电信业务运营支撑网零信任安全能力要求（征求意见稿）

ICS35.240

CCSL79

T/CAICI

中国通信企业协会团体标准

T/CAICIXXXXX—XXXX

电信业务运营支撑网零信任安全能力要求

Requirementsforzerotrustsecuritycapabilityoftelecombusinessoperationsupport

network

（征求意见稿）

在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。

XXXX-XX-XX发布XXXX-XX-XX实施

中国通信企业协会发布

T/CAICIXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则

起草。

本文件由中国通信企业协会团体标准管理委员会提出并归口。

本文件主要起草单位：江苏易安联网络技术有限公司、江苏移动信息系统集成有限公司、中博信息

技术研究院有限公司。

本文件参加起草单位：上海邮电设计咨询研究院有限公司。

本文件主要起草人：杨正权、秦益飞、于振伟、董陵、夏南军、卢国太、仲勇、金浩。

本文件为XXX发布。

II

T/CAICIXXXXX—XXXX

引言

本文件的发布机构提请注意，声明符合本文件时，可能涉及到……[条]……与……[内容]……相

关的专利的使用。

本文件的发布机构对于该专利的真实性、有效性和范围无任何立场。

该专利持有人已向本文件的发布机构承诺，他愿意同任何申请人在合理且无歧视的条款和条件下，

就专利授权许可进行谈判。该专利持有人的声明已在本文件的发布机构备案。相关信息可以通过以下联

系方式获得：

专利持有人姓名：……

地址：……

请注意除上述专利外，本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别专利的责

任。

III

T/CAICIXXXXX—XXXX

电信业务运营支撑网零信任安全能力要求

1范围

本标准给出了电信业务运营支撑网零信任安全体系的能力要求，包括核心安全能力、安全管理能力

和基础平台能力。

本标准适用于网络运营者对零信任安全体系的规划、设计、实施和应用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069—2022信息安全技术术语

GB/T29242—2012信息安全技术鉴别与授权安全断言置标语言术语与定义

T/CESA1165-2021零信任系统技术规范零信任概述

3术语和定义

下列术语和定义适用于本文件。

3.1主体subject

能访问客体的主动实体。

[来源：GB/T29242-2012，3.7]

3.2资源resource

可供主体访问的对象。

注：例如应用、系统、接口、服务、数据等。

3.3数字身份digitalidentity

用于标识实体身份的数据信息，包括唯一标识符和鉴别凭据。

注：鉴别凭据依赖于身份鉴别方法，如密码、数字证书、生物特征等。

4缩略语

下列缩略语适用于本文件。

BOSS：业务运营支撑系统（Business&OperationSupportSystem）

CRM：客户关系管理（CustomerRelationshipManagement）

4A：账号、认证、授权和审计（Account，Authentication，Authorization，Audit）

4

T/CAICIXXXXX—XXXX

ID：标识符（Identifier）

OAuth：开放授权（OpenAuthorization）

SAML：安全断言标记语言（SecurityAssertionMarkupLanguage）

API：应用程序编程接口（ApplicationProgrammingInterface）

MFA：多因子认证（Multi-factorAuthentication）

5安全能力框架

在电信网络中，业务支撑系统（包括BOSS/CRM系统、经营分析系统、运营管理系统及各种安全支撑

系统）和系统资源（包括操作系统、数据库、网络设备、安全设备等）受4A等安全支撑系统的保护。电

信业务运营支撑网的零信任安全体系（如图1）基于零信任理念，通过数字身份管理、可信安全认证、

持续信任评估和动态访问控制，实现动态、细粒度的访问授权，形成体系化的零信任安全能力。

第三方平台零信任安全中心安全支撑系统

资产管理4A系统

身份管理安全认证

威胁情报堡垒系统

信任评估动态授权

安全监管金库服务

零信任客户端业务应用

BOSS

零信任网关

CRM

不可信可信

控制器

经分系统

网关

用户运维系统

终端系统资源

图1电信业务运营支撑网的零信任安全体系参考架构

零信任安全体系由零信任客户端、零信任网关和零信任安全中心的各种安全服务组成，零信任客户

端为用户提供业务访问入口和数据导流功能；零信任网关作为策略执行点，为零信任安全中心提供与访

问相关的主体、资源和访问动作等信息，并执行零信任安全中心下发的动态授权结果，例如阻断、允许

等；零信任安全中心作为零信任体系的控制中心，提供身份管理、安全认证、信任评估、动态策略决策

等安全服务，以及各种安全服务的控制协调。

上述各零信任组件通过相互配合、协调联动，构建形成体系化的零信任安全能力，包括核心安全能

力、安全管理能力、基础平台能力三个部分，其组成框架如图2所示。其中，

a）核心安全能力对零信任安全体系的关键控制能力提出要求，包含数字身份管理、可信安全认证、

持续信任评估和动态访问控制四个部分；

b）安全管理能力指零信任安全体系提供的安全管理和用户服务能力，包括策略管理、日志审计和

告警处置；

c）基础平台能力指零信任安全体系应满足的部署运行和互操作联动能力，包括安全自保、部署运

行和操作联动。

5

T/CAICIXXXXX—XXXX

安全管理能力核心安全能力

策略管理数可持动

字信续态

身安信访

日志审计份全任问

管认评控

告警处置理证估制

基础平台能力安全自保部署运行操作联动

图2电信业务运营支撑网的零信任安全能力框架

6核心安全能力

数字身份管理

数字身份管理指对主体、资源的身份标识和访问鉴别凭证进行管理的能力，包括：

a）应支持对用户、设备、应用等实体生成统一规范的身份ID；

b）应支持对用户、设备、应用的分组分类管理，包括：

1）按组织机构、访问权限等对用户进行分组管理；

2）按设备类型、安全等级等对设备进行分组管理；

3）按业务类型、安全等级等对应用进行分组管理；

c）应支持从现有身份管理系统中导入数字身份，例如4A账号、主从账号；

d）应支持对访问凭证的安全强度检查，例如密码复杂度、证书有效期；

e）应支持对身份数据的生命周期管理，包括数字身份的创建、冻结、变更和注销等。

可信安全认证

可信安全认证指对主体、资源的身份鉴别能力，包括：

a）应支持单点登录技术，例如OAuth2.0、SAML2.0；

b）应支持基于动态策略的MFA，认证方式包括但不限于：

1）静态口令；

2）短信认证；

3）数字证书；

4）生物特征认证；

5）第三方认证；

c）宜具备调用4A认证服务的能力；

d）宜支持对用户终端的接入认证；

e）宜支持业务应用的双向身份认证；

f）认证过程应具备抗重放攻击能力。

持续信任评估

6

T/CAICIXXXXX—XXXX

持续信任评估指对访问会话进行安全评估的能力，包括：

a）应支持对风险数据的周期性采集处理，风险数据来源包括：

1）应包括终端环境的安全状态、配置和日志；

2）应包括零信任安全体系组件的状态、配置和日志；

3）宜包括外部安全工具日志和威胁情报；

4）宜包括业务应用和支撑系统的日志和流量；

b）应支持异常登录场景的信任评估，例如异地登录、异常IP登录、异常时间登录；

c）应支持异常终端场景的信任评估，例如终端状态异常，终端资产归属未知；

d）宜支持异常访问场景的信任评估，例如数据越权访问，异常操作行为，脚本/机器人模拟访问；

e）宜支持自定义风险评估模型的定制，适配用户自定义的风险场景；

f）宜支持向4A审计平台上报风险数据。

动态访问控制

动态访问控制指对访问请求的动态、细粒度授权控制能力，包括：

a）应支持基于角色/属性的访问控制机制；

b）宜提供对资源的细粒度保护能力，如应用级、功能级和API级；

c）应支持基于会话的访问控制粒度；

d）应支持基于持续信任评估的动态授权，授权结果形式包括但不限于：

1）放行；

2）阻止；

3）触发二次认证；

4）触发双人认证；

5）终止会话；

e）应遵循最小权限原则，在不影响用户业务的情况下，缺省阻止授权。

7安全管理能力

策略管理

策略管理指对零信任安全策略的统一管理能力，包括：

a）应具备访问凭证的安全强度检查规则，包括但不限于：

1）密码长度至少8位字符；

2）密码复杂性要求至少包含大写字母、小写字母、数字、特殊符号4种类别中的2种；

3）密码有效时限应不超过90天；

4）验证码应具备失效超时时限，例如60秒；

b）应具备多因子用户认证规则；

c）宜具备用户身份稽核和账号锁定规则，包括但不限于：

1）非实名账号稽核规则；

2）僵尸账号稽核规则；

3）信息缺失账号锁定规则；

d）访问控制规则应支持包含主体、资源、位置和时间等因素的条件组合；

e）应具备分权分域的控制规则；

f）应具备日志、审计信息的标准字段定义和完整性检查规则；

g）应具备告警信息的处置规则；

7

T/CAICIXXXXX—XXXX

h）可支持策略编排，按业务场景对用户认证、终端接入和访问控制规则进行组合编制。

日志审计

日志审计指对零信任组件日志的处理分析能力，包括：

a）应支持对安全业务日志的管理审计，包括认证日志、鉴权日志和访问日志等；

b）日志记录应包含事件的基本信息，包括发生时间、事件类型、用户标识、操作行为等；

c）应支持按组合条件对日志进行过滤检索，包括按业务类型、按记录字段、按关键字等；

d）宜具备标准化的日志查询和上报能力。

告警处置

告警处置指对用户访问的安全风险和异常事件进行告警和处理的能力，包括：

a）应支持按风险来源对风险事件进行分类处理，包括但不限于：

1)终端环境类风险，如安装非准入软件、未安装防病毒软件；

2）账号变化类风险，如账号锁定；

3）认证类风险，如终端首次接入；

4）审计行为风险，如异常频次访问，异常时间登录，非常用IP访问；

5）授权变化风险，如授权关系变动，账号权限异常；

b）应支持按严重性对风险事件进行分级告警，例如低级、中级、高危；

c）告警内容应包含风险事件的基本信息，包括告警主体、来源终端设备、源IP，告警描述、告警

时间和分类等级等；

d）应支持对风险告警的过滤查询与归并存储。

8基础平台能力

安全自保

安全自保指零信任安全体系的自我保护能力，包括：

a）应提供对底层系统环境和基础组件的安全加固，包括但不限于：

1）应关闭不需要的系统服务、默认共享和高危端口；

2）应修改默认管理员账户名和默认密码；

3）应修复基础组件的安全缺陷和漏洞；

b）管理角色的权限应满足职责分离的要求，例如管理员、审计员和业务员；

c）应支持对管理操作的全过程审计，包括注册、登录、配置、注销等操作；

d）应支持对敏感数据的加密存储和传输，例如用户信息、密码信息、审计信息；

e）应支持采用国密算法实现敏感数据加密，例如SM2、SM3、SM4等算法。

部署运行

部署运行指满足目标网络需要的可扩展部署和运行性能要求，包括：

a）应具备快速部署能力，支持集群量级部署和大流量扩容；

b）应具备满足高可用性的部署方案：

1）应提供冗余部署模式，例如主备模式、主主模式；

2）集群部署时应使用高可用心跳机制；

3）单点故障的设备切换时间应满足业务网络倒换的性能要求；

c）应具备长期稳定运行的能力，满足业务网络的可用性指标要求；

8

T/CAICIXXXXX—XXXX

d）应支持在国产化环境上的部署和运行；

e）网关类设备的最大连接并发数和数据吞吐量应满足正常业务访问的性能要求。

操作联动

操作联动指零信任组件与其他安全支撑系统之间的互操作和联动能力，包括：

a）应使用全网统一时间服务的同步时钟；

b）应支持与安全支撑系统的联动控制，例如运维堡垒主机、4A系统等；

c）应支持与第三方平台的适配对接，例如资产管理平台、终端接入管理、安全监管平台等。

9

T/CAICIXXXXX—XXXX

目次

前言...........................................................................II

引言..........................................................................III

1范围................................................................................4

2规范性引用文件......................................................................4

3术语和定义..........................................................................4

4缩略语..............................................................................4

5安全能力框架........................................................................5

6核心安全能力........................................................................6

数字身份管理....................................................................6

可信安全认证....................................................................6

持续信任评估....................................................................6

动态访问控制....................................................................7

7安全管理能力........................................................................7

策略管理........................................................................7

日志审计........................................................................8

告警处置........................................................................8

8基础平台能力........................................................................8

安全自保......................................................................