中國標準走進國際視野，首個零信任國際標準的誕生往事

在網路安全領域，技術競技的比拼也被稱為“奪旗”(Capture The Flag)，代表著硬實力的較量。那麼，在技術標準上率先填補空白，奪得話語權的制高點，無疑是軟實力的體現。

2019年8月，當騰訊標準副總監黃超和騰訊企業IT部安全專家蔡東贇，踏上瑞士日內瓦的土地，他們將要參加的ITU-T SG17安全工作組標準化全會，就如同一場零信任領域的標準“奪旗賽”。

(征戰ITU-T的騰訊代表團)

與他們同行的，還有來自國家網際網路應急中心(CNCERT)、中國行動通訊集團設計院等機構的零信任專家。中國代表團希望奪得的“零信任標準”之旗，插在了一座令人仰止的高山上，它的名字叫——ITU(國際電信聯盟)。ITU是聯合國的一個重要專門機構負責分配和管理全球無線電頻譜與衛星軌道資源，制定全球電信技術標準，促進全球電信發展。諸如4G、5G這樣重要的通訊技術標準，都是經由ITU來最終敲定的。

ITU-T作為ITU的技術標準化部門，在資訊通訊行業的影響力，就如同ISO在工商業的影響力一樣。也因此，ITU-T成員單位大多以國家為主體。

而面對這樣的高山，這組由騰訊牽頭的中國零信任標準“登山隊”，多少有些突兀了。

一方面，ITU-T成員單位大多以國家為主體，由網際網路企業主導的ITU-T標準很少;另一方面，IT領域的新興技術的標準制定以往多是由歐美等已開發國家主導，其他國家代表團參會目的多以學習、吸收為主，這次中國要打破零信任標準的空白，能順利嗎?

不賣關子，結果自然是成功的。

(ITU-T釋出的零信任標準《Guidelines for continuous protection of the service access process》)

2019年，黃超他們所在的中國代表團提報的議題《Guidelines for continuous protection of the service access process》(《服務訪問過程持續保護指南》)，順利立項。三年之後的2021年底，ITU-T正式對外發布，成為全球範圍內首個零信任領域的國際技術標準。

2019-2021，也是被疫情影響的三年，期間，中國零信任標準化之路始終步履不停。這些攀登者，為什麼對一個標準如此執著?登頂之後，究竟能看到何種風景?

我們不妨一起回到2019，看看中國代表團是如何攀登零信任的高山，率先奪下技術標準的這面旗幟。

動念：中國攀登者為什麼出發?

登山家喬治·馬洛裡，完成了人類第一次登上海拔8848.43米珠穆朗瑪峰的壯舉。記者追問他“為什麼想要攀登珠峰”，他扔下了一句話——“因為山就在那裡!”

2019年，黃超、蔡東贇及一批中國網路安全領域的專家，都意識到零信任技術標準，就是一座矗立在整個產業面前的山峰。

當時，疫情尚未發生，大家的生活看起來一切如常，但一場網路安全的理念變革，已經開始醞釀。

“零信任”，顧名思義，就是預設不信任網路內外的任何人、任何裝置和系統，每一次訪問都需要身份認證和授權來重新建立信任。因為能夠以資料保護(Data)為中心，更好地適應混合辦公、工業網際網路等“無邊界”的新網路場景，確保身份可信、裝置可信、應用可信和鏈路可信，零信任成為新一代的網路安全防護理念。

黃超回憶當時中國代表團的出發，再次肯定，2019年是零信任從概念走向落地的一年，也是推出技術標準一個比較好的時間節點。

各行各業的數字化程度不斷深化，遠端辦公、工業網際網路等“無邊界”的網路環境越來越多，對於網路安全的升級訴求變得迫切，零安全“持續驗證、永不信任”的理念開始被重視。2019年工信部起草的《關於促進網路安全產業發展的指導意見(徵求意見稿)》，首次將零信任安全列入網路安全需要突破的關鍵技術。

與此同時，零信任的落地實踐和標準情況卻並不適配。

2019年，圍繞零信任已經出現了許多創業公司、解決方案、商業用例。谷歌、微軟、騰訊開始在自身業務及安全產品中增加零信任解決方案，也誕生了Zscaler、Okta等這樣的獨角獸公司。但縱觀整個行業，只有2014年釋出的SDP(軟體定義邊界)標準可以算作零信任理念的雛形，關於零信任的基礎標準還處於空白狀態，國際上還沒有任何一個比較知名的標準化組織釋出零信任相關的技術標準。

而對於中國網路安全產業來說，標準空白既是挑戰，也是機會。

挑戰在於，零信任的應用點有很多，由於標準缺失，業內廠商的探索方向不盡相同，缺乏共通的話語體系，給零信任的推廣帶來了很大的阻力。

機會在於，一旦在ITU-T這樣的國際最高標準組織上成功布局，釋出代表中國零信任實踐的技術標準，不僅能夠彰顯中國零信任的技術實力，也能激勵更多產業角色參與到零信任的發展中來。

更重要的是，當時中國產業界中像騰訊這樣的企業已經在自身業務中規模化落地零信任，有了實踐和理論的支撐，完全有能力也有責任，將這些探索抽象成為一種技術標準，到國際舞臺上一展身手。

於是，2019年初，黃超等人就開始籌備標準研究工作，到了8月份，恰好是ITU-T SG17召開全會的時間，全會一般半年才召開一次，只有全會才能發起標準立項，所以黃超等人一看關鍵時間視窗期已到，越等就越缺乏主動權，於是由騰訊牽頭，派出五個技術專家，聯合國家網際網路應急中心(CNCERT)、中國行動通訊集團設計院等機構，共同組成了一個代表團，遠赴瑞士日內瓦ITU總部，提出要制定一個零信任的技術標準，嘗試攀爬那座尚未被人征服的高山。

立項：獲得“進山”許可證

攀登世界級高峰，一般都需要獲得當地登山協會的許可，才有資格踏上進山的旅程。在技術標準領域，立項就相當於那張“許可證”，決定了這支隊伍能不能做這件事。

這裡有必要簡單說說，ITU-T SG17確定技術標準的大致流程：一般來說，標準立項和釋出被稱為“一進一出”，需要經過全會評議，流程最為嚴格。一個新標準的立項，必須在全會上獲得全體成員的投票，才能順利透過，因此也是最為關鍵的節點。立項之後，到標準釋出之前，中間的過程會按照不同的技術方向，與一些工作組、專家再不斷進行小範圍的研討。

“Any comments?”最後一次全會上，在黃超和蔡東贇回憶起來無比漫長的43秒鐘的沉默後，來自40多個國家200多名專家，沒有人再提出新的異議，立項終於成功。

中國代表團為了成功立項，進行了三重闖關：

第一關，技術關。

說到底，能否順利立項，還是要回歸到最純粹的技術能力上。要主導一個國際標準的建立，首要也是最重要的，是證明標準提案在技術上的前瞻性、預判性，確實能夠為全球發展零信任帶來有益的價值。

與大多數零信任廠商過於聚焦動態訪問控制這一場景不同，當時騰訊探索零信任已經有三年之久，在標準方面，騰訊本身有一個成熟的幾十人規模的技術標準團隊，專門探索如何將產業實踐變成一個通用的商業解決方案，在這個過程中，也對零信任的應用與發展有了整體的思考和預判。

2019年向ITU-T提報的立項議題《Guidelines for continuous protection of the service access process》(《服務訪問過程持續保護指南》)，相較於傳統“持續驗證，永不信任”技術理念下對身份認證、資源訪問的控制，將聚焦的範圍延展到了“事前、事中、事後”全過程全要素的安全保護。提出了零信任安全技術參考框架的核心組成部分，重在持續識別企業使用者中在網路訪問過程中受到的安全威脅，提供相應訪問過程中的持續保護措施，持續監測關鍵物件的安全風險並作動態的訪問控制，並對關鍵訪問過程物件進行安全防護。

憑藉整體框架的定義、零安全理念的演進路線、完整閉環的安全理念等等重要成果，使得該標準在全球範圍內都具備一定的前瞻性、預判性，最終獲得了與會專家的認可。

第二關，防禦關。

當然，技術標準的世界裡不只有技術，還充斥著各種產業力量對於標準話語權的爭奪與博弈。尤其是IT領域的技術標準一直是由歐美主導，他們既是攀登者，歐美相關企業和機構在自己的國家積極推動零信任技術標準;也是守門員，在標準組織中影響力大，有能力影響國際標準是否能夠立項，以防禦其他國家與自己爭奪領先身位。

據黃超回憶，2019年的ITU-T SG17安全工作組標準化全會上，當時代表團就受到了來自歐美一些代表的挑戰。

針對零信任這個比較新的技術，他們利用在國際事務上的經驗優勢，例如指出做技術標準的緊迫性不高，“建議”中國代表團延緩這個技術標準的立項，可以先去做個白皮書、技術報告之類的東西……透過各種方式，試圖干預標準立項。

面對這些挑戰，中國代表團中一些比較有經驗的國內專家，給黃超他們提供了不少指點，建議他們去跟歐美的一些技術專家溝通，從技術的角度去說服對方，證明這個標準的緊迫程度、對全球產業發展的意義等，爭取對方的支援，最終一步步解除了來自傳統IT強隊歐美的防禦。

第三關，朋友關。

除此上述博弈，標準立項其實也是一件“得道多助、失道寡助”的事情，ITU是一個聯合國組織，唯有參與國際合作、國際共贏，將朋友搞得多多的，才能在全會上收穫全體專家的支援。

在零信任領域，日韓等已開發國家，以及亞非拉等地的發展中國家，都成為了中國代表團爭取的“友情票”。這種友情，本質上是建立在技術交流的基礎上。

以日韓為例，他們對於較為領先、前沿的技術趨勢比較關心，與這些國家的技術專家進行交流，帶來了關鍵的突破口。而數字化相對滯後的亞非拉國家來說，中國的前沿探索和實踐也能夠帶來一定的參考價值，聽會學習之後可以帶回本國進行佈道和推廣。因此，中國代表團在參會時，從技術普惠的角度，分享了中國產業零信任的使用場景、實踐方案等，收穫了不少亞非拉國家的支援。

值得一提的是，在立項答辯現場氣氛最焦灼的時候，一些原本和騰訊在國內是競爭關係的中國企業，也都站出來表示支援騰訊提出的標準方案。在國際舞臺上，中國企業表現出守望相助的“大格局”，也是十分可貴。

(ITU-T SG17 全體會議各國成員大合照)

最終，經過2個多星期的艱難博弈和艱苦談判，2019年8月，在中國代表團、智囊團的努力下，所申報的“服務訪問過程持續保護指南”國際標準終於成功立項，拿到了制定國際標準最關鍵、也最艱難的那張“進山許可”。

攀爬：標準化探索之路

立項只是開始，擺在中國零信任代表團面前的，是一條更為漫長和艱苦的攀登之路。一般來說，一個標準從立項到釋出需要2、3年甚至更長時間，期間需要經歷數次全會，而每一次全會，都需要經歷小組會、小組聯合會、全會的層層討論、答辯。

這次由騰訊牽頭的標準，一共用時兩年多，除了2019年8月在瑞士日內瓦立項時的第一次全會，後續四次全會都是在疫情防控期間完成的。

需要注意的是，在中國隊努力攀爬的過程中，其他國家的隊伍同樣也在加速朝著峰頂前進。中國標準立項的第二年，美國國家標準研究所(NIST)就釋出了零信任架構的美國標準，此後陸陸續續也有一些產業組織提出了零信任相關技術標準。

面對這種局面，由騰訊牽頭的這支“登山隊”，用不到三年的時間完成了這次攀登。如果說有什麼秘訣，可能是將每一次步伐，都深深地紮根在土壤之中——

·紮根於實踐的土壤。

零信任落地需要因地制宜、與時俱進，隨著疫情爆發，遠端辦公、線上教育等需求猛增，“零信任”成為安全問題的破局關鍵，很多客戶開始向騰訊雲諮詢相關解決方案，當時，騰訊iOA已形成了一套完整的零信任安全解決方案，疫情防控期間滿足了騰訊十萬臺終端的遠端辦公需求。隨即開放給產業客戶，先後協助金融、醫療、政務、教育等多個領域客戶實現了遠端辦公安全防護。

·紮根於產業的土壤。

技術標準要落地應用，需要面向產業，將各種安全理念、能力，下沉到具體的產品或者解決方案裡。因此，標準立項之後，由騰訊牽頭倡議，聯合CNCERT(網際網路應急響應中心)等機構，成立了國內零信任產業聯盟，目前已經吸引了接近60家的產學研機構，共同去孵化和推進一些更加細緻的技術標準。

黃超見證了這個產業聯盟的誕生，在他看來，加入聯盟的機構初心很純粹，“大家希望把最好的東西拿出來，透過聯盟放到行業裡面去用，互相借鑑、共同成長”。

·紮根於生態的土壤。

在產業聯盟的基礎上，零信任生態不斷匯聚。騰訊安全聯合20多家機構，成立了國內首個“零信任產業標準工作組”。 據黃超分享，在標準工作組中，他已經跳開了騰訊員工的身份，而是站在組織者、平臺方的中立角色，做了大量的工作。2020年，這個工作組釋出了國內首個基於產業攻防實戰的《零信任實戰白皮書》，2021年推出了一個介面類的技術標準，希望解決國內不同安全廠商零信任產品的相容對接問題，透過這些細化的標準去拉齊協議、介面、資料格式、規範等等。

蔡東贇提到，中國現在關於零信任的介面標準發展非常快，美國目前有一些安全廠商也在推進聯調的工作，只不過中國更快一點。

正是因為有了清晰的框架和路徑，更多產業角色能夠力出一孔，持續壯大零信任生態。

“日拱一卒無有盡，功不唐捐終入海”，登山是一場需要耐心、細心、信心的長期運動。黃超回憶，提交給ITU-T小組會、全會的提案文稿，都有十幾版。

在不斷迭代、精心打磨之下，中國零信任產業標準工作組也終於在2021年，迎來了標準釋出“結項”的衝頂時刻。

衝頂：標準釋出的衝刺時刻

一系列準備工作就緒後，能否順利站上最高標準的頂峰，成為國際技術標準的制定者和引領者，全靠標準釋出的“臨門一腳”。

與標準立項一樣，標準的結項與釋出，也要經過ITU-T全部專家代表的同意，這個過程同樣有著不確定性。

“結項的時候，有些專家又會出來，看你這個東西是不是會限制一些技術路線，保證最終的標準不會限制他們國內一些新技術的發展。”黃超提到，“所以我們整體策略是宜粗不宜細，偏向於理論、框架類的內容，輸出我們的最佳實踐，來實現技術的影響力，而不是去約束一些特別細節的技術點，這樣大家都能夠發展，而中國也可以在零信任安全標準率先卡位。”

2021年12月，經過數次答辯，由騰訊牽頭的《服務訪問過程持續保護指南》由ITU-T批准釋出。

其中，集合了中國產業界在零信任領域的實踐，詳細界定了標準的實施範圍，零信任相關概念的定義，同時深度分析了服務訪問程式中的安全威脅，並對服務訪問流程的安全要求、參考框架進行了詳細解釋，此外還根據典型的零信任應用場景進行多維度解析，獲得了業界的普遍認可。

全球範圍內首個零信任領域的國際標準，是騰訊及工作組的一大步，也是中國零信任的創新實踐和技術正規化邁向世界舞臺的重要一步。

遠眺：遠處風景與新徵程

“那接下來呢?”我忍不住問道，“標準拿到之後，是不是中國企業在國際競閤中主動權就更大了?”

聽眾的腦洞剛剛開啟，就被黃超叫停。

“不不不，不是做了一個標準就能這樣那樣啦。”全程參與的黃超在標準釋出之後，反而特別低調，急忙表示自己和工作組“只是做了一點微小的貢獻”，習慣了通稿牛皮滿天飛，專家的謙遜反而給我整不會了。這也使我開始好奇，這個標準的含金量究竟怎麼樣?釋出之後能夠帶來的變化到底是什麼?

變化之一，是發聲。整體上看，新的通訊技術標準還是歐美最強，當然國內的一些網際網路企業的推進也比較領先，因此由更多國內企業去推動技術標準，在一些技術方向上發出中國的聲音，已經彌足珍貴。或許一個單獨的標準不會產生特別大的影響，但積少成多，在標準賽道上做得越多，中國科技的影響力就越高。所以，每一次發聲都值得掌聲。

變化之二，是合作。前面提到，國際標準的建立、產業聯盟的形成，使得很多原本是競爭關係的廠商開始形成共識、建立合作。這對於一個新興產業來說，是十分重要的變化，能夠避免一些同質化的競爭和無效內卷，力出一孔的同時，在各自擅長的方向上發展，儘快形成既廣又深的市場格局，對於客戶和從業者來說都是一件好事。

變化之三，是希望。儘管黃超謙虛地強調，一個標準不可能翻天覆地，但同時也承認，零信任是一個充滿了希望的技術賽道。蔡東贇告訴我，零信任就是中國網安行業的一個機會，目前國內外並沒有太大的技術差距，甚至中國的落地實踐、產品化能力更加優秀一點。在這個領域加強互聯互通、做大生態，合力將市場做大，未來一定能夠讓零信任理念落地、創造更多價值。而這一次中國也可以是引領者。

從這個角度看，這次標準的成功釋出，與其說是卡位、佈局、話語權，不如說是一面旗幟，讓更多人可以看到中國零信任的實踐與創新能力;是一聲召喚，讓充斥著歧義和誤區的產業界加速聚攏在一起;是一個營地，為百花齊放的零信任創新提供一個舞臺。

採訪結束之後，我問黃超還有未盡之意，他想了想，特別認真地發出了一個請求：

“希望業界的同仁，尤其是做零信任安全的一些機構，能夠更同心協力，更積極主動地參與到技術標準中來，多去關注和使用它。如果有問題，大家還可以去調整它。我就想表達這一點。”

山不屬於任何人，就像技術標準不為某一個國家、某一個企業所有，它是全世界所共享的財富。或許沒有人，比黃超他們更懂得這座高峰的險峻，以及登山的艱辛。也正因為一步步丈量過從中國到ITU的距離，他們才如此渴望有更多人來感受中國標準的美好，以無比開放的姿態擁抱著每一個零信任的夥伴，一起踏上新的征程。

在中國網安行業的漫漫征途中，與世界標準舞臺的邂逅，只是恢弘故事的開啟。