标准体系初步形成，零信任安全从理想到现实

数字化时代，企业边界日益模糊，“永不信任，始终验证”的零信任理念正从安全理念走向产业实践。

“零信任并非不信任，而是通过动态验证让信任变得更精细、更可靠。”2024年底，工信部发布的YD/T 4598.4-2024《面向云计算的零信任体系 第4部分：数据保护能力要求》正式将零信任数据保护提上日程，将于2025年4月1日起实施。这一标准由工信部主管，中国通信标准化协会归口，中国信息通信研究院、腾讯云计算、阿里云、华为等多家单位共同起草。

全国网络安全标准化技术委员会也在2025年3月启动了《网络安全技术 零信任能力成熟度模型及评价方法》国家标准的制定工作。这些标准为供应商在云环境下开发、设计和建设基于零信任理念的数据保护产品提供了明确指引。

01 政策标准体系初步形成

我国零信任政策标准体系呈现多层次、多维度的特点。从行业标准到国家标准，从技术框架到实施指南，一套完整的标准体系正在形成。

在行业标准方面，YD/T 4598.4-2024是零信任领域的重要标准之一。该标准适用于云环境下基于零信任理念的数据保护产品或解决方案。2025年6月，中国计算机学会发布了 《零信任体系身份认证和访问管理技术规范》团体标准（T/CCF 0009—2025），自2025年6月11日起实施。

国家标准方面，《网络安全技术 零信任能力成熟度模型及评价方法》已于2025年3月进入制定程序，计划用18个月完成。这一标准将为企业和组织评估零信任能力提供统一的方法和指标。

这些政策标准的密集出台，为零信任技术的落地提供了标准化指引，帮助企业明确安全建设的路线和方向。

02 标准引领下的零信任实践

在政策标准的指引下，国内安全厂商积极布局零信任领域，推出了各具特色的产品和解决方案。

腾讯云 iOA 零信任安全管理系统采用“一体化办公安全平台”架构，将VPN、杀毒、桌管、EDR、DLP等功能集成于一个客户端。该系统支持可信身份、可信终端和可信应用三大核心能力，基于身份、设备、应用进行动态权限控制。

易安联则推出零信任一体化办公终端，通过集成身份认证、网络接入、防病毒、终端威胁检测、漏洞修复、终端管控、网络访问控制、安全空间等核心功能，为企业打造一套智能化、自动化且全面的终端安全防护体系。并与腾讯安全深度集成腾讯TAV病毒引擎，为企业提供终端病毒防护核心能力。该产品支持多维查杀模式、实时防护、智能处置与防误杀机制，提供黑白名单机制，信任文件、数字签名认证，避免误杀关键业务程序。

03 零信任标准化的价值与挑战

标准化为零信任技术落地提供了明确指引。企业可以依据标准进行产品选型和建设，避免技术路线偏离主流方向。标准化的另一重要价值是降低应用门槛。然而零信任标准化也面临一些挑战。不同行业业务场景差异大，单一标准难以覆盖所有需求。未来可能需要更多行业特定标准作为补充。技术与威胁态势不断发展，标准需要持续更新以适应新的安全挑战。这要求标准制定机构与厂商保持紧密合作，共同推动标准演进。

04 未来展望

随着数字化转型深入，零信任将成为企业安全的核心架构。政策标准与技术实践的结合，将推动零信任从概念验证走向规模化部署。未来零信任标准将更加注重实战效果，强调防护能力与用户体验的平衡。国际合作也是零信任标准发展的重要方向。通过借鉴国际先进经验，结合国内实际需求，我国零信任标准体系将不断完善，为全球零信任发展贡献中国智慧。

零信任不仅是技术革新，更是安全理念的变革。随着国内政策标准的持续完善和安全技术的不断成熟，零信任将成为企业数字化转型的安全基石。