本文所要比较的标准文案分别是NIST于2020年8月发布的《zero trust architechure》（为行文方便简称“美标”）和信安标委于2022年6月1日发布的《信息安全技术 零信任参考架构》征求意见稿（为行文方便简称“国标”）。除此之外，事实上2021年国内还有一个零信任方面的标准发布，即由中国电子工业标准化技术协会发布的团体标准《零信任系统技术规范》（为行文方便简称“团标”）。这个团标和国标之间有什么异同，相信大家也都很关注，因此也一并纳入讨论。

首先要比较的是这三份标准都是干嘛用的，或者说为啥要搞这几个标准，我们从这些标准里能了解到什么信息，以及可以在什么时候使用这些标准。

我在通读了三份标准的全文之后，回过头来看他们的范围描述，看得就很明白了。首先，我想提一下如何定义一个概念的问题。一般来说有两种定义的方法。一种是“内涵”的方法，也就是从本质上定义一个东西的核心特质。还有一种是“外延”的方法，也就是把属于这个概念的具体实例列举出来，从而让大家对这个事物的内涵有所了解。所谓的“白马是马，白马非马”就是说“白马”是“马”这个概念的外延，白马确实是马的一种，但是白马不能就完整的定义什么是“马”，你不能说只有白马才叫马，但其实黑马、黄马、赤兔马也都是马。从这个角度说，美标的定义既有内涵也有外延，既给出了抽象的定义也给出了具体的实现方式。国标则主要是内涵，而对于实现部分则没有涉及。而团标正相反，它所讨论的主要是实现，对于抽象定义部分则没有涉及。这也比较符合二者的定位，国标负责提出大原则，团标则考虑具体实现。因此，国标和团标两份标准彼此之间有一种互补的关系在。

在国标发布之前，严格地说，在国内“零信任”这个词其实一直只是一个市场用语。他是由各个安全厂商和机构，基于对海外技术进展的研究在国内提出的一个对应概念。而且这个概念有着明显的被泛化被滥用的趋势。因此，由国家权威机构提出一个对零信任的权威解释是很有必要的。

可以看到，国标的动态评估包含了对身份的可信性评估和对主体安全状态的评估。这样看，似乎国标的定义涵盖了美标的定义。但是，关于这一块我们其实是有不同看法的。如果是内涵式的定义，就必须能准确的反应一个事物最核心的特质，符合这个特征你就是这个东西，不符合就不是，不构成本质区别的属性不应该出现在基础概念的定义里。其实，关于持续验证动态验证的理念，在美标的后续章节中有着非常大篇幅的讨论，但是并没有出现在对零信任的本质定义里。也就是说，零信任思想要求动态评估，但动态评估并不构成零信任的核心特质。在美标极其庞大的（远不止这一个标准）完备的理论体系中，零信任都有一个一以贯之的内涵：零信任就是对IP地址的不信任，因为在一个快速变化全球分布的网络中，IP本身既没有身份属性也没有安全状态内涵，以IP为参数进行访问控制已经没有任何意义，因此要把访问控制的核心参数从IP变为ID，ID系统不但带有更本质且更稳定的身份属性，而且其支撑体系有着很强的抗伪造能力。所以，零信任革命最核心的部分就是IP到ID。举例来说，你通过终端安全软件动态地收集了环境信息和安全信息，也通过准入产品对接入终端身份进行了验证，然后在边界防火墙上下了一条面向IP的策略。这种做法是否符合零信任原则呢？根据美标的原则就不符合，根据国标的原则就符合。我想我们的讨论可以先停在这，哪种表述更恰当姑且不论，但这确实是极大的区别。

另外，关于零信任架构的定义，美标同样采用了“内涵”的表述方式，他提出了两个核心要点：一个是“结构”，一个是“流程”。也就是说，当我们讨论架构时，我们在讨论的其实就是“结构”和“流程”。而国标在此处的定义方式则从内涵定义忽然跳成了外延定义，提出了“最小权限，动态策略，和端到端”三个要素。

还有一点，国标在定义里有个提法“无论主体和资源是否可信，主体和资源之间的信任关系都需要从零开始”。这似乎有一点自相矛盾，既然都要从零开始建立信任，那么就不存在是否可信问题，这就好像在说“不管你是鱼还是鸟，你都得是条鱼”。

“零信任”其实是个省略的说法，他缺少关键的主语和宾语。零信任究竟是谁对谁的不信任呢？在国标和团标中都用了“主体”和“客体”的逻辑对这个问题进行说明，也就是说，“零信任”就是“客体”对“主体”访问的不信任。换言之“客体”是零信任需要去保护的对象。那么客体又包含什么呢？我们认为这里就是零信任标准中另一个非常关键的问题了。

零信任的本质是一种“数据为中心”的网络安全理念。美标说的很明白，零信任主要是保护“数据和业务”的，虽然可以被扩展到其他关键架构组件上，但其本质是面向“数据与业务”的。从这点上说，国标和美标的观点基本一致，在国标中“客体”主要包括“应用、系统、接口、服务、数据”。但是团标在这里就不一样了，在团标的举例中出现了“网络”的字样。而“网络”恰恰是零信任需要放弃的地方，在美标的摘要（ABSTRACT）部分就开宗明义讲了这个问题： 

零信任聚焦于保护“资源”本身而不是“网段”，因为“网段”不再构成对资源有意义的安全参数。从这个角度说，“防火墙”以及一切以“IP”为策略核心的安全产品就都不符合零信任的要求。

零信任的基本原则是什么？零信任对网络安全有哪些最核心的要求？这些问题是零信任标准中应该去讨论的问题。

零信任是个理念，这个理念要落地，就必须要转化为一种具体的逻辑架构。当然这个“具体”也是相对而言，相较于“理念”而言，它要有具体的功能组件，但是这些组件和架构仍然还是概念上的，他不能直接用来“落地执行”，只能是个参考。真要落地的话，需要类似于美国国防部的《零信任参考架构》（DOD 《zero trust reference architecture》）标准中提出的一些功能架构和具体操作规程的指导。

团标的框架图是对国标的实现，这里就不多说了。而国标和美标的两张图本质要说的是一个事，他们也基本都遵循了一致的底层逻辑，那就是一方面策略的控制面和数据面要分离，另一方面要通过支撑性平台与信息的支撑做动态的策略评估。

这里面有意思的是“态势感知”。在国内，“态势感知”是个颇为魔幻的概念，他有一种极强的“筐”感。而在国标的定义里“态势感知”再次发挥了他“什么都能装”的关键属性。美标架构图中存在两翼，左边的是各种“信息”，右边的是各种“安全基础设施”。而在国标里“态势感知”既包括了右边的“SIEM”，又同时把左边的所有“信息”都装了进来。当然，国标还是对 “态势感知”给了个相对明确的定义：

我们对中美三份零信任标准文档的问题边界，零信任的本质定义、保护对象、基本原则和技术结构分别做了对比研究。总的来看，三份标准的思想主体是一致的，大家都遵循了一些共同的理念原则，虽然行文上有所不同（尤其是关于“零信任”的定义部分），但不构成本质区别。只是国标的这一稿内容确实有点少，只保留了“形而上”的讨论，对于美标中涉及到的部署模式和应用场景等内容都没有涉及，这一点殊为遗憾。但考虑到国标制定过程中所面对的多方面约束条件，当下的内容安排也是可以理解的。毕竟，涉及到落地实现部分，不仅工作量大，而且势必很难达成共识。保留在“形而上”的层次上，也许是目前国内业界能够找到的“最大公约数”。我们认为，当下这版国标，相较于其内容而言，这个标准能够得以发布本身，对于中国的零信任产业的发展就是最伟大的贡献。在此，感谢所有为国标做出贡献的专家和机构，祝愿零信任国标正式版本早日发布！