關注 | 國內首個零信任技術標準《零信任系統技術規范》正式發布

7月7日，中國電子工業標準化技術協會發布了國內首個零信任技術實現標準——T/CESA 1165-2021《零信任系統技術規范》團體標準，填補了國內零信任領域的技術標準空白。

《零信任系統技術規范》

據悉，該標準由騰訊安全牽頭起草，聯合公安部第三研究所、國家計算機網絡應急技術處理協調中心、中國移動設計院等業內16家零信任廠商、測評機構及用戶共同編制。編制過程充分借鑒了國際零信任標準構建的相關理念和實踐經驗，并深入考慮了國內的市場現狀和未來發展需求，對零信任理念及相關技術在國內的發展和應用具有重要的指導作用。

測試環境典型示意圖

隨著全球數字化和萬物互聯的加速，傳統物理邊界已經被徹底打破，以“零信任”理念重構安全防御體系近年來被廣泛認可。但在方案設計、技術實現、測試評估、實際部署等階段缺乏統一、準確的標準指導，一直是零信任產業發展的一大桎梏。

騰訊作為國內最早踐行零信任理念的企業，一直在內部實踐落地零信任網絡架構、自研零信任iOA系統。在向行業提供優質零信任解決方案和產業實踐經驗的同時，也一直致力于攜手國際國內機構、企業伙伴，共同推進零信任相關標準的制定，并取得了眾多成果。

2019年7月，騰訊牽頭的“零信任安全技術參考框架”獲CCSA行業標準立項；2020年6月，騰訊聯合業界多家權威產學研用機構，在產業互聯網發展聯盟指導下成立了國內首個零信任產業標準工作組；10月，工作組發起零信任產品兼容性互認證計劃，促進不同廠商間零信任相關產品的兼容性和互聯互通；11月，工作組又推動了“零信任系統技術規范”聯盟標準研制工作。

此次《零信任系統技術規范》團體標準的正式發布，是騰訊安全及眾多合作伙伴共同取得的一個里程碑式成果。從具體內容上看，該標準規定了零信任系統用戶在“訪問資源”和“服務之間調用”兩種場景下，應有的功能及性能技術要求和相應的測試方法，包括邏輯架構、認證、訪問授權管理、傳輸安全、安全審計、自身安全等方面。適用于零信任系統的設計、技術開發和測試等階段，對于引導產業技術發展以及企業開展零信任實踐，都具有很強的借鑒意義和參考價值。

用戶訪問資源場景邏輯架構圖

服務之間訪問場景邏輯架構圖

與傳統基于安全域隔離為主要手段的訪問控制形式相比，零信任作為一種更加適應當前技術架構及威脅環境的先進網絡安全防護理念，代表了未來網絡安全防護的主流趨勢。未來，騰訊安全將繼續以自身技術和實踐經驗為基礎，協同生態伙伴共同促進零信任產業規模化發展，為零信任在各行業領域的落地提供參考和支撐，助力網絡安全的健康發展。