2.1.5　零信任相关技术标准化进展

1.国际标准

国际上最早涉及零信任相关的标准可追溯到2014年，云安全联盟（CSA）的SDP工作组发布了《软件定义边界（SDP）标准规范1.0》，该标准描述了SDP协议架构、工作流、协议实现、SDP应用等内容。SDP的安全理念和零信任的安全理念完全一致：①无论用户和服务器资源在什么位置，都要确保所有的资源访问都是安全的；②记录和检查所有流量；③对所有授权实施需要知道（Need-to-Know）原则。《软件定义边界（SDP）标准规范1.0》的发布在业界引发强烈反响，在美国硅谷和以色列涌现了一批创业公司，行业发展如火如荼，甚至出现了一批上市公司。2019年，由CSA大中华区SDP工作组组织专家将《软件定义边界（SDP）标准规范1.0》翻译为中文。由于《软件定义边界（SDP）标准规范1.0》出台时间较早，零信任理念和相关技术在快速演进，虽然该规范为确保联网的安全性提供了坚实的架构和概念基础，但仍有一些尚未触及，如SDP访问授权策略和非个人实体保护几个方面。2022年，《软件定义边界（SDP）标准规范2.0》在前一版本的基础上进行补充、说明和扩展。经过近年来零信任行业的快速发展以及SDP技术架构被市场的普遍接受，《软件定义边界（SDP）标准规范2.0》相对《软件定义边界（SDP）标准规范1.0》做了不少的改进，其中包括在架构、流程图、SDP协议、单包授权（Single Packet Authorization，SPA）协议格式，以及对于物联网（IoT）的支持等多个方面。

2019年9月，在瑞士日内瓦举办的国际电信联盟电信标准分局（ITU-T）安全研究组（SG17）全体会议上，由腾讯、国家互联网应急中心（CNCERT）和中国移动通信集团设计院有限公司（简称中国移动设计院）主导的“服务访问过程持续保护指南”国际标准成功立项。该标准提供有关持续身份安全、访问控制和安全防护管理的标准化指导，成为三大国际标准组织中首个零信任安全相关的技术标准，对推动零信任安全技术在全球范围规模商用的进程，加快零信任技术和服务快速发展与普及具有重要深远的意义。

2019年9月，美国国家标准与技术研究院（NIST）发布了Zero Trust Architecture（《零信任架构》）草案；2020年2月，NIST对《零信任架构》的草案进行了修订；8月11日，《零信任架构》标准正式发布。该标准介绍零信任的基本概念、体系架构的逻辑组件、部署场景、零信任与现有联邦指导意见［如风险管理框架（RMF）、NIST隐私框架、联邦身份、凭证和访问管理（Identity Credential and Access Management，ICAM）、可信互联网连接（TIC）、国家网络安全保护系统（NCPS）、持续诊断和缓解（CDM）计划、智能云和联邦数据策略］的可能交互等内容。

2021年2月，美国国防信息系统局（DISA）发布了《国防部零信任参考结构》，该参考架构首先介绍其目的、背景、方法等内容，其次讨论零信任的核心概念及原则，并提供了零信任支柱的一些详细要求。

2.国内标准

2019年7月，腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构，发起国内首个零信任标准——《零信任安全技术参考框架》（CCSA）立项，率先推进国内的零信任标准研制工作，该标准主要解决零信任网络安全技术的标准化、规范化等问题，帮助用户基于标准化的方式来评估其安全态势，重构网络与安全应用。

2020年8月，奇安信科技集团股份有限公司（简称奇安信）牵头在全国信息安全技术标准化委员（TC260）申请的《信息安全技术　零信任参考体系架构》标准在鉴别与授权工作组（WG4）立项，成为首个零信任国家标准。该标准主要致力于提出可信的零信任架构，从概念模型开始，确定零信任原则和技术框架，包括零信任架构的体系、组件和基本工作流程等内容。

2021年5月，产业互联网发展联盟发布了《零信任系统通用技术要求》（T/IDAC 002—2021）、《零信任系统服务接口规范　用户认证接口》（T/IDAC 003—2021）两项联盟标准。该标准定义了零信任产品的功能、性能指标，以及涉及用户身份认证的接口规范。同年，中国信息通信研究院牵头推进《零信任能力成熟度》《基于云计算的安全信任体系　第2部分：零信任安全解决方案能力要求》等相关标准工作。

2021年6月30日，由中国电子工业标准化技术协会正式发布《零信任系统技术规范》（T/CESA 1165—2021）团体标准，这是零信任技术架构落地国内以来，业内发布的首个零信任技术实现标准，于2021年7月1日起实施。本标准规定了用户访问资源、服务之间调用两种场景下零信任系统在逻辑架构、认证、访问授权管理、传输安全、安全审计、自身安全等方面的功能、性能技术要求和相应的测试方法，适用于零信任系统的设计、技术开发和测试。

可以看出，2019年可谓是零信任标准化研制工作的元年，这也侧面说明了零信任理念经过十余年的发展，相关技术和产品已逐步成熟。可以预见未来将会有更多零信任相关的标准出台，这对零信任产业的规模化发展打下了良好基础。