2.3.3 零信任国内标准进程

国内在零信任领域的标准化工作方面取得了重要进展。最早的一项标准是一部名为《零信任安全技术参考框架》的通信行业标准，该标准制定工作始于2019年7月，由腾讯联合多家机构在CCSA发起立项，于2021年底正式报批。这一标准在国内引起了广泛的关注，推动了业界对零信任理念、术语规范和参考体系结构的重视，使标准化工作得到了积极的反响和广泛参与。

另一项具有重要影响的标准名为《信息安全技术 零信任参考体系架构》，是2020年8月奇安信联合多家机构在TC260发起的，是国内首个零信任的国家标准项目。这个标准项目在国内标准组织中引起了广泛的研讨和关注，为零信任相关标准工作提供了宝贵的机会，推动了国内零信任技术标准的活跃发展。

截至目前，上述CCSA推进到报批阶段的行业标准以及TC260推进到征求意见阶段的国家标准，都还没有最终正式发布。

国内首个正式发布的零信任团体标准是由中国电子工业标准化技术协会（CESA）于2021年6月正式发布的T/CESA 1165—2021《零信任系统技术规范》。该团体标准自2021年7月1日起生效。这一标准不仅在技术理念和技术体系结构方面具有重要意义，还将零信任标准工作的焦点从技术概念转向了系统功能和性能要求，为用户和安全厂商提供了更为详细的技术指南和参考。值得注意的是，该标准首次在业界明确将零信任的应用场景划分为用户访问资源和服务之间调用两种场景，为零信任应用的分类和抽象提供了有力的支持。这种场景划分方式得到了业界的广泛认可和传播，许多组织和机构在其发布的零信任技术文档、报告、白皮书和标准中都采纳了这一划分原则。此外，还有非常多的产业联盟组织、科研机构等发布了相关的标准。

此外，由中国产业互联网发展联盟（IDAC）发布的《零信任系统服务接口规范 用户认证接口》，由智慧城市产业生态圈发布的《智慧城市零信任技术规范》，由中国信息产业商会发布的《信息安全技术 零信任参考架构》等技术标准，在更加聚焦的方向衔接国内零信任生态的相关机构，在零信任的技术协作和产品兼容、应用场景落地方面发挥着积极作用。

国内的安全厂商推出了大量零信任解决方案，并在众多客户案例中积极落地实践，而国内的测评机构也积极发挥作用，牵头制定与零信任技术和应用成熟度相关的标准。这些标准可用于评估用户应用零信任技术的水平或者评估厂商的解决方案能力。例如，中国通信学会发布的《零信任能力成熟度模型》标准就是一个典型例子。这些标准有助于规范零信任领域的能力评估和应用实践。 5gQh402XtrhQ+G5n5lsuiubDrweLWuj05yiSJC34eedsEy5fDohEfUWCmi/cpc5h