【原】暗战，在零信任国际标准的最前线

攻击者的手法很简单，就是伪装成内部邮件，诱导人填写包括银行卡在内的诸多信息，最后随着受害者自己点击“确认”，随即银行卡里的余额就灰飞烟灭了……

在这一案例中，攻击者滥用了受害者对所谓“内网”的信任——即系统默认内网账号是安全的，入侵其中一个账号后，攻击者便可在内网“横行无阻”——这种情况现在很常见：由于疫情的缘故，远程办公的需求骤增，传统“基于边界的安全模型”愈加力不从心。

“零信任”是著名研究机构Forrester于2010年提出的安全概念，其核心理念是默认情况下不信任企业网络内外的任何人、设备和系统，需要基于身份认证和授权重新构建访问控制的信任基础。

显然，“零信任”理应成为当前企业网络安全的强有力保障机制之一。

作为国内最早实践零信任的大型厂商，腾讯于2016年开始了“零信任”的应用实践，今年5月腾讯iOA零信任解决方案在国内首个突破百万部署级别。

去年10月，历时近3年，腾讯牵头提报的《服务访问过程持续保护指南》通过了国际电信标准组织ITU-T SG17全会，正式对外发布。这是全球范围内首个由国际三大标准组织之一发布的零信任领域的国际标准，意味着中国方案获得了最高水准“舞台”的认可……

实际上，对于整个安全产业来说，这个标准的发布意味良多。

据腾讯标准副总监黄超介绍，技术标准的立项始于2019年8月。彼时，腾讯已经在内部进行了大量探索，包括技术研发的积累，以及内部的实践。

“基于此，我们认为这是一个好的时间节点。从标准的维度来看，国际上当时仍处于空白状态，没有任何知名组织推出零信任的技术标准，我们就希望代表中国企业来做这样的工作。”

明确了目标和诉求之后，腾讯迅速联系到国家互联网应急中心、中国移动通信集团设计院等国内同行，共同成立了标准预研小组，开始积极推进各项工作的进行。

顺道说一句。长期以来，国家相关主管部门和国标委都非常支持中国企业推进先进技术的国际标准化工作，毕竟这是国家层面的“卡位”，对于国际竞合中掌握更大的主动权而言意义良多。

2019年，工信部就曾发布《关于促进网络安全产业发展的指导意见(征求意见稿)》，将“零信任安全”列入需要“着力突破的网络安全关键技术”。

“我们做的标准更多偏框架和理念，具有一定的前瞻性——从安全防护理念上来说，这一点非常重要——否则就很容易陷入'道高一尺魔高一丈’的境地。”黄超表示。

很多人听说过这样一种说法：三流企业做产品，二流企业做品牌，一流企业做标准。不过在IT产业，或者说网络安全领域，黄超认为这种说法并不一定成立。

“标准本身能不能驱动技术和产业的发展，还需要假以时日去验证。在标准正式发布后，广大厂商就可以从产品侧将之下沉到具体的产品和方案中。”

据悉，目前腾讯已经在国内成立了零信任标准产业联盟，其中包括了来自产学研用不同方面的接近60家机构，各方协同一致对标准做更细致的填充与落实等工作。

黄超强调，零信任并非万能药，不可能解决企业网络安全层面的所有问题，它的推进也是一个循序渐进的过程。企业可以从部分能力来提升，或是部分业务开始做，逐步扩展到全部业务的范畴。

牵头做“零信任”的国际标准，对腾讯来说真的不是一件易事。从立项开始，到面向世界顶尖安全专家的层层答辩，再到最终完成这一步，前前后后的时间跨越了3年之久。

腾讯企业IT部安全专家蔡东赟表示，即便是在标准未发布之前，他也坚信零信任将会成为国内安全产业继续做大做强的良机，这是一个想象力巨大的市场，国内外都处于发展期没有那么多壁垒。而标准的发布，则会让天平上的砝码更偏向于中国。

从零信任的落地实践来看，在某些方面我们已经领先于国外。例如腾讯iOA零信任已经规模化交付，但以验证零信任落地可行性著称的Google，目前也刚开始商业化，兼容性、易用性尚有很多待完善的地方。

从产品化的角度而言，腾讯牵头的零信任国际标准并没有限制厂商。恰恰相反，国内的安全厂商们可以在这个领域做更多互联互通的内容，先于国际厂商做生态相关的工作。

举例说明：网络安全领域是当前的产业和创业热点，哪怕是一些规模不大的公司，也喜欢自己做一整套闭环的产品，但是实际落地用户还是喜欢对一些已有建设进行复用，没有多少企业全套采购一家公司的。腾讯零信任标准产业联盟正在做的事情就是推出一套可行的行业标准，未来大家再也不必广设门槛、各立山头，而是可以去建设相互兼容和共进的生态。

“在中国网络安全发展史上，这一幕过去从来没有发生过。”从语气里，我们不难听出蔡东赟隐隐压住的潜在台词。据他介绍，在日常的例行工作之外，零信任标准产业联盟已经在做与生态相关的协议对接、兼容认证等工作。

由于疫情的缘故，远程办公与协同成为很多企业及其员工的日常。企业的员工、合作伙伴与客户，必须灵活和安全地接入到企业的业务系统中，这就使得零信任成为不二之选。

在“人”的联接之外，业务上云、边缘设备、DevOps、微服务API安全防护等业务应用新场景的深化，也迫切需要以身份为中心的网络安全机制，曾经被某些人诟病为“务虚”的零信任，已经依稀嗅到远方蓝海的咸味。

相关研究报告显示，2020年全球零信任安全市场规模约为183亿美元，预计在2020-2027年期间将以19.7%的年复合增长率增长，2027年的市场规模可能达到644亿美元。

继续说回到标准。

我们知道，ITU-T隶属于国际电信联盟ITU，是联合国的下属部门，总部位于日内瓦，专门负责ICT领域的信息通信技术标准化。每年ITU-T会召开两次全会，大概间隔半年左右。

每次全会上，相关方会发起标准化的立项，或是推进已经立项的一些标准项目。2019年8月，根据自身长期以来的探索、实践及思考，腾讯牵头在ITU-T发起了零信任标准化立项。

据黄超介绍，标准的立项是个漫长的过程。

首先是小组会，然后是几个小组的联合会，最后是全会——颇有几分“三堂会审”的感觉——腾讯总共参加了五次全会，这也意味着腾讯提交的标准草案总共经历了多达15次的充分讨论。

其中，除了2019年的第一次全会之外，后四次由于疫情的缘故，项目组的成员甚至无法亲自前往日内瓦，只能通过屏幕接受ITU-T各方的问询，远程进行答辩。

不过，最大的难题并非是由于地理上的距离……

长期以来，IT和通信领域一直是欧美传统强国的天下，各种国际标准也往往是他们主导和把持，因此对于腾讯牵头提出的零信任标准提案，他们的第一反应就是是充满怀疑。

“其实，在零信任的总体技术方面，我们与欧美没有多少差距，在某些体验和细节技术上，我们甚至领先于他们。比如在我们标准里的扩展框架，我们没有看到比我们走得更快的。”蔡东赟表示。

某些欧美代表还希望利用他们在ITU-T流程上的优势（毕竟中方参与国际标准拟定工作的次数不多，经验有限），试图干预标准的立项：譬如试图说这个方案作为标准还不成熟，“建议”发布一个白皮书，过两年再来申报标准立项……

不过，最终在中方代表团的努力下，各种不利因素被一一消弭，经过2个多星期的艰难博弈，标准立项终于成功。“在接下来的这些时间里，我们都是用技术说话，最终一步一步走到现在。”

据悉，在立项答辩现场气氛最焦灼的时候，某些与腾讯在国内是竞争关系的中国企业也展示出了“格局”，他们第一个站出来支持腾讯提出的标准方案。毕竟，这不仅仅是腾讯的一大步，更是中国力量在国际零信任产业发展的重要一步。