身份目录要求如下（包括但不限于）：a)建立企业范围内统一的身份目录，目录中包括用户、应用、系统和设备等身份信息；b)支持与其他系统的身份联动管理和用户联邦认证；c)通过工具维护身份目录。4T/CATIS028—20245.2.2受限用户访问受限用户访问要求（包括但不限于）：基于身份目录，通过工具自动化维护访问控制规则、用户访问以及管理特权用户访问，并遵循最小权限原则。5.2.3多因素认证多因素认证要求如下（包括但不限于）：a)基于身份目录，对企业范围内各系统进行用户认证时，采用至少两种不同的认证方式；b)通过工具自动化维护认证方式，以及用户认证。5.2.4用户行为和情境用户行为和情境要求如下（包括但不限于）：a)通过工具自动化采集企业范围内系统的全面的用户行为和情境信息；b)通过工具自动化识别用户访问行为和情境信息，为用户访问行为风险评估提供支持。5.2.5持续认证持续认证要求如下（包括但不限于）：a)基于身份目录，对企业范围内跨业务应用的会话中，进行触发式多次认证；b)基于身份目录，通过工具自动化周期性认证。5.2.6证书管理证书管理要求如下（包括但不限于）：a)具有企业范围内的公钥基础设施（PKI）系统；b)PKI系统中包含企业范围内各系统的用户数字证书信息，以及非用户实体数字证书信息；c)与多因素认证工具集成，提供数字证书认证方式。5.3三级能力要求5.3.1身份目录身份目录要求如下（包括但不限于）：a)建立企业范围内统一的身份目录，目录中包括用户、应用、系统和设备等身份信息；b)支持与其他系统的身份联合管理和用户联邦认证；c)通过工具自动化维护身份目录和全生命周期管理；d)持续更新身份目录中用户属性信息，以支持更多、更新的身份认证和授权相关功能的需要。5.3.2受限用户访问受限用户访问要求如下（包括但不限于）：a)基于身份目录，通过工具自动化维护访问授权规则、用户访问以及管理特权用户访问，并遵循最小权限原则；5T/CATIS028—2024b)基于人工智能技术，智能化用户访问。5.3.3多因素认证多因素认证要求如下（包括但不限于）：a)基于身份目录，对企业范围内各系统进行用户认证时，采用至少两种不同的认证方式；b)通过工具自动化维护认证方式和用户认证；c)持续更新认证方式，以支持更多、更新的多因素认证。5.3.4用户行为和情境用户行为和情境要求如下（包括但不限于）：a)通过工具自动化采集企业范围内系统的全面的用户行为和情境信息；b)通过工具自动化识别用户行为和情境信息，为用户访问行为风险评估提供决策支持；c)基于人工智能技术，智能化识别用户行为和情境。5.3.5持续认证持续认证要求如下（包括但不限于）：a)基于身份目录，对企业范围内各系统所产生的事务，按照安全要求进行持续认证；b)通过工具自动化持续认证能力。5.3.6证书管理证书管理要求如下（包括但不限于）：a)具有企业范围内的公钥基础设施（PKI）系统；b)PKI系统中包含企业范围内各系统的用户数字证书信息，以及非用户实体数字证书信息；c)与多因素认证工具集成，提供数字证书认证方式；d)PKI系统支持包含用户的生物特征信息。6零信任设备要求6.1一级能力要求6.1.1设备目录管理设备目录管路要求如下（包括但不限于）：具备允许访问网络的特定设备基础信息目录，包括硬件配置信息等。6.1.2统一端点管理和移动设备管理统一端点管理和移动设备管理如下（包括但不限于）：a)基于设备目录，具备对特定端点设备和移动设备的统一管理和防病毒管理；b)具备远程推送和执行基本的安全策略能力，如用户认证要求、软件安装限制等；c)具备基础的安全访问控制策略，对所有访问网络的办公设备安全检测，只对通过检测的设备赋予授权访问能力。6T/CATIS028—20246.1.3设备检测和合规设备检测和合规要求如下（包括但不限于）：a)具备访问网络的关键设备合规检测机制；b)通过手动对访问网络的关键设备进行合规检测和审计；c)通过检测与响应工具对关键设备进行自动化的检测与响应，包括发现、分析以及补救等。6.1.4设备漏洞和补丁管理设备漏洞和补丁管理要求如下（包括但不限于）：a)针对特定的关键设备，通过手动下载、测试和部署的已知漏洞补丁；b)通过手动输出简单的风险记录和报告。6.2二级能力要求6.2.1设备目录管理设备目录管理要求如下（包括但不限于）：a)具备允许访问网络的企业范围内业务对应设备详细信息目录，包括硬件配置信息、操作系统环境信息、设备运行状态信息及设备关系绑定信息等；b)通过工具自动化维护设备可信目录。6.2.2统一端点管理和移动设备管理统一端点管理和移动设备管理如下（包括但不限于）：a)基于设备目录，具备对企业范围内端点设备和移动设备的统一管理和防病毒；b)具备远程推送和执行基本的安全策略能力，如用户认证要求、软件安装限制等；c)具备进阶的安全访问控制策略，集成合规检测工具，识别设备异常活动，对所有访问网络的设备进行安全检测，只对通过检测的设备赋予授权访问能力。6.2.3设备检测和合规设备检测和合规要求如下（包括但不限于）：a)按照国家对设备安全规范和标准，建立统一的设备合规机制；b)通过合规检测工具对所有访问网络的设备进行合规检测、统一调度、审计及响应处理；c)通过检测与响应工具对访问网络的设备进行自动化的检测与响应，包括发现、分析以及补救等。6.2.4设备漏洞和补丁管理设备漏洞和补丁管理要求如下（包括但不限于）：a)具备对所有访问网络的设备进行定期自动化的漏洞扫描和风险评估能力；b)具备自动输出风险评估报告，制定补丁优先级部署计划，自动化或半自动下载、测试和部署漏洞补丁管理能力。6.3三级能力要求6.3.1设备目录管理7T/CATIS028—2024设备目录管理要求如下（包括但不限于）：a)具备允许访问企业范围内业务对应设备详细信息目录，包括硬件配置信息、操作系统环境信息、设备运行状态信息及设备关系绑定信息等；b)通过工具自动化维护设备可信目录；c)持续更新可信目录中设备的信息，以支持更多的零信任终端安全相关功能的需要。6.3.2统一端点管理和移动设备管理统一端点管理和移动设备管理如下（包括但不限于）：a)基于设备目录，具备对企业范围内端点设备和移动设备的统一管理和防病毒；b)具备远程推送和执行基本的安全策略能力，如用户认证要求、软件安装限制等；c)具备安全访问控制策略，集成PKI系统和检测与响应工具等，对设备进行自动化风险综合评估和安全检测，只对通过检测的设备赋予授权访问能力；d)基于人工智能技术，智能化持续评估，结合合规检测、漏洞补丁管理工具，对可信目录的设备进行终端安全保护。6.3.3设备检测和合规设备检测和合规要求如下（包括但不限于）：a)按照企业对设备安全规范和标准，建立统一的设备合规机制；b)集成基础和扩展设备工具，对所有访问网络的自带、办公、物联网等设备进行较全面的检测、统一调度、审计及响应处理；c)基于人工智能技术，进行智能化的合规检测，引入扩展检测与响应工具对关键设备、网络、云应用程序等进行跨多个安全领域自动化的检测与响应，包括发现、分析以及补救等。6.3.4设备漏洞和补丁管理设备漏洞和补丁管理要求如下（包括但不限于）：a)具备对所有访问网络的设备进行持续自动化的漏洞扫描和风险评估；b)具备集成威胁情报工具，自动输出风险评估报告，制定补丁优先级部署计划，全自动化下载、测试、部署和验证漏洞补丁管理能力；c)基于人工智能技术，进行智能化的漏洞和补丁维护管理。7零信任网络要求7.1一级能力要求7.1.1数据流映射数据流映射要求如下（包括并不限于）：具备收集和映射特定系统数据和资产相关的网络流量数据流。7.1.2分段控制8T/CATIS028—2024分段控制要求如下（包括并不限于）：a)具备对特定系统资源进行逻辑分段能力，限制所访问资源之间的横向移动，分离不同层级的应用程序和分离生产与非生产等环境或按物理位置；b)根据其虚拟化或云环境中的身份和应用程序访问定义和控制网络分段。7.1.3软件定义网络软件定义网络要求如下（包括并不限于）：a)基于数据流映射，落地针对特定系统网络设备采集、登记并管理；b)具备数据流分段控制、管理和数据平面分离，通过控制器实现对网络的灵活控制和管理。7.2二级能力要求7.2.1数据流映射数据流映射要求如下（包括并不限于）：a)具备收集、映射和可视化数据、资产、API接口等的网络流量数据流；b)为数据流定义细粒度控制访问规则和策略并部署到现有网络技术中；c)利用数据标记和分类标准定义细粒度控制访问规则和策略。7.2.2分段控制分段控制要求如下（包括并不限于）：a)具备对全网资源进行逻辑分段能力，限制所访问资源之间的横向移动，分离用户与应用程序、分离不同层级的应用程序，分离生产与非生产等环境或按物理位置；b)根据虚拟化或云环境中的数据流和应用网络进行定义和控制网络分段。7.2.3软件定义网络软件定义网络要求如下（包括并不限于）：a)基于数据流映射，落地业务对应网络资产发现、登记、管理相关能力；b)具备数据流分段控制、管理和数据平面分离，通过动态控制器实现对网络的控制和管理；c)定义API决策点并落地可编程基础设施，可根据数据流控制策略，定义网络控制决策点并控制。7.3三级能力要求7.3.1数据流映射数据流映射要求如下（包括并不限于）：a)具备收集、映射和可视化数据、资产、API接口、服务等的网络流量数据流；b)为数据流定义细粒度控制访问规则和策略并部署到现有网络技术中；c)利用数据标记和分类标准定义细粒度控制访问规则和策略来开发用于API；d)智能化识别数据量数据，根据数据内容动态增加识别与操作规则和策略。7.3.2分段控制9T/CATIS028—2024分段控制要求如下（包括并不限于）：a)具备对新增资源自动化进行逻辑分段能力，限制所访问资源之间的横向移动，分离不同层级的应用程序、分离用户与应用程序、分离生产与非生产等环境或按物理位置；b)具备在企业范围内网络上的数据、资产、API和服务等之间分段能力；c)使用智能化手段通过编程方法应用分段策略的更改，强制对分段内的横向移动进行精细控制。7.3.3软件定义网络软件定义网络要求如下（包括并不限于）：a)基于数据流映射，落地全网网络资产发现、登记、可视化管理相关能力；b)具备流分段控制、管理和数据平面分离，通过动态控制器实现对网络的灵活控制和管理；c)定义API决策点并落地可编程基础设施，可根据数据流控制策略，动态定义网络控制决策点并控制；d)对网络流量进行集中监控和管理，具备自动化、编排和可编程性，落地动态策略更新功能。8零信任应用和工作负载要求8.1一级能力要求8.1.1应用目录应用目录要求如下（包括但不限于建立特定应用程序目录。8.1.2安全软件开发与集成安全软件开发于集成要求如下（包括但不限于）：a)基于应用目录，落地应用程序代码审查、运行时保护和安全API网关等控制措施；b)根据组织机构的要求（政策、技术和流程）在应用上线前，完成静态应用安全测试。8.1.3软件供应链安全管理软件供应链安全管理要求如下（包括但不限于）：基于应用目录，建立特定应用程序的供应链风险管理。8.1.4资源授权与整合资源授权于整合要求如下（包括但不限于）：a)基于应用目录，审查用户、设备和应用程序安全状况；b)基于管理流程对访问进行授权、核验、删除授权等定期审核。8.1.5持续监测和授权持续检测和授权要求如下（包括但不限于）：a)基于应用目录，针对应用程序用自动化工具和流程持续检测；b)基于应用目录，通过工具对应用程序评估进行授权。T/CATIS028—20248.2二级能力要求8.2.1应用目录应用目录要求如下（包括但不限于）：建立企业范围内的所有生产应用程序和其他形态的应用目录。8.2.2安全软件开发与集成安全软件开发于集成要求如下（包括但不限于）：a)基于应用目录，落地应用程序代码审查、运行时保护和安全API网关等控制措施均已集成并实现自动化；b)定制软件开发团队使用DevSecOps根据组织机构的要求（政策、技术和流程）在应用上线前，完成静态应用安全测试、动态应用安全测试。8.2.3软件供应链安全管理软件供应链安全管理要求如下（包括但不限于）：基于应用目录，通过工具建立企业范围内应用程序的供应链风险管理。8.2.4资源授权与整合资源授权于整合要求如下（包括但不限于）：a)基于应用目录，建立基于应用API授权网关，采用风险方法审查用户、设备和应用程序的授权和安全状况；b)采用编程方法，基于风险对访问进行授权、持续核验、删除授权的能力。8.2.5持续监测和授权持续检测和授权要求如下（包括但不限于）：a)基于应用目录，针对应用程序和云服务等内容采用自动化工具和流程持续检测；b)基于应用目录，通过工具对身份和应用程序评估进行授权。8.3三级能力要求8.3.1应用目录应用目录要求如下（包括但不限于）：a)建立企业范围内的所有业务应用程序和其他形态的应用目录；b)具备应用程序发现和管理的工具，包括应用分类、清点和管理组织机构资产的能力。8.3.2安全软件开发与集成安全软件开发于集成要求如下（包括但不限于）：a)基于应用目录，落地应用程序的代码审查、运行时保护、安全API网关、容器和服务器安全等控制措施均已集成并实现自动化；T/CATIS028—2024b)定制软件开发团队使用DevSecOps根据组织机构的要求（政策、技术和流程）在应用上线前，完成静态应用安全测试、动态应用安全测试及交互式应用安全测试。8.3.3软件供应链安全管理软件供应链安全管理要求如下（包括但不限于）：a)基于应用目录，通过工具建立应用程序和其他形态应用的供应链风险管理计划；b)具备基于智能化的监控手段，主动发现问题、发现潜在威胁、识别和跟踪风险、自动评估和推荐可能的补救方法。8.3.4资源授权与整合资源授权于整合要求如下（包括但不限于）：a)基于应用目录，建立基于标准化应用API授权网关，采用风险方法审查用户、设备、应用程序和数据的授权和安全状况；b)采用编程方法，基于风险对访问进行授权、持续核验、删除授权的能力。8.3.5持续监测和授权持续检测和授权要求如下（包括但不限于）：a)基于应用目录，针对云工作负载、容器、应用程序、云服务或基础设施等内容采用自动化工具和流程持续检测；b)基于应用目录，通过工具对身份、设备、应用程序评估进行授权。9零信任数据要求9.1一级能力要求9.1.1企业数据治理企业数据治理要求如下（包括但不限于）：具有针对特定系统的数据分类分级标记规范或指南。9.1.2数据资产目录管理数据资产目录要求如下（包括但不限于）：具有针对特定系统的特定类型数据的基本数据资产目录。9.1.3数据分类分级标记数据分类分级标记要求如下（包括但不限于）：手动标记数据分类分级的基本元数据（指对数据的描述信息，如数据安全级别，数据保密级别等）。9.1.4数据监测感知数据检测感知要求如下（包括但不限于对关键数据的文件操作行为进行监测。T/CATIS028—20249.1.5数据加密和权限管理数据加密和权限管理要求如下（包括但不限于对关键数据的存储和传输进行加密处理。9.1.6数据丢失防护数据丢失防护要求如下（包括但不限于）：手动对关键数据的可疑泄露行为进行分析、拦截以及追溯。9.1.7数据访问控制数据访问控制要求如下（包括但不限于）：基于数据资产目录，通过手动配置关键数据的可访问路径，来控制数据的访问。9.2二级能力要求9.2.1企业数据治理企业数据治理要求如下（包括但不限于）：具有企业范围内统一的数据分类分级标记规范或指南。9.2.2数据资产目录管理数据资产目录要求如下（包括但不限于）：a)按照企业的数据分类分级标记规范或指南，建立统一的数据资产目录；b)通过工具自动化维护数字资产目录。9.2.3数据分类分级标记据分类分级标记要求如下（包括但不限于）：a)标记数据分类分级的基本元数据；b)标记数据分类分级的扩展元数据；c)通过工具自动化标记数据。9.2.4数据监测感知数据检测感知要求如下（包括但不限于）：a)对所有分类分级数据的文件的操作行为进行监测；b)对关键数据的数据库的操作行为进行监测。9.2.5数据加密和权限管理数据加密和权限管理要求如下（包括但不限于）：a)对所有分类分级数据的存储和传输进行了加密处理；b)基于数据资产目录，通过数据的权限管理工具，对数据进行自动化的加密保护。9.2.6数据丢失防护T/CATIS028—2024数据丢失防护要求如下（包括但不限于）：通过数据丢失防护工具，对关键数据进行自动化的丢失防护，包括分析、拦截以及追溯等。9.2.7数据访问控制数据访问控制要求如下（包括但不限于）：a)基于数据资产目录，通过软件定义存储工具自动化配置关键数据的可访问路径，来控制数据的访问；b)集成数据的权限管理、数据的丢失防护等工具，进行综合的数据访问控制。9.3三级能力要求9.3.1企业数据治理企业数据治理要求如下（包括但不限于）：具有企业范围内统一的数据安全治理政策或指南，全面涵盖数据分类分级、数据访问、数据存储和数据丢失防护等重要内容。9.3.2数据资产目录管理数据资产目录要求如下（包括但不限于）：a)按照企业的数据分类分级标记规范或指南，建立统一的数据资产目录；b)通过工具自动化维护数字资产目录；c)持续更新数字资产目录中数据的元数据信息，以支持更多、更新的数据安全相关功能的需要。9.3.3数据分类分级标记数据分类分级标记要求如下（包括但不限于）：a)标记数据分类分级的基本元数据和扩展元数据；b)通过工具自动化标记数据；c)基于人工智能技术，智能化标记数据。9.3.4数据监测感知数据检测感知要求如下（包括但不限于）：a)对所有分类分级数据的文件的操作行为进行监测；b)对关键数据的数据库的操作行为进行监测；c)对分类分级数据的所有活动进行综合监测。9.3.5数据加密和权限管理数据加密和权限管理要求如下（包括但不限于）：a)对所有分类分级数据的存储和传输进行了加密处理；b)基于数据资产目录，通过数据的权限管理工具，对数据进行自动化的加密保护；c)持续更新数据加密算法和方法。9.3.6数据丢失防护T/CATIS028—2024数据丢失防护要求如下（包括但不限于）：a)通过数据丢失防护工具，对关键数据进行自动化的丢失防护，包括分析、拦截以及追溯等；b)结合数据资产目录内容，基于人工智能技术，对关键数据进行智能化的丢失防护。9.3.7数据访问控制数据访问控制要求如下（包括但不限于）：a)基于数据资产目录，通过软件定义存储工具自动化配置关键数据的可访问路径，来控制数据的访问；b)集成数据的权限管理、数据的丢失防护等工具，进行综合的数据访问控制；c)结合数据资产目录内容，基于人工智能技术，进行智能化的数据访问控制。10零信任可视化和分析要求10.1一级能力要求10.1.1业务日志业务日志要求如下（包括但不限于）：具备采集特定业务日志，包括网络、应用程序、终端设备和身份日志，日志和事件遵循标准化格10.1.2安全信息和事件管理安全信息和事件管理要求如下（包括但不限于）：在业务日志的基础上，采集安全运营中心的监控、检测和分析数据，并形成安全信息和事件管理。10.1.3常见的安全和风险分析常见的安全和风险分析要求如下（包括但不限于）：在业务日志的基础上，结合安全信息和事件进行分析。10.1.4用户和实体行为分析用户和实体行为分析要求如下（包括但不限于）：基于业务日志，以用户为中心识别用户实体的非法活动或恶意盗用威胁。10.1.5威胁情报集成威胁情报集成要求如下（包括但不限于具备获取内外部威胁情报能力。10.1.6威胁处置威胁处置要求如下（包括但不限于）：具备基于安全分析结果，威胁处置手段。10.2二级能力要求T/CATIS028—202410.2.1业务日志业务日志要求如下（包括但不限于）：具备采集企业内业务日志，包括网络、数据、应用程序、设备和身份日志，日志和事件遵循标准化格式展示。10.2.2安全信息和事件管理安全信息和事件管理要求如下（包括但不限于）：a)在业务日志的基础上，采集网络防御服务、安全运营中心的监控、检测和分析数据，并将安全信息和事件管理记录到工具中并展示；b)具备通过工具输出安全信息和事件报告能力并展示。10.2.3常见的安全和风险分析常见的安全和风险分析要求如下（包括但不限于）：在业务日志的基础上，结合安全信息和事件多种数据类型，通过工具形成跨多种技术产品的分析功能并展示。10.2.4用户和实体行为分析用户和实体行为分析要求如下（包括但不限于）：基于业务日志，通过工具识别用户实体和非用户实体的非法活动、数据被盗及恶意使用威胁并展示。10.2.5威胁情报集成威胁情报集成要求如下（包括但不限于）：a)具备通过工具获取内外部威胁情报能力；b)具备通过工具与本地各类安全情报数据相结合，以实现风险预防和可见性。10.2.6威胁处置威胁处置要求如下（包括但不限于）：基于具备基于安全分析结果，通过工具联动各类安全处置工具。10.3三级能力要求10.3.1业务日志业务日志要求如下（包括但不限于）：a)具备采集企业内所有业务日志，包括网络、数据、应用程序、设备和身份日志，日志和事件遵循标准化格式，并根据需要制定规则分析展示；b)将这些日志提供给对应的网络防御服务或安全运营中心展示。10.3.2安全信息和事件管理安全信息和事件管理要求如下（包括但不限于）：T/CATIS028—2024a)在业务日志的基础上，采集网络防御服务、安全运营中心的监控、检测和分析数据，并将安全信息和事件管理记录到工具中并展示；b)根据用户和设备基线集成到工具中，根据基线形成告警级、报告及响应机制并展示。10.3.3常见的安全和风险分析常见的安全和风险分析要求如下（包括但不限于）：在业务日志的基础上，结合安全信息和事件多种数据类型，通过工具实现跨多种技术产品的分析功能，安全威胁检测功能，实时展示功能。10.3.4用户和实体行为分析用户和实体行为分析要求如下（包括但不限于）：a)基于业务日志，通过工具采用智能化手段识别用户实体和非用户实体的非法活动、数据被盗及恶意使用威胁并展示；b)即时、按需的自动策略生成转变为持续更新的授权。10.3.5威胁情报集成威胁情报集成要求如下（包括但不限于）：a)具备自动化方式实时获取内外部威胁情报能力；b)具备通过智能化手段与本地各类安全情报数据相结合，以实现最佳风险预防和可见性。10.3.6威胁处置威胁处置要求如下（包括但不限于）：使用智能化手段解决方案通过持续的安全态势监控、风险和信任评分以及自动补丁管理，动态地自动更新安全配置文件和设备配置。11零信任自动化编排和安全运营要求11.1一级能力要求11.1.1策略判定组件和策略的编排策略判定组件和策略的编排要求如下（包括但不限于）：a)具有针对特定系统的主要策略判定组件的统一策略目录；b)基于策略目录，手动编排策略到主要策略判定组件。11.1.2安全运营中心和应急响应安全运营中心和应急响应要求如下（包括但不限于）：a)建有针对特定系统的安全运营中心，并由专门的团队来运营；b)安全运营中心运营团队的核心成员要符合国家的网络安全从业人员能力基本要求；c)针对普通安全事件，安全运营中心有基本的应急预案和响应流程。T/CATIS028—202411.2二级能力要求11.2.1策略判定组件和策略的编排策略判定组件和策略的编排要求如下（包括但不限于）：a)具有针对特定系统的所有策略判定组件的统一策略目录；b)通过工具自动化维护统一策略目录；c)基于策略目录，通过工具自动化编排策略到策略判定组件。11.2.2安全运营中心和应急响应安全运营中心和应急响应要求如下（包括但不限于）：a)建有企业范围的安全运营中心，并由专门的团队来运营；b)安全运营中心运营团队成员均要符合国家的网络安全从业人员能力基本要求；c)针对普通和高等级安全事件，安全运营中心有完整的应急预案和响应流程；d)依托安全运营中心平台，基于机器人流程自动化技术，进行自动化的应急响应。11.3三级能力要求11.3.1策略判定组件和策略的编排策略判定组件和策略的编排要求如下（包括但不限于）：a)具有企业范围内所有策略判定组件的统一策略目录；b)通过工具自动化维护统一策略目录；c)基于策略目录，通过工具自动化编排策略到策略判定组件；d)基于人工智能技术，智能化编排策略。11.3.2安全运营中心和应急响应安全运营中心和应急响应要求如下（包括但不限于）：a)建有企业范围的安全运营中心，并由专门的团队来运营；b)安全运营中心运营团队成员均要符合国家的网络安全从业人员能力基本要求；c)针对普通和高等级安全事件，安全运营中心有完整的应急预案和响应流程；d)依托安全运营中心平台，基于机器人流程自动化技术，进行自动化的应急响应；e)依托安全运营中心平台，基于人工智能技术，进行智能化的应急响应。T/CATIS028—2024（资料性）零信任能力成熟度评估流程和模型使用方法A.1概述零信任能力成熟度的评估从身份、终端、网络、应用和工作负载、数据、可视化和分析、自动化编排和安全运营7个方面能力展开。通过对各项零信任能力的评估，可评估组织机构在零信任的实现能力属于哪一等级。能力评估流程应包括评估准备、评估实施、评估结论、报告编制4个阶段。A.2零信任能力成熟度评估流程A.2.1评估准备开展零信任能力成熟度评估应做好准备工作，评估方应组建评估小组，评估小组根据被评估方申请的能力级别，按照本文件规定的相应级别的零信任能力要求进行评估，准备评估文档材料、确定待评估业务系统等；被评估方应派相关人员做好准备待审核的佐证文档资料等配合工作。A.2.2评估实施在实施零信任能力评估时，评估小组根据被评估方申请评估的能力级别，采用适宜的评估方法进行评估，评估方法见附录B、附录C和附录D，包括查阅文档、现场查看、访谈问答、实际操作、应急演练等。a）查阅文档：查阅零信任各能力方面的技术文档、验收报告、应急预案等相关文字、音像资料和数据记录；b）现场查看：现场查看安全运营中心场所，零信任各能力方面的系统和设施；c）访谈问答：主要面向零信任架构人员、安全运营中心核心人员，了解其对本企业待评估业务系统的零信任各能力方面的实际运营情况；d）实际操作：主要评估本企业安全运营中心工作人员对零信任各能力方面的系统工具的掌握程度，以及这些系统带来的零信任安全实际效果；e）应急演练：主要通过进行应急演练抽查或观摩评估安全运营中心应急人员对应急工作流程和应急工具的掌握程度。A.2.3评估结论评估小组根据被评估方申请评估的零信任能力级别，对该级别的各项能力要求进行符合性判定，每项能力要求的符合性判定结果都分为符合、部分符合和不符合。评估小组应综合各项能力要求的符合性判定结果并进行分析后给出该级别的整体评估结论：T/CATIS028—2024a）优秀通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计超过总扩展能力项数的一半；b）优良通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计不为零但未达到总扩展能力项数的一半；c）基本通过：所有关键能力要求都为符合项，扩展能力要求中部分符合和符合累计为零；d）不通过：关键能力要求存在部分符合项或不符合项。当被评估方所申请能力级别的评估结论为通过时，被评估方可对部分符合项和不符合项进行整改。再评估后均符合要求，则变更评估结论为合格。A.2.4报告编制编写评估报告应全面反映评估过程的全部工作，提供评估佐证资料，给出评估结论。报告内容应包括：a）编制依据；c）评估程序和方法；d）评估结果与分析；e）改进措施及建议；f）报告附件，包括评估过程中产生的数据、表格、图片和记录、评估过程中会议记录和评估意见、其他必要说明等。A.3模型使用方法模型将零信任能力从低到高分为一级、二级和三级，根据组织机构的关键业务系统的重要程度，以及安全架构设计、建设的阶段和成效进行分级。使用模型时，组织机构应首先选定其业务系统，然后明确该业务系统的零信任能力级别。从能力建设的复杂性及难度考虑，通常建议从一级开始。组织机构明确目标的零信任能力级别后，可以自行组织或请第三方机构进行零信任能力级别的预评估，并在预评估的基础上进行相应的零信任安全能力的提升计划。组织机构在完成相应级别的零信任能力提升工作后，再通过第三方机构进行零信任能力级别评估，并获得最终的能力认定。T/CATIS028—2024（资料性）一级零信任能力评估方法一级零信任能力评估表如表B.1所示，表中关键能力要求以★标记，扩展能力要求以☆标记，表中评估方式参见附录A，包括查阅文档、现场查看、访谈问答、应急演练等。表B.1一级零信任能力评估表★★★★★★★理★T/CATIS028—2024表B.1一级零信任能力评估表（续）作★1）现场查看业务系统的维护人员操作设备访问控制策☆★确认每个访问网络的设备都进行了检测可查★☆★★射★★则☆T/CATIS028—2024表B.1一级零信任能力评估表（续）★★★成☆☆理☆★★☆☆★T/CATIS028—2024表B.1一级零信任能力评估表（续）息★式★★★☆☆★理★★T/CATIS028—2024表B.1一级零信任能力评估表（续）析★★★及目录内策略内容适用于待评估业务系统的★★★★★T/CATIS028—2024（资料性）二级零信任能力评估方法二级零信任能力评估表如表C.1所示，表中关键能力要求以★标记，扩展能力要求以☆标记，表中评估方式参见附录A，包括查阅文档、现场查看、访谈问答、应急演练等。表C.1二级零信任能力评估表1）查阅身份目录的工作文档，确认该目录客观存在，以2）现场查看业务系统的维护人员操作身份目录，并确认★1）查阅身份目录的工作文档，确认该目录能与其他系统2）现场查看业务系统的维护人员操作身份目录，确认能☆1）访谈业务系统的维护人员，能应答维护身份目录的工2）现场查看业务系统的维护人员使用工具自动化维护身★1）访谈业务系统的维护人员，能应答对用户访问的控制2）现场查看业务系统的维护人员通过工具维护访问控制★1）访谈业务系统的维护人员，能应答对业务应用的用户★2）现场查看业务系统的维护人员通过工具自动化维护认★1）访谈业务系统的维护人员，能应答用户行为和情境相2）现场查看业务系统的维护人员通过工具自动化采集企☆1）现场查看业务系统的维护人员通过工具自动化识别用☆T/CATIS028—2024表C.1二级零信任能力评估表（续）1）现场查看待评估业务系统的业务应用的认证相关日志★1）现场查看业务系统的维护人员通过工具配置并启用周☆1）访谈业务系统的维护人员，能应答PKI系统的信息；2）现场查看业务系统的维护人员操作PKI系统，展示企★1）现场查看业务系统的维护人员操作PKI系统，展示业务应用的用户的数字证书信息以及非用户实体数字证书☆1）现场查看业务系统的维护人员操作用户认证，并采用★1）查阅设备目录的工作文档，确认该目录客观存在，以2）现场查看业务系统的维护人员操作身份目录，并确认★1）访谈业务系统的维护人员，能应答维护设备目录的工2）现场查看业务系统的维护人员使用工具自动化维护设★理1）访谈业务系统的维护人员，能应答设备管理系统的信2）现场查看业务系统的维护人员操作设备管理系统，展★1）访谈业务系统的维护人员，能应答对设备管理的安全2）现场查看业务系统的维护人员操作设备的安全策略动作★1）现场查看业务系统的维护人员操作设备的合规检测工☆1）查阅身份目录的工作文档，确认该目录客观存在，以★T/CATIS028—2024表C.1二级零信任能力评估表（续）1）访谈业务系统的维护人员，能应答合规检测工具的信2）现场查看业务系统的维护人员通过工具，对每一个访★1）访谈业务系统的维护人员，能应答检测与响应工具的☆理1）访谈业务系统的维护人员，能应答对用户访问的控制★1）现场查看业务系统的维护人员通过工具，输出风险评☆射★1）访谈业务系统的维护人员，能应答对数据流定义控制2）现场查看业务系统的维护人员操作数据流访问规则和★1）查阅数据流映射的工作文档，确认数据流标记和分类2）访谈数据流映射的维护人员，能应答数据流标记和分☆★1）访谈网络的维护人员，能应答虚拟化和云环境分段控2）现场查看业务系统的维护虚拟化和云环境分段控制规则★1）访谈业务系统的维护人员，能应答对业务应用的用户★1）访谈业务系统的维护人员，能应答数据流、管理和数2）现场查看业务系统的维护人员操作网络灵活控制和管理★T/CATIS028—2024表C.1二级零信任能力评估表（续）1）访谈业务系统的维护人员，能应答API决策点和控制2）现场查看业务系统的维护人员操作通过编程的结果可★1）查阅应用目录的工作文档，确认该目录客观存在，以★成1）查阅软件开发流程的工作文档，确认软件开发与集成2）现场查看业务系统的维护人员操作应用程序的控制工★1）查阅企业范围的定制软件开发团队的组织和人员职责★理1）查阅用于应用程序和其他形态的应用供应链风险管理★2）现场查看业务系统的维护人员通过API网关工具审查★★★1)现场查看业务系统的维护人员通过工具对身份和应用★2）访谈数据资产目录的维护人员，能应答规范或指南中★T/CATIS028—2024表C.1二级零信任能力评估表（续）1）查阅企业的数据分类分级标记规范或指南文档，以及2）访谈数据资产目录的维护人员，能应答目录的基本信息★1）访谈业务系统的维护人员，能应答维护数据资产目录2）现场查看业务系统的维护人员使用工具自动化维护数★1）查阅数据资产目录的工作文档或实际目录，确认该目★1）查阅数据资产目录的工作文档或实际目录，确认该目☆2）现场查看业务系统的维护人员使用工具自动化标记数据★1）访谈业务系统的维护人员，能应答对分类分级数据相2）现场查看业务系统的维护人员监测分类分级数据相关★1）现场查看业务系统的维护人员监测关键数据的数据库☆1）查阅业务系统的设计实现文档，确认对所有分类分级2）现场查看业务系统的分类分级数据的存储文件，以及★1）访谈业务系统的维护人员，能应答数据权限管理工具★1）访谈业务系统的维护人员，能应答数据丢失防护工具★T/CATIS028—2024表C.1二级零信任能力评估表（续）1）现场查看业务系统的维护人员操作软件定义存储相关★1）现场查看业务系统的维护人员操作数据的权☆1）查阅业务系统的设计实现文档，确认对业务系统的日2）现场查看业务系统的关键数据存储文件，以及传输流★理1）访谈业务系统的维护人员，能应答常见的安全分析逻2）现场查看业务系统的维护人员配置有关安全和风险展★1）现场查看业务系统的维护人员配置工具中安全信息和★1）访谈业务系统的维护人员，能应答常见的安全分析逻2）现场查看业务系统的维护人员配置有关安全和风险展★析★1）访谈业务系统的维护人员，能应对威胁情报来源，同★1）现场查看业务系统的维护人员通过工具整合各类安全★1）访谈业务系统的维护人员，能应答威胁和风险处置策2）现场查看业务系统的维护人员在工具中配置策略执行★T/CATIS028—2024表C.1二级零信任能力评估表（续）1）查阅策略目录的工作文档，确认该目录客观存在，以及目录内策略内容适用于待评估业务系统的主要策略判★★★1）查阅企业范围的安全运营中心的组织和人员职责相关★1）查阅安全运营中心团队成员的相关网络安全能力认证★1）查阅安全运营中心的工作文档，确认有针对普通和高2）访谈安全运营中心团队成员，能应答应急预案和响应★1）现场查看安全运营中心团体成员，使用具有机器人流☆T/CATIS028—2024（资料性）三级零信任能力评估方法三级零信任能力评估表如表D.1所示，表中关键能力要求以★标记，扩展能力要求以☆标记，表中评估方式参见附录A，包括查阅文档、现场查看、访谈问答、应急演练等。表D.1三级零信任能力评估表2）现场查看业务系统的维护人员操作身份目录，并确★1）查阅身份目录的工作文档，确认该目录能与其他系2）现场查看业务系统的维护人员操作身份目录，确认★1）访谈业务系统的维护人员，能应答维护身份目录的2）现场查看业务系统的维护人员使用工具自动化维护★1）查阅身份目录的操作日志信息，确认更新身份目录★1）访谈业务系统的维护人员，能应答对用户访问的控2）现场查看业务系统的维护人员通过工具维护访问控★1）现场查看业务系统的维护人员通过具有人工智能技★1）访谈业务系统的维护人员，能应答对业务应用的用★2）现场查看业务系统的维护人员通过工具自动化维护★T/CATIS028—2024表D.1三级零信任能力评估表（续）1）查阅认证工具的操作日志信息，确认引入了新的认★1）访谈业务系统的维护人员，能应答用户行为和情境2）现场查看业务系统的维护人员通过工具自动化采集★1）现场查看业务系统的维护人员通过工具自动化识别★1）现场查看业务系统的维护人员通过具有人工智能技★1）现场查看待评估业务系统的业务应用的认证相关日证★1）现场查看业务系统的维护人员通过工具配置并启用★2）现场查看业务系统的维护人员操作PKI系统，展示★1）现场查看业务系统的维护人员操作PKI系统，展示业务应用的用户的数字证书信息以及非用户实体数字★1）现场查看业务系统的维护人员操作用户认证，并采★1）现场查看业务系统的维护人员操作PKI系统，展示2）现场查看业务系统的维护人员操作用户认证，并采★2）现场查看业务系统的维护人员操作身份目录，并确★T/CATIS028—2024表D.1三级零信任能力评估表（续）1）访谈业务系统的维护人员，能应答维护设备目录的2）现场查看业务系统的维护人员使用工具自动化维护★1）查阅设备目录的操作日志信息，确认更新设备目录★理1）访谈业务系统的维护人员，能应答设备管理系统的★1）访谈业务系统的维护人员，能应答合规检测工具的2）现场查看业务系统的维护人员通过工具，对每一个★1）现场查看业务系统的维护人员操作PKI系统和设备★1）现场查看业务系统的维护人员通过具有人工智能技★规1）访谈业务系统的维护人员，能应答对用户访问的控★1）访谈业务系统的维护人员，能应答合规检测工具的2）现场查看业务系统的维护人员通过工具，对每一个★1）现场查看业务系统的维护人员通过具有人工智能技★1）访谈业务系统的维护人员，能应答对用户访问的控★1）现场查看业务系统的维护人员通过工具，输出风险★T/CATIS028—2024表D.1三级零信任能力评估表（续）1）现场查看业务系统的维护人员通过具