2.3.5 现状
零信任在标准中的定义

目前，有一些零信任技术标准组织给出了“零信任”这一术语的定义，便于业界的交流和理解。例如，美国的NIST标准和国内的CESA标准中对零信任提供了定义。

根据NIST，零信任涵盖一系列安全概念和理念，在面对可能已被攻击的网络时，针对信息系统和服务的每一次访问请求，通过执行精细化的、基于最小特权访问原则的访问控制决策来使不确定性最小化。

根据CESA，零信任是一组围绕资源访问控制展开的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小特权访问原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。

可见，零信任的概念和思想已在业界形成了基本共识，零信任可以对所有网络资源（含数据）的访问过程进行安全防护。综上所述，近年来零信任的相关标准制定工作迅速推进，对产业和技术的发展起到了积极的推动作用，也为行业的共识和交流提供了基础平台。尤其是从2019年开始，零信任标准化工作进入了爆发阶段，也非常符合标准工作的逻辑。因为零信任理念已经经过了十多年的发展和落地实践，相关的技术和解决方案也逐渐成熟，非常适合通过标准来进行规范和定义，进一步进行规模化的推广和应用，从而助力零信任的发展。 WYzoYJ3XVuRS0umTXg4y1TFJxvztkaxQvC84/Z15oGQdc/ifV10rnJpAvllkWnes