实力认证!腾讯主导确立全球首个零信任安全国际标准

国内新闻 阅读(1000)
?

2019年9月初,在ITU-T(国际电信联盟通信标准化组织)SG17安全研究小组在瑞士日内瓦召开的全体会议上,成功地采用了腾讯LED国际标准的连续服务接入过程参考框架。该项目成为首个国际零信任安全技术标准。本标准对促进全球网络安全产业健康发展,加快零信任技术和服务的快速发展和普及具有重要而深远的意义。

零信任安全性基于身份并执行动态网络访问控制。核心思想是不要信任网络内外的任何人/设备/系统。它需要基于认证和授权来重建访问控制的信任基础。在当前基于边境的企业安全防护系统正在消失的背景下,零信任安全已成为下一代主流安全技术路线。这一次,腾讯领导了联合国互联网应急响应中心(CNCERT),中国移动通信集团设计研究院和西蒙。泰克提议的项目《Reference framework for continuous protection of service access process》(服务访问流程持续保护参考框架)是零信任安全技术参考框架的核心组件,其重点是在网络访问期间识别企业用户的安全威胁,并指定访问过程。持续保护措施,实时检测网络异常访问行为,并引入授权增强机制。

当前的网络访问环境不断变化。随着企业数据的多样化和获取方法的多样化,传统的边境防御不再有效。任何地区,设备和员工的访问都可能带来安全风险和严格的动态。访问控制和安全检测至关重要,特别是对于网络访问期间设备和资源的持续安全保护,访问控制策略的持续优化以及异常访问行为的连续检测已成为需要升级的关键技术点。因此,分析网络接入过程的安全挑战,保持接入行为的合理性,确保接入过程的安全性和效率,提供控制技术管理的标准化指导,并为网络接入定义连续保护参考框架进程成为当前要填充的安全标准化空白。

作为中国互联网企业代表,腾讯于2016年率先在国内将零信任网络架构完整落地,其摸索提炼的最佳实践准则亦在生产环境中得到有效验证,而结合腾讯十多年终端安全管理实践与零信任理念推出的“腾讯终端无边界访问控制系统iOA(https://cloud.tencent.com/product/ioa),就旨在为用户打造统一、安全和高效的无边界网络访问入口,实现基于按需、动态的实时访问控制策略,以可信终端、可信身份、可信应用三大核心能力,把身份安全、终端安全与链路安全形成完整闭环,同时结合全球杀软横评排名第一的“腾讯御点”,实时拦截病毒木马攻击且高效修复漏洞,确保用户在任意网络环境中都可以安全、稳定、高效地访问企业资源,再结合腾讯游戏运营在混合云服务器访问管理的零信任实践,从而构建起全方位、一站式的零信任安全体系,实现安全管理升级。

在输出自身安全管理能力的同时,腾讯一直积极推动零信任安全技术标准的业界共识,自今年7月《零信任安全技术-参考框架》在CCSA成功立项后,又在8月持续发力争取国际标准话语权。ITU作为联合国标准化组织,要平衡各成员国立场形成标准绝非易事,本次会议152个新提案中仅有25个提案获得标准立项,成功率不足20%。零信任安全作为当今各国安全界的重点关注领域,不仅有竞争激烈的各巨头环伺,更涉及不同国家的政策法规及市场环境,在持续两周的时间里与40多个国家200多名专家多轮艰苦谈判后,最终在中国代表团的共同努力下,腾讯凭借自身零信任安全领域的优秀实践和国际标准化能力成功立项。

一举拿下ITU-T 国际标准,标志着以腾讯公司为代表的中国互联网企业在国际标准组织制定中已开始扮演越来越重要的角色,成为规则的制定者和引领者,体现了中国力量在国际网络安全领域的技术领导力和话语权,更有力推动了零信任安全技术在全球范围规模商用的进程。

产业互联网时代正面临前所未有的安全挑战,市场亟待新一代安全技术标准的指导准则和参考框架,腾讯将与中外各方合作伙伴一起,携手推动零信任安全技术标准化建设和在全面落地,为用户构建新一代网络安全体系、为全球网络安全的健康发展做出贡献。

附:

ITU-T(国际电信联盟)成立于1865年,是联合国中历史最长的专门机构,也是联合国的15个专门机构之一,其成员包括190多个国家、700多个公司和学术机构,第17研究组(ITU-T SG17)主要负责安全领域的标准研究与制定。由于ITU作为国际组织的长期性和作为联合国特别机构的特殊地位,ITU发布的标准比其他同级别技术规范制定组织拥有更高的国际认同度。

麻辣烫