7月7日，中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會發(fā)布了國內(nèi)首個零信任技術(shù)實現(xiàn)標(biāo)準(zhǔn)——T/CESA 1165-2021《零信任系統(tǒng)技術(shù)規(guī)范》團體標(biāo)準(zhǔn)，填補了國內(nèi)零信任領(lǐng)域的技術(shù)標(biāo)準(zhǔn)空白。

《零信任系統(tǒng)技術(shù)規(guī)范》

據(jù)悉，該標(biāo)準(zhǔn)由騰訊安全牽頭起草，聯(lián)合公安部第三研究所、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國移動設(shè)計院等業(yè)內(nèi)16家零信任廠商、測評機構(gòu)及用戶共同編制。編制過程充分借鑒了國際零信任標(biāo)準(zhǔn)構(gòu)建的相關(guān)理念和實踐經(jīng)驗，并深入考慮了國內(nèi)的市場現(xiàn)狀和未來發(fā)展需求，對零信任理念及相關(guān)技術(shù)在國內(nèi)的發(fā)展和應(yīng)用具有重要的指導(dǎo)作用。

測試環(huán)境典型示意圖

隨著全球數(shù)字化和萬物互聯(lián)的加速，傳統(tǒng)物理邊界已經(jīng)被徹底打破，以“零信任”理念重構(gòu)安全防御體系近年來被廣泛認(rèn)可。但在方案設(shè)計、技術(shù)實現(xiàn)、測試評估、實際部署等階段缺乏統(tǒng)一、準(zhǔn)確的標(biāo)準(zhǔn)指導(dǎo)，一直是零信任產(chǎn)業(yè)發(fā)展的一大桎梏。

騰訊作為國內(nèi)最早踐行零信任理念的企業(yè)，一直在內(nèi)部實踐落地零信任網(wǎng)絡(luò)架構(gòu)、自研零信任iOA系統(tǒng)。在向行業(yè)提供優(yōu)質(zhì)零信任解決方案和產(chǎn)業(yè)實踐經(jīng)驗的同時，也一直致力于攜手國際國內(nèi)機構(gòu)、企業(yè)伙伴，共同推進(jìn)零信任相關(guān)標(biāo)準(zhǔn)的制定，并取得了眾多成果。

2019年7月，騰訊牽頭的“零信任安全技術(shù)參考框架”獲CCSA行業(yè)標(biāo)準(zhǔn)立項；2020年6月，騰訊聯(lián)合業(yè)界多家權(quán)威產(chǎn)學(xué)研用機構(gòu)，在產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟指導(dǎo)下成立了國內(nèi)首個零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組；10月，工作組發(fā)起零信任產(chǎn)品兼容性互認(rèn)證計劃，促進(jìn)不同廠商間零信任相關(guān)產(chǎn)品的兼容性和互聯(lián)互通；11月，工作組又推動了“零信任系統(tǒng)技術(shù)規(guī)范”聯(lián)盟標(biāo)準(zhǔn)研制工作。

此次《零信任系統(tǒng)技術(shù)規(guī)范》團體標(biāo)準(zhǔn)的正式發(fā)布，是騰訊安全及眾多合作伙伴共同取得的一個里程碑式成果。從具體內(nèi)容上看，該標(biāo)準(zhǔn)規(guī)定了零信任系統(tǒng)用戶在“訪問資源”和“服務(wù)之間調(diào)用”兩種場景下，應(yīng)有的功能及性能技術(shù)要求和相應(yīng)的測試方法，包括邏輯架構(gòu)、認(rèn)證、訪問授權(quán)管理、傳輸安全、安全審計、自身安全等方面。適用于零信任系統(tǒng)的設(shè)計、技術(shù)開發(fā)和測試等階段，對于引導(dǎo)產(chǎn)業(yè)技術(shù)發(fā)展以及企業(yè)開展零信任實踐，都具有很強的借鑒意義和參考價值。

用戶訪問資源場景邏輯架構(gòu)圖

服務(wù)之間訪問場景邏輯架構(gòu)圖

與傳統(tǒng)基于安全域隔離為主要手段的訪問控制形式相比，零信任作為一種更加適應(yīng)當(dāng)前技術(shù)架構(gòu)及威脅環(huán)境的先進(jìn)網(wǎng)絡(luò)安全防護理念，代表了未來網(wǎng)絡(luò)安全防護的主流趨勢。未來，騰訊安全將繼續(xù)以自身技術(shù)和實踐經(jīng)驗為基礎(chǔ)，協(xié)同生態(tài)伙伴共同促進(jìn)零信任產(chǎn)業(yè)規(guī)模化發(fā)展，為零信任在各行業(yè)領(lǐng)域的落地提供參考和支撐，助力網(wǎng)絡(luò)安全的健康發(fā)展。

來源：中國信息安全