在網(wǎng)絡(luò)安全領(lǐng)域，技術(shù)競技的比拼也被稱為“奪旗”（Capture The Flag），代表著硬實力的較量。那么，在技術(shù)標準上率先填補空白，奪得話語權(quán)的制高點，無疑是軟實力的體現(xiàn)。

2019年8月，當騰訊標準副總監(jiān)黃超和騰訊企業(yè)IT部安全專家蔡東赟，踏上瑞士日內(nèi)瓦的土地，他們將要參加的ITU－T SG17安全工作組標準化全會，就如同一場零信任領(lǐng)域的標準“奪旗賽”。

（征戰(zhàn)ITU－T的騰訊代表團）

與他們同行的，還有來自國家互聯(lián)網(wǎng)應急中心（CNCERT）、中國移動通信集團設(shè)計院等機構(gòu)的零信任專家。中國代表團希望奪得的“零信任標準”之旗，插在了一座令人仰止的高山上，它的名字叫——ITU（國際電信聯(lián)盟）。ITU是聯(lián)合國的一個重要專門機構(gòu)負責分配和管理全球無線電頻譜與衛(wèi)星軌道資源，制定全球電信技術(shù)標準，促進全球電信發(fā)展。諸如4G、5G這樣重要的通信技術(shù)標準，都是經(jīng)由ITU來最終敲定的。

ITU－T作為ITU的技術(shù)標準化部門，在信息通信行業(yè)的影響力，就如同ISO在工商業(yè)的影響力一樣。也因此，ITU－T成員單位大多以國家為主體。

而面對這樣的高山，這組由騰訊牽頭的中國零信任標準“登山隊”，多少有些突兀了。

一方面，ITU－T成員單位大多以國家為主體，由互聯(lián)網(wǎng)企業(yè)主導的ITU－T標準很少；另一方面，IT領(lǐng)域的新興技術(shù)的標準制定以往多是由歐美等發(fā)達國家主導，其他國家代表團參會目的多以學習、吸收為主，這次中國要打破零信任標準的空白，能順利嗎？

不賣關(guān)子，結(jié)果自然是成功的。

（ITU－T發(fā)布的零信任標準《Guidelines for continuous protection of the service access process》）

2019年，黃超他們所在的中國代表團提報的議題《Guidelines for continuous protection of the service access process》（《服務(wù)訪問過程持續(xù)保護指南》），順利立項。三年之后的2021年底，ITU－T正式對外發(fā)布，成為全球范圍內(nèi)首個零信任領(lǐng)域的國際技術(shù)標準。

2019－2021，也是被疫情影響的三年，期間，中國零信任標準化之路始終步履不停。這些攀登者，為什么對一個標準如此執(zhí)著？登頂之后，究竟能看到何種風景？

我們不妨一起回到2019，看看中國代表團是如何攀登零信任的高山，率先奪下技術(shù)標準的這面旗幟。

動念：中國攀登者為什么出發(fā)？

登山家喬治·馬洛里，完成了人類第一次登上海拔8848．43米珠穆朗瑪峰的壯舉。記者追問他“為什么想要攀登珠峰”，他扔下了一句話——“因為山就在那里！”

2019年，黃超、蔡東赟及一批中國網(wǎng)絡(luò)安全領(lǐng)域的專家，都意識到零信任技術(shù)標準，就是一座矗立在整個產(chǎn)業(yè)面前的山峰。

當時，疫情尚未發(fā)生，大家的生活看起來一切如常，但一場網(wǎng)絡(luò)安全的理念變革，已經(jīng)開始醞釀。

“零信任”，顧名思義，就是默認不信任網(wǎng)絡(luò)內(nèi)外的任何人、任何設(shè)備和系統(tǒng)，每一次訪問都需要身份認證和授權(quán)來重新建立信任。因為能夠以數(shù)據(jù)保護（Data）為中心，更好地適應混合辦公、工業(yè)互聯(lián)網(wǎng)等“無邊界”的新網(wǎng)絡(luò)場景，確保身份可信、設(shè)備可信、應用可信和鏈路可信，零信任成為新一代的網(wǎng)絡(luò)安全防護理念。

黃超回憶當時中國代表團的出發(fā)，再次肯定，2019年是零信任從概念走向落地的一年，也是推出技術(shù)標準一個比較好的時間節(jié)點。

各行各業(yè)的數(shù)字化程度不斷深化，遠程辦公、工業(yè)互聯(lián)網(wǎng)等“無邊界”的網(wǎng)絡(luò)環(huán)境越來越多，對于網(wǎng)絡(luò)安全的升級訴求變得迫切，零安全“持續(xù)驗證、永不信任”的理念開始被重視。2019年工信部起草的《關(guān)于促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》，首次將零信任安全列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù)。

與此同時，零信任的落地實踐和標準情況卻并不適配。

2019年，圍繞零信任已經(jīng)出現(xiàn)了許多創(chuàng)業(yè)公司、解決方案、商業(yè)用例。谷歌、微軟、騰訊開始在自身業(yè)務(wù)及安全產(chǎn)品中增加零信任解決方案，也誕生了Zscaler、Okta等這樣的獨角獸公司。但縱觀整個行業(yè)，只有2014年發(fā)布的SDP（軟件定義邊界）標準可以算作零信任理念的雛形，關(guān)于零信任的基礎(chǔ)標準還處于空白狀態(tài)，國際上還沒有任何一個比較知名的標準化組織發(fā)布零信任相關(guān)的技術(shù)標準。

而對于中國網(wǎng)絡(luò)安全產(chǎn)業(yè)來說，標準空白既是挑戰(zhàn)，也是機會。

挑戰(zhàn)在于，零信任的應用點有很多，由于標準缺失，業(yè)內(nèi)廠商的探索方向不盡相同，缺乏共通的話語體系，給零信任的推廣帶來了很大的阻力。

機會在于，一旦在ITU－T這樣的國際最高標準組織上成功布局，發(fā)布代表中國零信任實踐的技術(shù)標準，不僅能夠彰顯中國零信任的技術(shù)實力，也能激勵更多產(chǎn)業(yè)角色參與到零信任的發(fā)展中來。

更重要的是，當時中國產(chǎn)業(yè)界中像騰訊這樣的企業(yè)已經(jīng)在自身業(yè)務(wù)中規(guī)�；�落地零信任，有了實踐和理論的支撐，完全有能力也有責任，將這些探索抽象成為一種技術(shù)標準，到國際舞臺上一展身手。

于是，2019年初，黃超等人就開始籌備標準研究工作，到了8月份，恰好是ITU－T SG17召開全會的時間，全會一般半年才召開一次，只有全會才能發(fā)起標準立項，所以黃超等人一看關(guān)鍵時間窗口期已到，越等就越缺乏主動權(quán)，于是由騰訊牽頭，派出五個技術(shù)專家，聯(lián)合國家互聯(lián)網(wǎng)應急中心（CNCERT）、中國移動通信集團設(shè)計院等機構(gòu)，共同組成了一個代表團，遠赴瑞士日內(nèi)瓦ITU總部，提出要制定一個零信任的技術(shù)標準，嘗試攀爬那座尚未被人征服的高山。

立項：獲得“進山”許可證

攀登世界級高峰，一般都需要獲得當?shù)氐巧絽f(xié)會的許可，才有資格踏上進山的旅程。在技術(shù)標準領(lǐng)域，立項就相當于那張“許可證”，決定了這支隊伍能不能做這件事。

這里有必要簡單說說，ITU－T SG17確定技術(shù)標準的大致流程：一般來說，標準立項和發(fā)布被稱為“一進一出”，需要經(jīng)過全會評議，流程最為嚴格。一個新標準的立項，必須在全會上獲得全體成員的投票，才能順利通過，因此也是最為關(guān)鍵的節(jié)點。立項之后，到標準發(fā)布之前，中間的過程會按照不同的技術(shù)方向，與一些工作組、專家再不斷進行小范圍的研討。

“Any comments？”最后一次全會上，在黃超和蔡東赟回憶起來無比漫長的43秒鐘的沉默后，來自40多個國家200多名專家，沒有人再提出新的異議，立項終于成功。

中國代表團為了成功立項，進行了三重闖關(guān)：

第一關(guān)，技術(shù)關(guān)。

說到底，能否順利立項，還是要回歸到最純粹的技術(shù)能力上。要主導一個國際標準的建立，首要也是最重要的，是證明標準提案在技術(shù)上的前瞻性、預判性，確實能夠為全球發(fā)展零信任帶來有益的價值。

與大多數(shù)零信任廠商過于聚焦動態(tài)訪問控制這一場景不同，當時騰訊探索零信任已經(jīng)有三年之久，在標準方面，騰訊本身有一個成熟的幾十人規(guī)模的技術(shù)標準團隊，專門探索如何將產(chǎn)業(yè)實踐變成一個通用的商業(yè)解決方案，在這個過程中，也對零信任的應用與發(fā)展有了整體的思考和預判。

2019年向ITU－T提報的立項議題《Guidelines for continuous protection of the service access process》（《服務(wù)訪問過程持續(xù)保護指南》），相較于傳統(tǒng)“持續(xù)驗證，永不信任”技術(shù)理念下對身份認證、資源訪問的控制，將聚焦的范圍延展到了“事前、事中、事后”全過程全要素的安全保護。提出了零信任安全技術(shù)參考框架的核心組成部分，重在持續(xù)識別企業(yè)用戶中在網(wǎng)絡(luò)訪問過程中受到的安全威脅，提供相應訪問過程中的持續(xù)保護措施，持續(xù)監(jiān)測關(guān)鍵對象的安全風險并作動態(tài)的訪問控制，并對關(guān)鍵訪問過程對象進行安全防護。

憑借整體框架的定義、零安全理念的演進路線、完整閉環(huán)的安全理念等等重要成果，使得該標準在全球范圍內(nèi)都具備一定的前瞻性、預判性，最終獲得了與會專家的認可。

第二關(guān)，防御關(guān)。

當然，技術(shù)標準的世界里不只有技術(shù)，還充斥著各種產(chǎn)業(yè)力量對于標準話語權(quán)的爭奪與博弈。尤其是IT領(lǐng)域的技術(shù)標準一直是由歐美主導，他們既是攀登者，歐美相關(guān)企業(yè)和機構(gòu)在自己的國家積極推動零信任技術(shù)標準；也是守門員，在標準組織中影響力大，有能力影響國際標準是否能夠立項，以防御其他國家與自己爭奪領(lǐng)先身位。

據(jù)黃超回憶，2019年的ITU－T SG17安全工作組標準化全會上，當時代表團就受到了來自歐美一些代表的挑戰(zhàn)。

針對零信任這個比較新的技術(shù)，他們利用在國際事務(wù)上的經(jīng)驗優(yōu)勢，例如指出做技術(shù)標準的緊迫性不高，“建議”中國代表團延緩這個技術(shù)標準的立項，可以先去做個白皮書、技術(shù)報告之類的東西……通過各種方式，試圖干預標準立項。

面對這些挑戰(zhàn)，中國代表團中一些比較有經(jīng)驗的國內(nèi)專家，給黃超他們提供了不少指點，建議他們?nèi)ジ鷼W美的一些技術(shù)專家溝通，從技術(shù)的角度去說服對方，證明這個標準的緊迫程度、對全球產(chǎn)業(yè)發(fā)展的意義等，爭取對方的支持，最終一步步解除了來自傳統(tǒng)IT強隊歐美的防御。

第三關(guān)，朋友關(guān)。

除此上述博弈，標準立項其實也是一件“得道多助、失道寡助”的事情，ITU是一個聯(lián)合國組織，唯有參與國際合作、國際共贏，將朋友搞得多多的，才能在全會上收獲全體專家的支持。

在零信任領(lǐng)域，日韓等發(fā)達國家，以及亞非拉等地的發(fā)展中國家，都成為了中國代表團爭取的“友情票”。這種友情，本質(zhì)上是建立在技術(shù)交流的基礎(chǔ)上。

以日韓為例，他們對于較為領(lǐng)先、前沿的技術(shù)趨勢比較關(guān)心，與這些國家的技術(shù)專家進行交流，帶來了關(guān)鍵的突破口。而數(shù)字化相對滯后的亞非拉國家來說，中國的前沿探索和實踐也能夠帶來一定的參考價值，聽會學習之后可以帶回本國進行布道和推廣。因此，中國代表團在參會時，從技術(shù)普惠的角度，分享了中國產(chǎn)業(yè)零信任的使用場景、實踐方案等，收獲了不少亞非拉國家的支持。

值得一提的是，在立項答辯現(xiàn)場氣氛最焦灼的時候，一些原本和騰訊在國內(nèi)是競爭關(guān)系的中國企業(yè)，也都站出來表示支持騰訊提出的標準方案。在國際舞臺上，中國企業(yè)表現(xiàn)出守望相助的“大格局”，也是十分可貴。

（ITU－T SG17 全體會議各國成員大合照）

最終，經(jīng)過2個多星期的艱難博弈和艱苦談判，2019年8月，在中國代表團、智囊團的努力下，所申報的“服務(wù)訪問過程持續(xù)保護指南”國際標準終于成功立項，拿到了制定國際標準最關(guān)鍵、也最艱難的那張“進山許可”。

攀爬：標準化探索之路

立項只是開始，擺在中國零信任代表團面前的，是一條更為漫長和艱苦的攀登之路。一般來說，一個標準從立項到發(fā)布需要2、3年甚至更長時間，期間需要經(jīng)歷數(shù)次全會，而每一次全會，都需要經(jīng)歷小組會、小組聯(lián)合會、全會的層層討論、答辯。

這次由騰訊牽頭的標準，一共用時兩年多，除了2019年8月在瑞士日內(nèi)瓦立項時的第一次全會，后續(xù)四次全會都是在疫情防控期間完成的。

需要注意的是，在中國隊努力攀爬的過程中，其他國家的隊伍同樣也在加速朝著峰頂前進。中國標準立項的第二年，美國國家標準研究所（NIST）就發(fā)布了零信任架構(gòu)的美國標準，此后陸陸續(xù)續(xù)也有一些產(chǎn)業(yè)組織提出了零信任相關(guān)技術(shù)標準。

面對這種局面，由騰訊牽頭的這支“登山隊”，用不到三年的時間完成了這次攀登。如果說有什么秘訣，可能是將每一次步伐，都深深地扎根在土壤之中——

·扎根于實踐的土壤。

零信任落地需要因地制宜、與時俱進，隨著疫情爆發(fā)，遠程辦公、在線教育等需求猛增，“零信任”成為安全問題的破局關(guān)鍵，很多客戶開始向騰訊云咨詢相關(guān)解決方案，當時，騰訊iOA已形成了一套完整的零信任安全解決方案，疫情防控期間滿足了騰訊十萬臺終端的遠程辦公需求。隨即開放給產(chǎn)業(yè)客戶，先后協(xié)助金融、醫(yī)療、政務(wù)、教育等多個領(lǐng)域客戶實現(xiàn)了遠程辦公安全防護。

·扎根于產(chǎn)業(yè)的土壤。

技術(shù)標準要落地應用，需要面向產(chǎn)業(yè)，將各種安全理念、能力，下沉到具體的產(chǎn)品或者解決方案里。因此，標準立項之后，由騰訊牽頭倡議，聯(lián)合CNCERT（互聯(lián)網(wǎng)應急響應中心）等機構(gòu)，成立了國內(nèi)零信任產(chǎn)業(yè)聯(lián)盟，目前已經(jīng)吸引了接近60家的產(chǎn)學研機構(gòu)，共同去孵化和推進一些更加細致的技術(shù)標準。

黃超見證了這個產(chǎn)業(yè)聯(lián)盟的誕生，在他看來，加入聯(lián)盟的機構(gòu)初心很純粹，“大家希望把最好的東西拿出來，通過聯(lián)盟放到行業(yè)里面去用，互相借鑒、共同成長”。

·扎根于生態(tài)的土壤。

在產(chǎn)業(yè)聯(lián)盟的基礎(chǔ)上，零信任生態(tài)不斷匯聚。騰訊安全聯(lián)合20多家機構(gòu)，成立了國內(nèi)首個“零信任產(chǎn)業(yè)標準工作組”。 據(jù)黃超分享，在標準工作組中，他已經(jīng)跳開了騰訊員工的身份，而是站在組織者、平臺方的中立角色，做了大量的工作。2020年，這個工作組發(fā)布了國內(nèi)首個基于產(chǎn)業(yè)攻防實戰(zhàn)的《零信任實戰(zhàn)白皮書》，2021年推出了一個接口類的技術(shù)標準，希望解決國內(nèi)不同安全廠商零信任產(chǎn)品的兼容對接問題，通過這些細化的標準去拉齊協(xié)議、接口、數(shù)據(jù)格式、規(guī)范等等。

蔡東赟提到，中國現(xiàn)在關(guān)于零信任的接口標準發(fā)展非�？欤�美國目前有一些安全廠商也在推進聯(lián)調(diào)的工作，只不過中國更快一點。

正是因為有了清晰的框架和路徑，更多產(chǎn)業(yè)角色能夠力出一孔，持續(xù)壯大零信任生態(tài)。

“日拱一卒無有盡，功不唐捐終入�！�，登山是一場需要耐心、細心、信心的長期運動。黃超回憶，提交給ITU－T小組會、全會的提案文稿，都有十幾版。

在不斷迭代、精心打磨之下，中國零信任產(chǎn)業(yè)標準工作組也終于在2021年，迎來了標準發(fā)布“結(jié)項”的沖頂時刻。

沖頂：標準發(fā)布的沖刺時刻

一系列準備工作就緒后，能否順利站上最高標準的頂峰，成為國際技術(shù)標準的制定者和引領(lǐng)者，全靠標準發(fā)布的“臨門一腳”。

與標準立項一樣，標準的結(jié)項與發(fā)布，也要經(jīng)過ITU－T全部專家代表的同意，這個過程同樣有著不確定性。

“結(jié)項的時候，有些專家又會出來，看你這個東西是不是會限制一些技術(shù)路線，保證最終的標準不會限制他們國內(nèi)一些新技術(shù)的發(fā)展�！秉S超提到，“所以我們整體策略是宜粗不宜細，偏向于理論、框架類的內(nèi)容，輸出我們的最佳實踐，來實現(xiàn)技術(shù)的影響力，而不是去約束一些特別細節(jié)的技術(shù)點，這樣大家都能夠發(fā)展，而中國也可以在零信任安全標準率先卡位�！�

2021年12月，經(jīng)過數(shù)次答辯，由騰訊牽頭的《服務(wù)訪問過程持續(xù)保護指南》由ITU－T批準發(fā)布。

其中，集合了中國產(chǎn)業(yè)界在零信任領(lǐng)域的實踐，詳細界定了標準的實施范圍，零信任相關(guān)概念的定義，同時深度分析了服務(wù)訪問進程中的安全威脅，并對服務(wù)訪問流程的安全要求、參考框架進行了詳細解釋，此外還根據(jù)典型的零信任應用場景進行多維度解析，獲得了業(yè)界的普遍認可。

全球范圍內(nèi)首個零信任領(lǐng)域的國際標準，是騰訊及工作組的一大步，也是中國零信任的創(chuàng)新實踐和技術(shù)范式邁向世界舞臺的重要一步。

遠眺：遠處風景與新征程

“那接下來呢？”我忍不住問道，“標準拿到之后，是不是中國企業(yè)在國際競合中主動權(quán)就更大了？”

聽眾的腦洞剛剛打開，就被黃超叫停。

“不不不，不是做了一個標準就能這樣那樣啦。”全程參與的黃超在標準發(fā)布之后，反而特別低調(diào)，急忙表示自己和工作組“只是做了一點微小的貢獻”，習慣了通稿牛皮滿天飛，專家的謙遜反而給我整不會了。這也使我開始好奇，這個標準的含金量究竟怎么樣？發(fā)布之后能夠帶來的變化到底是什么？

變化之一，是發(fā)聲。整體上看，新的通信技術(shù)標準還是歐美最強，當然國內(nèi)的一些互聯(lián)網(wǎng)企業(yè)的推進也比較領(lǐng)先，因此由更多國內(nèi)企業(yè)去推動技術(shù)標準，在一些技術(shù)方向上發(fā)出中國的聲音，已經(jīng)彌足珍貴�；蛟S一個單獨的標準不會產(chǎn)生特別大的影響，但積少成多，在標準賽道上做得越多，中國科技的影響力就越高。所以，每一次發(fā)聲都值得掌聲。

變化之二，是合作。前面提到，國際標準的建立、產(chǎn)業(yè)聯(lián)盟的形成，使得很多原本是競爭關(guān)系的廠商開始形成共識、建立合作。這對于一個新興產(chǎn)業(yè)來說，是十分重要的變化，能夠避免一些同質(zhì)化的競爭和無效內(nèi)卷，力出一孔的同時，在各自擅長的方向上發(fā)展，盡快形成既廣又深的市場格局，對于客戶和從業(yè)者來說都是一件好事。

變化之三，是希望。盡管黃超謙虛地強調(diào)，一個標準不可能翻天覆地，但同時也承認，零信任是一個充滿了希望的技術(shù)賽道。蔡東赟告訴我，零信任就是中國網(wǎng)安行業(yè)的一個機會，目前國內(nèi)外并沒有太大的技術(shù)差距，甚至中國的落地實踐、產(chǎn)品化能力更加優(yōu)秀一點。在這個領(lǐng)域加強互聯(lián)互通、做大生態(tài)，合力將市場做大，未來一定能夠讓零信任理念落地、創(chuàng)造更多價值。而這一次中國也可以是引領(lǐng)者。

從這個角度看，這次標準的成功發(fā)布，與其說是卡位、布局、話語權(quán)，不如說是一面旗幟，讓更多人可以看到中國零信任的實踐與創(chuàng)新能力；是一聲召喚，讓充斥著歧義和誤區(qū)的產(chǎn)業(yè)界加速聚攏在一起；是一個營地，為百花齊放的零信任創(chuàng)新提供一個舞臺。

采訪結(jié)束之后，我問黃超還有未盡之意，他想了想，特別認真地發(fā)出了一個請求：

“希望業(yè)界的同仁，尤其是做零信任安全的一些機構(gòu)，能夠更同心協(xié)力，更積極主動地參與到技術(shù)標準中來，多去關(guān)注和使用它。如果有問題，大家還可以去調(diào)整它。我就想表達這一點�！�

山不屬于任何人，就像技術(shù)標準不為某一個國家、某一個企業(yè)所有，它是全世界所共享的財富�；蛟S沒有人，比黃超他們更懂得這座高峰的險峻，以及登山的艱辛。也正因為一步步丈量過從中國到ITU的距離，他們才如此渴望有更多人來感受中國標準的美好，以無比開放的姿態(tài)擁抱著每一個零信任的伙伴，一起踏上新的征程。

在中國網(wǎng)安行業(yè)的漫漫征途中，與世界標準舞臺的邂逅，只是恢弘故事的開啟。

       原文標題 : 中國標準走進國際視野，首個零信任國際標準的誕生往事