1　零信任正跨越鴻溝，解決市場(chǎng)具體問(wèn)題至關(guān)重要

（1）零信任技術(shù)跨越“鴻溝”，面臨多重挑戰(zhàn)需克服

“跨越鴻溝”理論是杰弗里·摩爾提出的一項(xiàng)技術(shù)采納生命周期模型，該模型描述了新技術(shù)或新產(chǎn)品從創(chuàng)新者群體擴(kuò)散至早期采納者，并最終進(jìn)入大眾市場(chǎng)的復(fù)雜過(guò)程。在這一系列階段中，“鴻溝”階段尤為重要，它代表了新技術(shù)或產(chǎn)品在從早期市場(chǎng)向主流市場(chǎng)過(guò)渡時(shí)所面臨的重大障礙。目前，零信任正面臨著跨越一系列關(guān)鍵“鴻溝”的挑戰(zhàn)：

用戶認(rèn)知方面，用戶對(duì)于零信任的認(rèn)知不斷提高，但是仍有小部分用戶認(rèn)為零信任與VPN之間沒(méi)有區(qū)別。中國(guó)信通院調(diào)研結(jié)果顯示，有69.44%的零信任供應(yīng)側(cè)企業(yè)在拓客時(shí)感覺(jué)用戶對(duì)零信任的認(rèn)知變好，無(wú)需過(guò)多解釋零信任能帶來(lái)的優(yōu)勢(shì)，可直接與應(yīng)用側(cè)企業(yè)進(jìn)行PoC（Proof of Concept，概念驗(yàn)證）或溝通落地事宜。但仍有25%的零信任供應(yīng)側(cè)企業(yè)在拓客時(shí)感覺(jué)用戶對(duì)零信任的認(rèn)知變化不多，仍然需要解釋零信任概念、優(yōu)勢(shì)等，甚至無(wú)法區(qū)分VPN與零信任。

資金投入方面，一是預(yù)算有限，難以持續(xù)投入。零信任的部署是一個(gè)漸進(jìn)式的過(guò)程，有限的預(yù)算使得用戶在持續(xù)投入和擴(kuò)大零信任建設(shè)方面顯得力不從心，難以充分滿足長(zhǎng)期建設(shè)和維護(hù)的需求。二是零信任替換成本較高，投資回報(bào)率不高。許多企業(yè)已經(jīng)建立了較為完善的安全防護(hù)體系，替換為零信任意味著需要放棄原有的安全產(chǎn)品或和已有的安全產(chǎn)品進(jìn)行集成，不僅會(huì)面臨技術(shù)兼容性和業(yè)務(wù)連續(xù)性等方面的挑戰(zhàn)，還會(huì)帶來(lái)額外的成本支出，特別是在高度集成化或自研比例較高的環(huán)境中，零信任的實(shí)施成本高，回報(bào)率未達(dá)到預(yù)期。

成效評(píng)估方面，一是客戶側(cè)對(duì)零信任的戰(zhàn)略認(rèn)知難在高層達(dá)成共識(shí)。這主要源于零信任理念的新穎性和實(shí)踐復(fù)雜性，以及不同高層管理者對(duì)安全戰(zhàn)略和業(yè)務(wù)目標(biāo)的認(rèn)知差異，同時(shí)，零信任戰(zhàn)略的實(shí)施需要跨部門的緊密協(xié)作，這也增加了高層達(dá)成共識(shí)的難度。二是難以驗(yàn)證零信任部署效果。安全體系的構(gòu)建成效通常考慮四項(xiàng)能力，互聯(lián)互通、自動(dòng)化編排、全局管控及快速恢復(fù)能力，然而上述四項(xiàng)能力難以得到驗(yàn)證，互聯(lián)互通要求零信任產(chǎn)品與用戶環(huán)境的安全系統(tǒng)實(shí)現(xiàn)接口與消息的統(tǒng)一；自動(dòng)化編排要求用戶環(huán)境具備智能化的安全工具與工作流程；全局管控需要全方位、多層次的監(jiān)控和管理；快速恢復(fù)作為最重要的安全能力，是四項(xiàng)能力中需要優(yōu)先實(shí)現(xiàn)的能力，但該能力的驗(yàn)證需要對(duì)技術(shù)故障進(jìn)行模擬，然而故障模擬的構(gòu)造難度較大。

員工體驗(yàn)方面，一是資源訪問(wèn)產(chǎn)生延遲，流暢度降低。由于零信任架構(gòu)需要實(shí)時(shí)、動(dòng)態(tài)地評(píng)估用戶的身份、設(shè)備、位置和行為等因素，這可能導(dǎo)致在訪問(wèn)資源時(shí)出現(xiàn)一定的延遲，影響了用戶的工作效率和流暢度。二是員工擔(dān)憂隱私泄露。零信任架構(gòu)要求持續(xù)監(jiān)控用戶的訪問(wèn)行為和設(shè)備狀態(tài)，員工擔(dān)憂自己的個(gè)人信息和隱私被過(guò)度收集和使用，從而對(duì)零信任產(chǎn)生抵觸情緒。

（2）用戶或有意或不經(jīng)意正在使用零信任理念解決安全問(wèn)題

Gartner發(fā)布的2024年中國(guó)安全技術(shù)成熟度曲線顯示，零信任網(wǎng)絡(luò)訪問(wèn)已進(jìn)入穩(wěn)步爬升的中期，與2023年（處于穩(wěn)步爬升初期）和2022年（處于泡沫破裂低谷期）相比，零信任在中國(guó)的應(yīng)用逐步提升。零信任從概念初現(xiàn)行至今日已有十多年，目標(biāo)客戶也從追求技術(shù)方案革新，到以解決問(wèn)題和風(fēng)險(xiǎn)為導(dǎo)向，期望零信任能夠解決具體場(chǎng)景下的業(yè)務(wù)問(wèn)題。2024年中國(guó)信通院調(diào)研了零信任供應(yīng)側(cè)企業(yè)主要服務(wù)的行業(yè)，調(diào)研結(jié)果顯示零信任供應(yīng)側(cè)企業(yè)服務(wù)最多的行業(yè)是信息技術(shù)服務(wù)業(yè)，其次是政府機(jī)關(guān)和電信業(yè)，制造業(yè)與金融業(yè)并列第四。其中，交通業(yè)零信任供應(yīng)能力增幅較大，2024年近半數(shù)零信任供應(yīng)側(cè)企業(yè)能為交通業(yè)提供安全服務(wù)。此外，調(diào)研的樣本數(shù)量也有增長(zhǎng)，表明2024年有更多企業(yè)進(jìn)入零信任賽道。各零信任供應(yīng)側(cè)企業(yè)也在積極拓寬自己服務(wù)能力，使用零信任產(chǎn)品解決行業(yè)用戶安全痛點(diǎn)。

來(lái)源：中國(guó)信通院

圖1 2021年與2024年零信任供應(yīng)側(cè)企業(yè)解決方案主要服務(wù)的行業(yè)對(duì)比

用戶并不一定期望其安全架構(gòu)徹底變?yōu)榱阈湃危菑那袑?shí)需求出發(fā)選擇零信任。從廣義的實(shí)現(xiàn)“零信任”理念方面來(lái)看，用戶未必一定要使用SDP、增強(qiáng)的IAM、MSG等技術(shù)，只要遵循最小權(quán)限授權(quán)、基于身份授權(quán)等原則實(shí)現(xiàn)即可，過(guò)去很多用戶是按照這樣的原則規(guī)劃訪問(wèn)控制、隔離或授權(quán)體系。然而，專業(yè)的零信任產(chǎn)品所提供的核心能力，可以幫助用戶解決過(guò)去依靠手工難以解決、無(wú)法持續(xù)的問(wèn)題，使得安全體系在零信任的框架下得以運(yùn)行下去。一是在全面精細(xì)可視的基礎(chǔ)上，通過(guò)零信任策略對(duì)脆弱性風(fēng)險(xiǎn)進(jìn)行最大程度的緩解。銀行業(yè)受業(yè)務(wù)運(yùn)行限制漏洞無(wú)法全量修補(bǔ)，高危端口無(wú)法盡數(shù)封禁，解決辦法是使用白名單網(wǎng)絡(luò)策略限制“帶洞運(yùn)行”資產(chǎn)的訪問(wèn)，需要零信任“可視化”能力的輔助，微隔離可以提供細(xì)粒度的連接信息和訪問(wèn)控制，令用戶可以在“近源”“近站”側(cè)全面、精準(zhǔn)地學(xué)習(xí)流量、最小權(quán)限地控制流量，輔助用戶生成收斂漏洞攻擊面的最小權(quán)限策略。二是解決動(dòng)態(tài)的邊界防護(hù)需求。能源央企核心業(yè)務(wù)系統(tǒng)與其他業(yè)務(wù)系統(tǒng)混部部署，初時(shí)，上百個(gè)工作負(fù)載手動(dòng)下發(fā)主機(jī)防火墻策略，然而在彈性需求增多的當(dāng)下并不適用，彈性擴(kuò)容的環(huán)境中，零信任可以“基于業(yè)務(wù)屬性標(biāo)識(shí)資產(chǎn)身份”，基于資產(chǎn)的身份自動(dòng)將拉起后的工作負(fù)載動(dòng)態(tài)的劃入至其應(yīng)屬的防護(hù)邊界內(nèi)部。三是解決策略統(tǒng)一管理需求。制造業(yè)企業(yè)工控上位機(jī)（生產(chǎn)線上控制機(jī)械臂的電腦）被勒索后導(dǎo)致全面停工，初期通過(guò)手工定義策略的方式下發(fā)黑名單策略封禁端口，后期為了追求更佳效果，8人團(tuán)隊(duì)耗費(fèi)18個(gè)月將黑名單轉(zhuǎn)換為白名單模式，然而后續(xù)的人力、精力無(wú)法支撐。而零信任的策略決策點(diǎn)能夠批量、自動(dòng)編排多個(gè)策略執(zhí)行點(diǎn)上的策略，從而提升運(yùn)維效率，確保安全策略可落地、可持續(xù)。

2　國(guó)內(nèi)外相關(guān)政策與標(biāo)準(zhǔn)涌現(xiàn)，驅(qū)動(dòng)產(chǎn)業(yè)規(guī)范發(fā)展

面對(duì)不斷演變的網(wǎng)絡(luò)安全形勢(shì)和業(yè)務(wù)需求，零信任在政策的推動(dòng)、市場(chǎng)的引導(dǎo)以及廠商的積極實(shí)踐下，不斷拓寬應(yīng)用邊界，釋放出獨(dú)有的價(jià)值，為數(shù)字經(jīng)濟(jì)的發(fā)展提供安全保障，為企業(yè)的數(shù)字化轉(zhuǎn)型保駕護(hù)航。

（1）國(guó)際零信任政策推動(dòng)全球網(wǎng)絡(luò)安全戰(zhàn)略加速實(shí)施

全球加速布局零信任安全戰(zhàn)略，推動(dòng)網(wǎng)絡(luò)安全領(lǐng)域深刻變革。如表1所示，自2019年起，美國(guó)陸續(xù)發(fā)布零信任指導(dǎo)建議、計(jì)劃等推動(dòng)零信任在美落地，其他國(guó)家也紛紛在零信任領(lǐng)域展開布局，提升各自的網(wǎng)絡(luò)安全防護(hù)能力。美國(guó)方面，近兩年，美國(guó)在零信任戰(zhàn)略的實(shí)施上取得了顯著進(jìn)展，2023年2月7日，DoD（美國(guó)國(guó)防部）發(fā)布了第五版《國(guó)防部網(wǎng)絡(luò)安全參考架構(gòu)（CSRA）》，制定了與國(guó)防部零信任戰(zhàn)略密切相關(guān)的新目標(biāo)；2024年6月4日，DoD發(fā)布了《國(guó)防部零信任覆蓋》文件，是DoD為實(shí)現(xiàn)零信任戰(zhàn)略而發(fā)布的重要指導(dǎo)文件，該文件首次對(duì)DoD在國(guó)防企業(yè)范圍內(nèi)實(shí)施零信任的方式進(jìn)行了標(biāo)準(zhǔn)化，全面描述了實(shí)施路徑、控制措施以及預(yù)期成果，規(guī)定實(shí)施零信任控制的分階段方法，并指導(dǎo)系統(tǒng)架構(gòu)師和授權(quán)官員開展零信任差距分析；2024年10月31日，美國(guó)聯(lián)邦政府發(fā)布了《聯(lián)邦零信任數(shù)據(jù)安全指南》，該指南強(qiáng)調(diào)以保護(hù)數(shù)據(jù)本身為中心，而非保護(hù)數(shù)據(jù)邊界，匯集了30多個(gè)聯(lián)邦機(jī)構(gòu)和部門的數(shù)據(jù)和安全專家的意見(jiàn)，提供了零信任數(shù)據(jù)安全原則，并給出了實(shí)施指導(dǎo)和風(fēng)險(xiǎn)管理方法，旨在幫助聯(lián)邦機(jī)構(gòu)保護(hù)其敏感數(shù)據(jù)資產(chǎn)，并降低數(shù)據(jù)泄露和其他安全事件的風(fēng)險(xiǎn)。歐盟方面，2023年1月13日，《關(guān)于在歐盟全境實(shí)現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》（NIS2指令）正式生效，指令中提出所有關(guān)鍵實(shí)體應(yīng)實(shí)施零信任安全模型，包括身份驗(yàn)證、授權(quán)和訪問(wèn)控制等措施，并制定了執(zhí)法和制裁措施。英國(guó)方面，2023年2月，NCSC（英國(guó)國(guó)家網(wǎng)絡(luò)安全中心）發(fā)布了《零信任：構(gòu)建混合資產(chǎn)指南1.0》，為解決零信任不兼容問(wèn)題提出建構(gòu)一種新的“混合資產(chǎn)架構(gòu)”，通過(guò)零信任代理和托管虛擬專用網(wǎng)絡(luò)兩種方法實(shí)現(xiàn)其訪問(wèn)，保持整個(gè)系統(tǒng)的零信任安全優(yōu)勢(shì)。澳大利亞方面，2023年10月，澳大利亞政府發(fā)布《2023-2030年網(wǎng)絡(luò)安全戰(zhàn)略》，將零信任作為網(wǎng)絡(luò)安全的核心戰(zhàn)略，保護(hù)政府?dāng)?shù)據(jù)和數(shù)字資產(chǎn)。上述舉措體現(xiàn)了各實(shí)體正通過(guò)政策引導(dǎo)和技術(shù)實(shí)踐，加速推進(jìn)零信任的應(yīng)用，以應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。

表1 國(guó)外零信任相關(guān)政策

（2）國(guó)內(nèi)加大政策推動(dòng)，多層級(jí)標(biāo)準(zhǔn)建立產(chǎn)業(yè)規(guī)范

國(guó)家政策支持為零信任發(fā)展提供方向指引。目前我國(guó)正在從政策層面積極地推動(dòng)零信任技術(shù)的發(fā)展與應(yīng)用，通過(guò)發(fā)布一系列指導(dǎo)意見(jiàn)，加快相關(guān)標(biāo)準(zhǔn)的研制，為零信任技術(shù)的普及與深化提供了堅(jiān)實(shí)的政策保障與支持，具體表現(xiàn)為：標(biāo)準(zhǔn)推動(dòng)方面，2024年5月17日，中央網(wǎng)信辦、公安部、交通運(yùn)輸部、應(yīng)急管理部等10部門聯(lián)合印發(fā)《關(guān)于實(shí)施公共安全標(biāo)準(zhǔn)化筑底工程的指導(dǎo)意見(jiàn)》，提出針對(duì)新技術(shù)新應(yīng)用帶來(lái)的風(fēng)險(xiǎn)挑戰(zhàn)和具體問(wèn)題，加快研制人工智能安全、云安全技術(shù)、安全可信認(rèn)證、區(qū)塊鏈共識(shí)機(jī)制、零信任等標(biāo)準(zhǔn)。技術(shù)創(chuàng)新方面，2024年9月27日，國(guó)家數(shù)據(jù)局發(fā)布《關(guān)于促進(jìn)數(shù)據(jù)產(chǎn)業(yè)高質(zhì)量發(fā)展的指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）》，提出在數(shù)據(jù)安全方面，要加強(qiáng)多因子身份認(rèn)證、端到端加密、零信任安全等技術(shù)創(chuàng)新，發(fā)展數(shù)據(jù)安全監(jiān)測(cè)預(yù)警、數(shù)據(jù)合規(guī)檢測(cè)、人工智能數(shù)據(jù)安全等服務(wù)業(yè)態(tài)。

多省份將零信任技術(shù)視為數(shù)字建設(shè)的關(guān)鍵，用以強(qiáng)化數(shù)據(jù)安全防護(hù)。據(jù)不完全統(tǒng)計(jì)，近年來(lái)我國(guó)各省市在數(shù)字建設(shè)與發(fā)展規(guī)劃中均強(qiáng)調(diào)零信任安全技術(shù)的運(yùn)用，如表2所示。一是強(qiáng)化關(guān)鍵領(lǐng)域數(shù)據(jù)安全，從北京市的智慧城市行動(dòng)綱要，到山東省、湖南省、遼寧省等多地的數(shù)字發(fā)展規(guī)劃，均明確提出探索或應(yīng)用零信任機(jī)制以增強(qiáng)數(shù)據(jù)安全與網(wǎng)絡(luò)防護(hù)，各地政策不僅強(qiáng)調(diào)探索零信任安全機(jī)制，還積極推動(dòng)其在金融、政務(wù)、工業(yè)互聯(lián)網(wǎng)等關(guān)鍵領(lǐng)域的部署應(yīng)用。二是提升數(shù)據(jù)安全防護(hù)效能，福建省、河南省等地區(qū)計(jì)劃建設(shè)基于零信任的數(shù)字身份與訪問(wèn)管理安全設(shè)施，并積極推動(dòng)這一新技術(shù)在各業(yè)務(wù)場(chǎng)景中的實(shí)際應(yīng)用，通過(guò)持續(xù)的技術(shù)優(yōu)化和場(chǎng)景適配，不斷提升數(shù)據(jù)安全防護(hù)的效能與智能化水平。零信任安全技術(shù)已成為我國(guó)數(shù)字建設(shè)的重要一環(huán)，對(duì)保障數(shù)據(jù)安全、提升網(wǎng)絡(luò)防護(hù)能力起到了關(guān)鍵作用。

表2 國(guó)內(nèi)各省市零信任相關(guān)政策

我國(guó)已從多層級(jí)啟動(dòng)零信任標(biāo)準(zhǔn)研究，協(xié)助建立產(chǎn)業(yè)規(guī)范。為落實(shí)國(guó)家網(wǎng)絡(luò)信息安全相關(guān)要求，我國(guó)已從多層級(jí)開展零信任標(biāo)準(zhǔn)研究。國(guó)家標(biāo)準(zhǔn)方面，我國(guó)網(wǎng)絡(luò)安全領(lǐng)域首個(gè)規(guī)范零信任理念的國(guó)家標(biāo)準(zhǔn)GB/T43696-2024《網(wǎng)絡(luò)安全技術(shù)零信任參考體系架構(gòu)》，2024年11月1日正式施行。行業(yè)標(biāo)準(zhǔn)方面，一是由中華人民共和國(guó)工業(yè)和信息化部發(fā)布的行業(yè)標(biāo)準(zhǔn)《零信任安全技術(shù)參考框架》《面向云計(jì)算的零信任體系第1部分：總體架構(gòu)》《面向云計(jì)算的零信任體系第2部分：關(guān)鍵能力要求》《面向云計(jì)算的零信任體系第3部分：安全訪問(wèn)服務(wù)邊緣能力要求》和《面向云計(jì)算的零信任體系第6部分：數(shù)字身份安全能力要求》均已開始實(shí)施。二是中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)正在開展《面向云計(jì)算的零信任成熟度評(píng)價(jià)模型》標(biāo)準(zhǔn)的研究工作。

摘自：中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)—云計(jì)算標(biāo)準(zhǔn)和開源推進(jìn)委員會(huì)和中國(guó)信息通信研究院《零信任發(fā)展洞察報(bào)告》

摘自《自動(dòng)化博覽》2025年1月刊