“零信任”安全技術的標準化再度提速。近日，在由中國通信標準化協會主辦、騰訊承辦的網絡與信息安全技術工作委員會(TC8)第二十六次全會上，騰訊主導的零信任安全標準草案正式出爐，并在行業內取得共識。

　　隨著數字化不斷升級，企業資源逐漸向云端與移動端遷移，舊有網絡邊界逐漸消失，網絡威脅日益復雜，“零信任”安全已打破純概念，向主流安全框架發展。面對日益增長的安全變革需求，市場上不斷涌現以零信任為概念的安全產品，但對于用戶急需的如何規范化地重構網絡，如何真正實際有效推進零信任安全網絡的落地，在實施全流程中必須達到的核心安全技術要求，卻一直未形成統一的指導性行業標準。

　　由騰訊牽頭的“零信任安全技術-參考框架”正不斷推進行業內零信任安全技術的標準化、規范化。在今年7月召開的中國通信標準化協會CCSA TC8 WG3第60次工作會議上，“零信任安全技術-參考框架”行業標準已通過評審并成功立項，這是自2010年國際上提出零信任模型“ZeroTrust Model”后業界迎來的首個零信任安全技術行業標準。此次會議通過了零信任安全標準草案，相應的技術框架內容也在業內達成共識，這將進一步加快零信任安全標準在行業的落地和應用。

　　零信任安全技術框架最新達成的行業標準草案共識主要包含訪問主體、零信任安全系統(零信任安全控制中心和零信任安全代理)和訪問客體三部分。其中，訪問主體可通過現有的第三方安全產品/服務等方式接收并響應零信任安全系統的指令，向零信任安全控制中心上報安全狀態，通過安全代理與訪問客體通信。零信任安全系統是實現零信任安全技術的相關產品、服務或其組合，零信任安全控制中心具備對整個訪問過程的持續安全監測、信任評估和動態更新訪問控制策略等功能，零信任安全代理具備訪問流量的重定向和保護等功能。訪問主體能否對訪問客體進行訪問，取決于零信任安全系統的持續安全監測、信任評估和授權決策，訪問主體對訪問客體的訪問，不允許繞過零信任安全系統。

　　零信任安全技術框架圖

　　其實，騰訊早在2016年就在國內率先落地零信任安全架構，其無邊界新一代企業網絡正是采用了“零信任”安全架構體系。而根據騰訊自身最佳實踐所推出的終端訪問控制方案——騰訊終端無邊界訪問控制系統(iOA)，可憑借可信終端、可信身份、可信應用三大核心能力，將身份安全、終端安全與鏈路安全形成完整閉環，確保終端在任意網絡環境中都可以安全、穩定、高效地訪問企業資源及數據，為企業移動辦公和應用上云打造統一、安全和高效的無邊界網絡訪問入口。

　　在數字技術與傳統產業融合加深的背景下，騰訊一直將標準化作為改善技術協同、維護網絡安全和提高效率的重要手段，努力構建“標準化+”新業態，護航產業發展。今年9月，由騰訊主導的“服務訪問過程持續保護參考框架”國際標準在瑞士日內瓦成功立項，成為國際上首個零信任安全技術標準，此項標準對促進全球網絡安全產業健康發展，加快零信任技術和服務快速發展與普及具有重要意義。

　　目前，騰訊標準化工作已漸成體系，產品和服務覆蓋云安全、大數據安全、人工智能安全等多個領域。正如騰訊安全副總裁黎巍在本次大會上演講所說，安全標準與合規性能為企業指引建設方向，騰訊安全堅持以可持續的風險合規體系服務自身業務和企業級客戶。未來，騰訊將聯合政、企、學、研等多方力量，共同探索互聯網企業的潛能，構建“標準化+”網絡安全新業態，護航產業互聯網的安全發展。