2024 年发布的国家标准,为中国零信任建设提供了第一份系统性参考框架。本文做一份结构化概要,帮你快速抓住核心要点。
一、标准基本信息
| 项目 | 内容 |
| 标准号 | GB/T 43696-2024 |
| 中文名 | 信息安全技术 零信任参考体系架构 |
| 标准性质 | 推荐性国家标准(GB/T) |
| 发布年份 | 2024 |
| 核心定位 | 为零信任架构的设计、建设和评估提供统一的参考框架和术语定义 |
这份标准的出台背景很清楚:零信任(Zero Trust)从 NIST SP 800-207 走向世界后,国内企业、政务系统在落地过程中缺乏统一的架构参考。GB/T 43696-2024 就是来填补这个空白的——它不是”怎么做”的实施手册,而是”是什么”和”怎么想”的框架性文件。
二、核心理念:从”边界安全”到”持续验证”
传统安全模型依赖”内网可信、外网不可信”的边界防御思想——一旦突破边界,内部横向移动几乎没有阻力。
零信任彻底颠覆了这个假设:
- 网络内外都不默认可信
- 每次访问都需要验证和授权
- 信任是动态的,不是静态的
- 最小权限 + 持续评估
标准用一句话概括就是:“永不信任,始终验证”(Never Trust, Always Verify)。但这不是口号,标准通过架构组件和交互流程把它变成了可落地的工程模型。
三、总体架构:三大平面 + 核心组件
标准将零信任参考体系架构划分为三个逻辑平面:
控制平面(Control Plane)
这是零信任的”大脑”,负责访问控制决策的核心逻辑。包含以下关键组件:
01 策略引擎(Policy Engine, PE)
- 核心决策组件,根据策略和信任评估结果做出”允许/拒绝”判定
- 输入:访问请求、主体属性、客体属性、环境上下文、信任评分
- 输出:访问控制决策(Permit / Deny)
02 策略管理器(Policy Administrator, PA)
- 负责策略的配置、存储和管理
- 将业务安全需求转化为可执行的策略规则
- 与策略引擎协同,确保策略的一致性和有效性
03 信任引擎 / 持续信任评估(Trust Engine / Continuous Trust Assessment)
- 持续收集主体、设备、环境的多维数据
- 动态计算和更新信任评分
- 信任不是一次性的,而是随着行为、时间、环境变化而浮动
数据平面 / 执行平面(Data Plane / Enforcement Plane)
这是零信任的”手脚”,负责实际的流量控制和访问执行:
01 策略执行点(Policy Enforcement Point, PEP)
- 部署在资源访问路径上的执行节点
- 接收策略引擎的决策并强制执行
- 典型形态:网关、代理、Sidecar、微隔离组件等
- 负责:拦截请求 → 上报上下文 → 执行决策 → 返回结果
数据面通信 / 资源层
01 客体/资源(Object / Resource)
- 被访问的目标:应用、数据、服务、API、基础设施等
- 所有资源都受到策略保护,不存在”免检区域”
四、核心概念与术语
标准定义了一组关键术语,理解这些是读懂整个标准的前提:
| 术语 | 含义 |
|---|---|
| 主体(Subject) | 发起访问请求的实体,可以是用户、服务、设备、进程等 |
| 客体(Object) | 被访问的资源,如应用、数据、服务等 |
| 访问策略(Access Policy) | 定义”谁在什么条件下可以访问什么”的规则集合 |
| 信任评估(Trust Assessment) | 基于多维属性对主体/设备进行持续可信度评估的过程 |
| 自适应访问控制(Adaptive Access Control) | 根据实时信任评分动态调整访问权限的机制 |
| 最小权限(Least Privilege) | 仅授予完成当前任务所需的最小访问权限 |
| 微隔离(Micro-segmentation) | 将网络细分为小的安全区域,限制横向移动 |
五、访问控制流程(典型交互)
标准描述了一个完整的零信任访问控制流程,核心交互如下:
关键要点:
- 每次访问都要走这个流程,不存在”一次验证,永久信任”
- 决策依据是多维属性,不只是身份,还包括设备状态、行为模式、时间、位置等
- 信任评估是持续的,访问过程中如果信任评分下降,可以实时撤销权限
六、零信任建设的五个关键维度
标准从五个维度阐述了零信任架构的建设方向:
01 身份为先(Identity-Centric)
- 所有主体必须有可验证的数字身份
- 身份是信任评估的基础锚点
- 支持人、设备、服务、应用等多种身份类型
02 设备可信(Device Trust)
- 设备状态是信任评估的关键输入
- 包括:系统完整性、补丁状态、安全软件、配置合规等
- 设备健康度直接影响访问决策
03 网络微隔离(Network Micro-segmentation)
- 细粒度划分网络区域
- 限制东西向流量(横向移动)
- 每个隔离区域都有独立的访问策略
04 应用与数据保护(Application & Data Protection)
- 应用级别的访问控制
- 数据分类分级与差异化保护
- 加密、脱敏、审计等数据安全措施
05 持续监测与响应(Continuous Monitoring & Response)
- 实时收集安全遥测数据
- 动态调整信任评分和访问权限
- 异常行为的自动检测与响应
七、与 NIST SP 800-207 的关系
GB/T 43696-2024 与国际上广泛参考的 NIST SP 800-207 有密切的对应关系,但也体现了中国网络安全实践的本土化特色:
| 方面 | NIST SP 800-207 | GB/T 43696-2024 |
|---|---|---|
| 策略引擎 | Policy Engine (PE) | 策略引擎(PE) |
| 策略管理器 | Policy Administrator (PA) | 策略管理器(PA) |
| 策略执行点 | Policy Enforcement Point (PEP) | 策略执行点(PEP) |
| 信任评估 | Implicit/Explicit Trust | 持续信任评估 |
| 标准性质 | 特别出版物(指南) | 推荐性国家标准 |
核心架构理念高度一致,但 GB/T 43696-2024 在术语上做了中文规范化,并在信任评估模型和持续监测方面做了更适合国内场景的阐述。
八、实施建议与落地路径
标准虽然是参考性架构,但对落地实施给出了方向性建议:
阶段一:基础建设
- 统一身份管理(IAM/4A)
- 资产盘点与数据分类分级
- 现有安全能力梳理
阶段二:试点验证
- 选择核心业务场景进行零信任试点
- 部署 PEP + 策略引擎的基础能力
- 验证持续信任评估模型
阶段三:规模化推广
- 从试点扩展到更多业务系统
- 建立统一的策略管理中心
- 实现跨系统的信任互认
阶段四:持续优化
- 引入 AI/ML 增强信任评估
- 自动化响应与编排
- 与合规体系(等保2.0、关基保护等)对接
九、与其他标准的关联
GB/T 43696-2024 不是孤立存在的,它与多个国家标准协同构成零信任生态:
- 等保2.0(GB/T 22239-2019):零信任可作为等保高级别防护的技术补充
- 关基保护(GB/T 39204-2022):关键信息基础设施安全保护要求
- 密码应用(GB/T 39786-2021):商用密码应用安全性评估
- 数据安全法 / 个人信息保护法:数据分类分级与访问控制的法律基础
十、总结
GB/T 43696-2024 的核心价值在于:
- 统一了术语和概念 —— 让行业有共同语言
- 给出了架构参考 —— PE + PA + PEP 三组件模型
- 强调了持续信任 —— 信任不是静态的,而是动态评估的
- 指导了建设方向 —— 身份、设备、网络、应用、数据五维并举
对于正在规划或实施零信任的企业来说,这份标准是一个很好的起点。它不是”银弹”,但提供了一个系统性的思考框架——先理解”什么是零信任”,再决定”怎么做零信任”。
发布者:电码客,转转请注明出处:https://www.itrenonline.com/zerotrust.html
评论列表(1条)
[…] GB/T43696—2024 […]