《电信业务运营支撑网零信任安全能力要求》.pdfVIP

T/CAICI XXXXX—XXXX 电信业务运营支撑网零信任安全能力要求 1 范围 本标准给出了电信业务运营支撑网零信任安全体系的能力要求，包括核心安全能力、安全管理能力 和基础平台能力。 本标准适用于网络运营者对零信任安全体系的规划、设计、实施和应用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069—2022 信息安全技术 术语 GB/T 29242—2012 信息安全技术 鉴别与授权 安全断言置标语言 术语与定义 T/CESA 1165-2021 零信任系统技术规范 零信任概述 3 术语和定义 下列术语和定义适用于本文件。 3.1 主体 subject 能访问客体的主动实体。 [来源：GB/T 29242-2012，3.7] 3.2 资源 resource 可供主体访问的对象。 注：例如应用、系统、接口、服务、数据等。 3.3 数字身份 digital identity 用于标识实体身份的数据信息，包括唯一标识符和鉴别凭据。 注：鉴别凭据依赖于身份鉴别方法，如密码、数字证书、生物特征等。 4 缩略语 下列缩略语适用于本文件。 BOSS：业务运营支撑系统 （Business Operation Support System） CRM：客户关系管理 （Customer Relationship Management） 4A：账号、认证、授权和审计 （Account，Authentication，Authorization，Audit） 4 T/CAICI XXXXX—XXXX ID：标识符 （Identifier） OAuth：开放授权（Open Authorization） SAML：安全断言标记语言 （Security Assertion Markup Language） API：应用程序编程接口（Application Programming Interface） MFA：多因子认证 （Multi-factor Authentication） 5 安全能力框架 在电信网络中，业务支撑系统（包括BOSS/CRM系统、经营分析系统、运营管理系统及各种安全支撑 系统）和系统资源 （包括操作系统、数据库、网络设备、安全设备等）受4A等安全支撑系统的保护。电 信业务运营支撑网的零信任安全体系 （如图1）基于零信任理念，通过数字身份管理、可信安全认证、 持续信任评估和动态访问控制，实现动态、细粒度的访问授权，形成体系化的零信任安全能力。 第三方平台 零信任安全中心 安全支撑系统 资产管理 4A系统 身份管理 安全认证 威胁情报 堡垒系统 信任评估 动态授权 安全监管 金库服务 零信任客户端 业务应用 BOSS