在网络安全领域,技术竞技的比拼也被称为“夺旗”(CaptureTheFlag),代表着硬实力的较量。那么,在技术标准上率先填补空白,夺得话语权的制高点,无疑是软实力的体现。
年8月,当腾讯标准副总监黄超和腾讯企业IT部安全专家蔡东赟,踏上瑞士日内瓦的土地,他们将要参加的ITU-TSG17安全工作组标准化全会,就如同一场零信任领域的标准“夺旗赛”。
(征战ITU-T的腾讯代表团)
与他们同行的,还有来自国家互联网应急中心(CNCERT)、中国移动通信集团设计院等机构的零信任专家。中国代表团希望夺得的“零信任标准”之旗,插在了一座令人仰止的高山上,它的名字叫——ITU(国际电信联盟)。ITU是联合国的一个重要专门机构负责分配和管理全球无线电频谱与卫星轨道资源,制定全球电信技术标准,促进全球电信发展。诸如4G、5G这样重要的通信技术标准,都是经由ITU来最终敲定的。
ITU-T作为ITU的技术标准化部门,在信息通信行业的影响力,就如同ISO在工商业的影响力一样。也因此,ITU-T成员单位大多以国家为主体。
而面对这样的高山,这组由腾讯牵头的中国零信任标准“登山队”,多少有些突兀了。
一方面,ITU-T成员单位大多以国家为主体,由互联网企业主导的ITU-T标准很少;另一方面,IT领域的新兴技术的标准制定以往多是由欧美等发达国家主导,其他国家代表团参会目的多以学习、吸收为主,这次中国要打破零信任标准的空白,能顺利吗?
不卖关子,结果自然是成功的。
(ITU-T发布的零信任标准《Guidelinesforcontinuousprotectionoftheserviceaccessprocess》)
年,黄超他们所在的中国代表团提报的议题《Guidelinesforcontinuousprotectionoftheserviceaccessprocess》(《服务访问过程持续保护指南》),顺利立项。三年之后的年底,ITU-T正式对外发布,成为全球范围内首个零信任领域的国际技术标准。
-,也是被疫情影响的三年,期间,中国零信任标准化之路始终步履不停。这些攀登者,为什么对一个标准如此执着?登顶之后,究竟能看到何种风景?
我们不妨一起回到,看看中国代表团是如何攀登零信任的高山,率先夺下技术标准的这面旗帜。
动念:中国攀登者为什么出发?
登山家乔治·马洛里,完成了人类第一次登上海拔.43米珠穆朗玛峰的壮举。记者追问他“为什么想要攀登珠峰”,他扔下了一句话——“因为山就在那里!”
年,黄超、蔡东赟及一批中国网络安全领域的专家,都意识到零信任技术标准,就是一座矗立在整个产业面前的山峰。
当时,疫情尚未发生,大家的生活看起来一切如常,但一场网络安全的理念变革,已经开始酝酿。
“零信任”,顾名思义,就是默认不信任网络内外的任何人、任何设备和系统,每一次访问都需要身份认证和授权来重新建立信任。因为能够以数据保护(Data)为中心,更好地适应混合办公、工业互联网等“无边界”的新网络场景,确保身份可信、设备可信、应用可信和链路可信,零信任成为新一代的网络安全防护理念。
黄超回忆当时中国代表团的出发,再次肯定,年是零信任从概念走向落地的一年,也是推出技术标准一个比较好的时间节点。
各行各业的数字化程度不断深化,远程办公、工业互联网等“无边界”的网络环境越来越多,对于网络安全的升级诉求变得迫切,零安全“持续验证、永不信任”的理念开始被重视。年工信部起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》,首次将零信任安全列入网络安全需要突破的关键技术。
与此同时,零信任的落地实践和标准情况却并不适配。
年,围绕零信任已经出现了许多创业公司、解决方案、商业用例。谷歌、微软、腾讯开始在自身业务及安全产品中增加零信任解决方案,也诞生了Zscaler、Okta等这样的独角兽公司。但纵观整个行业,只有年发布的SDP(软件定义边界)标准可以算作零信任理念的雏形,关于零信任的基础标准还处于空白状态,国际上还没有任何一个比较知名的标准化组织发布零信任相关的技术标准。
而对于中国网络安全产业来说,标准空白既是挑战,也是机会。
挑战在于,零信任的应用点有很多,由于标准缺失,业内厂商的探索方向不尽相同,缺乏共通的话语体系,给零信任的推广带来了很大的阻力。
机会在于,一旦在ITU-T这样的国际最高标准组织上成功布局,发布代表中国零信任实践的技术标准,不仅能够彰显中国零信任的技术实力,也能激励更多产业角色参与到零信任的发展中来。
更重要的是,当时中国产业界中像腾讯这样的企业已经在自身业务中规模化落地零信任,有了实践和理论的支撑,完全有能力也有责任,将这些探索抽象成为一种技术标准,到国际舞台上一展身手。
于是,年初,黄超等人就开始筹备标准研究工作,到了8月份,恰好是ITU-TSG17召开全会的时间,全会一般半年才召开一次,只有全会才能发起标准立项,所以黄超等人一看关键时间窗口期已到,越等就越缺乏主动权,于是由腾讯牵头,派出五个技术专家,联合国家互联网应急中心(CNCERT)、中国移动通信集团设计院等机构,共同组成了一个代表团,远赴瑞士日内瓦ITU总部,提出要制定一个零信任的技术标准,尝试攀爬那座尚未被人征服的高山。
立项:获得“进山”许可证
攀登世界级高峰,一般都需要获得当地登山协会的许可,才有资格踏上进山的旅程。在技术标准领域,立项就相当于那张“许可证”,决定了这支队伍能不能做这件事。
这里有必要简单说说,ITU-TSG17确定技术标准的大致流程:一般来说,标准立项和发布被称为“一进一出”,需要经过全会评议,流程最为严格。一个新标准的立项,必须在全会上获得全体成员的投票,才能顺利通过,因此也是最为关键的节点。立项之后,到标准发布之前,中间的过程会按照不同的技术方向,与一些工作组、专家再不断进行小范围的研讨。
“Any