在網絡安全領域，技術競技的比拼也被稱為“奪旗”（Capture The Flag），代表著硬實力的較量。那么，在技術標準上率先填補空白，奪得話語權的制高點，無疑是軟實力的體現。

2019年8月，當騰訊標準副總監黃超和騰訊企業IT部安全專家蔡東赟，踏上瑞士日內瓦的土地，他們將要參加的ITU-T SG17安全工作組標準化全會，就如同一場零信任領域的標準“奪旗賽”。

（征戰ITU-T的騰訊代表團）

與他們同行的，還有來自國家互聯網應急中心（CNCERT）、中國移動通信集團設計院等機構的零信任專家。中國代表團希望奪得的“零信任標準”之旗，插在了一座令人仰止的高山上，它的名字叫——ITU（國際電信聯盟）。ITU是聯合國的一個重要專門機構負責分配和管理全球無線電頻譜與衛星軌道資源，制定全球電信技術標準，促進全球電信發展。諸如4G、5G這樣重要的通信技術標準，都是經由ITU來最終敲定的。

ITU-T作為ITU的技術標準化部門，在信息通信行業的影響力，就如同ISO在工商業的影響力一樣。也因此，ITU-T成員單位大多以國家為主體。

而面對這樣的高山，這組由騰訊牽頭的中國零信任標準“登山隊”，多少有些突兀了。

一方面，ITU-T成員單位大多以國家為主體，由互聯網企業主導的ITU-T標準很少；另一方面，IT領域的新興技術的標準制定以往多是由歐美等發達國家主導，其他國家代表團參會目的多以學習、吸收為主，這次中國要打破零信任標準的空白，能順利嗎？

不賣關子，結果自然是成功的。

（ITU-T發布的零信任標準《Guidelines for continuous protection of the service access process》)

2019年，黃超他們所在的中國代表團提報的議題《Guidelines for continuous protection of the service access process》（《服務訪問過程持續保護指南》），順利立項。三年之后的2021年底，ITU-T正式對外發布，成為全球范圍內首個零信任領域的國際技術標準。

2019-2021，也是被疫情影響的三年，期間，中國零信任標準化之路始終步履不停。這些攀登者，為什么對一個標準如此執著？登頂之后，究竟能看到何種風景？

我們不妨一起回到2019，看看中國代表團是如何攀登零信任的高山，率先奪下技術標準的這面旗幟。

動念：中國攀登者為什么出發？

登山家喬治·馬洛里，完成了人類第一次登上海拔8848.43米珠穆朗瑪峰的壯舉。記者追問他“為什么想要攀登珠峰”，他扔下了一句話——“因為山就在那里！”

2019年，黃超、蔡東赟及一批中國網絡安全領域的專家，都意識到零信任技術標準，就是一座矗立在整個產業面前的山峰。

當時，疫情尚未發生，大家的生活看起來一切如常，但一場網絡安全的理念變革，已經開始醞釀。

“零信任”，顧名思義，就是默認不信任網絡內外的任何人、任何設備和系統，每一次訪問都需要身份認證和授權來重新建立信任。因為能夠以數據保護（Data）為中心，更好地適應混合辦公、工業互聯網等“無邊界”的新網絡場景，確保身份可信、設備可信、應用可信和鏈路可信，零信任成為新一代的網絡安全防護理念。

黃超回憶當時中國代表團的出發，再次肯定，2019年是零信任從概念走向落地的一年，也是推出技術標準一個比較好的時間節點。

各行各業的數字化程度不斷深化，遠程辦公、工業互聯網等“無邊界”的網絡環境越來越多，對于網絡安全的升級訴求變得迫切，零安全“持續驗證、永不信任”的理念開始被重視。2019年工信部起草的《關于促進網絡安全產業發展的指導意見（征求意見稿）》，首次將零信任安全列入網絡安全需要突破的關鍵技術。

與此同時，零信任的落地實踐和標準情況卻并不適配。

2019年，圍繞零信任已經出現了許多創業公司、解決方案、商業用例。谷歌、微軟、騰訊開始在自身業務及安全產品中增加零信任解決方案，也誕生了Zscaler、Okta等這樣的獨角獸公司。但縱觀整個行業，只有2014年發布的SDP（軟件定義邊界）標準可以算作零信任理念的雛形，關于零信任的基礎標準還處于空白狀態，國際上還沒有任何一個比較知名的標準化組織發布零信任相關的技術標準。

而對于中國網絡安全產業來說，標準空白既是挑戰，也是機會。

挑戰在于，零信任的應用點有很多，由于標準缺失，業內廠商的探索方向不盡相同，缺乏共通的話語體系，給零信任的推廣帶來了很大的阻力。

機會在于，一旦在ITU-T這樣的國際最高標準組織上成功布局，發布代表中國零信任實踐的技術標準，不僅能夠彰顯中國零信任的技術實力，也能激勵更多產業角色參與到零信任的發展中來。

更重要的是，當時中國產業界中像騰訊這樣的企業已經在自身業務中規模化落地零信任，有了實踐和理論的支撐，完全有能力也有責任，將這些探索抽象成為一種技術標準，到國際舞臺上一展身手。

于是，2019年初，黃超等人就開始籌備標準研究工作，到了8月份，恰好是ITU-T SG17召開全會的時間，全會一般半年才召開一次，只有全會才能發起標準立項，所以黃超等人一看關鍵時間窗口期已到，越等就越缺乏主動權，于是由騰訊牽頭，派出五個技術專家，聯合國家互聯網應急中心（CNCERT）、中國移動通信集團設計院等機構，共同組成了一個代表團，遠赴瑞士日內瓦ITU總部，提出要制定一個零信任的技術標準，嘗試攀爬那座尚未被人征服的高山。

立項：獲得“進山”許可證

攀登世界級高峰，一般都需要獲得當地登山協會的許可，才有資格踏上進山的旅程。在技術標準領域，立項就相當于那張“許可證”，決定了這支隊伍能不能做這件事。

這里有必要簡單說說，ITU-T SG17確定技術標準的大致流程：一般來說，標準立項和發布被稱為“一進一出”，需要經過全會評議，流程最為嚴格。一個新標準的立項，必須在全會上獲得全體成員的投票，才能順利通過，因此也是最為關鍵的節點。立項之后，到標準發布之前，中間的過程會按照不同的技術方向，與一些工作組、專家再不斷進行小范圍的研討。

“Any comments?”最后一次全會上，在黃超和蔡東赟回憶起來無比漫長的43秒鐘的沉默后，來自40多個國家200多名專家，沒有人再提出新的異議，立項終于成功。

中國代表團為了成功立項，進行了三重闖關：

第一關，技術關。

說到底，能否順利立項，還是要回歸到最純粹的技術能力上。要主導一個國際標準的建立，首要也是最重要的，是證明標準提案在技術上的前瞻性、預判性，確實能夠為全球發展零信任帶來有益的價值。

與大多數零信任廠商過于聚焦動態訪問控制這一場景不同，當時騰訊探索零信任已經有三年之久，在標準方面，騰訊本身有一個成熟的幾十人規模的技術標準團隊，專門探索如何將產業實踐變成一個通用的商業解決方案，在這個過程中，也對零信任的應用與發展有了整體的思考和預判。

2019年向ITU-T提報的立項議題《Guidelines for continuous protection of the service access process》（《服務訪問過程持續保護指南》），相較于傳統“持續驗證，永不信任”技術理念下對身份認證、資源訪問的控制，將聚焦的范圍延展到了“事前、事中、事后”全過程全要素的安全保護。提出了零信任安全技術參考框架的核心組成部分，重在持續識別企業用戶中在網絡訪問過程中受到的安全威脅，提供相應訪問過程中的持續保護措施，持續監測關鍵對象的安全風險并作動態的訪問控制，并對關鍵訪問過程對象進行安全防護。

憑借整體框架的定義、零安全理念的演進路線、完整閉環的安全理念等等重要成果，使得該標準在全球范圍內都具備一定的前瞻性、預判性，最終獲得了與會專家的認可。

第二關，防御關。

當然，技術標準的世界里不只有技術，還充斥著各種產業力量對于標準話語權的爭奪與博弈。尤其是IT領域的技術標準一直是由歐美主導，他們既是攀登者，歐美相關企業和機構在自己的國家積極推動零信任技術標準；也是守門員，在標準組織中影響力大，有能力影響國際標準是否能夠立項，以防御其他國家與自己爭奪領先身位。

據黃超回憶，2019年的ITU-T SG17安全工作組標準化全會上，當時代表團就受到了來自歐美一些代表的挑戰。

針對零信任這個比較新的技術，他們利用在國際事務上的經驗優勢，例如指出做技術標準的緊迫性不高，“建議”中國代表團延緩這個技術標準的立項，可以先去做個白皮書、技術報告之類的東西……通過各種方式，試圖干預標準立項。

面對這些挑戰，中國代表團中一些比較有經驗的國內專家，給黃超他們提供了不少指點，建議他們去跟歐美的一些技術專家溝通，從技術的角度去說服對方，證明這個標準的緊迫程度、對全球產業發展的意義等，爭取對方的支持，最終一步步解除了來自傳統IT強隊歐美的防御。

第三關，朋友關。

除此上述博弈，標準立項其實也是一件“得道多助、失道寡助”的事情，ITU是一個聯合國組織，唯有參與國際合作、國際共贏，將朋友搞得多多的，才能在全會上收獲全體專家的支持。

在零信任領域，日韓等發達國家，以及亞非拉等地的發展中國家，都成為了中國代表團爭取的“友情票”。這種友情，本質上是建立在技術交流的基礎上。

以日韓為例，他們對于較為領先、前沿的技術趨勢比較關心，與這些國家的技術專家進行交流，帶來了關鍵的突破口。而數字化相對滯后的亞非拉國家來說，中國的前沿探索和實踐也能夠帶來一定的參考價值，聽會學習之后可以帶回本國進行布道和推廣。因此，中國代表團在參會時，從技術普惠的角度，分享了中國產業零信任的使用場景、實踐方案等，收獲了不少亞非拉國家的支持。

值得一提的是，在立項答辯現場氣氛最焦灼的時候，一些原本和騰訊在國內是競爭關系的中國企業，也都站出來表示支持騰訊提出的標準方案。在國際舞臺上，中國企業表現出守望相助的“大格局”，也是十分可貴。

（ITU-T SG17 全體會議各國成員大合照）

最終，經過2個多星期的艱難博弈和艱苦談判，2019年8月，在中國代表團、智囊團的努力下，所申報的“服務訪問過程持續保護指南”國際標準終于成功立項，拿到了制定國際標準最關鍵、也最艱難的那張“進山許可”。

攀爬：標準化探索之路

立項只是開始，擺在中國零信任代表團面前的，是一條更為漫長和艱苦的攀登之路。一般來說，一個標準從立項到發布需要2、3年甚至更長時間，期間需要經歷數次全會，而每一次全會，都需要經歷小組會、小組聯合會、全會的層層討論、答辯。

這次由騰訊牽頭的標準，一共用時兩年多，除了2019年8月在瑞士日內瓦立項時的第一次全會，后續四次全會都是在疫情防控期間完成的。

需要注意的是，在中國隊努力攀爬的過程中，其他國家的隊伍同樣也在加速朝著峰頂前進。中國標準立項的第二年，美國國家標準研究所（NIST）就發布了零信任架構的美國標準，此后陸陸續續也有一些產業組織提出了零信任相關技術標準。

面對這種局面，由騰訊牽頭的這支“登山隊”，用不到三年的時間完成了這次攀登。如果說有什么秘訣，可能是將每一次步伐，都深深地扎根在土壤之中——

·扎根于實踐的土壤。

零信任落地需要因地制宜、與時俱進，隨著疫情爆發，遠程辦公、在線教育等需求猛增，“零信任”成為安全問題的破局關鍵，很多客戶開始向騰訊云咨詢相關解決方案，當時，騰訊iOA已形成了一套完整的零信任安全解決方案，疫情防控期間滿足了騰訊十萬臺終端的遠程辦公需求。隨即開放給產業客戶，先后協助金融、醫療、政務、教育等多個領域客戶實現了遠程辦公安全防護。

·扎根于產業的土壤。

技術標準要落地應用，需要面向產業，將各種安全理念、能力，下沉到具體的產品或者解決方案里。因此，標準立項之后，由騰訊牽頭倡議，聯合CNCERT（互聯網應急響應中心）等機構，成立了國內零信任產業聯盟，目前已經吸引了接近60家的產學研機構，共同去孵化和推進一些更加細致的技術標準。

黃超見證了這個產業聯盟的誕生，在他看來，加入聯盟的機構初心很純粹，“大家希望把最好的東西拿出來，通過聯盟放到行業里面去用，互相借鑒、共同成長”。

·扎根于生態的土壤。

在產業聯盟的基礎上，零信任生態不斷匯聚。騰訊安全聯合20多家機構，成立了國內首個“零信任產業標準工作組”。 據黃超分享，在標準工作組中，他已經跳開了騰訊員工的身份，而是站在組織者、平臺方的中立角色，做了大量的工作。2020年，這個工作組發布了國內首個基于產業攻防實戰的《零信任實戰白皮書》，2021年推出了一個接口類的技術標準，希望解決國內不同安全廠商零信任產品的兼容對接問題，通過這些細化的標準去拉齊協議、接口、數據格式、規范等等。

蔡東赟提到，中國現在關于零信任的接口標準發展非常快，美國目前有一些安全廠商也在推進聯調的工作，只不過中國更快一點。

正是因為有了清晰的框架和路徑，更多產業角色能夠力出一孔，持續壯大零信任生態。

“日拱一卒無有盡，功不唐捐終入海”，登山是一場需要耐心、細心、信心的長期運動。黃超回憶，提交給ITU-T小組會、全會的提案文稿，都有十幾版。

在不斷迭代、精心打磨之下，中國零信任產業標準工作組也終于在2021年，迎來了標準發布“結項”的沖頂時刻。

沖頂：標準發布的沖刺時刻

一系列準備工作就緒后，能否順利站上最高標準的頂峰，成為國際技術標準的制定者和引領者，全靠標準發布的“臨門一腳”。

與標準立項一樣，標準的結項與發布，也要經過ITU-T全部專家代表的同意，這個過程同樣有著不確定性。

“結項的時候，有些專家又會出來，看你這個東西是不是會限制一些技術路線，保證最終的標準不會限制他們國內一些新技術的發展。”黃超提到，“所以我們整體策略是宜粗不宜細，偏向于理論、框架類的內容，輸出我們的最佳實踐，來實現技術的影響力，而不是去約束一些特別細節的技術點，這樣大家都能夠發展，而中國也可以在零信任安全標準率先卡位。”

2021年12月，經過數次答辯，由騰訊牽頭的《服務訪問過程持續保護指南》由ITU-T批準發布。

其中，集合了中國產業界在零信任領域的實踐，詳細界定了標準的實施范圍，零信任相關概念的定義，同時深度分析了服務訪問進程中的安全威脅，并對服務訪問流程的安全要求、參考框架進行了詳細解釋，此外還根據典型的零信任應用場景進行多維度解析，獲得了業界的普遍認可。

全球范圍內首個零信任領域的國際標準，是騰訊及工作組的一大步，也是中國零信任的創新實踐和技術范式邁向世界舞臺的重要一步。

遠眺：遠處風景與新征程

“那接下來呢？”我忍不住問道，“標準拿到之后，是不是中國企業在國際競合中主動權就更大了？”

聽眾的腦洞剛剛打開，就被黃超叫停。

“不不不，不是做了一個標準就能這樣那樣啦。”全程參與的黃超在標準發布之后，反而特別低調，急忙表示自己和工作組“只是做了一點微小的貢獻”，習慣了通稿牛皮滿天飛，專家的謙遜反而給我整不會了。這也使我開始好奇，這個標準的含金量究竟怎么樣？發布之后能夠帶來的變化到底是什么？

變化之一，是發聲。整體上看，新的通信技術標準還是歐美最強，當然國內的一些互聯網企業的推進也比較領先，因此由更多國內企業去推動技術標準，在一些技術方向上發出中國的聲音，已經彌足珍貴。或許一個單獨的標準不會產生特別大的影響，但積少成多，在標準賽道上做得越多，中國科技的影響力就越高。所以，每一次發聲都值得掌聲。

變化之二，是合作。前面提到，國際標準的建立、產業聯盟的形成，使得很多原本是競爭關系的廠商開始形成共識、建立合作。這對于一個新興產業來說，是十分重要的變化，能夠避免一些同質化的競爭和無效內卷，力出一孔的同時，在各自擅長的方向上發展，盡快形成既廣又深的市場格局，對于客戶和從業者來說都是一件好事。

變化之三，是希望。盡管黃超謙虛地強調，一個標準不可能翻天覆地，但同時也承認，零信任是一個充滿了希望的技術賽道。蔡東赟告訴我，零信任就是中國網安行業的一個機會，目前國內外并沒有太大的技術差距，甚至中國的落地實踐、產品化能力更加優秀一點。在這個領域加強互聯互通、做大生態，合力將市場做大，未來一定能夠讓零信任理念落地、創造更多價值。而這一次中國也可以是引領者。

從這個角度看，這次標準的成功發布，與其說是卡位、布局、話語權，不如說是一面旗幟，讓更多人可以看到中國零信任的實踐與創新能力；是一聲召喚，讓充斥著歧義和誤區的產業界加速聚攏在一起；是一個營地，為百花齊放的零信任創新提供一個舞臺。

采訪結束之后，我問黃超還有未盡之意，他想了想，特別認真地發出了一個請求：

“希望業界的同仁，尤其是做零信任安全的一些機構，能夠更同心協力，更積極主動地參與到技術標準中來，多去關注和使用它。如果有問題，大家還可以去調整它。我就想表達這一點。”

山不屬于任何人，就像技術標準不為某一個國家、某一個企業所有，它是全世界所共享的財富。或許沒有人，比黃超他們更懂得這座高峰的險峻，以及登山的艱辛。也正因為一步步丈量過從中國到ITU的距離，他們才如此渴望有更多人來感受中國標準的美好，以無比開放的姿態擁抱著每一個零信任的伙伴，一起踏上新的征程。

在中國網安行業的漫漫征途中，與世界標準舞臺的邂逅，只是恢弘故事的開啟。