1、華為云零信任能力成熟度模型白皮書2021年10月隨著大數據、 云計算和物聯網等技術不斷發展， 企業網絡邊界逐漸模糊， 同時外部網絡攻擊以及非授權訪問、 誤操作、 數據泄露等內部威脅層出不窮，傳統的基于邊界的安全防護手段已逐步失效。 秉承 “永不信任， 始終驗證”原則的零信任模型被證明可有效地解決上述問題， 成為網絡安全發展的新趨勢。華為云在零信任能力演進過程中， 識別到零信任實施是一項系統性的工程，并非通過部署單一網絡架構或技術產品即可完成， 需要長期規劃和建設， 包括明確零信任建設戰略愿景， 匹配所需資源， 制定建設路線圖等。 因此， 我們參考業界零信任架構， 并融合華為零信任落地實踐經驗，

2、 構建了一套零信任能力成熟度模型， 幫助企業識別當前零信任的成熟度等級， 并為企業下一階段零信任能力演進的戰略規劃提供指導。該零信任能力成熟度模型將成熟度評估理論轉化為用于指導實操的具體框架， 提供可落地的評估操作指引。 模型框架將零信任5大能力支柱細分為20個零信任核心子領域， 從組織建設到技術工具等多個能力維度衡量零信任能力， 并形成可量化的度量指標， 旨在保障評估的全面性和準確性。華為云通過內部實踐不斷優化該成熟度模型， 并將內部使用的零信任相關應用孵化成面向客戶的產品和服務， 目前已在人員安全、 網絡安全、 應用安全以及數據安全等多個領域提供多個零信任相關的產品和解決方案。發布此白皮書

3、， 將指導華為云內部已實踐落地的零信任能力成熟度模型分享給客戶及業界， 共同探討零信任能力成熟度評估方法， 推動行業零信任能力建設。 同時， 華為云將持續發布零信任相關產品和服務， 持續提升華為云安全防護能力， 為客戶業務合規與安全保駕護航。導 讀1零信任發展現狀及趨勢.0155.1 設備屬性管理 .115.2 設備動態訪問 .115.3 設備合規 .125.4 終端設備保護 .13設備安全.1033.1 成熟度模型架構 .043.2 零信任安全領域 .043.3 零信任能力成熟度 .053.4 零信任能力維度 .05華為云零信任能力成熟度模型.032華為云零信任實施的關鍵點.0244.1 身

4、份標簽管理 .074.2 持續身份認證 .074.3 動態權限管理 .084.4 特權賬號管理 .09人員安全.0666.1 微分段 .156.2 雙向傳輸安全 .166.3 威脅防護 .166.4 軟件定義邊界 .17網絡安全.1477.1 應用安全訪問 .197.2 開源與第三方安全 .197.3 DevSecOps .207.4 安全配置 .21工作負載 / 應用安全.18目 錄88.1 數據發現與分類 .238.2 數據脫敏 .248.3 數據防泄露 .248.4 數據血緣 .25數據安全.2211附錄 主要參考來源.299華為云零信任實踐.2610結束語.28CONTENTS華為云零

5、信任能力成熟度模型白皮書011零信任發展現狀及趨勢隨著云計算、大數據等技術廣泛應用，遠程辦公、移動互聯等業務快速發展，企業IT技術設施變得越來越多樣化，業務系統訪問需求越來越復雜，內部員工、供應商人員、外部合作伙伴等可以通過多種方式靈活接入系統，系統之間的互聯互通也將被更多的終端訪問，企業原有的網絡邊界逐漸模糊。同時，網絡安全風險及威脅日益復雜，APT攻擊、勒索軟件、內部越權操作等新型網絡攻擊手段層出不窮，讓眾多企業防不勝防，對其造成了重大的業務損失，而傳統的基于邊界的網絡安全防護手段已難以應對這些潛在的安全威脅。零信任模型是解決上述問題的有效手段之一。零信任理念最早由研究機構Forreste

6、r的首席分析師John Kindervag于2010年提出，經過數年的發展演進，已成為網絡安全發展的新趨勢。其核心思想是堅守“永不信任，始終驗證”的原則，打破了網絡邊界的概念，企業網絡內外的任何人、設備和系統都需要進行持續身份驗證和動態授權才能夠獲得對企業資源的細粒度最小化權限。華為云零信任能力成熟度模型白皮書022華為云零信任實施的關鍵點華為云面臨著與業界類似的安全挑戰，因此亟需實施零信任以增強安全防護能力，為自身業務及客戶業務保駕護航。然而，零信任實施并非一蹴而就，需要長期的規劃和建設，包括明確零信任建設戰略愿景，匹配所需資源，制定建設路線圖等。其中，規劃階段的一項關鍵工作為開展零信任能力

7、成熟度評估，以明確當前零信任能力成熟度水平及未來發展目標。該工作的開展需要參考一個可行的零信任能力成熟度模型。零信任能力成熟度模型是一種用于評估組織零信任能力的方法，包括一系列代表能力的特征、屬性、指示或者模式。成熟度模型通常使用一個結構化的框架，定義幾個漸進的成熟度階段，如可從級別初始化開始，到級別持續優化結束，并根據成熟度特征對每個階段進行描述。該模型可為組織評估其當前零信任能力的成熟度水平提供參考基準，并制定未來提升的目標。華為云零信任能力成熟度模型白皮書033 在業界已有評估領域的基礎上，該模型進一步細化零信任5大能力支柱的關鍵安全領域，以便更細粒度地開展零信任能力評估。 除了技術能力

8、，該模型還可評估組織建設、制度流程及數據運營等管理能力，從而更全面地衡量零信任能力。 該模型為所有關鍵安全領域均制定了具體的度量指標，可量化評估各個領域以及整體的零信任能力成熟度等級，并指引未來發展目標的制定。評估領域能力維度度量指標華為云借鑒業界已有的零信任理念，融合自身在網路安全與隱私保護方面的理解與實踐，制定了零信任能力成熟度模型。該模型旨在將零信任成熟度評估從理論層面落實到用于指導實操的具體框架，提供可落地的成熟度評估操作指引。其特點主要體現在以下三個方面：華為云零信任能力成熟度模型華為云零信任能力成熟度模型白皮書04零信任成熟度模型的架構可分為三部分：零信任安全領域、零信任能力成熟度

9、等級和零信任能力維度。三者的關系示意圖如下：3.1成熟度模型架構參考Forrester Zero Trust eXtended(ZTX)框架、美國國防部零信任參考架構，華為云零信任能力成熟度模型根據保護對象，將零信任安全領域劃分為5大領域：人員安全、設備安全、網絡安全、工作負載/應用安全、數據安全。而自動化和編排、可見性和分析將作為這五大領域的支撐性能力。其中，5大安全領域進一步細分為20個關鍵安全子域。3.2零信任安全領域華為云零信任能力成熟度模型白皮書05 零信任相關組織的崗位設置、職責劃分和人員能力建設; 零信任相關管理要求以及制度流程的建立和落地執行; 管理要求以及制度流程落地所需的技

10、術手段和產品工具; 用于衡量零信任管理和技術能力有效性的數據指標的建立和優化。 每個關鍵安全子域的零信任能力成熟度等級均可量化評分，從而明確企業目前零信任能力成熟度水平等級。 通過雷達圖等方式全局化地呈現20個零信任核心子領域的成熟度評分，從而可明確當前零信任能力短板與優勢，并指導企業規劃未來重點提升領域。零信任能力成熟度等級量化評分零信任能力成熟度可視化呈現3.3零信任能力成熟度華為云還設計了與該模型配套的零信任能力成熟度度量方法，用于量化地度量當前零信任成熟度等級，以更清晰地指示未來進階之路。該方法可實現以下效果：組織建設制度流程數據運營技術工具3.4零信任能力維度零信任能力維度明確了各個

11、安全領域應具備的能力。零信任能力分為以下4個方面:初始部分管理成型先進持續優化組織建設未指定相關管理角色及職責由相關人員進行初步管理設立管理崗位和人員，并清晰定義職責完善優化崗位人員和職責同四級制度流程未建立文檔化的制度和流程制定高階的方針政策和管理要求制定完整詳細的管理規范和流程 制度流程持續優化同四級技術工具采用傳統安全防護，尚未具備零信任能力僅在某些領域具備部分零信任能力零信任能力相對完善，但尚未實現策略自動調整通過機器學習實現策略動態調整持續優化，實現策略自適應調整數據運營無數據統計能力人工數據統計制定簡要數據運營指標制定詳細數據運營指標數據運營指標持續優化華為云零信任能力成熟度模型白

12、皮書06人員安全4零信任的實施目標之一是用戶在不受限制的地點合法地訪問工作所需的組織資源，用戶包括了員工、供應商人員、合作伙伴等各類可能需要訪問組織資源的人員。人員安全領域涉及的核心能力包括：持續身份認證身份標簽管理動態權限管理特權賬號管理華為云零信任能力成熟度模型白皮書07 組織建設上，未指定針對用戶身份管理的角色及職責；制度流程上，未制定用戶身份標簽相關的安全管理要求；技術工具上，未對用戶身份生命周期進行系統化管理，僅通過賬號對身份進行標識。 組織建設上，由相關人員對用戶身份進行初步管理；制度流程上，已制定賬號權限訪問管理的方針和用戶身份管理要求；技術工具上，已對用戶身份標簽進行統一管理，

13、身份包含賬號與部分靜態標簽。 組織建設上，已設立用戶身份標簽管理崗位和人員，并清晰定義相關崗位管理職責，負責規劃和執行身份標簽生命周期管理和用戶標簽策略等工作；制度流程上，已制定完整詳細的用戶身份標簽管理規范和流程，包括不同類型標簽命名標準等；技術工具上，利用平臺對用戶身份進行自動管理，身份可包含靜態與動態的用戶標簽，標簽策略主要由人工配置；數據運營上，已初步建立用戶賬號及標簽管理的數據指標，對組織內的用戶身份管理整體有效性進行粗略度量。 組織建設上，同三級；制度流程上，同三級；技術工具上，結合機器學習分析用戶行為，動態管理所有身份標簽并實現標簽狀態實時可視；數據運營上，已建立詳細的管理數據指

14、標，對用戶標簽自動化管理的能力進行監控，如用戶行為標簽的準確率等。 組織建設上，同三級；制度流程上，同三級；技術工具上，通過人工智能識別用戶行為及趨勢，對用戶身份標簽進行自適應管理；數據運營上，針對用戶標簽管理制定了全面且詳細的數據指標，對指標進行持續優化。成型先進持續優化初始部分管理4.1身份標簽管理零信任框架下身份標簽管理是對用戶賬號及標簽進行全生命周期的管理，確保合法用戶的身份信息可靠且持續更新。其中各級別能力如下： 組織建設上，未指定針對身份認證管理的角色及職責；制度流程上，未制定身份認證相關的安全管理要求；技術工具上，僅使用靜態密碼對用戶身份進行認證，且大部分系統的身份驗證是獨立的。

15、 組織建設上，由相關人員對身份認證進行初步管理；制度流程上，已制定賬號權限訪問管理的方針和身份認證管理要求；技術工具上，基本實現了基于靜態密碼的統一身份認證，部分系統實現單點登錄，關鍵系統使用了雙因素認證。初始部分管理4.2持續身份認證零信任框架下持續身份認證是對用戶身份進行持續驗證，確保用戶訪問所需資源前和使用資源過程的身份合法性。其中各級別能力如下：華為云零信任能力成熟度模型白皮書08 組織建設上，已設立用戶身份認證管理崗位和人員，并清晰定義相關崗位管理職責，負責規劃和執行身份認證策略及規則等工作；制度流程上，已制定完整詳細的身份認證管理規范和流程，包括認證策略變更流程等；技術工具上，全面

16、實現統一身份認證和單點登錄，并基于環境因素對用戶進行多因素二次認證，部分系統支持聯邦認證；數據運營上，已初步建立身份認證的管理指標，對組織內的身份驗證管理整體有效性進行粗略度量。 組織建設上，完善優化用戶身份權限管理相關的崗位人員和職責，具備專業運營團隊負責規劃和運營身份認證策略及規則等工作；制度流程上，持續優化身份認證管理規范和流程，包括風險計算規則變更流程等；技術工具上，大范圍實現無密碼策略，且基于用戶實時的綜合風險評定，統一動態調整身份認證策略；數據運營上，對身份驗證的管理及自動化調整驗證方式建立詳細數據指標，如用戶風險屬性評估準確率、策略自動調整準確率等。 組織建設上，同四級；制度流程

17、上，同四級；技術工具上，利用人工智能技術，自適應調整用戶身份認證策略；數據運營上，針對身份認證管理制定了全面且詳細的數據指標，對指標進行持續優化。成型先進持續優化 組織建設上，未指定針對訪問權限管理的角色及職責；制度流程上，未制定用戶權限相關的安全管理要求；技術工具上，基于需求或經驗，為用戶進行人工授權。 組織建設上，由相關人員對訪問權限進行初步管理；制度流程上，已制定賬號權限訪問管理的方針和管理要求；技術工具上，使用權限管理平臺，基于角色的靜態策略在關鍵系統為用戶進行授權，且策略定期更新。 組織建設上， 已設立訪問權限管理崗位和人員，并清晰定義相關崗位管理職責，負責規劃和執行權限管理規則與用

18、戶授權標準等工作；制度流程上，已制定完整詳細的賬號權限管理規范和流程，包括定期的崗位權限審閱流程等；技術工具上，針對關鍵系統，在初始部分管理成型4.3動態權限管理零信任框架下動態權限管理是實時評估用戶身份風險并根據風險要素進行基于最小權限原則的資源分配。其中各級別能力如下：華為云零信任能力成熟度模型白皮書09基于角色的授權策略基礎上，結合主要環境因素評估，自動調整用戶的訪問權限；數據運營上，已初步建立相關管理指標，對用戶動態權限管理的有效性進行度量，如動態權限管理推行率、自動化授權成功率等。 組織建設上，完善優化用戶身份權限管理相關的崗位人員和管理職責，具備專業運營團隊負責規劃和運營動態權限管

19、理的策略及規則等工作；制度流程上，持續優化訪問權限管理規范和流程，包括用戶風險計算規則變更流程等；技術工具上，實時分析用戶行為、設備、網絡以及被訪問資源的狀態，計算綜合風險動態調整用戶的訪問權限；數據運營上，已建立詳細數據指標，對訪問權限的管理及自動化檢測和授權能力進行監控，如用戶風險屬性評估準確率、權限調整準確率、非場景內的例外授權率等。 組織建設上，同四級；制度流程上，同四級；技術工具上，利用人工智能技術分析用戶行為模式，自適應地調整用戶的訪問權限；數據運營上，針對訪問權限管理制定全面且詳細的數據指標，對指標進行持續優化。持續優化 組織建設上，未指定針對特權賬號管理的角色及職責；制度流程上

20、，未制定特權賬號相關的安全管理要求；技術工具上，特權賬號通過人工分散記錄和管理，且采用靜態密碼的認證方式。 組織建設上，由相關人員對特權賬號進行初步管理；制度流程上，已制定賬號權限訪問管理的方針和特權賬號管理要求；技術工具上，部署技術平臺納管關鍵系統的特權賬號，并對其行為進行記錄、檢測、阻隔，其中密鑰定期更換。 組織建設上，已設立特權賬號管理崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行特權賬號管理原則與賬號活動管控等工作；制度流程上，已制定完整詳細的特權賬號管理規范和流程，包括定期的活動日志審計流程；技術工具上，遵循最小授權原則對所有特權賬號進行納管，實現特權賬號自動發現人工響應、會

21、話隔離和密鑰自動輪換；數據運營上，已初步建立相關的管理指標，對特權賬號管理的整體有效性進行度量，如特權賬號納管率、密鑰輪換覆蓋率等。 組織建設上，同三級；制度流程上，同三級；技術工具上，實現特權賬號自動發現自動響應，并基于JIT（Just-In-Time）原則動態調整權限；數據運營上， 對特權賬號的管理及自動調整權限建立詳細數據指標，如自動識別率、使用場景匹配率、權限調整準確率等。 組織建設上，同三級；制度流程上，同三級；技術工具上，利用人工智能技術，自適應地調整特權賬號的訪問權限；數據運營上，針對特權賬號的管理制定了全面且詳細的數據指標，對指標進行持續優化。初始部分管理成型先進持續優化4.4

22、特權賬號管理零信任框架下特權賬號管理是對特權賬號進行管理，防止憑證泄露或特權濫用帶來的風險，確保各類特權身份及其活動的安全。其中各級別能力如下：先進華為云零信任能力成熟度模型白皮書10設備安全5設備是零信任框架關注的重要組成部分之一，隨著組織內接入網絡的設備類型與數量持續增加，組織應當持續識別、驗證、授權、隔離、保護、修復和控制所有設備，并將其視為默認不可信。該領域涉及的核心能力包括：設備動態訪問設備屬性管理設備合規終端設備保護華為云零信任能力成熟度模型白皮書11 組織建設上，未指定設備管理相關角色及其職責；制度流程上，未制定設備管理相關的安全管理要求；技術工具上，人工維護設備資產清單，未對設

23、備屬性進行管理。 組織建設上，由相關人員對設備資產與屬性進行初步管理；制度流程上，已制定設備資產與屬性管理的方針政策和管理相關要求；技術工具上，通過資產管理系統維護資產與屬性清單，并可自動識別部分資產和設備屬性。 組織建設上，已設立負責設備資產與屬性管理的崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行設備資產與屬性的清點梳理、更新、維護等工作；制度流程上，已制定完整詳細的設備資產與屬性管理規范和流程，包含如設備資產與屬性類型定義、設備資產清單建立、更新、維護等要求；技術工具上，實時自動化識別與納管組織內所有設備資產及屬性清單，實現所有設備資產和屬性可視化，其中識別策略由人工配置；數據運

24、營上，定義了少量粗略的指標對組織內設備資產與屬性管理的有效性進行度量，如設備（類別、數量）納管率、屬性識別率。 組織建設上，同三級；制度流程上，同三級；技術工具上，利用機器學習對設備特征進行分析，動態管理設備資產和屬性識別策略，自動管理資產及屬性清單；數據運營上，定義了詳細的數據指標對設備資產與屬性發現能力進行度量，如資產與屬性掃描頻率、掃描周期、識別正確率等。 組織建設上，同三級；制度流程上，同三級；技術工具上，持續優化設備資產及屬性識別策略，識別與管理能力持續提高；數據運營上，針對設備屬性管理制定了詳細的數據指標，對指標進行持續優化。先進持續優化成型初始部分管理5.1設備屬性管理零信任框架

25、下設備屬性管理是指持續且自動化地識別、記錄和跟蹤組織內不同類型設備資產及對應屬性的能力，為設備動態訪問控制提供前置條件。其中各級別能力如下：5.2設備動態訪問零信任框架下設備動態訪問是指基于ABAC模型持續評估設備主體屬性及上下文環境，完成對設備動態認證與授權動作的能力。其中各級別能力如下：華為云零信任能力成熟度模型白皮書12 組織建設上，未指定設備訪問控制管理角色及其職責；制度流程上，未制定設備訪問控制相關的安全管理要求；技術工具上，未針對設備執行訪問控制。 組織建設上，由相關人員對設備訪問控制進行初步管理；制度流程上，已制定設備安全訪問控制管理相關要求；技術工具上，通過設備唯一標識或證書對

26、終端PC、移動設備等類型設備進行設備認證，其中訪問控制策略由人工按需更新維護。 組織建設上，已設立負責設備訪問控制的管理崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行動態訪問控制策略的設計、部署、審計、維護等工作；制度流程上，已制定完整詳細的設備訪問控制管理規范和流程，包含如訪問控制模型、信任評估算法、策略維護、設備覆蓋類型等要求；技術工具上，構建基于ABAC模型的訪問控制策略，根據設備屬性與上下文持續對組織內所有設備信任等級進行評估，動態調整訪問權限；數據運營上，定義了少量粗略的指標對組織內設備訪問控制管理效果進行度量，如非法設備拒絕率。 組織建設上，完善優化設備訪問控制管理的相關崗

27、位職責及人員；制度流程上，持續優化設備訪問控制管理規范和流程，如信任評估算法要求、授權策略等；技術工具上，機器學習算法分析設備主體活動，自動生成訪問控制策略，對所有訪問組織資源的設備進行認證與授權；數據運營上，定義了詳細的數據指標對設備訪問控制策略有效性進行度量，如錯誤接受率FAR、錯誤拒絕率FRR、FAR/FRR變化趨勢等。 組織建設上，同四級；制度流程上，同四級；技術工具上，實時生成并持續優化訪問控制策略中的信任算法，自適應調整認證與授權策略；數據運營上，針對設備訪問控制制定了詳細的數據指標，對指標進行持續優化。初始部分管理成型先進持續優化 組織建設上，未指定設備合規管理角色及其職責；制度

28、流程上，未制定設備合規相關的安全管理要求；技術工具上，人工按需對單一設備類型（如PC終端設備）執行配置策略檢查與修復。 組織建設上，由相關人員對設備合規進行初步管理；制度流程上，已制定設備合規的方針政策和管理要求；技術工具上，使用工具定期對PC終端、筆記本等設備執行配置策略檢查，人工執行修復。 組織建設上，已設立負責設備合規的管理崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行設備配置檢查、響應、修復等工作；制度流程上，已制定完整詳細的設備合規安全管理規范和流程，包含如檢查設備范圍、策略范圍、檢查方式、檢查頻率等要求；技術工具上，使用統一平臺自動實時對組織內所有設備類型配置進行檢查并生成

29、初始部分管理5.3設備合規零信任框架下設備合規是指自動化且持續驗證不同類型設備相關配置策略的符合性并針對不符合配置基線的設備執行修復的能力。其中各級別能力如下：成型華為云零信任能力成熟度模型白皮書13可視化報告，針對部分不符合項自動執行修復動作；數據運營上，定義了少量粗略的指標對組織內設備合規管理的有效性進行度量，如符合/不符合策略的設備數量比例等。 組織建設上，同三級；制度流程上，同三級；技術工具上，機器學習分析設備配置，自動生成策略對所有訪問組織資源的設備執行配置檢查與修復動作；數據運營上，正式定義了詳細的數據指標對設備合規有效性進行度量，如高危漏洞設備數量及比例、配置檢查正確率等。 組織

30、建設上，同三級；制度流程上，同三級；技術工具上，持續優化機器學習算法，提高配置檢查與修復策略的準確性、時效性等；數據運營上，針對設備合規管理制定了詳細的數據指標，對指標進行持續優化。先進持續優化 組織建設上，未指定終端設備保護工作的相關角色及其職責；制度流程上，未制定終端設備保護相關的安全管理要求；技術工具上，通過防病毒軟件等對PC終端、筆記本設備進行防護，未部署威脅檢測工具。 組織建設上，由相關人員對終端設備進行初步保護管理；制度流程上，已制定設備安全的方針政策和終端設備保護管理要求；技術工具上，針對PC終端、筆記本類型實施如證書認證、全盤加密等安全加固措施，部署終端威脅檢測工具，人工完成威

31、脅響應與處置工作。 組織建設上，已設立負責設備保護的管理崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行設備加固、威脅檢測、響應與修復等工作；制度流程上，已制定完整詳細的設備保護安全管理規范和流程，包含如設備保護范圍、安全加固標準、威脅檢測與響應流程等要求；技術工具上，針對組織內已注冊設備部署統一平臺，實時收集分析終端威脅信息并生成可視化報表，終端威脅與響應工具自動完成部分威脅響應與處置動作；數據運營上，定義了少量粗略的指標對組織內終端設備保護的有效性進行度量，如終端威脅事件告警總量、不同等級事件數量占比等。 組織建設上，同三級；制度流程上，同三級；技術工具上，針對所有已注冊和未注冊設備

32、，利用機器學習分析威脅行為，對未知威脅進行檢測與自動化響應；數據運營上，定義了詳細的數據指標對設備終端保護能力進行度量，如未知威脅檢測率、事件響應與處置時間等。 組織建設上，同三級；制度流程上，同三級；技術工具上，對所有威脅事件發起自適應響應流程，持續優化針對已知或未知威脅的預測、預防、檢測、響應能力；數據運營上，針對終端設備保護管理制定了詳細的數據指標，對指標進行持續優化。初始成型部分管理先進持續優化5.4終端設備保護零信任框架下終端設備保護是指自動化且持續地針對不同類型設備執行威脅預防、檢測和響應機制的能力。其中各級別能力如下：華為云零信任能力成熟度模型白皮書14網絡安全6網絡是零信任框架

33、關注的重要組成部分之一。網絡作為數據的訪問和傳輸“通道”，應在傳輸過程中對數據進行必要的安全防護和訪問控制。此外，網絡威脅的檢測、響應、修復以及資源分段隔離等均是零信任網絡安全所關注的內容。該領域涉及的核心能力包括：雙向傳輸安全微分段威脅防護軟件定義邊界華為云零信任能力成熟度模型白皮書15成型先進持續優化 組織建設上，未指定網絡分段管理的角色及其職責；制度流程上，未制定網絡分段相關的管理要求；技術工具上，僅區分內外網絡邊界，未對內部網絡進行分段。 組織建設上，由相關人員對網絡進行初步分段管理；制度流程上，已制定網絡分段相關的安全管理要求；技術工具上，通過收集網絡節點信息生成網絡拓撲結構圖；針對

34、關鍵應用服務配置網絡微分段。 組織建設上，已設立資源微分段管理崗位和人員，并清晰定義相關管理崗位職責；制度流程上，已制定完整詳細的資源微分段相關的管理規范和流程，包含如微分段策略管理、運維管理、安全監控等要求；技術工具上，全網絡資源實現微分段；基于應用訪問關系自動生成依賴關系圖，并基于靜態規則調整訪問控制策略，實現應用/服務資源微分段；數據運營上，已初步建立對關鍵應用或服務的有效性保護的數據指標，如資源微分段覆蓋率等。 組織建設上，完善優化微分段相關的崗位人員和管理職責，具備專業運營團隊建立和優化資源微分段的自動化模型等工作；制度流程上，持續優化資源微分段管理規范和流程，包括分段策略自動變更流

35、程等；技術工具上，通過機器學習分析網絡和應用/服務的上下文實時變化，對所有網絡和應用/服務微分段進行自動化調整，并實現網絡和應用/服務狀態實時可視；數據運營上，已定義了詳細的對資源隔離保護的細粒度水平的數據指標。 組織建設上，同四級；制度流程上，同四級；技術工具上，利用人工智能分析綜合環境實時變化，實現應用進程級分段的自適應調整；數據運營上，針對網絡分段隔離管理制定了全面詳細的數據指標，并對指標進行持續優化。初始部分管理6.1微分段微分段在零信任框架中，其能力主要體現在對網絡和應用資源進行分段隔離，將訪問客體資源進行細粒度劃分。其各級別能力如下：華為云零信任能力成熟度模型白皮書16 組織建設上

36、，未指定針對網絡傳輸安全管理角色及其職責；制度流程上，未制定網絡傳輸相關的管理要求；技術工具上，未對網絡傳輸鏈路進行加密。 組織建設上，由相關人員對網絡傳輸進行初步安全管理；制度流程上，已制定網絡傳輸加密和認證的管理要求；技術工具上，通過單一加密算法和單向傳輸協議，對外部服務網絡傳輸鏈路進行保護。 組織建設上，已設立網絡傳輸安全管理崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行雙向傳輸安全管理工作；制度流程上，已制定完整詳細的網絡傳輸安全管理規范和流程，包含如加密算法選用等要求；技術工具上，通過混合加密算法和雙向傳輸協議，對所有外部服務網絡傳輸鏈路，以及內部關鍵服務網絡傳輸鏈路進行保護

37、；數據運營上，已初步定義數據指標，如支持雙向傳輸協議服務比例、傳輸鏈路加密覆蓋率等。 組織建設上，同三級；制度流程上，同三級；技術工具上，使用混合算法加密和雙向傳輸協議，對所有網絡傳輸鏈路進行保護；數據運營上，已定義詳細的數據指標，對網絡安全傳輸的整體有效性進行度量。 組織建設上，同三級；制度流程上，同三級；技術工具上，持續優化和更新加密算法和傳輸協議，加強對網絡傳輸保護等；數據運營上，針對網絡傳輸安全管理制定了全面詳細的數據指標，并對指標進行持續優化。初始成型部分管理先進持續優化6.2雙向傳輸安全雙向傳輸安全在零信任框架中，其能力主要體現在通過雙向身份認證以及對傳輸鏈路進行加密，確保數據傳輸

38、過程中的真實性，完整性和私密性。其中各級別能力如下：6.3威脅防護威脅防護在零信任框架中，其能力主要體現在對網絡活動進行檢測分析確保網絡威脅及時被發現和響應。其中各級別能力如下： 組織建設上，未指定網絡威脅防護的相關角色及其職責；制度流程上，未制定網絡威脅防護相關的管理要求；技術工具上，未部署工具進行網絡威脅防護。 組織建設上，由相關人員對網絡威脅進行初步的防護管理；制度流程上，已制定網絡防護相關管理要求；技術工具上，已部署工具以及建立威脅的檢測規則，并可通過工具匹配威脅特征對已知威脅進行檢測和響應。 組織建設上，已設立負責網絡防護的管理崗位和人員。并清晰定義相關管理崗位職責，負責規劃和執行威

39、脅檢測、分析、響應等工作；制度流程上，已制定完整詳細的網絡防護相關的管理規范和流程，包含如網絡威脅檢測、威脅事件響應流程等要求；技術工具初始成型部分管理華為云零信任能力成熟度模型白皮書17上，已建立行為分析模型，通過實時監控網絡活動，實現威脅的自動檢測和威脅節點的自動隔離，但依賴人工對未知威脅進行進一步分析和修復；數據運營上，已初步定義了威脅檢測和響應能力的數據指標，如威脅誤報率，威脅漏報率。 組織建設上，完善優化威脅防護相關的崗位人員和管理職責，具備專業安全運營團隊建立和優化威脅的自動化分析和修復模型等工作；制度流程上，持續優化威脅防護管理規范和流程，包括威脅檢測和響應流程等；技術工具上，通

40、過機器學習完善網絡行為分析模型，并結合沙箱等隔離技術和自動化分析測試，實現對未知網絡威脅的自動檢測、分析和修復；數據運營上，已正式定義了詳細全面的威脅檢測和響應能力的數據指標，如威脅自動修復率。 組織建設上，同四級；制度流程上，同四級；技術工具上，優化對未知網絡威脅檢測，分析和響應能力，持續減少威脅對網絡的影響；數據運營上，針對網絡威脅檢測和響應管理制定了全面詳細的數據指標，并對指標進行持續優化。 組織建設上，未指定網絡訪問控制管理角色及其職責；制度流程上，未制定網絡訪問控制相關的管理要求；技術工具上，無網絡訪問控制或僅依賴傳統防火墻策略進行訪問限制。 組織建設上，由相關人員對網絡訪問控制進行

41、初步管理；制度流程上，已制定網絡訪問控制相關管理要求；技術工具上，通過對網絡接入請求進行身份驗證，實現基于網絡身份驗證的網絡準入控制。 組織建設上，已設立負責網絡訪問控制的管理崗位和人員，并清晰定義相關管理崗位職責；制度流程上，已制定完整詳細的網絡訪問控制相關的管理規范和流程等；技術工具上，實現應用資源隱身，僅對已授權用戶可見；基于身份認證和網絡上下文等多要素的實時驗證，實現對網絡資源持續的訪問控制；數據運營上，已建立少量初步的指標，對網絡資源的動態訪問控制能力進行度量，如DDos攻擊防護率，資源隱身的覆蓋率等。 組織建設上，完善優化網絡訪問控制的相關崗位人員和管理職責，具備專業安全運營團隊建

42、立和優化網絡訪問控制策略的自動化調整等工作；制度流程上，持續優化網絡訪問控制管理規范和流程，包括自動化的訪問策略變更流程等；技術工具上，將安全控制點前移至邊緣站點；通過機器學習對接入端點的風險狀態和網絡身份進行評估，自動分配相應的訪問資源；數據運營上，持續優化數據數據指標，增加對邊緣網絡的訪問控制能力進行度量。 組織建設上，同四級；制度流程上，同四級；技術工具上，持續優化軟件定義邊界場景覆蓋能力，實現自適應的網絡訪問控制和響應；數據運營上，對指標進行持續優化。初始成型部分管理先進持續優化先進持續優化6.4軟件定義邊界軟件定義邊界在零信任框架中，其能力主要體現在通過資源隱身、強身份認證以及動態授

43、權對目標進行保護，有效將企業應用和不安全網絡進行隔離。其中各級別能力如下：華為云零信任能力成熟度模型白皮書18工作負載 / 應用安全7工作負載/應用安全是零信任框架關注的重要組成部分之一。云計算的蓬勃發展使得工作負載/應用安全的重要性日益凸顯，因此應加強安全防護，最大程度地保障應用層、計算容器和虛擬機等組件的安全。工作負載/應用安全領域涉及的核心能力包括：開源與第三方安全應用安全訪問DevSecOps安全配置華為云零信任能力成熟度模型白皮書19 組織建設上，未指定針對應用訪問的安全管理角色及職責；制度流程上，未制定應用訪問相關的安全管理要求；技術工具上，應用間交互不需要通過認證，僅通過簡單的隔

44、離手段進行控制。 組織建設上，由相關人員對應用安全訪問進行初步管理；制度流程上，已制定應用安全方針政策和應用訪問的安全管理要求；技術工具上，實現關鍵應用間的身份認證，其訪問憑證由人工進行管理和替換。 組織建設上，已設立應用安全訪問管理崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行應用間訪問策略及憑證管理等工作；制度流程上，已制定完整詳細的應用訪問的安全管理實施規范和操作指引；技術工具上，實現所有應用間的身份認證，對其憑證進行自動納管及定期輪換，并對憑證的操作和使用進行人工監控和響應；數據運營上，已初步定義了應用間安全訪問能力的數據指標，如憑證自動納管率、應用間認證覆蓋率等。 組織建設上

45、，完善優化應用安全訪問管理相關的崗位人員和管理職責，負責規劃和執行應用間訪問策略及憑證管理等工作；制度流程上，根據組織的應用間動態訪問管理策略的調整，持續優化應用訪問的安全管理實施規范和操作指引，包含動態訪問策略管理等；技術工具上，基于環境上下文動態地對應用間訪問進行認證，且利用自動化工具對憑證的操作和使用進行可視化的監控；數據運營上，已詳細定義了應用間安全訪問能力的數據指標，對動態應用安全訪問及自動化憑證管理能力進行度量，如動態策略準確率等。 組織建設上，同四級；制度流程上，同四級；技術工具上，根據大數據及人工智能分析歷史訪問信息，自適應的調整應用認證規則；數據運營上，已全面詳細定義了應用安

46、全訪問能力的數據指標，并對指標進行持續優化。成型先進持續優化初始部分管理7.1應用安全訪問零信任框架下應用安全訪問是指通過基于策略的環境上下文動態憑證實現應用程序或服務間的訪問控制。其中各級別能力如下： 組織建設上，未指定針對開源與第三方代碼的安全管理角色及職責；制度流程上，未制定開源與第三方相關的安全管理要求；技術工具上，未對開源或三方件進行掃描，僅通過人工按需對可執行文件進行安全掃描。 組織建設上，由相關人員對開源與第三方代碼的安全進行初步管理；制度流程上，已制定開源與第三方代碼的安全管理要求；技術工具上，人工結合安全掃描工具定期執行源碼安全檢查以及對發現的漏洞進行修復與驗證。初始部分管理

47、7.2開源與第三方安全 零信任框架下開源與第三方安全是指通過多層次的自動化安全檢查保障用于構建應用程序的二進制、庫或源代碼的安全性。其中各級別能力如下：華為云零信任能力成熟度模型白皮書20 組織建設上，已設立開源與第三方代碼的安全管理崗位和人員，并清晰定義相關管理崗位職責，負責規劃和執行代碼審查、代碼庫管理和二進制文件校驗等工作；制度流程上，已制定完整詳細的開源與第三方代碼安全相關的實施規范和操作指引，包含第三方代碼庫管理規范，二進制文件校驗流程等；技術工具上，結合安全掃描工具對源碼、第三方庫及二進制文件進行校驗，并實現漏洞實時修復；數據運營上，已初步定義了開源與第三方代碼安全相關能力的數據指

48、標，如開源與第三方件安全檢查覆蓋率等。 組織建設上，同三級；制度流程上，同三級；技術工具上，結合自動分析工具學習安全要求、歷史問題等，實現多層次的自動化檢查及可視化的監控；數據運營上，已詳細定義了開源與第三方代碼安全相關能力的數據指標，對開源與第三方代碼自動化安全檢測與監控能力進行度量，如漏洞檢測準確率等。 組織建設上，同三級；制度流程上，同三級；技術工具上，持續優化精準發現代碼漏洞，并使用高級關聯等技術自適應的調整修復策略；數據運營上，已全面詳細定義了開源與第三方代碼安全能力的數據指標，并對指標進行持續優化。先進持續優化成型7.3DevSecOps零信任框架下DevSecOps是指通過左移策

49、略將安全重心轉移到在開發的最初階段就采取安全措施，實現從開發到運行的快速響應和敏捷迭代。其中各級別能力如下： 組織建設上，未指定針對應用安全開發管理的角色及職責；制度流程上，未制定與應用開發相關的安全管理要求；技術工具上，應用開發生命周期中按需執行了部分安全性活動，如上線前執行安全測試。 組織建設上，由相關人員對應用安全開發進行初步管理；制度流程上，已制定應用安全開發管理要求；技術工具上，在應用開發生命周期中的部分環節執行安全活動，其中重點在需求、設計和開發階段增加安全控制，如執行安全設計、安全編碼等。 組織建設上，已設立應用開發安全管理崗位和人員，并清晰定義相關管理崗位職責，相關角色的安全意

50、識持續提高，負責規劃和執行應用安全開發生命周期各階段的安全管理工作；制度流程上，已制定完整詳細的應用安全開發相關的實施規范和流程指引，包含安全設計規范，安全測試規范，安全部署流程等；技術工具上，安全活動已完全融入應用安全開發生命周期的各個環節，且引入相關工具平臺執行安全活動，如代碼審查工具、漏洞掃描工具等；數據運營上，已初步定義了應用安全開發的數據指標，對組織內應用開發的安全管理的整體能力進行度量，如應用開發的安全缺陷數量、缺陷修正率等。 組織建設上，已完善應用開發安全管理崗位和相關管理崗位職責，持續優化應用安全開發生命周期各階段的安全管理工作；制度流程上，根據組織應用安全開發管理策略的調整，