腾讯安全牵头编制的国内首个零信任技术标准获工信部批准发布

随着云计算、大数据、物联网等新兴技术的不断兴起，企业IT架构正在从“有边界”向“无边界”转变，边界概念日渐模糊，传统安全防御模型越来越不足以应对威胁，以往静态的“隐式信任”模型亟待重构革新。基于“持续验证，永不信任”的核心思想，零信任理念进入行业视野。

但由于方案设计、技术实现、测试评估、实际部署等阶段暂时缺乏统一和准确的指导框架，加之业内厂商的探索方向不尽相同，缺乏共通的话语体系，零信任的发展面临很大阻碍。因此，行业亟需建立具有前瞻性并达成共识的技术标准。

近日，工业和信息化部发布2023年第38号中华人民共和国工业和信息化部公告，正式批准发布YD/T 4574-2023《零信任安全技术参考框架》（下面简称《参考框架》），这是由腾讯牵头提案的首个国家部委批准发布的行业标准，意味着行业今后在产业技术的发展升级、改善品质服务、降低部署成本等层面，都将“有标可依”。

《参考框架》于2019年正式通过中国通信标准化协会CCSA权威专家组评审并成功立项，此次获批填补了国内在零信任领域的技术标准空白。标准适用于零信任安全系统的设计、开发和使用，给出了零信任安全技术参考框架，包括基本原则、技术框架、工作过程、核心功能模块等内容的规范化要求，对于行业构建高质量网络安全架构和网络安全设施具有重要意义。

《参考框架》主要解决零信任网络安全技术的标准化、规范化等问题，帮助用户基于标准化的方式来评估其安全态势，重构网络与安全应用。其核心内容主要包括零信任网络访问主体、访问客体和零信任安全系统（零信任安全控制中心和零信任安全代理）三部分：其中，访问主体可通过现有的第三方安全产品/服务等方式接收并响应零信任安全系统的指令，向零信任安全控制中心上报安全状态，并通过安全代理与访问客体通信。

同时，明确了零信任安全系统是实现零信任安全技术的相关产品、服务或其组合；零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等功能；零信任安全代理具备访问流量的重定向和保护等功能；访问主体能否对访问客体进行访问，取决于零信任安全系统的持续安全监测、信任评估和授权决策，访问主体对访问客体的访问，不允许绕过零信任安全系统。

作为国内最早实践零信任的企业，腾讯安全一直致力于推动零信任理念在中国的落地。早在2016年，腾讯就在国内率先落地零信任安全架构；2019年，腾讯将内部实践和研发出来的解决方案对外发布，形成了商业版iOA零信任安全管理系统，实现访问全程的4T可信零信任；2021年~2022年，腾讯将零信任解决方案升级，以接、防、管、控一体化实现零信任自适应持续保护机制。目前，零信任技术架构已在腾讯安全的产品中无缝落地，并在政务、医疗、交通、金融等多行业成功应用。

腾讯零信任iOA通过一体化终端的产品策略实现了零信任网络访问、职场办公安全、身份安全、以及终端安全管理、数据安全等维度的功能，基本满足了大部分公用云客户和私有化客户的定制需求。与此同时，腾讯零信任网络访问根据市场需求的变化不断调整，以更好满足企业的网络安全诉求。

（腾讯零信任iOA）

未来，腾讯安全在输出自身安全能力的基础上，也将持续推动零信任理念在中国的加速落地，深耕“标准化+”新业态，助力网络安全产业有序健康发展，护航企业数字化建设。

- END -