2.1.5　零信任相關技術標準化進展

1.國際標準

國際上最早涉及零信任相關的標準可追溯到2014年，云安全聯盟（CSA）的SDP工作組發布了《軟件定義邊界（SDP）標準規范1.0》，該標準描述了SDP協議架構、工作流、協議實現、SDP應用等內容。SDP的安全理念和零信任的安全理念完全一致：①無論用戶和服務器資源在什么位置，都要確保所有的資源訪問都是安全的；②記錄和檢查所有流量；③對所有授權實施需要知道（Need-to-Know）原則。《軟件定義邊界（SDP）標準規范1.0》的發布在業界引發強烈反響，在美國硅谷和以色列涌現了一批創業公司，行業發展如火如荼，甚至出現了一批上市公司。2019年，由CSA大中華區SDP工作組組織專家將《軟件定義邊界（SDP）標準規范1.0》翻譯為中文。由于《軟件定義邊界（SDP）標準規范1.0》出臺時間較早，零信任理念和相關技術在快速演進，雖然該規范為確保聯網的安全性提供了堅實的架構和概念基礎，但仍有一些尚未觸及，如SDP訪問授權策略和非個人實體保護幾個方面。2022年，《軟件定義邊界（SDP）標準規范2.0》在前一版本的基礎上進行補充、說明和擴展。經過近年來零信任行業的快速發展以及SDP技術架構被市場的普遍接受，《軟件定義邊界（SDP）標準規范2.0》相對《軟件定義邊界（SDP）標準規范1.0》做了不少的改進，其中包括在架構、流程圖、SDP協議、單包授權（Single Packet Authorization，SPA）協議格式，以及對于物聯網（IoT）的支持等多個方面。

2019年9月，在瑞士日內瓦舉辦的國際電信聯盟電信標準分局（ITU-T）安全研究組（SG17）全體會議上，由騰訊、國家互聯網應急中心（CNCERT）和中國移動通信集團設計院有限公司（簡稱中國移動設計院）主導的“服務訪問過程持續保護指南”國際標準成功立項。該標準提供有關持續身份安全、訪問控制和安全防護管理的標準化指導，成為三大國際標準組織中首個零信任安全相關的技術標準，對推動零信任安全技術在全球范圍規模商用的進程，加快零信任技術和服務快速發展與普及具有重要深遠的意義。

2019年9月，美國國家標準與技術研究院（NIST）發布了Zero Trust Architecture（《零信任架構》）草案；2020年2月，NIST對《零信任架構》的草案進行了修訂；8月11日，《零信任架構》標準正式發布。該標準介紹零信任的基本概念、體系架構的邏輯組件、部署場景、零信任與現有聯邦指導意見［如風險管理框架（RMF）、NIST隱私框架、聯邦身份、憑證和訪問管理（Identity Credential and Access Management，ICAM）、可信互聯網連接（TIC）、國家網絡安全保護系統（NCPS）、持續診斷和緩解（CDM）計劃、智能云和聯邦數據策略］的可能交互等內容。

2021年2月，美國國防信息系統局（DISA）發布了《國防部零信任參考結構》，該參考架構首先介紹其目的、背景、方法等內容，其次討論零信任的核心概念及原則，并提供了零信任支柱的一些詳細要求。

2.國內標準

2019年7月，騰訊聯合CNCERT、中國移動設計院、奇虎科技、天融信等產學研機構，發起國內首個零信任標準——《零信任安全技術參考框架》（CCSA）立項，率先推進國內的零信任標準研制工作，該標準主要解決零信任網絡安全技術的標準化、規范化等問題，幫助用戶基于標準化的方式來評估其安全態勢，重構網絡與安全應用。

2020年8月，奇安信科技集團股份有限公司（簡稱奇安信）牽頭在全國信息安全技術標準化委員（TC260）申請的《信息安全技術　零信任參考體系架構》標準在鑒別與授權工作組（WG4）立項，成為首個零信任國家標準。該標準主要致力于提出可信的零信任架構，從概念模型開始，確定零信任原則和技術框架，包括零信任架構的體系、組件和基本工作流程等內容。

2021年5月，產業互聯網發展聯盟發布了《零信任系統通用技術要求》（T/IDAC 002—2021）、《零信任系統服務接口規范　用戶認證接口》（T/IDAC 003—2021）兩項聯盟標準。該標準定義了零信任產品的功能、性能指標，以及涉及用戶身份認證的接口規范。同年，中國信息通信研究院牽頭推進《零信任能力成熟度》《基于云計算的安全信任體系　第2部分：零信任安全解決方案能力要求》等相關標準工作。

2021年6月30日，由中國電子工業標準化技術協會正式發布《零信任系統技術規范》（T/CESA 1165—2021）團體標準，這是零信任技術架構落地國內以來，業內發布的首個零信任技術實現標準，于2021年7月1日起實施。本標準規定了用戶訪問資源、服務之間調用兩種場景下零信任系統在邏輯架構、認證、訪問授權管理、傳輸安全、安全審計、自身安全等方面的功能、性能技術要求和相應的測試方法，適用于零信任系統的設計、技術開發和測試。

可以看出，2019年可謂是零信任標準化研制工作的元年，這也側面說明了零信任理念經過十余年的發展，相關技術和產品已逐步成熟。可以預見未來將會有更多零信任相關的標準出臺，這對零信任產業的規模化發展打下了良好基礎。