GB/T 47697-2026《网络安全技术 鉴别与授权 基于属性的访问控制模型与管理规范》解读

GB/T 47697-2026《网络安全技术 鉴别与授权 基于属性的访问控制模型与管理规范》解读

一、标准的基本信息

标准标识与时空坐标：GB/T 47697-2026，英文全称 Cybersecurity technology—Authentication and authorization—Specification for attribute-based access control model and management。2026年5月25日由国家市场监督管理总局、国家标准化管理委员会联合发布，2026年12月1日正式实施。无替代标准，属全新制定。

组织体系与分类：归口单位为全国网络安全标准化技术委员会（TC260），主管部门为国家标准委。国际标准分类号（ICS）35.030，直指IT安全技术领域。

研制力量与核心人物：牵头单位北京中关村实验室，联合中国科学院大学、奇安信、天融信、安恒信息、启明星辰、蚂蚁集团、中兴通讯等四十余家产学研用单位共同起草。刘勇、荆继武、李建彬、张立武等五十余位专家组成核心起草团队，凝聚了我国访问控制领域最顶尖的智慧。

二、标准内容

核心模型架构：标准定义了基于属性的访问控制（ABAC）核心模型，厘清主体、客体、属性、访问控制策略四元关系。模型由主体属性、客体属性、环境属性、策略、操作请求及ABAC引擎六大元素构成，形成闭环决策体系。

属性维度设计：属性是ABAC的"血液"。标准将其细分为四大类——主体属性（用户身份、职级、部门）、客体属性（数据密级、资源类型）、环境属性（时间、地点、网络环境）及元属性（属性自身的特征描述）。所有属性均以"名称-值对"形式标准化定义，确保机器可读、系统可解析。

策略引擎与管理规范：策略定义涵盖自然语言策略与数字策略双层表达；ABAC引擎作为"决策中枢"，负责实时评估属性组合并判定访问请求。管理规范聚焦三大机制——属性管理（创建、发布、验证全生命周期）、策略管理（编制、分配、审计闭环）、引擎管理（性能监控与动态适配）。

测试验证体系：标准配套属性测试、策略测试、ABAC引擎测试三类方法，为第三方测评机构提供可量化的检验标尺，确保模型落地不"失真"。

三、标准应用场景

大型机构零信任落地：政务、金融、能源等复杂组织可依托本标准，将静态RBAC权限体系升级为动态ABAC架构。某央企员工访问核心数据库时，系统不再仅查验其"角色标签"，而是实时交叉验证其部门属性、项目授权、终端安全状态、操作时段等十余维属性，实现"最小权限、持续验证"。

网络安全产品研制：厂商可依据标准开发符合国情的ABAC中间件、零信任网关、动态授权平台。标准明确属性接口规范与策略表达格式，大幅降低产品互操作成本，避免"各自为战"的碎片化困局。

监管测评与合规审计：网信主管部门、等保测评机构可将本标准作为检查依据，评估企业访问控制策略的有效性。标准提供的测试方法使"动态授权是否真正动态"不再是一笔糊涂账，而是可复现、可度量的技术事实。

四、总结

填补空白，衔接零信任：作为我国首部ABAC领域国家标准，GB/T 47697-2026填补了动态访问控制标准化空白，与GB/T 43696-2024《零信任参考体系架构》形成"架构-机制"配套，推动"永不信任、持续验证"从理念走向工程实践。

从粗放到精微：标准推动权限管理从"基于角色的粗管"迈向"基于属性的精治"，让每一次访问决策都建立在多维属性的实时计算之上，而非僵化的身份标签。这是数字时代安全治理的必然进化。

生态协同，未来可期：四十余家单位协同研制、金融政务能源等多场景适配，标志着我国网络安全标准化进入"产学研用"深度融合新阶段。随着2026年12月实施日临近，ABAC将从"技术热词"转化为"基础设施"。