ICS35.080CCSL77ZerotrustcapabilitymaturityIT/CATIS028—2024 12規范性引用文件 13術語、定義和縮略語 14概述 25零信任身份要求 35.1一級能力要求 35.2二級能力要求 35.3三級能力要求 46零信任設備要求 56.1一級能力要求 56.2二級能力要求 66.3三級能力要求 67零信任網絡要求 77.1一級能力要求 77.2二級能力要求 87.3三級能力要求 88零信任應用和工作負載要求 98.1一級能力要求 98.2二級能力要求 8.3三級能力要求 9零信任數據要求 9.1一級能力要求 9.2二級能力要求 9.3三級能力要求 10零信任可視化和分析要求 10.1一級能力要求 10.2二級能力要求 10.3三級能力要求 11零信任自動化編排和安全運營要求 11.1一級能力要求 11.2二級能力要求 11.3三級能力要求 T/CATIS028—2024附錄A（資料性）零信任能力成熟度評估流程和模型使用方法 附錄B（資料性）一級零信任能力評估方法 附錄C（資料性）二級零信任能力評估方法 附錄D（資料性）三級零信任能力評估方法 T/CATIS028—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件中的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由中國服務貿易協會信息技術服務委員會提出。本文件由中國服務貿易協會歸口。本文件起草單位：深圳竹云科技股份有限公司、中國服務貿易協會信息技術服務委員會、國家計算機網絡應急技術處理協調中心、中國石油化工集團有限公司、中國海洋石油集團有限公司、中國有色礦業集團有限公司、石化盈科信息技術有限責任公司、華為技術有限公司、中國電信集團有限公司、中國軟件評測中心、廣州市信息安全測評中心、中國石化集團共享服務有限公司、北京華科軟科技有限公司、國新數據有限責任公司、中電云計算技術有限公司、廣州越秀集團股份有限公司、中能建數字科技集團有限公司、廣州蓬勃教育科技有限公司、國家體育總局體育彩票管理中心。本文件主要起草人：謝堅、陳世俊、黃超、趙洪巖、王同良、劉陽、王慶、黃喆磊、楊宇帆、敖玉泠、景志堯、李想、楊少兵、張婷婷、陳昱翰、周潤松、徐超、向輝、韓世聰、陳源、李云志、萬民、劉延鵬、麻恒瑞、史鑒、廖均龍、張寧、曾志剛。1T/CATIS028—2024零信任能力成熟度模型本文件確立了組織機構零信任能力的成熟度模型架構，規定了各級別的能力要求，提供了各級別的能力評估流程和方法。本文件適用于對組織機構零信任能力進行評估，以及作為組織機構開展零信任能力建設時的依據。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T43696—2024信息安全技術零信任參考體系架構3術語、定義和縮略語3.1術語和定義GB/T43696—2024界定的以及下列術語和定義適用于本文件。3.1.1零信任zerotrust；ZT一種以資源保護為核心的網絡安全理念。認為對資源的訪問，無論主體和資源是否可信，主體和資源之間的信任關系都需要從零開始，通過持續環境感知與動態信任評估進行構建，從而實施訪問控制。3.1.2零信任能力zerotrustcapability基于零信任在身份、設備、網絡、應用、數據等方面對資源的安全保障能力。3.2縮略語下列縮略語適用于本文件。API：應用程序接口（applicationprograminginterface）DevSecOps：開發安全運營（Development、Security、Operations）PKI：公鑰基礎設施（PublicKeyInfrastructure）2T/CATIS028—20244概述本文件依據資源保護為核心的網絡安全理念，將零信任能力分為三個等級，從低到高依次是一級、二級和三級，其中一級要求主要體現基礎能力的實現，二級要求主要體現工具化使用及自動化處理，三級要求主要體現通過智能化手段實現動態管理和處置能力。一二三級的零信任能力要求包括身份、設備、網絡、應用和工作負載、數據、可視化和分析、自動化編排和安全運營七個方面共33個部分，如圖1所示。第5章到第11章分別規定了七個方面的能力部分，以及一級、二級和三級零信任能力要求，高級別在低級別的基礎上提出增強要求或新的要求。零信任身份要求是基于身份信息持續地進行身份的驗證、訪問控制和行為管理，以管理用戶的授權、訪問和特權。身份信息包括的用戶、設備、軟件應用、系統等對象的自然屬性信息、身份鑒別屬性信息、訪問行為屬性信息等。零信任設備要求是了解設備的健康狀況和狀態，實時檢查、評估和修補設備問題，為風險決策提供信息。零信任網絡要求是使用動態的、細粒度的策略和訪問控制來分段、隔離和控制（物理上的和邏輯上的）網絡環境。零信任應用和工作負載要求是保護從應用程序開發到管理程序的一切安全，也包括容器和虛擬機的保護。零信任數據要求是零信任所指數據包括由企業信息基礎設施、業務應用系統所承載的各類數據，含業務數據和系統數據等。零信任可視化和分析要求是分析事件、活動和行為，以推導上下文，并應用智能化手段來實現高度個性化的模型，從而提高實時訪問決策時的檢測和反應時間。3T/CATIS028—2024零信任自動化編排和安全運營要求是基于智能手段自動安全響應，輔助安全運營流程和應急響應流程落地。零信任能力成熟度評估根據被評估組織機構申請的能力級別，按照相應級別的零信任能力要求進行評估。附錄A給出了整體評估流程和零信任能力成熟度模型使用方法。一級、二級和三級零信任能力各項要求的評估方法見附錄B、附錄C和附錄D。5零信任身份要求5.1一級能力要求5.1.1身份目錄身份目錄要求如下（包括但不限于）：具有針對特定系統的業務應用的身份目錄，包括內外部用戶和特權用戶的身份信息。5.1.2受限用戶訪問受限用戶訪問要求如下（包括但不限于）：基于身份目錄，通過預定義的訪問控制規則，授權和控制用戶的訪問，并遵循最小權限原則。5.1.3多因素認證多因素認證要求如下（包括但不限于）：基于身份目錄，針對特定系統的業務應用的用戶認證時，采用兩種不同因素的認證方式。5.1.4用戶行為和情境用戶行為和情境要求如下（包括但不限于）：收集整理特定系統的基本的用戶行為和情境信息。5.1.5持續認證持續認證要求如下（包括但不限于）：基于身份目錄，針對特定系統的跨業務應用的會話中，進行單次認證。5.1.6證書管理證書管理要求如下（包括但不限于針對特定系統的數字證書使用和維護。5.2二級能力要求5.2.1身份目錄身份目錄要求如下（包括但不限于）：a)建立企業范圍內統一的身份目錄，目錄中包括用戶、應用、系統和設備等身份信息；b)支持與其他系統的身份聯動管理和用戶聯邦認證；c)通過工具維護身份目錄。4T/CATIS028—20245.2.2受限用戶訪問受限用戶訪問要求（包括但不限于）：基于身份目錄，通過工具自動化維護訪問控制規則、用戶訪問以及管理特權用戶訪問，并遵循最小權限原則。5.2.3多因素認證多因素認證要求如下（包括但不限于）：a)基于身份目錄，對企業范圍內各系統進行用戶認證時，采用至少兩種不同的認證方式；b)通過工具自動化維護認證方式，以及用戶認證。5.2.4用戶行為和情境用戶行為和情境要求如下（包括但不限于）：a)通過工具自動化采集企業范圍內系統的全面的用戶行為和情境信息；b)通過工具自動化識別用戶訪問行為和情境信息，為用戶訪問行為風險評估提供支持。5.2.5持續認證持續認證要求如下（包括但不限于）：a)基于身份目錄，對企業范圍內跨業務應用的會話中，進行觸發式多次認證；b)基于身份目錄，通過工具自動化周期性認證。5.2.6證書管理證書管理要求如下（包括但不限于）：a)具有企業范圍內的公鑰基礎設施（PKI）系統；b)PKI系統中包含企業范圍內各系統的用戶數字證書信息，以及非用戶實體數字證書信息；c)與多因素認證工具集成，提供數字證書認證方式。5.3三級能力要求5.3.1身份目錄身份目錄要求如下（包括但不限于）：a)建立企業范圍內統一的身份目錄，目錄中包括用戶、應用、系統和設備等身份信息；b)支持與其他系統的身份聯合管理和用戶聯邦認證；c)通過工具自動化維護身份目錄和全生命周期管理；d)持續更新身份目錄中用戶屬性信息，以支持更多、更新的身份認證和授權相關功能的需要。5.3.2受限用戶訪問受限用戶訪問要求如下（包括但不限于）：a)基于身份目錄，通過工具自動化維護訪問授權規則、用戶訪問以及管理特權用戶訪問，并遵循最小權限原則；5T/CATIS028—2024b)基于人工智能技術，智能化用戶訪問。5.3.3多因素認證多因素認證要求如下（包括但不限于）：a)基于身份目錄，對企業范圍內各系統進行用戶認證時，采用至少兩種不同的認證方式；b)通過工具自動化維護認證方式和用戶認證；c)持續更新認證方式，以支持更多、更新的多因素認證。5.3.4用戶行為和情境用戶行為和情境要求如下（包括但不限于）：a)通過工具自動化采集企業范圍內系統的全面的用戶行為和情境信息；b)通過工具自動化識別用戶行為和情境信息，為用戶訪問行為風險評估提供決策支持；c)基于人工智能技術，智能化識別用戶行為和情境。5.3.5持續認證持續認證要求如下（包括但不限于）：a)基于身份目錄，對企業范圍內各系統所產生的事務，按照安全要求進行持續認證；b)通過工具自動化持續認證能力。5.3.6證書管理證書管理要求如下（包括但不限于）：a)具有企業范圍內的公鑰基礎設施（PKI）系統；b)PKI系統中包含企業范圍內各系統的用戶數字證書信息，以及非用戶實體數字證書信息；c)與多因素認證工具集成，提供數字證書認證方式；d)PKI系統支持包含用戶的生物特征信息。6零信任設備要求6.1一級能力要求6.1.1設備目錄管理設備目錄管路要求如下（包括但不限于）：具備允許訪問網絡的特定設備基礎信息目錄，包括硬件配置信息等。6.1.2統一端點管理和移動設備管理統一端點管理和移動設備管理如下（包括但不限于）：a)基于設備目錄，具備對特定端點設備和移動設備的統一管理和防病毒管理；b)具備遠程推送和執行基本的安全策略能力，如用戶認證要求、軟件安裝限制等；c)具備基礎的安全訪問控制策略，對所有訪問網絡的辦公設備安全檢測，只對通過檢測的設備賦予授權訪問能力。6T/CATIS028—20246.1.3設備檢測和合規設備檢測和合規要求如下（包括但不限于）：a)具備訪問網絡的關鍵設備合規檢測機制；b)通過手動對訪問網絡的關鍵設備進行合規檢測和審計；c)通過檢測與響應工具對關鍵設備進行自動化的檢測與響應，包括發現、分析以及補救等。6.1.4設備漏洞和補丁管理設備漏洞和補丁管理要求如下（包括但不限于）：a)針對特定的關鍵設備，通過手動下載、測試和部署的已知漏洞補丁；b)通過手動輸出簡單的風險記錄和報告。6.2二級能力要求6.2.1設備目錄管理設備目錄管理要求如下（包括但不限于）：a)具備允許訪問網絡的企業范圍內業務對應設備詳細信息目錄，包括硬件配置信息、操作系統環境信息、設備運行狀態信息及設備關系綁定信息等；b)通過工具自動化維護設備可信目錄。6.2.2統一端點管理和移動設備管理統一端點管理和移動設備管理如下（包括但不限于）：a)基于設備目錄，具備對企業范圍內端點設備和移動設備的統一管理和防病毒；b)具備遠程推送和執行基本的安全策略能力，如用戶認證要求、軟件安裝限制等；c)具備進階的安全訪問控制策略，集成合規檢測工具，識別設備異常活動，對所有訪問網絡的設備進行安全檢測，只對通過檢測的設備賦予授權訪問能力。6.2.3設備檢測和合規設備檢測和合規要求如下（包括但不限于）：a)按照國家對設備安全規范和標準，建立統一的設備合規機制；b)通過合規檢測工具對所有訪問網絡的設備進行合規檢測、統一調度、審計及響應處理；c)通過檢測與響應工具對訪問網絡的設備進行自動化的檢測與響應，包括發現、分析以及補救等。6.2.4設備漏洞和補丁管理設備漏洞和補丁管理要求如下（包括但不限于）：a)具備對所有訪問網絡的設備進行定期自動化的漏洞掃描和風險評估能力；b)具備自動輸出風險評估報告，制定補丁優先級部署計劃，自動化或半自動下載、測試和部署漏洞補丁管理能力。6.3三級能力要求6.3.1設備目錄管理7T/CATIS028—2024設備目錄管理要求如下（包括但不限于）：a)具備允許訪問企業范圍內業務對應設備詳細信息目錄，包括硬件配置信息、操作系統環境信息、設備運行狀態信息及設備關系綁定信息等；b)通過工具自動化維護設備可信目錄；c)持續更新可信目錄中設備的信息，以支持更多的零信任終端安全相關功能的需要。6.3.2統一端點管理和移動設備管理統一端點管理和移動設備管理如下（包括但不限于）：a)基于設備目錄，具備對企業范圍內端點設備和移動設備的統一管理和防病毒；b)具備遠程推送和執行基本的安全策略能力，如用戶認證要求、軟件安裝限制等；c)具備安全訪問控制策略，集成PKI系統和檢測與響應工具等，對設備進行自動化風險綜合評估和安全檢測，只對通過檢測的設備賦予授權訪問能力；d)基于人工智能技術，智能化持續評估，結合合規檢測、漏洞補丁管理工具，對可信目錄的設備進行終端安全保護。6.3.3設備檢測和合規設備檢測和合規要求如下（包括但不限于）：a)按照企業對設備安全規范和標準，建立統一的設備合規機制；b)集成基礎和擴展設備工具，對所有訪問網絡的自帶、辦公、物聯網等設備進行較全面的檢測、統一調度、審計及響應處理；c)基于人工智能技術，進行智能化的合規檢測，引入擴展檢測與響應工具對關鍵設備、網絡、云應用程序等進行跨多個安全領域自動化的檢測與響應，包括發現、分析以及補救等。6.3.4設備漏洞和補丁管理設備漏洞和補丁管理要求如下（包括但不限于）：a)具備對所有訪問網絡的設備進行持續自動化的漏洞掃描和風險評估；b)具備集成威脅情報工具，自動輸出風險評估報告，制定補丁優先級部署計劃，全自動化下載、測試、部署和驗證漏洞補丁管理能力；c)基于人工智能技術，進行智能化的漏洞和補丁維護管理。7零信任網絡要求7.1一級能力要求7.1.1數據流映射數據流映射要求如下（包括并不限于）：具備收集和映射特定系統數據和資產相關的網絡流量數據流。7.1.2分段控制8T/CATIS028—2024分段控制要求如下（包括并不限于）：a)具備對特定系統資源進行邏輯分段能力，限制所訪問資源之間的橫向移動，分離不同層級的應用程序和分離生產與非生產等環境或按物理位置；b)根據其虛擬化或云環境中的身份和應用程序訪問定義和控制網絡分段。7.1.3軟件定義網絡軟件定義網絡要求如下（包括并不限于）：a)基于數據流映射，落地針對特定系統網絡設備采集、登記并管理；b)具備數據流分段控制、管理和數據平面分離，通過控制器實現對網絡的靈活控制和管理。7.2二級能力要求7.2.1數據流映射數據流映射要求如下（包括并不限于）：a)具備收集、映射和可視化數據、資產、API接口等的網絡流量數據流；b)為數據流定義細粒度控制訪問規則和策略并部署到現有網絡技術中；c)利用數據標記和分類標準定義細粒度控制訪問規則和策略。7.2.2分段控制分段控制要求如下（包括并不限于）：a)具備對全網資源進行邏輯分段能力，限制所訪問資源之間的橫向移動，分離用戶與應用程序、分離不同層級的應用程序，分離生產與非生產等環境或按物理位置；b)根據虛擬化或云環境中的數據流和應用網絡進行定義和控制網絡分段。7.2.3軟件定義網絡軟件定義網絡要求如下（包括并不限于）：a)基于數據流映射，落地業務對應網絡資產發現、登記、管理相關能力；b)具備數據流分段控制、管理和數據平面分離，通過動態控制器實現對網絡的控制和管理；c)定義API決策點并落地可編程基礎設施，可根據數據流控制策略，定義網絡控制決策點并控制。7.3三級能力要求7.3.1數據流映射數據流映射要求如下（包括并不限于）：a)具備收集、映射和可視化數據、資產、API接口、服務等的網絡流量數據流；b)為數據流定義細粒度控制訪問規則和策略并部署到現有網絡技術中；c)利用數據標記和分類標準定義細粒度控制訪問規則和策略來開發用于API；d)智能化識別數據量數據，根據數據內容動態增加識別與操作規則和策略。7.3.2分段控制9T/CATIS028—2024分段控制要求如下（包括并不限于）：a)具備對新增資源自動化進行邏輯分段能力，限制所訪問資源之間的橫向移動，分離不同層級的應用程序、分離用戶與應用程序、分離生產與非生產等環境或按物理位置；b)具備在企業范圍內網絡上的數據、資產、API和服務等之間分段能力；c)使用智能化手段通過編程方法應用分段策略的更改，強制對分段內的橫向移動進行精細控制。7.3.3軟件定義網絡軟件定義網絡要求如下（包括并不限于）：a)基于數據流映射，落地全網網絡資產發現、登記、可視化管理相關能力；b)具備流分段控制、管理和數據平面分離，通過動態控制器實現對網絡的靈活控制和管理；c)定義API決策點并落地可編程基礎設施，可根據數據流控制策略，動態定義網絡控制決策點并控制；d)對網絡流量進行集中監控和管理，具備自動化、編排和可編程性，落地動態策略更新功能。8零信任應用和工作負載要求8.1一級能力要求8.1.1應用目錄應用目錄要求如下（包括但不限于建立特定應用程序目錄。8.1.2安全軟件開發與集成安全軟件開發于集成要求如下（包括但不限于）：a)基于應用目錄，落地應用程序代碼審查、運行時保護和安全API網關等控制措施；b)根據組織機構的要求（政策、技術和流程）在應用上線前，完成靜態應用安全測試。8.1.3軟件供應鏈安全管理軟件供應鏈安全管理要求如下（包括但不限于）：基于應用目錄，建立特定應用程序的供應鏈風險管理。8.1.4資源授權與整合資源授權于整合要求如下（包括但不限于）：a)基于應用目錄，審查用戶、設備和應用程序安全狀況；b)基于管理流程對訪問進行授權、核驗、刪除授權等定期審核。8.1.5持續監測和授權持續檢測和授權要求如下（包括但不限于）：a)基于應用目錄，針對應用程序用自動化工具和流程持續檢測；b)基于應用目錄，通過工具對應用程序評估進行授權。T/CATIS028—20248.2二級能力要求8.2.1應用目錄應用目錄要求如下（包括但不限于）：建立企業范圍內的所有生產應用程序和其他形態的應用目錄。8.2.2安全軟件開發與集成安全軟件開發于集成要求如下（包括但不限于）：a)基于應用目錄，落地應用程序代碼審查、運行時保護和安全API網關等控制措施均已集成并實現自動化；b)定制軟件開發團隊使用DevSecOps根據組織機構的要求（政策、技術和流程）在應用上線前，完成靜態應用安全測試、動態應用安全測試。8.2.3軟件供應鏈安全管理軟件供應鏈安全管理要求如下（包括但不限于）：基于應用目錄，通過工具建立企業范圍內應用程序的供應鏈風險管理。8.2.4資源授權與整合資源授權于整合要求如下（包括但不限于）：a)基于應用目錄，建立基于應用API授權網關，采用風險方法審查用戶、設備和應用程序的授權和安全狀況；b)采用編程方法，基于風險對訪問進行授權、持續核驗、刪除授權的能力。8.2.5持續監測和授權持續檢測和授權要求如下（包括但不限于）：a)基于應用目錄，針對應用程序和云服務等內容采用自動化工具和流程持續檢測；b)基于應用目錄，通過工具對身份和應用程序評估進行授權。8.3三級能力要求8.3.1應用目錄應用目錄要求如下（包括但不限于）：a)建立企業范圍內的所有業務應用程序和其他形態的應用目錄；b)具備應用程序發現和管理的工具，包括應用分類、清點和管理組織機構資產的能力。8.3.2安全軟件開發與集成安全軟件開發于集成要求如下（包括但不限于）：a)基于應用目錄，落地應用程序的代碼審查、運行時保護、安全API網關、容器和服務器安全等控制措施均已集成并實現自動化；T/CATIS028—2024b)定制軟件開發團隊使用DevSecOps根據組織機構的要求（政策、技術和流程）在應用上線前，完成靜態應用安全測試、動態應用安全測試及交互式應用安全測試。8.3.3軟件供應鏈安全管理軟件供應鏈安全管理要求如下（包括但不限于）：a)基于應用目錄，通過工具建立應用程序和其他形態應用的供應鏈風險管理計劃；b)具備基于智能化的監控手段，主動發現問題、發現潛在威脅、識別和跟蹤風險、自動評估和推薦可能的補救方法。8.3.4資源授權與整合資源授權于整合要求如下（包括但不限于）：a)基于應用目錄，建立基于標準化應用API授權網關，采用風險方法審查用戶、設備、應用程序和數據的授權和安全狀況；b)采用編程方法，基于風險對訪問進行授權、持續核驗、刪除授權的能力。8.3.5持續監測和授權持續檢測和授權要求如下（包括但不限于）：a)基于應用目錄，針對云工作負載、容器、應用程序、云服務或基礎設施等內容采用自動化工具和流程持續檢測；b)基于應用目錄，通過工具對身份、設備、應用程序評估進行授權。9零信任數據要求9.1一級能力要求9.1.1企業數據治理企業數據治理要求如下（包括但不限于）：具有針對特定系統的數據分類分級標記規范或指南。9.1.2數據資產目錄管理數據資產目錄要求如下（包括但不限于）：具有針對特定系統的特定類型數據的基本數據資產目錄。9.1.3數據分類分級標記數據分類分級標記要求如下（包括但不限于）：手動標記數據分類分級的基本元數據（指對數據的描述信息，如數據安全級別，數據保密級別等）。9.1.4數據監測感知數據檢測感知要求如下（包括但不限于對關鍵數據的文件操作行為進行監測。T/CATIS028—20249.1.5數據加密和權限管理數據加密和權限管理要求如下（包括但不限于對關鍵數據的存儲和傳輸進行加密處理。9.1.6數據丟失防護數據丟失防護要求如下（包括但不限于）：手動對關鍵數據的可疑泄露行為進行分析、攔截以及追溯。9.1.7數據訪問控制數據訪問控制要求如下（包括但不限于）：基于數據資產目錄，通過手動配置關鍵數據的可訪問路徑，來控制數據的訪問。9.2二級能力要求9.2.1企業數據治理企業數據治理要求如下（包括但不限于）：具有企業范圍內統一的數據分類分級標記規范或指南。9.2.2數據資產目錄管理數據資產目錄要求如下（包括但不限于）：a)按照企業的數據分類分級標記規范或指南，建立統一的數據資產目錄；b)通過工具自動化維護數字資產目錄。9.2.3數據分類分級標記據分類分級標記要求如下（包括但不限于）：a)標記數據分類分級的基本元數據；b)標記數據分類分級的擴展元數據；c)通過工具自動化標記數據。9.2.4數據監測感知數據檢測感知要求如下（包括但不限于）：a)對所有分類分級數據的文件的操作行為進行監測；b)對關鍵數據的數據庫的操作行為進行監測。9.2.5數據加密和權限管理數據加密和權限管理要求如下（包括但不限于）：a)對所有分類分級數據的存儲和傳輸進行了加密處理；b)基于數據資產目錄，通過數據的權限管理工具，對數據進行自動化的加密保護。9.2.6數據丟失防護T/CATIS028—2024數據丟失防護要求如下（包括但不限于）：通過數據丟失防護工具，對關鍵數據進行自動化的丟失防護，包括分析、攔截以及追溯等。9.2.7數據訪問控制數據訪問控制要求如下（包括但不限于）：a)基于數據資產目錄，通過軟件定義存儲工具自動化配置關鍵數據的可訪問路徑，來控制數據的訪問；b)集成數據的權限管理、數據的丟失防護等工具，進行綜合的數據訪問控制。9.3三級能力要求9.3.1企業數據治理企業數據治理要求如下（包括但不限于）：具有企業范圍內統一的數據安全治理政策或指南，全面涵蓋數據分類分級、數據訪問、數據存儲和數據丟失防護等重要內容。9.3.2數據資產目錄管理數據資產目錄要求如下（包括但不限于）：a)按照企業的數據分類分級標記規范或指南，建立統一的數據資產目錄；b)通過工具自動化維護數字資產目錄；c)持續更新數字資產目錄中數據的元數據信息，以支持更多、更新的數據安全相關功能的需要。9.3.3數據分類分級標記數據分類分級標記要求如下（包括但不限于）：a)標記數據分類分級的基本元數據和擴展元數據；b)通過工具自動化標記數據；c)基于人工智能技術，智能化標記數據。9.3.4數據監測感知數據檢測感知要求如下（包括但不限于）：a)對所有分類分級數據的文件的操作行為進行監測；b)對關鍵數據的數據庫的操作行為進行監測；c)對分類分級數據的所有活動進行綜合監測。9.3.5數據加密和權限管理數據加密和權限管理要求如下（包括但不限于）：a)對所有分類分級數據的存儲和傳輸進行了加密處理；b)基于數據資產目錄，通過數據的權限管理工具，對數據進行自動化的加密保護；c)持續更新數據加密算法和方法。9.3.6數據丟失防護T/CATIS028—2024數據丟失防護要求如下（包括但不限于）：a)通過數據丟失防護工具，對關鍵數據進行自動化的丟失防護，包括分析、攔截以及追溯等；b)結合數據資產目錄內容，基于人工智能技術，對關鍵數據進行智能化的丟失防護。9.3.7數據訪問控制數據訪問控制要求如下（包括但不限于）：a)基于數據資產目錄，通過軟件定義存儲工具自動化配置關鍵數據的可訪問路徑，來控制數據的訪問；b)集成數據的權限管理、數據的丟失防護等工具，進行綜合的數據訪問控制；c)結合數據資產目錄內容，基于人工智能技術，進行智能化的數據訪問控制。10零信任可視化和分析要求10.1一級能力要求10.1.1業務日志業務日志要求如下（包括但不限于）：具備采集特定業務日志，包括網絡、應用程序、終端設備和身份日志，日志和事件遵循標準化格10.1.2安全信息和事件管理安全信息和事件管理要求如下（包括但不限于）：在業務日志的基礎上，采集安全運營中心的監控、檢測和分析數據，并形成安全信息和事件管理。10.1.3常見的安全和風險分析常見的安全和風險分析要求如下（包括但不限于）：在業務日志的基礎上，結合安全信息和事件進行分析。10.1.4用戶和實體行為分析用戶和實體行為分析要求如下（包括但不限于）：基于業務日志，以用戶為中心識別用戶實體的非法活動或惡意盜用威脅。10.1.5威脅情報集成威脅情報集成要求如下（包括但不限于具備獲取內外部威脅情報能力。10.1.6威脅處置威脅處置要求如下（包括但不限于）：具備基于安全分析結果，威脅處置手段。10.2二級能力要求T/CATIS028—202410.2.1業務日志業務日志要求如下（包括但不限于）：具備采集企業內業務日志，包括網絡、數據、應用程序、設備和身份日志，日志和事件遵循標準化格式展示。10.2.2安全信息和事件管理安全信息和事件管理要求如下（包括但不限于）：a)在業務日志的基礎上，采集網絡防御服務、安全運營中心的監控、檢測和分析數據，并將安全信息和事件管理記錄到工具中并展示；b)具備通過工具輸出安全信息和事件報告能力并展示。10.2.3常見的安全和風險分析常見的安全和風險分析要求如下（包括但不限于）：在業務日志的基礎上，結合安全信息和事件多種數據類型，通過工具形成跨多種技術產品的分析功能并展示。10.2.4用戶和實體行為分析用戶和實體行為分析要求如下（包括但不限于）：基于業務日志，通過工具識別用戶實體和非用戶實體的非法活動、數據被盜及惡意使用威脅并展示。10.2.5威脅情報集成威脅情報集成要求如下（包括但不限于）：a)具備通過工具獲取內外部威脅情報能力；b)具備通過工具與本地各類安全情報數據相結合，以實現風險預防和可見性。10.2.6威脅處置威脅處置要求如下（包括但不限于）：基于具備基于安全分析結果，通過工具聯動各類安全處置工具。10.3三級能力要求10.3.1業務日志業務日志要求如下（包括但不限于）：a)具備采集企業內所有業務日志，包括網絡、數據、應用程序、設備和身份日志，日志和事件遵循標準化格式，并根據需要制定規則分析展示；b)將這些日志提供給對應的網絡防御服務或安全運營中心展示。10.3.2安全信息和事件管理安全信息和事件管理要求如下（包括但不限于）：T/CATIS028—2024a)在業務日志的基礎上，采集網絡防御服務、安全運營中心的監控、檢測和分析數據，并將安全信息和事件管理記錄到工具中并展示；b)根據用戶和設備基線集成到工具中，根據基線形成告警級、報告及響應機制并展示。10.3.3常見的安全和風險分析常見的安全和風險分析要求如下（包括但不限于）：在業務日志的基礎上，結合安全信息和事件多種數據類型，通過工具實現跨多種技術產品的分析功能，安全威脅檢測功能，實時展示功能。10.3.4用戶和實體行為分析用戶和實體行為分析要求如下（包括但不限于）：a)基于業務日志，通過工具采用智能化手段識別用戶實體和非用戶實體的非法活動、數據被盜及惡意使用威脅并展示；b)即時、按需的自動策略生成轉變為持續更新的授權。10.3.5威脅情報集成威脅情報集成要求如下（包括但不限于）：a)具備自動化方式實時獲取內外部威脅情報能力；b)具備通過智能化手段與本地各類安全情報數據相結合，以實現最佳風險預防和可見性。10.3.6威脅處置威脅處置要求如下（包括但不限于）：使用智能化手段解決方案通過持續的安全態勢監控、風險和信任評分以及自動補丁管理，動態地自動更新安全配置文件和設備配置。11零信任自動化編排和安全運營要求11.1一級能力要求11.1.1策略判定組件和策略的編排策略判定組件和策略的編排要求如下（包括但不限于）：a)具有針對特定系統的主要策略判定組件的統一策略目錄；b)基于策略目錄，手動編排策略到主要策略判定組件。11.1.2安全運營中心和應急響應安全運營中心和應急響應要求如下（包括但不限于）：a)建有針對特定系統的安全運營中心，并由專門的團隊來運營；b)安全運營中心運營團隊的核心成員要符合國家的網絡安全從業人員能力基本要求；c)針對普通安全事件，安全運營中心有基本的應急預案和響應流程。T/CATIS028—202411.2二級能力要求11.2.1策略判定組件和策略的編排策略判定組件和策略的編排要求如下（包括但不限于）：a)具有針對特定系統的所有策略判定組件的統一策略目錄；b)通過工具自動化維護統一策略目錄；c)基于策略目錄，通過工具自動化編排策略到策略判定組件。11.2.2安全運營中心和應急響應安全運營中心和應急響應要求如下（包括但不限于）：a)建有企業范圍的安全運營中心，并由專門的團隊來運營；b)安全運營中心運營團隊成員均要符合國家的網絡安全從業人員能力基本要求；c)針對普通和高等級安全事件，安全運營中心有完整的應急預案和響應流程；d)依托安全運營中心平臺，基于機器人流程自動化技術，進行自動化的應急響應。11.3三級能力要求11.3.1策略判定組件和策略的編排策略判定組件和策略的編排要求如下（包括但不限于）：a)具有企業范圍內所有策略判定組件的統一策略目錄；b)通過工具自動化維護統一策略目錄；c)基于策略目錄，通過工具自動化編排策略到策略判定組件；d)基于人工智能技術，智能化編排策略。11.3.2安全運營中心和應急響應安全運營中心和應急響應要求如下（包括但不限于）：a)建有企業范圍的安全運營中心，并由專門的團隊來運營；b)安全運營中心運營團隊成員均要符合國家的網絡安全從業人員能力基本要求；c)針對普通和高等級安全事件，安全運營中心有完整的應急預案和響應流程；d)依托安全運營中心平臺，基于機器人流程自動化技術，進行自動化的應急響應；e)依托安全運營中心平臺，基于人工智能技術，進行智能化的應急響應。T/CATIS028—2024（資料性）零信任能力成熟度評估流程和模型使用方法A.1概述零信任能力成熟度的評估從身份、終端、網絡、應用和工作負載、數據、可視化和分析、自動化編排和安全運營7個方面能力展開。通過對各項零信任能力的評估，可評估組織機構在零信任的實現能力屬于哪一等級。能力評估流程應包括評估準備、評估實施、評估結論、報告編制4個階段。A.2零信任能力成熟度評估流程A.2.1評估準備開展零信任能力成熟度評估應做好準備工作，評估方應組建評估小組，評估小組根據被評估方申請的能力級別，按照本文件規定的相應級別的零信任能力要求進行評估，準備評估文檔材料、確定待評估業務系統等；被評估方應派相關人員做好準備待審核的佐證文檔資料等配合工作。A.2.2評估實施在實施零信任能力評估時，評估小組根據被評估方申請評估的能力級別，采用適宜的評估方法進行評估，評估方法見附錄B、附錄C和附錄D，包括查閱文檔、現場查看、訪談問答、實際操作、應急演練等。a）查閱文檔：查閱零信任各能力方面的技術文檔、驗收報告、應急預案等相關文字、音像資料和數據記錄；b）現場查看：現場查看安全運營中心場所，零信任各能力方面的系統和設施；c）訪談問答：主要面向零信任架構人員、安全運營中心核心人員，了解其對本企業待評估業務系統的零信任各能力方面的實際運營情況；d）實際操作：主要評估本企業安全運營中心工作人員對零信任各能力方面的系統工具的掌握程度，以及這些系統帶來的零信任安全實際效果；e）應急演練：主要通過進行應急演練抽查或觀摩評估安全運營中心應急人員對應急工作流程和應急工具的掌握程度。A.2.3評估結論評估小組根據被評估方申請評估的零信任能力級別，對該級別的各項能力要求進行符合性判定，每項能力要求的符合性判定結果都分為符合、部分符合和不符合。評估小組應綜合各項能力要求的符合性判定結果并進行分析后給出該級別的整體評估結論：T/CATIS028—2024a）優秀通過：所有關鍵能力要求都為符合項，擴展能力要求中部分符合和符合累計超過總擴展能力項數的一半；b）優良通過：所有關鍵能力要求都為符合項，擴展能力要求中部分符合和符合累計不為零但未達到總擴展能力項數的一半；c）基本通過：所有關鍵能力要求都為符合項，擴展能力要求中部分符合和符合累計為零；d）不通過：關鍵能力要求存在部分符合項或不符合項。當被評估方所申請能力級別的評估結論為通過時，被評估方可對部分符合項和不符合項進行整改。再評估后均符合要求，則變更評估結論為合格。A.2.4報告編制編寫評估報告應全面反映評估過程的全部工作，提供評估佐證資料，給出評估結論。報告內容應包括：a）編制依據；c）評估程序和方法；d）評估結果與分析；e）改進措施及建議；f）報告附件，包括評估過程中產生的數據、表格、圖片和記錄、評估過程中會議記錄和評估意見、其他必要說明等。A.3模型使用方法模型將零信任能力從低到高分為一級、二級和三級，根據組織機構的關鍵業務系統的重要程度，以及安全架構設計、建設的階段和成效進行分級。使用模型時，組織機構應首先選定其業務系統，然后明確該業務系統的零信任能力級別。從能力建設的復雜性及難度考慮，通常建議從一級開始。組織機構明確目標的零信任能力級別后，可以自行組織或請第三方機構進行零信任能力級別的預評估，并在預評估的基礎上進行相應的零信任安全能力的提升計劃。組織機構在完成相應級別的零信任能力提升工作后，再通過第三方機構進行零信任能力級別評估，并獲得最終的能力認定。T/CATIS028—2024（資料性）一級零信任能力評估方法一級零信任能力評估表如表B.1所示，表中關鍵能力要求以★標記，擴展能力要求以☆標記，表中評估方式參見附錄A，包括查閱文檔、現場查看、訪談問答、應急演練等。表B.1一級零信任能力評估表★★★★★★★理★T/CATIS028—2024表B.1一級零信任能力評估表（續）作★1）現場查看業務系統的維護人員操作設備訪問控制策☆★確認每個訪問網絡的設備都進行了檢測可查★☆★★射★★則☆T/CATIS028—2024表B.1一級零信任能力評估表（續）★★★成☆☆理☆★★☆☆★T/CATIS028—2024表B.1一級零信任能力評估表（續）息★式★★★☆☆★理★★T/CATIS028—2024表B.1一級零信任能力評估表（續）析★★★及目錄內策略內容適用于待評估業務系統的★★★★★T/CATIS028—2024（資料性）二級零信任能力評估方法二級零信任能力評估表如表C.1所示，表中關鍵能力要求以★標記，擴展能力要求以☆標記，表中評估方式參見附錄A，包括查閱文檔、現場查看、訪談問答、應急演練等。表C.1二級零信任能力評估表1）查閱身份目錄的工作文檔，確認該目錄客觀存在，以2）現場查看業務系統的維護人員操作身份目錄，并確認★1）查閱身份目錄的工作文檔，確認該目錄能與其他系統2）現場查看業務系統的維護人員操作身份目錄，確認能☆1）訪談業務系統的維護人員，能應答維護身份目錄的工2）現場查看業務系統的維護人員使用工具自動化維護身★1）訪談業務系統的維護人員，能應答對用戶訪問的控制2）現場查看業務系統的維護人員通過工具維護訪問控制★1）訪談業務系統的維護人員，能應答對業務應用的用戶★2）現場查看業務系統的維護人員通過工具自動化維護認★1）訪談業務系統的維護人員，能應答用戶行為和情境相2）現場查看業務系統的維護人員通過工具自動化采集企☆1）現場查看業務系統的維護人員通過工具自動化識別用☆T/CATIS028—2024表C.1二級零信任能力評估表（續）1）現場查看待評估業務系統的業務應用的認證相關日志★1）現場查看業務系統的維護人員通過工具配置并啟用周☆1）訪談業務系統的維護人員，能應答PKI系統的信息；2）現場查看業務系統的維護人員操作PKI系統，展示企★1）現場查看業務系統的維護人員操作PKI系統，展示業務應用的用戶的數字證書信息以及非用戶實體數字證書☆1）現場查看業務系統的維護人員操作用戶認證，并采用★1）查閱設備目錄的工作文檔，確認該目錄客觀存在，以2）現場查看業務系統的維護人員操作身份目錄，并確認★1）訪談業務系統的維護人員，能應答維護設備目錄的工2）現場查看業務系統的維護人員使用工具自動化維護設★理1）訪談業務系統的維護人員，能應答設備管理系統的信2）現場查看業務系統的維護人員操作設備管理系統，展★1）訪談業務系統的維護人員，能應答對設備管理的安全2）現場查看業務系統的維護人員操作設備的安全策略動作★1）現場查看業務系統的維護人員操作設備的合規檢測工☆1）查閱身份目錄的工作文檔，確認該目錄客觀存在，以★T/CATIS028—2024表C.1二級零信任能力評估表（續）1）訪談業務系統的維護人員，能應答合規檢測工具的信2）現場查看業務系統的維護人員通過工具，對每一個訪★1）訪談業務系統的維護人員，能應答檢測與響應工具的☆理1）訪談業務系統的維護人員，能應答對用戶訪問的控制★1）現場查看業務系統的維護人員通過工具，輸出風險評☆射★1）訪談業務系統的維護人員，能應答對數據流定義控制2）現場查看業務系統的維護人員操作數據流訪問規則和★1）查閱數據流映射的工作文檔，確認數據流標記和分類2）訪談數據流映射的維護人員，能應答數據流標記和分☆★1）訪談網絡的維護人員，能應答虛擬化和云環境分段控2）現場查看業務系統的維護虛擬化和云環境分段控制規則★1）訪談業務系統的維護人員，能應答對業務應用的用戶★1）訪談業務系統的維護人員，能應答數據流、管理和數2）現場查看業務系統的維護人員操作網絡靈活控制和管理★T/CATIS028—2024表C.1二級零信任能力評估表（續）1）訪談業務系統的維護人員，能應答API決策點和控制2）現場查看業務系統的維護人員操作通過編程的結果可★1）查閱應用目錄的工作文檔，確認該目錄客觀存在，以★成1）查閱軟件開發流程的工作文檔，確認軟件開發與集成2）現場查看業務系統的維護人員操作應用程序的控制工★1）查閱企業范圍的定制軟件開發團隊的組織和人員職責★理1）查閱用于應用程序和其他形態的應用供應鏈風險管理★2）現場查看業務系統的維護人員通過API網關工具審查★★★1)現場查看業務系統的維護人員通過工具對身份和應用★2）訪談數據資產目錄的維護人員，能應答規范或指南中★T/CATIS028—2024表C.1二級零信任能力評估表（續）1）查閱企業的數據分類分級標記規范或指南文檔，以及2）訪談數據資產目錄的維護人員，能應答目錄的基本信息★1）訪談業務系統的維護人員，能應答維護數據資產目錄2）現場查看業務系統的維護人員使用工具自動化維護數★1）查閱數據資產目錄的工作文檔或實際目錄，確認該目★1）查閱數據資產目錄的工作文檔或實際目錄，確認該目☆2）現場查看業務系統的維護人員使用工具自動化標記數據★1）訪談業務系統的維護人員，能應答對分類分級數據相2）現場查看業務系統的維護人員監測分類分級數據相關★1）現場查看業務系統的維護人員監測關鍵數據的數據庫☆1）查閱業務系統的設計實現文檔，確認對所有分類分級2）現場查看業務系統的分類分級數據的存儲文件，以及★1）訪談業務系統的維護人員，能應答數據權限管理工具★1）訪談業務系統的維護人員，能應答數據丟失防護工具★T/CATIS028—2024表C.1二級零信任能力評估表（續）1）現場查看業務系統的維護人員操作軟件定義存儲相關★1）現場查看業務系統的維護人員操作數據的權☆1）查閱業務系統的設計實現文檔，確認對業務系統的日2）現場查看業務系統的關鍵數據存儲文件，以及傳輸流★理1）訪談業務系統的維護人員，能應答常見的安全分析邏2）現場查看業務系統的維護人員配置有關安全和風險展★1）現場查看業務系統的維護人員配置工具中安全信息和★1）訪談業務系統的維護人員，能應答常見的安全分析邏2）現場查看業務系統的維護人員配置有關安全和風險展★析★1）訪談業務系統的維護人員，能應對威脅情報來源，同★1）現場查看業務系統的維護人員通過工具整合各類安全★1）訪談業務系統的維護人員，能應答威脅和風險處置策2）現場查看業務系統的維護人員在工具中配置策略執行★T/CATIS028—2024表C.1二級零信任能力評估表（續）1）查閱策略目錄的工作文檔，確認該目錄客觀存在，以及目錄內策略內容適用于待評估業務系統的主要策略判★★★1）查閱企業范圍的安全運營中心的組織和人員職責相關★1）查閱安全運營中心團隊成員的相關網絡安全能力認證★1）查閱安全運營中心的工作文檔，確認有針對普通和高2）訪談安全運營中心團隊成員，能應答應急預案和響應★1）現場查看安全運營中心團體成員，使用具有機器人流☆T/CATIS028—2024（資料性）三級零信任能力評估方法三級零信任能力評估表如表D.1所示，表中關鍵能力要求以★標記，擴展能力要求以☆標記，表中評估方式參見附錄A，包括查閱文檔、現場查看、訪談問答、應急演練等。表D.1三級零信任能力評估表2）現場查看業務系統的維護人員操作身份目錄，并確★1）查閱身份目錄的工作文檔，確認該目錄能與其他系2）現場查看業務系統的維護人員操作身份目錄，確認★1）訪談業務系統的維護人員，能應答維護身份目錄的2）現場查看業務系統的維護人員使用工具自動化維護★1）查閱身份目錄的操作日志信息，確認更新身份目錄★1）訪談業務系統的維護人員，能應答對用戶訪問的控2）現場查看業務系統的維護人員通過工具維護訪問控★1）現場查看業務系統的維護人員通過具有人工智能技★1）訪談業務系統的維護人員，能應答對業務應用的用★2）現場查看業務系統的維護人員通過工具自動化維護★T/CATIS028—2024表D.1三級零信任能力評估表（續）1）查閱認證工具的操作日志信息，確認引入了新的認★1）訪談業務系統的維護人員，能應答用戶行為和情境2）現場查看業務系統的維護人員通過工具自動化采集★1）現場查看業務系統的維護人員通過工具自動化識別★1）現場查看業務系統的維護人員通過具有人工智能技★1）現場查看待評估業務系統的業務應用的認證相關日證★1）現場查看業務系統的維護人員通過工具配置并啟用★2）現場查看業務系統的維護人員操作PKI系統，展示★1）現場查看業務系統的維護人員操作PKI系統，展示業務應用的用戶的數字證書信息以及非用戶實體數字★1）現場查看業務系統的維護人員操作用戶認證，并采★1）現場查看業務系統的維護人員操作PKI系統，展示2）現場查看業務系統的維護人員操作用戶認證，并采★2）現場查看業務系統的維護人員操作身份目錄，并確★T/CATIS028—2024表D.1三級零信任能力評估表（續）1）訪談業務系統的維護人員，能應答維護設備目錄的2）現場查看業務系統的維護人員使用工具自動化維護★1）查閱設備目錄的操作日志信息，確認更新設備目錄★理1）訪談業務系統的維護人員，能應答設備管理系統的★1）訪談業務系統的維護人員，能應答合規檢測工具的2）現場查看業務系統的維護人員通過工具，對每一個★1）現場查看業務系統的維護人員操作PKI系統和設備★1）現場查看業務系統的維護人員通過具有人工智能技★規1）訪談業務系統的維護人員，能應答對用戶訪問的控★1）訪談業務系統的維護人員，能應答合規檢測工具的2）現場查看業務系統的維護人員通過工具，對每一個★1）現場查看業務系統的維護人員通過具有人工智能技★1）訪談業務系統的維護人員，能應答對用戶訪問的控★1）現場查看業務系統的維護人員通過工具，輸出風險★T/CATIS028—2024表D.1三級零信任能力評估表（續）1）現場查看業務系統的維護人員通過具