关注 | 国内首个零信任技术标准《零信任系统技术规范》正式发布

7月7日，中国电子工业标准化技术协会发布了国内首个零信任技术实现标准——T/CESA 1165-2021《零信任系统技术规范》团体标准，填补了国内零信任领域的技术标准空白。

《零信任系统技术规范》

据悉，该标准由腾讯安全牵头起草，联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内16家零信任厂商、测评机构及用户共同编制。编制过程充分借鉴了国际零信任标准构建的相关理念和实践经验，并深入考虑了国内的市场现状和未来发展需求，对零信任理念及相关技术在国内的发展和应用具有重要的指导作用。

测试环境典型示意图

随着全球数字化和万物互联的加速，传统物理边界已经被彻底打破，以“零信任”理念重构安全防御体系近年来被广泛认可。但在方案设计、技术实现、测试评估、实际部署等阶段缺乏统一、准确的标准指导，一直是零信任产业发展的一大桎梏。

腾讯作为国内最早践行零信任理念的企业，一直在内部实践落地零信任网络架构、自研零信任iOA系统。在向行业提供优质零信任解决方案和产业实践经验的同时，也一直致力于携手国际国内机构、企业伙伴，共同推进零信任相关标准的制定，并取得了众多成果。

2019年7月，腾讯牵头的“零信任安全技术参考框架”获CCSA行业标准立项；2020年6月，腾讯联合业界多家权威产学研用机构，在产业互联网发展联盟指导下成立了国内首个零信任产业标准工作组；10月，工作组发起零信任产品兼容性互认证计划，促进不同厂商间零信任相关产品的兼容性和互联互通；11月，工作组又推动了“零信任系统技术规范”联盟标准研制工作。

此次《零信任系统技术规范》团体标准的正式发布，是腾讯安全及众多合作伙伴共同取得的一个里程碑式成果。从具体内容上看，该标准规定了零信任系统用户在“访问资源”和“服务之间调用”两种场景下，应有的功能及性能技术要求和相应的测试方法，包括逻辑架构、认证、访问授权管理、传输安全、安全审计、自身安全等方面。适用于零信任系统的设计、技术开发和测试等阶段，对于引导产业技术发展以及企业开展零信任实践，都具有很强的借鉴意义和参考价值。

用户访问资源场景逻辑架构图

服务之间访问场景逻辑架构图

与传统基于安全域隔离为主要手段的访问控制形式相比，零信任作为一种更加适应当前技术架构及威胁环境的先进网络安全防护理念，代表了未来网络安全防护的主流趋势。未来，腾讯安全将继续以自身技术和实践经验为基础，协同生态伙伴共同促进零信任产业规模化发展，为零信任在各行业领域的落地提供参考和支撑，助力网络安全的健康发展。