1　零信任正跨越鴻溝，解決市場(chǎng)具體問(wèn)題至關(guān)重要

（1）零信任技術(shù)跨越“鴻溝”，面臨多重挑戰需克服

“跨越鴻溝”理論是杰弗里·摩爾提出的一項技術(shù)采納生命周期模型，該模型描述了新技術(shù)或新產(chǎn)品從創(chuàng )新者群體擴散至早期采納者，并最終進(jìn)入大眾市場(chǎng)的復雜過(guò)程。在這一系列階段中，“鴻溝”階段尤為重要，它代表了新技術(shù)或產(chǎn)品在從早期市場(chǎng)向主流市場(chǎng)過(guò)渡時(shí)所面臨的重大障礙。目前，零信任正面臨著(zhù)跨越一系列關(guān)鍵“鴻溝”的挑戰：

用戶(hù)認知方面，用戶(hù)對于零信任的認知不斷提高，但是仍有小部分用戶(hù)認為零信任與VPN之間沒(méi)有區別。中國信通院調研結果顯示，有69.44%的零信任供應側企業(yè)在拓客時(shí)感覺(jué)用戶(hù)對零信任的認知變好，無(wú)需過(guò)多解釋零信任能帶來(lái)的優(yōu)勢，可直接與應用側企業(yè)進(jìn)行PoC（Proof of Concept，概念驗證）或溝通落地事宜。但仍有25%的零信任供應側企業(yè)在拓客時(shí)感覺(jué)用戶(hù)對零信任的認知變化不多，仍然需要解釋零信任概念、優(yōu)勢等，甚至無(wú)法區分VPN與零信任。

資金投入方面，一是預算有限，難以持續投入。零信任的部署是一個(gè)漸進(jìn)式的過(guò)程，有限的預算使得用戶(hù)在持續投入和擴大零信任建設方面顯得力不從心，難以充分滿(mǎn)足長(cháng)期建設和維護的需求。二是零信任替換成本較高，投資回報率不高。許多企業(yè)已經(jīng)建立了較為完善的安全防護體系，替換為零信任意味著(zhù)需要放棄原有的安全產(chǎn)品或和已有的安全產(chǎn)品進(jìn)行集成，不僅會(huì )面臨技術(shù)兼容性和業(yè)務(wù)連續性等方面的挑戰，還會(huì )帶來(lái)額外的成本支出，特別是在高度集成化或自研比例較高的環(huán)境中，零信任的實(shí)施成本高，回報率未達到預期。

成效評估方面，一是客戶(hù)側對零信任的戰略認知難在高層達成共識。這主要源于零信任理念的新穎性和實(shí)踐復雜性，以及不同高層管理者對安全戰略和業(yè)務(wù)目標的認知差異，同時(shí)，零信任戰略的實(shí)施需要跨部門(mén)的緊密協(xié)作，這也增加了高層達成共識的難度。二是難以驗證零信任部署效果。安全體系的構建成效通?？紤]四項能力，互聯(lián)互通、自動(dòng)化編排、全局管控及快速恢復能力，然而上述四項能力難以得到驗證，互聯(lián)互通要求零信任產(chǎn)品與用戶(hù)環(huán)境的安全系統實(shí)現接口與消息的統一；自動(dòng)化編排要求用戶(hù)環(huán)境具備智能化的安全工具與工作流程；全局管控需要全方位、多層次的監控和管理；快速恢復作為最重要的安全能力，是四項能力中需要優(yōu)先實(shí)現的能力，但該能力的驗證需要對技術(shù)故障進(jìn)行模擬，然而故障模擬的構造難度較大。

員工體驗方面，一是資源訪(fǎng)問(wèn)產(chǎn)生延遲，流暢度降低。由于零信任架構需要實(shí)時(shí)、動(dòng)態(tài)地評估用戶(hù)的身份、設備、位置和行為等因素，這可能導致在訪(fǎng)問(wèn)資源時(shí)出現一定的延遲，影響了用戶(hù)的工作效率和流暢度。二是員工擔憂(yōu)隱私泄露。零信任架構要求持續監控用戶(hù)的訪(fǎng)問(wèn)行為和設備狀態(tài)，員工擔憂(yōu)自己的個(gè)人信息和隱私被過(guò)度收集和使用，從而對零信任產(chǎn)生抵觸情緒。

（2）用戶(hù)或有意或不經(jīng)意正在使用零信任理念解決安全問(wèn)題

Gartner發(fā)布的2024年中國安全技術(shù)成熟度曲線(xiàn)顯示，零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)已進(jìn)入穩步爬升的中期，與2023年（處于穩步爬升初期）和2022年（處于泡沫破裂低谷期）相比，零信任在中國的應用逐步提升。零信任從概念初現行至今日已有十多年，目標客戶(hù)也從追求技術(shù)方案革新，到以解決問(wèn)題和風(fēng)險為導向，期望零信任能夠解決具體場(chǎng)景下的業(yè)務(wù)問(wèn)題。2024年中國信通院調研了零信任供應側企業(yè)主要服務(wù)的行業(yè)，調研結果顯示零信任供應側企業(yè)服務(wù)最多的行業(yè)是信息技術(shù)服務(wù)業(yè)，其次是政府機關(guān)和電信業(yè)，制造業(yè)與金融業(yè)并列第四。其中，交通業(yè)零信任供應能力增幅較大，2024年近半數零信任供應側企業(yè)能為交通業(yè)提供安全服務(wù)。此外，調研的樣本數量也有增長(cháng)，表明2024年有更多企業(yè)進(jìn)入零信任賽道。各零信任供應側企業(yè)也在積極拓寬自己服務(wù)能力，使用零信任產(chǎn)品解決行業(yè)用戶(hù)安全痛點(diǎn)。

來(lái)源：中國信通院

圖1 2021年與2024年零信任供應側企業(yè)解決方案主要服務(wù)的行業(yè)對比

用戶(hù)并不一定期望其安全架構徹底變?yōu)榱阈湃?，而是從切?shí)需求出發(fā)選擇零信任。從廣義的實(shí)現“零信任”理念方面來(lái)看，用戶(hù)未必一定要使用SDP、增強的IAM、MSG等技術(shù)，只要遵循最小權限授權、基于身份授權等原則實(shí)現即可，過(guò)去很多用戶(hù)是按照這樣的原則規劃訪(fǎng)問(wèn)控制、隔離或授權體系。然而，專(zhuān)業(yè)的零信任產(chǎn)品所提供的核心能力，可以幫助用戶(hù)解決過(guò)去依靠手工難以解決、無(wú)法持續的問(wèn)題，使得安全體系在零信任的框架下得以運行下去。一是在全面精細可視的基礎上，通過(guò)零信任策略對脆弱性風(fēng)險進(jìn)行最大程度的緩解。銀行業(yè)受業(yè)務(wù)運行限制漏洞無(wú)法全量修補，高危端口無(wú)法盡數封禁，解決辦法是使用白名單網(wǎng)絡(luò )策略限制“帶洞運行”資產(chǎn)的訪(fǎng)問(wèn)，需要零信任“可視化”能力的輔助，微隔離可以提供細粒度的連接信息和訪(fǎng)問(wèn)控制，令用戶(hù)可以在“近源”“近站”側全面、精準地學(xué)習流量、最小權限地控制流量，輔助用戶(hù)生成收斂漏洞攻擊面的最小權限策略。二是解決動(dòng)態(tài)的邊界防護需求。能源央企核心業(yè)務(wù)系統與其他業(yè)務(wù)系統混部部署，初時(shí)，上百個(gè)工作負載手動(dòng)下發(fā)主機防火墻策略，然而在彈性需求增多的當下并不適用，彈性擴容的環(huán)境中，零信任可以“基于業(yè)務(wù)屬性標識資產(chǎn)身份”，基于資產(chǎn)的身份自動(dòng)將拉起后的工作負載動(dòng)態(tài)的劃入至其應屬的防護邊界內部。三是解決策略統一管理需求。制造業(yè)企業(yè)工控上位機（生產(chǎn)線(xiàn)上控制機械臂的電腦）被勒索后導致全面停工，初期通過(guò)手工定義策略的方式下發(fā)黑名單策略封禁端口，后期為了追求更佳效果，8人團隊耗費18個(gè)月將黑名單轉換為白名單模式，然而后續的人力、精力無(wú)法支撐。而零信任的策略決策點(diǎn)能夠批量、自動(dòng)編排多個(gè)策略執行點(diǎn)上的策略，從而提升運維效率，確保安全策略可落地、可持續。

2　國內外相關(guān)政策與標準涌現，驅動(dòng)產(chǎn)業(yè)規范發(fā)展

面對不斷演變的網(wǎng)絡(luò )安全形勢和業(yè)務(wù)需求，零信任在政策的推動(dòng)、市場(chǎng)的引導以及廠(chǎng)商的積極實(shí)踐下，不斷拓寬應用邊界，釋放出獨有的價(jià)值，為數字經(jīng)濟的發(fā)展提供安全保障，為企業(yè)的數字化轉型保駕護航。

（1）國際零信任政策推動(dòng)全球網(wǎng)絡(luò )安全戰略加速實(shí)施

全球加速布局零信任安全戰略，推動(dòng)網(wǎng)絡(luò )安全領(lǐng)域深刻變革。如表1所示，自2019年起，美國陸續發(fā)布零信任指導建議、計劃等推動(dòng)零信任在美落地，其他國家也紛紛在零信任領(lǐng)域展開(kāi)布局，提升各自的網(wǎng)絡(luò )安全防護能力。美國方面，近兩年，美國在零信任戰略的實(shí)施上取得了顯著(zhù)進(jìn)展，2023年2月7日，DoD（美國國防部）發(fā)布了第五版《國防部網(wǎng)絡(luò )安全參考架構（CSRA）》，制定了與國防部零信任戰略密切相關(guān)的新目標；2024年6月4日，DoD發(fā)布了《國防部零信任覆蓋》文件，是DoD為實(shí)現零信任戰略而發(fā)布的重要指導文件，該文件首次對DoD在國防企業(yè)范圍內實(shí)施零信任的方式進(jìn)行了標準化，全面描述了實(shí)施路徑、控制措施以及預期成果，規定實(shí)施零信任控制的分階段方法，并指導系統架構師和授權官員開(kāi)展零信任差距分析；2024年10月31日，美國聯(lián)邦政府發(fā)布了《聯(lián)邦零信任數據安全指南》，該指南強調以保護數據本身為中心，而非保護數據邊界，匯集了30多個(gè)聯(lián)邦機構和部門(mén)的數據和安全專(zhuān)家的意見(jiàn)，提供了零信任數據安全原則，并給出了實(shí)施指導和風(fēng)險管理方法，旨在幫助聯(lián)邦機構保護其敏感數據資產(chǎn)，并降低數據泄露和其他安全事件的風(fēng)險。歐盟方面，2023年1月13日，《關(guān)于在歐盟全境實(shí)現高度統一網(wǎng)絡(luò )安全措施的指令》（NIS2指令）正式生效，指令中提出所有關(guān)鍵實(shí)體應實(shí)施零信任安全模型，包括身份驗證、授權和訪(fǎng)問(wèn)控制等措施，并制定了執法和制裁措施。英國方面，2023年2月，NCSC（英國國家網(wǎng)絡(luò )安全中心）發(fā)布了《零信任：構建混合資產(chǎn)指南1.0》，為解決零信任不兼容問(wèn)題提出建構一種新的“混合資產(chǎn)架構”，通過(guò)零信任代理和托管虛擬專(zhuān)用網(wǎng)絡(luò )兩種方法實(shí)現其訪(fǎng)問(wèn)，保持整個(gè)系統的零信任安全優(yōu)勢。澳大利亞方面，2023年10月，澳大利亞政府發(fā)布《2023-2030年網(wǎng)絡(luò )安全戰略》，將零信任作為網(wǎng)絡(luò )安全的核心戰略，保護政府數據和數字資產(chǎn)。上述舉措體現了各實(shí)體正通過(guò)政策引導和技術(shù)實(shí)踐，加速推進(jìn)零信任的應用，以應對日益復雜的網(wǎng)絡(luò )安全挑戰。

表1 國外零信任相關(guān)政策

（2）國內加大政策推動(dòng)，多層級標準建立產(chǎn)業(yè)規范

國家政策支持為零信任發(fā)展提供方向指引。目前我國正在從政策層面積極地推動(dòng)零信任技術(shù)的發(fā)展與應用，通過(guò)發(fā)布一系列指導意見(jiàn)，加快相關(guān)標準的研制，為零信任技術(shù)的普及與深化提供了堅實(shí)的政策保障與支持，具體表現為：標準推動(dòng)方面，2024年5月17日，中央網(wǎng)信辦、公安部、交通運輸部、應急管理部等10部門(mén)聯(lián)合印發(fā)《關(guān)于實(shí)施公共安全標準化筑底工程的指導意見(jiàn)》，提出針對新技術(shù)新應用帶來(lái)的風(fēng)險挑戰和具體問(wèn)題，加快研制人工智能安全、云安全技術(shù)、安全可信認證、區塊鏈共識機制、零信任等標準。技術(shù)創(chuàng )新方面，2024年9月27日，國家數據局發(fā)布《關(guān)于促進(jìn)數據產(chǎn)業(yè)高質(zhì)量發(fā)展的指導意見(jiàn)（征求意見(jiàn)稿）》，提出在數據安全方面，要加強多因子身份認證、端到端加密、零信任安全等技術(shù)創(chuàng )新，發(fā)展數據安全監測預警、數據合規檢測、人工智能數據安全等服務(wù)業(yè)態(tài)。

多省份將零信任技術(shù)視為數字建設的關(guān)鍵，用以強化數據安全防護。據不完全統計，近年來(lái)我國各省市在數字建設與發(fā)展規劃中均強調零信任安全技術(shù)的運用，如表2所示。一是強化關(guān)鍵領(lǐng)域數據安全，從北京市的智慧城市行動(dòng)綱要，到山東省、湖南省、遼寧省等多地的數字發(fā)展規劃，均明確提出探索或應用零信任機制以增強數據安全與網(wǎng)絡(luò )防護，各地政策不僅強調探索零信任安全機制，還積極推動(dòng)其在金融、政務(wù)、工業(yè)互聯(lián)網(wǎng)等關(guān)鍵領(lǐng)域的部署應用。二是提升數據安全防護效能，福建省、河南省等地區計劃建設基于零信任的數字身份與訪(fǎng)問(wèn)管理安全設施，并積極推動(dòng)這一新技術(shù)在各業(yè)務(wù)場(chǎng)景中的實(shí)際應用，通過(guò)持續的技術(shù)優(yōu)化和場(chǎng)景適配，不斷提升數據安全防護的效能與智能化水平。零信任安全技術(shù)已成為我國數字建設的重要一環(huán)，對保障數據安全、提升網(wǎng)絡(luò )防護能力起到了關(guān)鍵作用。

表2 國內各省市零信任相關(guān)政策

我國已從多層級啟動(dòng)零信任標準研究，協(xié)助建立產(chǎn)業(yè)規范。為落實(shí)國家網(wǎng)絡(luò )信息安全相關(guān)要求，我國已從多層級開(kāi)展零信任標準研究。國家標準方面，我國網(wǎng)絡(luò )安全領(lǐng)域首個(gè)規范零信任理念的國家標準GB/T43696-2024《網(wǎng)絡(luò )安全技術(shù)零信任參考體系架構》，2024年11月1日正式施行。行業(yè)標準方面，一是由中華人民共和國工業(yè)和信息化部發(fā)布的行業(yè)標準《零信任安全技術(shù)參考框架》《面向云計算的零信任體系第1部分：總體架構》《面向云計算的零信任體系第2部分：關(guān)鍵能力要求》《面向云計算的零信任體系第3部分：安全訪(fǎng)問(wèn)服務(wù)邊緣能力要求》和《面向云計算的零信任體系第6部分：數字身份安全能力要求》均已開(kāi)始實(shí)施。二是中國通信標準化協(xié)會(huì )正在開(kāi)展《面向云計算的零信任成熟度評價(jià)模型》標準的研究工作。

摘自：中國通信標準化協(xié)會(huì )—云計算標準和開(kāi)源推進(jìn)委員會(huì )和中國信息通信研究院《零信任發(fā)展洞察報告》

摘自《自動(dòng)化博覽》2025年1月刊