近日,在ITU-T(国际电信)全会上,该项目于去年9月获批后,标准顺利通过二版草案答辩,离向国际安全界输出中国零信任安全技术创新又近了一步。 (ITU-TSG17安全研究组会议)《服务访问过程持续保护指南》作为零信任安全理念的核心部分,腾讯联合国家互联网应急中心(CNCERT)、中国移动通信集团设计院等联合提出的《服务访问过程持续保护指南》,打破了传统的特权访问保护方式基于网络区域的位置,重点持续识别企业用户在网络访问过程中遇到的安全威胁,维护访问行为的合理性avior,并且不信任网络内外的任何人/设备/系统。基于持续身份认证和访问授权原则,重构服务访问过程中的访问控制机制,对访问主体、访问链路、访问对象(服务)的整个访问过程进行多维度的持续安全保护实现了。这对于助力构建新一代企业网络安全体系,加速零信任安全理念及相关技术的商业化和普及具有重要意义。 腾讯的持续保护理念是基于其内部近几年的零信任实践经验。该标准集成了腾讯内部的安全能力。以技术为支撑,通过病毒查杀、漏洞修复、安全加固、合规检测、数据保护等多方位的终端管控能力,以及统一的安全基线检测策略,为操作系统环境和硬件设备提供双重可信保障实现;另一方面,支持与威胁情报、身份管理、SOC等内部系统联动,为终端发起的访问提供持续的安全保护,即针对不同的访问对象下发不同的访问策略组合,针对人员、设备、访问权限等潜在的安全隐患,发起禁止和阻断,最大限度发挥终端动态访问控制的效果。 基于《服务访问过程持续保护指南》,腾讯零信任安全管理体系(iOA)在腾讯多年得到验证。旨在为用户打造统一、安全、高效的无边界网络接入入口。实现按需、动态的实时访问控制策略,利用终端安全、身份安全、应用安全、链路安全等核心能力,对终端接入进行持续的访问权限控制和安全保护,实现终端在任意网络中的安全环境,稳定高效地访问企业资源和数据。今年春节期间,腾讯iOA成功为6万余名员工、10万台终端的远程办公场景保驾护航。此外,腾讯iOA也得到了业界的广泛认可。不久前,腾讯iOA荣获中国网络安全产业联盟(CCIA)颁发的“最具投资价值奖”榜单第一名、“创新产品优秀奖”榜单第二名。 随着传统网络安全架构“边界”壁垒的消除,远程接口增多、设备移动性高带来的暴露和攻击面扩展问题日益严重。“零信任”这一本质上以身份识别和持续动态控制为核心的新技术和理念,已成为企业在数字经济发展新周期中谋求安全转型的重要技术选择。由腾讯发起的国际标准《服务访问过程持续保护参考框架》无疑将为全球零信任安全技术的标准化提供有益的借鉴,加速零信任安全技术在全球范围内的推广应用进程。世界规模。
