零信任發(fā)展研究報(bào)告（2023年）

零信任發(fā)展研究報(bào)告（2023年）中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所2023年8

月版

權(quán)

聲

明本報(bào)告版權(quán)屬于中國(guó)信息通信研究院，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其它方式使用本報(bào)告文字或者觀點(diǎn)的，應(yīng)注明“來源：中國(guó)信息通信研究院”。違反上述聲明者，本院將追究其相關(guān)法律責(zé)任。前

言近年來，云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)與實(shí)體經(jīng)濟(jì)加速融合，產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型迎來發(fā)展新浪潮。企業(yè)

IT

架構(gòu)從建設(shè)到運(yùn)營(yíng)發(fā)生極大變革，防護(hù)機(jī)制從以網(wǎng)絡(luò)邊界為核心向以身份為核心的零信任轉(zhuǎn)變，零信任產(chǎn)業(yè)已形成蓬勃發(fā)展的良好態(tài)勢(shì)，愈發(fā)得到行業(yè)關(guān)注。中國(guó)信通院持續(xù)跟蹤零信任發(fā)展歷程，曾在

2020

年

8

月、2021年

5月發(fā)布《網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列報(bào)告——零信任技術(shù)（Zero

Trust）》1、《數(shù)字化時(shí)代零信任安全藍(lán)皮報(bào)告》2等研究報(bào)告，對(duì)零信任基本原則、邏輯架構(gòu)組成、通用應(yīng)用場(chǎng)景等進(jìn)行了闡述。2023年發(fā)布《零信任發(fā)展研究報(bào)告》，報(bào)告聚焦過去兩年多零信任產(chǎn)業(yè)的新發(fā)展新變化。報(bào)告首先介紹了數(shù)字化轉(zhuǎn)型深化后企業(yè)

IT

架構(gòu)所面臨的安全挑戰(zhàn)，零信任如何解決安全挑戰(zhàn)以及如何應(yīng)對(duì)新的安全威脅。其次從零信任供應(yīng)側(cè)和零信任應(yīng)用側(cè)兩大視角對(duì)我國(guó)零信任產(chǎn)業(yè)的發(fā)展情況與應(yīng)用痛點(diǎn)進(jìn)行觀察和分析。在零信任供應(yīng)側(cè)方面，梳理了國(guó)內(nèi)各零信任廠商安全水平概況，分析了重點(diǎn)行業(yè)零信任市場(chǎng)近三年發(fā)展態(tài)勢(shì)。在零信任應(yīng)用側(cè)方面，基于對(duì)重點(diǎn)行業(yè)用戶的調(diào)研結(jié)果，從零信任建設(shè)前期、建設(shè)中期和使用運(yùn)營(yíng)期，分析了用戶零信任建設(shè)過程中的痛點(diǎn)、肯定與思考，為零信任供應(yīng)側(cè)提升和優(yōu)化能力提供指引，同時(shí)增強(qiáng)應(yīng)用側(cè)用戶的落地信心。最后總結(jié)了零信任技術(shù)發(fā)展趨勢(shì)，并對(duì)零信任產(chǎn)業(yè)發(fā)展提出建議。1

/kxyj/qwfb/ztbg/202008/t20200812_302242.htm2

/kxyj/qwfb/ztbg/202105/t20210521_377790.htm目

錄一、

零信任保障資源可信訪問，應(yīng)用價(jià)值日益凸顯..............................................1（一）

零信任彌補(bǔ)傳統(tǒng)安全防護(hù)機(jī)制缺陷.........................................................1（二）

零信任為新的安全場(chǎng)景提供有力保障.....................................................4（三）

零信任相關(guān)政策與標(biāo)準(zhǔn)涌現(xiàn)，驅(qū)動(dòng)產(chǎn)業(yè)規(guī)范發(fā)展.................................7二、

產(chǎn)業(yè)供應(yīng)側(cè)調(diào)研洞察：零信任能力生態(tài)逐漸成熟........................................10（一）

圍繞六大領(lǐng)域能力，建立產(chǎn)品體系.......................................................10（二）

行業(yè)應(yīng)用不斷深化，零信任市場(chǎng)步入成長(zhǎng)期.......................................20三、

產(chǎn)業(yè)應(yīng)用側(cè)調(diào)研洞察：用戶對(duì)零信任建設(shè)尚存顧慮，同時(shí)肯定零信任核心價(jià)值

25（一）

零信任從零到一，落地部署面臨多重阻礙...........................................25（二）

微隔離市場(chǎng)向好，用戶看重網(wǎng)絡(luò)分段能力...........................................27（三）

應(yīng)用價(jià)值受肯定，仍需避免重建設(shè)輕運(yùn)營(yíng)...........................................28四、

我國(guó)零信任發(fā)展趨勢(shì)及建議............................................................................30（一）

零信任技術(shù)發(fā)展呈三點(diǎn)趨勢(shì)...................................................................30（二）

零信任產(chǎn)業(yè)發(fā)展的四點(diǎn)建議...................................................................32圖

目

錄圖

1

基于零信任理念的邏輯架構(gòu)

..............................................................................1圖

2

我國(guó)零信任供應(yīng)側(cè)發(fā)展路徑

............................................................................14圖

3

供應(yīng)側(cè)

SaaS化情況

..........................................................................................16圖

4

供應(yīng)側(cè)零信任能力分布

....................................................................................17圖

5

身份安全產(chǎn)品聯(lián)動(dòng)情況

....................................................................................17圖

6

安全管理產(chǎn)品聯(lián)動(dòng)情況

....................................................................................18圖

7

終端安全產(chǎn)品聯(lián)動(dòng)情況

....................................................................................19圖

8

供應(yīng)側(cè)企業(yè)落地零信任客戶數(shù)量區(qū)間

............................................................21圖

9

微隔離類產(chǎn)品納管工作負(fù)載總數(shù)

....................................................................22圖

10

軟件定義邊界類產(chǎn)品納管員工總數(shù)

..............................................................23圖

11

零信任應(yīng)用環(huán)境情況

......................................................................................24圖

12

落地零信任使用場(chǎng)景情況

..............................................................................25圖

13

統(tǒng)一整個(gè)基礎(chǔ)設(shè)施的策略管理

......................................................................31圖

14

身份信息穿透業(yè)務(wù)訪問全程

..........................................................................32表

目

錄表

1國(guó)外零信任相關(guān)政策

...........................................................................................7表

2零信任安全能力與子能力

.................................................................................12零信任發(fā)展研究報(bào)告（2023年）一、零信任保障資源可信訪問，應(yīng)用價(jià)值日益凸顯零信任秉持“永不信任，持續(xù)驗(yàn)證”的理念受到業(yè)內(nèi)廣泛關(guān)注，其打破了網(wǎng)絡(luò)位置和信任間的潛在默認(rèn)關(guān)系，致力于降低企業(yè)資源訪問過程中的安全風(fēng)險(xiǎn)?；诹阈湃卫砟畹倪壿嫾軜?gòu)如圖

1所示，由零信任核心邏輯組件和內(nèi)部或外部數(shù)據(jù)源組成，零信任核心部分分為控制平面和數(shù)據(jù)平面。來源：NIST圖

1

基于零信任理念的邏輯架構(gòu)位于數(shù)據(jù)平面的訪問主體發(fā)起訪問請(qǐng)求，由控制平面的策略引擎進(jìn)行身份認(rèn)證與多源評(píng)估計(jì)算，由控制引擎對(duì)計(jì)算結(jié)果進(jìn)行判定，決定授權(quán)策略，一旦授權(quán)訪問，控制引擎將通知數(shù)據(jù)平面的安全代理，為該次訪問建立安全連接。策略引擎仍持續(xù)對(duì)訪問進(jìn)行評(píng)估，一旦參與因素或其行為發(fā)生變化，策略引擎將依據(jù)新的評(píng)估源重新評(píng)估，控制引擎將依據(jù)評(píng)估結(jié)果判定授權(quán)策略是否需要改變，隨時(shí)通知安全代理執(zhí)行相應(yīng)操作，最大限度保障資源安全。（一）

零信任彌補(bǔ)傳統(tǒng)安全防護(hù)機(jī)制缺陷1.

IT架構(gòu)從封閉走向開放，傳統(tǒng)安全防護(hù)架構(gòu)面臨挑戰(zhàn)1零信任發(fā)展研究報(bào)告（2023年）近年來，國(guó)家高度重視和支持?jǐn)?shù)字經(jīng)濟(jì)發(fā)展，大力支持產(chǎn)業(yè)數(shù)字化，同時(shí)，用戶需求不斷升級(jí)，驅(qū)動(dòng)企業(yè)加速數(shù)字化轉(zhuǎn)型進(jìn)程。傳統(tǒng)企業(yè)安全架構(gòu)基于網(wǎng)絡(luò)邊界構(gòu)建信任域，隨著數(shù)字化不斷深入，邊界逐漸消失，企業(yè)

IT

架構(gòu)面臨更多安全挑戰(zhàn)：一是數(shù)據(jù)中心內(nèi)部東西向流量安全防護(hù)薄弱。隨著應(yīng)用云化，構(gòu)建方式微服務(wù)化，服務(wù)間需進(jìn)行頻繁的通信和交互，數(shù)據(jù)中心內(nèi)部互訪力量增多。傳統(tǒng)安全防護(hù)側(cè)重南北向，若有東西向流動(dòng)的惡意流量，無法提供防護(hù)。二是安全策略仍待細(xì)化。隨著虛擬化、容器等云計(jì)算技術(shù)的廣泛使用，企業(yè)納管資源粒度不斷細(xì)化，安全防護(hù)策略也需隨資源粒度的細(xì)化而細(xì)化，以承載不同類型、不同級(jí)別的業(yè)務(wù)。三是跨云的連接、數(shù)據(jù)傳輸使得資源暴露面增大。隨著

5G

與分布式云的融合，用戶得以在任意時(shí)間使用任意設(shè)備從任意位置快速獲取資源，然而云間的連接點(diǎn)尤為脆弱，攻擊者可以通過攻擊進(jìn)入云中，并在云間實(shí)現(xiàn)威脅滲透。四是防火墻與

VPN

無法保證用戶操作合法性。無界辦公需求增多，用戶接入方式復(fù)雜多樣，傳統(tǒng)的網(wǎng)關(guān)安全防護(hù)設(shè)備無法判斷擁有賬號(hào)、密碼的用戶身份是否合法、操作行為是否符合其身份。隨著遠(yuǎn)程辦公常態(tài)化，數(shù)字化工作空間規(guī)?；褂?，終端和身份面臨更多不可信問題：一是網(wǎng)絡(luò)接入位置和時(shí)間多變，用戶不可控性增加。外網(wǎng)連接占比增多，時(shí)間從集中變得分散，大量外網(wǎng)訪問行為中可能混雜著黑客行為，僅依靠傳統(tǒng)

VPN（Virtual

Private

Network，虛擬專用網(wǎng)絡(luò)）技術(shù)難以對(duì)用戶身份是否合法進(jìn)行有效判斷。二是使用未受管控設(shè)備辦公，致使風(fēng)險(xiǎn)要素增多。過去員工主要使用企業(yè)派2零信任發(fā)展研究報(bào)告（2023年）發(fā)的固定設(shè)備辦公，由于默認(rèn)內(nèi)網(wǎng)安全，終端管控手段較為簡(jiǎn)單。隨著使用

BYOD（Bring

Your

Own

Device，自帶設(shè)備）與移動(dòng)設(shè)備辦公的員工逐漸增多，企業(yè)數(shù)據(jù)將與未知下載路徑的私人應(yīng)用共享同一空間，關(guān)鍵數(shù)據(jù)所有權(quán)模糊，且與企業(yè)派發(fā)設(shè)備相比，BYOD軟硬件環(huán)境的安全狀態(tài)更加難以預(yù)測(cè)，傳統(tǒng)終端管控手段難以應(yīng)對(duì)。三是供應(yīng)鏈協(xié)作觸發(fā)業(yè)務(wù)流轉(zhuǎn)，數(shù)據(jù)保護(hù)難度增大。隨著數(shù)字化業(yè)務(wù)的開展，數(shù)據(jù)由靜止轉(zhuǎn)向流動(dòng)，保護(hù)對(duì)象時(shí)刻更迭，其所應(yīng)授予權(quán)限也處于變化狀態(tài)，傳統(tǒng)數(shù)據(jù)安全防護(hù)手段無法依據(jù)數(shù)據(jù)重要等級(jí)進(jìn)行差異化防護(hù)，且各企業(yè)安全管理機(jī)制有差異，防御能力參差不齊，難以有效保護(hù)。隨著數(shù)字經(jīng)濟(jì)走深向?qū)崳髽I(yè)不斷開展產(chǎn)品服務(wù)創(chuàng)新實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型，企業(yè)將面臨新的特性威脅：一是業(yè)務(wù)面臨更多欺詐威脅。數(shù)字化轉(zhuǎn)型賦能業(yè)務(wù)模式創(chuàng)新，新零售等新業(yè)務(wù)形式涌現(xiàn)，優(yōu)化整合線上線下資源，數(shù)字化零售業(yè)務(wù)從線下轉(zhuǎn)向線上，新零售面臨大量欺詐、羊毛、作弊、盜用、虛假信息、刷單等業(yè)務(wù)安全威脅，傳統(tǒng)安全防護(hù)手段無法有效解決。二是物聯(lián)網(wǎng)終端安全防護(hù)能力差異大，終端設(shè)備易被入侵。物聯(lián)網(wǎng)具備獨(dú)特的組網(wǎng)模式，通信傳輸體系復(fù)雜，通信協(xié)議安全性差，且智能產(chǎn)品多處于網(wǎng)絡(luò)邊緣，終端安全防護(hù)能力差異較大，大量傳統(tǒng)安全防護(hù)手段主要解決以太網(wǎng)安全問題，物聯(lián)網(wǎng)終端設(shè)備易受入侵和劫持，邊界安全防護(hù)無法覆蓋到位。2.

零信任規(guī)避傳統(tǒng)安全機(jī)制中過度信任問題傳統(tǒng)安全機(jī)制失效背后的根本原因是過度信任，零信任不為任何3零信任發(fā)展研究報(bào)告（2023年）參與因素預(yù)置信任條件，其根本也是為了解決信任問題，通過動(dòng)態(tài)的、持續(xù)的驗(yàn)證，判斷訪問主客體之間是否存在信任關(guān)系，以對(duì)主體到客體間的資源訪問進(jìn)行實(shí)時(shí)防護(hù)，具體表現(xiàn)在：一是面向資源管理而非網(wǎng)絡(luò)。零信任將一切視為資源，任意粒度、任意位置的訪問主體對(duì)資源的訪問都需要進(jìn)行認(rèn)證和授權(quán)，企業(yè)內(nèi)部資源間的互相訪問也需要進(jìn)行身份驗(yàn)證和權(quán)限判定，能夠有效抵御威脅橫向移動(dòng)帶來的安全風(fēng)險(xiǎn)。二是屏蔽安全策略預(yù)分配帶來的威脅。零信任能夠?qū)ξ锢碓O(shè)備、云服務(wù)、接口等所有層級(jí)的資源進(jìn)行防護(hù)，在訪問主體身份驗(yàn)證和權(quán)限判定成功后，僅為其提供滿足需要的最小粒度的資源，細(xì)化安全策略至資源層面。三是資源對(duì)外隱身。利用端口隱藏等技術(shù)手段，在訪問主體通過驗(yàn)證之前，受訪資源對(duì)其隱身，大大降低了資源的可見性和攻擊暴露面，減少不可控、不可見的安全威脅所帶來的攻擊。四是以身份為核心執(zhí)行動(dòng)態(tài)安全防護(hù)。零信任強(qiáng)調(diào)通過身份信息與多源數(shù)據(jù)對(duì)每一個(gè)訪問行為進(jìn)行信任評(píng)估，動(dòng)態(tài)授予相應(yīng)權(quán)限，能夠?qū)?nèi)部訪問、遠(yuǎn)程訪問和數(shù)據(jù)交互的人員、設(shè)備、環(huán)境等進(jìn)行有效的安全把控，緩解憑據(jù)盜用、高風(fēng)險(xiǎn)誤操作等帶來的安全威脅。（二）

零信任為新的安全場(chǎng)景提供有力保障1.

零信任保障軟件供應(yīng)鏈安全近年來，軟件供應(yīng)鏈攻擊規(guī)模持續(xù)增長(zhǎng)，調(diào)查顯示

3，過去三年全球軟件供應(yīng)鏈攻擊的平均年增長(zhǎng)率高達(dá)

742%。零信任的應(yīng)用能夠抵御上游供應(yīng)商、軟件開發(fā)流程和工具的安全風(fēng)險(xiǎn)，是企業(yè)軟件供應(yīng)3

Sonatype《8thState

ofthesoftwaresupplychain》4零信任發(fā)展研究報(bào)告（2023年）鏈安全建設(shè)的有效舉措。一是限制上游供應(yīng)商權(quán)限，零信任基于最小化權(quán)限原則對(duì)供應(yīng)商的訪問過程進(jìn)行動(dòng)態(tài)授權(quán)，防止攻擊者以供應(yīng)商為跳板侵入企業(yè)網(wǎng)絡(luò)環(huán)境后進(jìn)行橫向移動(dòng)，收斂軟件供應(yīng)鏈攻擊的風(fēng)險(xiǎn)范圍；二是助力研發(fā)運(yùn)營(yíng)關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)監(jiān)測(cè)與安全準(zhǔn)入，零信任與安全左移相融合，默認(rèn)第三方組件、容器鏡像、代碼倉庫等實(shí)體不可信任，在研發(fā)運(yùn)營(yíng)流程中通過多層次的自動(dòng)化安全檢查，發(fā)現(xiàn)各實(shí)體的漏洞、運(yùn)行時(shí)攻擊等風(fēng)險(xiǎn)，保障軟件供應(yīng)鏈交界面的安全研發(fā)與交付。2.

零信任抵御勒索軟件攻擊當(dāng)前，勒索軟件攻擊形勢(shì)嚴(yán)峻，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施等領(lǐng)域造成嚴(yán)重影響，據(jù)預(yù)測(cè)

4，勒索軟件損失到

2031

年將達(dá)到

2650

億美元。基于零信任理念的安全防護(hù)架構(gòu)可幫助企業(yè)降低勒索軟件攻擊風(fēng)險(xiǎn)，提升威脅進(jìn)入壁壘，主要表現(xiàn)在以下幾個(gè)方面：一是身份驗(yàn)證貫穿訪問始終，零信任默認(rèn)安全風(fēng)險(xiǎn)無處不在，不為訪問主體預(yù)置信任，在訪問過程中持續(xù)驗(yàn)證身份，加大攻擊者滲透整個(gè)網(wǎng)絡(luò)的難度；二是訪問行為的持續(xù)監(jiān)測(cè)，勒索軟件在攻入企業(yè)內(nèi)網(wǎng)后，會(huì)對(duì)關(guān)鍵數(shù)據(jù)的位置進(jìn)行掃描，零信任通過對(duì)訪問主體各行為進(jìn)行監(jiān)測(cè)，識(shí)別高危動(dòng)作，及時(shí)執(zhí)行訪問降級(jí)或阻斷；三是網(wǎng)絡(luò)微分段精細(xì)化流量管理，攻擊者可能控制某些脆弱的單點(diǎn)，當(dāng)其通過已攻擊的終端向網(wǎng)絡(luò)內(nèi)部更重要系統(tǒng)橫向滲透，通過網(wǎng)絡(luò)微分段將網(wǎng)絡(luò)劃分成細(xì)小的分段，阻止勒索軟件在網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)，從而將勒索軟件的影響從企業(yè)內(nèi)網(wǎng)多臺(tái)4

世界經(jīng)濟(jì)論壇《2022

年全球網(wǎng)絡(luò)安全展望報(bào)告》5零信任發(fā)展研究報(bào)告（2023年）業(yè)務(wù)服務(wù)器和數(shù)據(jù)存儲(chǔ)服務(wù)器降低至單一用戶的電腦，將風(fēng)險(xiǎn)控制在最小限度。如

Akamai

通過收購

Guardicore及其一流的網(wǎng)絡(luò)微分段解決方案，以應(yīng)對(duì)

Conti

的勒索威脅；四是多因子認(rèn)證強(qiáng)度可動(dòng)態(tài)變化，當(dāng)訪問認(rèn)證通過率較高時(shí)，可以降低多因子認(rèn)證強(qiáng)度以提升用戶體驗(yàn)，當(dāng)訪問主體信譽(yù)度較低時(shí)，可提升多因子認(rèn)證強(qiáng)度，降低組織中最主要攻擊類型的脆弱性并增加潛在威脅者接管賬戶難度。3.

零信任促進(jìn)公共數(shù)據(jù)與服務(wù)安全開放抗擊新冠疫情的過程充分彰顯了公共數(shù)據(jù)和服務(wù)的價(jià)值意義。為了有效應(yīng)對(duì)突發(fā)事件、提升經(jīng)濟(jì)和社會(huì)公平性，全球多國(guó)積極推進(jìn)數(shù)字公共基礎(chǔ)設(shè)施的建設(shè)，促進(jìn)公共數(shù)據(jù)和服務(wù)的開放。零信任理念能夠提升數(shù)字公共基礎(chǔ)設(shè)施的安全訪問，保障公共數(shù)據(jù)和服務(wù)的價(jià)值釋放

。一是建立統(tǒng)一數(shù)字身份避免數(shù)字鴻溝，零信任為人、企業(yè)組織等實(shí)體建立唯一數(shù)字身份標(biāo)識(shí)，避免實(shí)體通過多個(gè)身份賬號(hào)獲取額外的公共福利，如印度多個(gè)福利項(xiàng)目基于數(shù)字身份系統(tǒng)

Aadhaar清理受益名單；同時(shí)，數(shù)字身份的發(fā)放能夠打破地區(qū)局限，任何地方的任何人都可以方便獲得唯一的數(shù)字身份，有效促進(jìn)發(fā)展援助、國(guó)際合作等方面的發(fā)展。二是最小化動(dòng)態(tài)授權(quán)避免數(shù)據(jù)和服務(wù)的濫用，零信任能夠?qū)?shù)字公共基礎(chǔ)設(shè)施的每一個(gè)訪問進(jìn)行風(fēng)險(xiǎn)評(píng)估并授予最小權(quán)限，驗(yàn)證訪問主體是數(shù)字身份的真實(shí)持有人，同時(shí)確保數(shù)字身份的真實(shí)持有人僅能獲取權(quán)益內(nèi)的公共數(shù)據(jù)和服務(wù)。6零信任發(fā)展研究報(bào)告（2023年）（三）

零信任相關(guān)政策與標(biāo)準(zhǔn)涌現(xiàn)，驅(qū)動(dòng)產(chǎn)業(yè)規(guī)范發(fā)展零信任已經(jīng)從一個(gè)新興安全理念發(fā)展成為全球網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)，商業(yè)模式走向成熟，市場(chǎng)逐步規(guī)模化，已成為了政企數(shù)字化轉(zhuǎn)型的首選安全戰(zhàn)略。以美國(guó)為首的發(fā)達(dá)國(guó)家高度重視零信任能力建設(shè)。如表

1

所示，自

2019

年起，美國(guó)陸續(xù)發(fā)布零信任指導(dǎo)建議、計(jì)劃等推動(dòng)零信任在美落地，其他發(fā)達(dá)國(guó)家也紛紛在零信任領(lǐng)域展開布局，以強(qiáng)化網(wǎng)絡(luò)空間話語權(quán)。2022年

11

月

22日，美國(guó)國(guó)防部發(fā)布了

《國(guó)防部零信任戰(zhàn)略》和《國(guó)防部零信任能力執(zhí)行路線圖》，計(jì)劃在

2027年之前實(shí)施戰(zhàn)略和相關(guān)路線圖中概述的獨(dú)特的零信任能力和活動(dòng)。2023

年

4

月11

日，CISA（美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）發(fā)布第二版零信任成熟度模型，旨在降低美國(guó)機(jī)構(gòu)實(shí)施零信任的壁壘。種種舉措顯示美國(guó)正加速在零信任領(lǐng)域的研究與應(yīng)用。表

1

國(guó)外零信任相關(guān)政策時(shí)間政策發(fā)布組織名稱美國(guó)側(cè)重點(diǎn)ACT-IAC（美國(guó)技術(shù)委員

《零信任網(wǎng)絡(luò)安全當(dāng)前

對(duì)政府機(jī)構(gòu)采用零信2019.042019.07會(huì)-工業(yè)咨詢委員會(huì)）趨勢(shì)》任進(jìn)行評(píng)估DIB（美國(guó)國(guó)防創(chuàng)新委員會(huì)）指導(dǎo)國(guó)防部實(shí)施零信任架構(gòu)《零信任安全之路》2019.07

DISA（美國(guó)國(guó)《DISA戰(zhàn)略計(jì)劃

2019-

明確

DISA

網(wǎng)絡(luò)防御7零信任發(fā)展研究報(bào)告（2023年）防信息系統(tǒng)局）2022》戰(zhàn)略重點(diǎn)為零信任《零信任架構(gòu)（ZTA）建

建議將零信任實(shí)施列2019.102021.02DIB議》為最高優(yōu)先事項(xiàng)建議

DoD

下一代網(wǎng)絡(luò)安全架構(gòu)基于零信任建設(shè)《國(guó)防部零信任參考結(jié)DISA構(gòu)》1.0NSA（美國(guó)國(guó)家《擁抱零信任安全模型》提出漸進(jìn)式部署零信任方式2021.022021.05安全局）發(fā)動(dòng)聯(lián)邦政府遷移上云使用零信任架構(gòu)美國(guó)總統(tǒng)拜登14028號(hào)行政令OMB（聯(lián)邦政《美國(guó)政府向零信任網(wǎng)

要求各機(jī)構(gòu)在

2024年2021.09

府管理和預(yù)算辦

絡(luò)安全原則的遷移》（征

前實(shí)現(xiàn)具體的零信任公室）CISA（網(wǎng)絡(luò)安求意見稿）安全目標(biāo)《零信任成熟度模型》

細(xì)化五個(gè)“具體的零信2021.09

全和基礎(chǔ)設(shè)施安全局）（征求意見稿）任安全目標(biāo)”《云安全技術(shù)參考架構(gòu)》（征求意見稿）推薦采用零信任輔助遷移上云2021.09CISA概述國(guó)防部計(jì)劃如何在

2027年前在國(guó)防部范圍全面實(shí)施零信任網(wǎng)絡(luò)安全框架《國(guó)防部零信任戰(zhàn)略》、2022.11

DoD（國(guó)防部）

《國(guó)防部零信任能力執(zhí)行路線圖》為機(jī)密網(wǎng)絡(luò)開發(fā)零信任安全和網(wǎng)絡(luò)架構(gòu)計(jì)劃原型2023.22023.4DISACISA雷霆穹頂?shù)诙A段《零信任成熟度模型》

降低美國(guó)機(jī)構(gòu)實(shí)施零（第二版）英國(guó)信任的壁壘2020.10

NCSC（英國(guó)國(guó)《零信任架構(gòu)設(shè)計(jì)原積極響應(yīng)美國(guó)零信任8零信任發(fā)展研究報(bào)告（2023年）家網(wǎng)絡(luò)安全中心）則》戰(zhàn)略，為政企機(jī)構(gòu)實(shí)施零信任提供參考加拿大加拿大政府部門2021.03

機(jī)構(gòu)-共享服務(wù)部采用零信任等新方法支撐未來網(wǎng)絡(luò)服務(wù)《網(wǎng)絡(luò)與安全戰(zhàn)略》新加坡要求相關(guān)機(jī)構(gòu)實(shí)現(xiàn)從2021.10新加坡政府《網(wǎng)絡(luò)安全戰(zhàn)略

2021》

邊界防護(hù)向零信任安全模式轉(zhuǎn)變來源：公開材料整理我國(guó)加大政策保障，推動(dòng)零信任落地。目前我國(guó)正在從政策、行業(yè)實(shí)踐、產(chǎn)業(yè)發(fā)展等多個(gè)層面對(duì)零信任進(jìn)行積極探索，工業(yè)和信息化部通過多種舉措引導(dǎo)零信任發(fā)展，前期以推動(dòng)零信任理論研究和技術(shù)創(chuàng)新為主，后期加強(qiáng)零信任技術(shù)應(yīng)用，推動(dòng)項(xiàng)目落地，具體表現(xiàn)為：一是，發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）》，重點(diǎn)圍繞“加快開展基于開發(fā)安全運(yùn)營(yíng)、主動(dòng)免疫、零信任等框架，推動(dòng)創(chuàng)新技術(shù)發(fā)展與網(wǎng)絡(luò)安全體系研發(fā)。加快發(fā)展動(dòng)態(tài)邊界防護(hù)技術(shù)，鼓勵(lì)企業(yè)深化微隔離、軟件定義邊界、安全訪問服務(wù)邊緣框架等技術(shù)產(chǎn)品應(yīng)用”等內(nèi)容展開。二是，多個(gè)零信任項(xiàng)目入選重點(diǎn)領(lǐng)域試點(diǎn)示范項(xiàng)目名單，包括“2022

年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目名單”、“2021年大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點(diǎn)示范項(xiàng)目名單”等。我國(guó)已從多層級(jí)啟動(dòng)零信任標(biāo)準(zhǔn)研究，協(xié)助建立產(chǎn)業(yè)規(guī)范。為落實(shí)國(guó)家網(wǎng)絡(luò)信息安全相關(guān)要求，我國(guó)已從多層級(jí)開展零信任標(biāo)準(zhǔn)研究。國(guó)際標(biāo)準(zhǔn)方面，由中國(guó)企業(yè)主導(dǎo)的

ITU-T（國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)分9零信任發(fā)展研究報(bào)告（2023年）局）零信任國(guó)際標(biāo)準(zhǔn)《服務(wù)訪問過程持續(xù)保護(hù)指南》正式發(fā)布；國(guó)家標(biāo)準(zhǔn)方面，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在開展《信息安全技術(shù)零信任參考體系架構(gòu)》的編制；行業(yè)標(biāo)準(zhǔn)方面，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)正在開展《面向云計(jì)算的零信任體系

第

2部分：關(guān)鍵能力要求》、《面向云計(jì)算的零信任體系

第

6

部分：數(shù)字身份安全能力要求》、《面向云計(jì)算的零信任成熟度評(píng)價(jià)模型》、《零信任安全技術(shù)參考框架》與《網(wǎng)絡(luò)安全產(chǎn)品能力評(píng)價(jià)體系

第

11

部分：基于零信任架構(gòu)的業(yè)務(wù)安全平臺(tái)評(píng)價(jià)方法》等標(biāo)準(zhǔn)的研究工作。二、產(chǎn)業(yè)供應(yīng)側(cè)調(diào)研洞察：零信任能力生態(tài)逐漸成熟零信任供應(yīng)側(cè)方面，本報(bào)告調(diào)研了近五十家國(guó)內(nèi)零信任廠商，梳理零信任所涵蓋的六大領(lǐng)域，洞察各廠商零信任安全水平概況，分析其在重點(diǎn)行業(yè)零信任市場(chǎng)近三年向好發(fā)展態(tài)勢(shì)，以增強(qiáng)零信任產(chǎn)業(yè)蓬勃向好發(fā)展的信心。（一）

圍繞六大領(lǐng)域能力，建立產(chǎn)品體系1.

零信任能力涵蓋六大領(lǐng)域?qū)τ诰W(wǎng)絡(luò)攻擊者，只需要找到整個(gè)網(wǎng)絡(luò)防護(hù)的一個(gè)脆弱點(diǎn)即可攻破網(wǎng)絡(luò)，而作為網(wǎng)絡(luò)安全防護(hù)者，需要進(jìn)行整體的防御。因此，基于零信任理念展開的安全防護(hù)不單獨(dú)強(qiáng)調(diào)技術(shù)，而是強(qiáng)調(diào)解決了哪個(gè)領(lǐng)域的安全問題。本報(bào)告中，零信任能力涵蓋六大領(lǐng)域，如表

2所示：數(shù)字身份是基礎(chǔ)組件、是核心，聯(lián)合網(wǎng)絡(luò)環(huán)境安全、終端安全、數(shù)據(jù)安全、應(yīng)用工作負(fù)載安全和安全管理五個(gè)關(guān)鍵能力，共同賦能企業(yè)整體安全防御。10零信任發(fā)展研究報(bào)告（2023年）數(shù)字身份主要解決用戶身份不統(tǒng)一，以及

IT

架構(gòu)中所有對(duì)象數(shù)字身份缺失、不合法等問題。一是，對(duì)接入用戶、組織架構(gòu)、設(shè)備、應(yīng)用賦予唯一身份標(biāo)識(shí)，并對(duì)其數(shù)字身份進(jìn)行全生命周期管理，完成身份的自動(dòng)化管控；二是，通過持續(xù)的身份認(rèn)證，確保訪問主體在整個(gè)資源訪問過程中身份的合法性。網(wǎng)絡(luò)環(huán)境安全主要解決威脅的橫向移動(dòng)，以及傳輸數(shù)據(jù)被竊取等問題。一是，將資源劃分到一個(gè)個(gè)微小的網(wǎng)絡(luò)分段中，分段間通過策略隔離，阻止威脅的擴(kuò)散；二是，對(duì)網(wǎng)絡(luò)傳輸鏈路進(jìn)行加密，以保證數(shù)據(jù)傳輸過程中的安全性。終端安全主要解決使用移動(dòng)終端辦公難以對(duì)設(shè)備進(jìn)行管控，以及不同終端的安全基礎(chǔ)不同易引入威脅等問題。一是，加強(qiáng)終端威脅檢測(cè)，實(shí)現(xiàn)終端安全狀況可感；二是，對(duì)所有連入企業(yè)網(wǎng)絡(luò)的移動(dòng)終端進(jìn)行納管，實(shí)現(xiàn)

BYOD可控；三是，建立終端基線，對(duì)于不符合基線要求的終端可修復(fù)。數(shù)據(jù)安全主要解決數(shù)據(jù)資產(chǎn)安全防護(hù)無法差異化，以及數(shù)據(jù)在使用、傳輸和存儲(chǔ)過程中意外泄露等問題。一是，通過數(shù)據(jù)分類規(guī)范化關(guān)聯(lián)關(guān)系，再通過數(shù)據(jù)分級(jí)實(shí)現(xiàn)數(shù)據(jù)防護(hù)策略的差異化；二是，通

過數(shù)據(jù)脫敏、加密、審計(jì)等技術(shù)手段降低數(shù)據(jù)泄露的可能性。應(yīng)用工作負(fù)載安全主要解決兩類被訪問資源的安全問題，包括容器、虛擬機(jī)等基礎(chǔ)設(shè)施資源，以及應(yīng)用系統(tǒng)、API等應(yīng)用資源。一是，通過安全基線掃描、漏洞管理、入侵檢測(cè)等技術(shù)手段，輔以計(jì)算資源納管清單、供應(yīng)商名錄等管理手段對(duì)基礎(chǔ)設(shè)施資源進(jìn)行防護(hù)；二是，11零信任發(fā)展研究報(bào)告（2023年）在應(yīng)用研發(fā)階段引入安全檢測(cè)流程、為已發(fā)布應(yīng)用提供各類惡意攻擊防護(hù)手段，以及持續(xù)驗(yàn)證應(yīng)用執(zhí)行的動(dòng)作是否符合其權(quán)限。安全管理主要解決各安全組件無法聯(lián)動(dòng)處置威脅、流量不透明等問題。一是，通過編排將各安全工具的能力以某種邏輯組合在一起，聯(lián)動(dòng)進(jìn)行威脅的檢測(cè)與響應(yīng)；二是，聯(lián)動(dòng)各安全組件并以可視化形式展示監(jiān)測(cè)指標(biāo)，以便快速定位威脅。表

2

零信任安全能力與子能力能力子能力能力描述對(duì)人、設(shè)備、應(yīng)用、資源等所有對(duì)象賦予數(shù)字身份標(biāo)識(shí)，并對(duì)數(shù)字身份信息和用戶憑據(jù)進(jìn)行集中管理數(shù)字身份管理身份安全網(wǎng)絡(luò)安全提供統(tǒng)一集中認(rèn)證、單點(diǎn)登錄、會(huì)話管理和訪問控制等能力訪問管理安全網(wǎng)關(guān)對(duì)

C/S

架構(gòu)、B/S

架構(gòu)等多種場(chǎng)景下的訪問接入進(jìn)行認(rèn)證，并基于信任評(píng)估和權(quán)限判定結(jié)果，對(duì)認(rèn)證成功的訪問主體建立相應(yīng)安全訪問通道通過

SSL（安全套接字層）、TLS（安全傳輸層協(xié)議）等方式實(shí)現(xiàn)網(wǎng)絡(luò)傳輸保密性保障數(shù)據(jù)中心、公有云、私有云等跨云環(huán)境中網(wǎng)絡(luò)傳輸安全應(yīng)用工作負(fù)載安全

云工作負(fù)載安全

的工作負(fù)載安全，覆蓋物理機(jī)、虛擬機(jī)、容器、Serverless（無服務(wù)器）等不同粒度資源提供工作負(fù)載及應(yīng)用間的流量隔離與可視化微隔離能力，實(shí)現(xiàn)細(xì)粒度安全策略管理提供應(yīng)用系統(tǒng)、AP（I

應(yīng)用程序接口）、SaaS（軟應(yīng)用安全件即服務(wù)）等應(yīng)用資源的安全防護(hù)能力，包括發(fā)現(xiàn)、修復(fù)應(yīng)用安全漏洞等12零信任發(fā)展研究報(bào)告（2023年）數(shù)據(jù)安全基于合規(guī)要求與用戶業(yè)務(wù)場(chǎng)景，對(duì)數(shù)據(jù)進(jìn)行分?jǐn)?shù)據(jù)分類分級(jí)類分級(jí)管理數(shù)據(jù)防泄漏數(shù)據(jù)完整性數(shù)據(jù)加密檢測(cè)和防止?jié)撛诘臄?shù)據(jù)泄露能力指數(shù)據(jù)在其生命周期內(nèi)的準(zhǔn)確性和一致性提供數(shù)據(jù)在存儲(chǔ)、傳輸、使用時(shí)的加解密能力提供安全使用數(shù)據(jù)的空間的能力提供終端威脅檢測(cè)能力，包括漏洞掃描、病毒查殺、基線檢查等數(shù)據(jù)隔離終端安全終端安全管理終端應(yīng)用安全移動(dòng)化管理通過沙箱等技術(shù)實(shí)現(xiàn)終端

APP安全防護(hù)提供移動(dòng)內(nèi)容、移動(dòng)設(shè)備、移動(dòng)身份和移動(dòng)應(yīng)用安全防護(hù)能力獲取網(wǎng)絡(luò)、身份、設(shè)備、應(yīng)用等的運(yùn)行上下文，并建立用于策略評(píng)估的基線。運(yùn)行上下文管理策略分析與建模安全事件分析通過規(guī)則、機(jī)器學(xué)習(xí)建模等方式，輸出智能化的控制策略。安全管理收集和分析網(wǎng)絡(luò)、環(huán)境、設(shè)備和應(yīng)用等的安全事件，以支持威脅檢測(cè)、合規(guī)性和事件管理自動(dòng)化編排與事

通過自動(dòng)化編排等功能，對(duì)安全事件進(jìn)行自動(dòng)件響應(yīng)

處置和響應(yīng)來源：中國(guó)信通院2.

零信任能力供應(yīng)不斷豐富國(guó)內(nèi)零信任生態(tài)蓬勃發(fā)展，零信任供應(yīng)能力不斷豐富，為用戶在不同場(chǎng)景、不同需求下零信任建設(shè)提供支撐。圍繞零信任能力六大方面，國(guó)內(nèi)零信任產(chǎn)品供應(yīng)呈如下特點(diǎn)：用戶訪問和工作負(fù)載訪問是產(chǎn)品發(fā)展的兩條關(guān)鍵路徑。用戶訪問需要對(duì)數(shù)據(jù)中心內(nèi)外的南北向流量進(jìn)行訪問控制，工作負(fù)載訪問需要對(duì)數(shù)據(jù)中心內(nèi)部的東西向流量進(jìn)行訪問控制，兩者安全防護(hù)位置不同，13零信任發(fā)展研究報(bào)告（2023年）逐漸形成不同零信任產(chǎn)品。在本報(bào)告的調(diào)查統(tǒng)計(jì)中，如圖

2所示，提供用戶訪問（南北向流量）安全防護(hù)能力的廠商仍占多數(shù)，有

89%的零信任供應(yīng)側(cè)企業(yè)可提供

ZTNA（Zero

Trust

Network

Access，零信任網(wǎng)絡(luò)接入），對(duì)四層流量進(jìn)行防護(hù)；在這些企業(yè)中，又有

84%的企業(yè)可提供

ZTAA（Zero

Trust

Application

Access，零信任應(yīng)用接入），可對(duì)七層流量進(jìn)行防護(hù)；提供工作負(fù)載訪問（東西向流量）安全防護(hù)能力的廠商較少，僅有

25%的企業(yè)可提供微隔離能力；但是這些企業(yè)中，又有

95%和

91%的企業(yè)支持以

ZTNA

和

ZTAA

形式提供南北向流量的安全防護(hù)。來源：中國(guó)信息通信研究院

2022年

12

月圖

2

我國(guó)零信任供應(yīng)側(cè)發(fā)展路徑零信任

SaaS

在國(guó)內(nèi)普及仍面臨企業(yè)上云比例低等諸多挑戰(zhàn)，但已有超七成零信任供應(yīng)側(cè)企業(yè)具備相應(yīng)服務(wù)能力。與本地化部署相比，SaaS化的零信任有四大優(yōu)勢(shì)：一是標(biāo)準(zhǔn)化交付，交付更加便捷，普及14零信任發(fā)展研究報(bào)告（2023年）性更強(qiáng)，適合中小型企業(yè)部署，降低用戶使用門檻；二是自身維護(hù)成本低，用戶無需部署、維護(hù)系統(tǒng)；三是可利用云網(wǎng)自身優(yōu)勢(shì)，提供安全以外的增值特性，如出海訪問加速等；四是連通性強(qiáng)，通過云的方式提供接入點(diǎn)，便于對(duì)云上業(yè)務(wù)進(jìn)行訪問。然而，對(duì)于國(guó)內(nèi)用戶而言，尤其是中小企業(yè)，安全需求的剛性尚且不足，“零信任”乃至“安全”都不一定構(gòu)成“買點(diǎn)”，零信任

SaaS

的推廣更是面臨了諸多挑戰(zhàn)：一是國(guó)內(nèi)大部分企業(yè)的業(yè)務(wù)部署在內(nèi)網(wǎng)，云接入的優(yōu)勢(shì)變?yōu)榱觿?shì)，用戶從POP點(diǎn)接入再訪問數(shù)據(jù)中心內(nèi)部業(yè)務(wù)，存在流量繞圈問題；二是

SaaS化產(chǎn)品很難提供業(yè)務(wù)側(cè)的安全能力，SaaS

化產(chǎn)品雖然解決了云上業(yè)務(wù)的網(wǎng)絡(luò)接入便利性問題，在網(wǎng)絡(luò)方面提供了安全性，但實(shí)際上在安全攻防領(lǐng)域，安全威脅多發(fā)生在近業(yè)務(wù)側(cè)，SaaS

化產(chǎn)品鞭長(zhǎng)莫及；三是無法定制化需求，企業(yè)內(nèi)部業(yè)務(wù)環(huán)境存在差異性，而

SaaS

化產(chǎn)品提供的標(biāo)準(zhǔn)化產(chǎn)品，在功能適配上難以滿足用戶個(gè)性化需求，尤其在國(guó)內(nèi)頭部企業(yè)的定制化需求較高。四是對(duì)云上數(shù)據(jù)安全性有顧慮，國(guó)內(nèi)多數(shù)企業(yè)認(rèn)為公有云上數(shù)據(jù)不受控難以開展安全保障。本報(bào)告對(duì)國(guó)內(nèi)零信任供應(yīng)側(cè)企業(yè)的

SaaS

化供應(yīng)能力進(jìn)行調(diào)查，結(jié)果如圖

3

所示，有

96.4%的零信任供應(yīng)側(cè)企業(yè)支持本地化部署，有

71.4%的企業(yè)支持提供零信任

SaaS

服務(wù)，即便零信任

SaaS

在國(guó)內(nèi)的普及面臨諸多挑戰(zhàn)，但國(guó)內(nèi)零信任廠商已有超七成在

SaaS化上進(jìn)行了投入。15零信任發(fā)展研究報(bào)告（2023年）來源：中國(guó)信息通信研究院

2022年

12

月圖

3

供應(yīng)側(cè)

SaaS化情況本報(bào)告基于選定的六大安全能力，對(duì)國(guó)內(nèi)云廠商和安全廠商供應(yīng)的零信任解決方案展開調(diào)研。一方面，國(guó)內(nèi)廠商注重零信任解決方案研發(fā)與落地實(shí)施，零信任生態(tài)已小有規(guī)模。目前，國(guó)內(nèi)有近

50

家企業(yè)提供零信任集成產(chǎn)品。其中，安全廠商從自身安全專項(xiàng)產(chǎn)品優(yōu)勢(shì)出發(fā)，推出有技術(shù)側(cè)重的零信任解決方案。云廠商則利用自身基礎(chǔ)設(shè)施供應(yīng)能力強(qiáng)且用戶體量大的優(yōu)勢(shì)，率先進(jìn)入較全面的零信任解決方案市場(chǎng)。其中，如圖

4所示，身份和網(wǎng)絡(luò)環(huán)境安全能力供應(yīng)能力更為成熟，70.8%的產(chǎn)品以身份安全作為核心能力，75%的產(chǎn)品以網(wǎng)絡(luò)環(huán)境安全作為核心能力，僅有

18.7%的產(chǎn)品以云工作負(fù)載安全作為核心能力

。另一方面，國(guó)內(nèi)零信任賽道競(jìng)爭(zhēng)激烈，各廠商都在不同領(lǐng)域?qū)で笮碌耐黄?。一是在端上?shí)現(xiàn)更多安全功能。越來越多的客戶希望通過一個(gè)客戶端解決

PC

終端安全的問題，端上安全檢測(cè)能力、防泄漏、漏洞修復(fù)等備受重視。二是在端上建立可信安全環(huán)境以保護(hù)數(shù)據(jù)安全。疫情之后，遠(yuǎn)程辦公需求增多，移動(dòng)終端上訪問企業(yè)業(yè)務(wù)數(shù)據(jù)成為剛16零信任發(fā)展研究報(bào)告（2023年）需，通過軟件定義邊界與終端沙箱相結(jié)合的方式，將零信任的能力延伸至端上成為一種新的解決方案。來源：中國(guó)信息通信研究院

2023年

7月圖

4

供應(yīng)側(cè)零信任能力分布3.

持續(xù)提升產(chǎn)品聯(lián)動(dòng)能力，向與現(xiàn)有架構(gòu)融合前進(jìn)零信任與企業(yè)已有的安全防護(hù)能力應(yīng)該能相互融合，企業(yè)已有的安全工具不應(yīng)因零信任的使用而失效，而應(yīng)該得到能力的提升。零信任控制引擎為了更精準(zhǔn)地下發(fā)策略，應(yīng)與企業(yè)環(huán)境中的身份安全類、安全分析類、終端安全類產(chǎn)品進(jìn)行聯(lián)動(dòng)：來源：中國(guó)信息通信研究院

2022年

12

月圖

5

身份安全產(chǎn)品聯(lián)動(dòng)情況17零信任發(fā)展研究報(bào)告（2023年）身份安全類包含身份管理與身份認(rèn)證能力，一方面，零信任從身份源同步用戶身份，建立用戶身份與訪問過程中使用的設(shè)備、訪問的資源、訪問行為等之間的聯(lián)系，形成用戶畫像；另一方面，零信任可以將身份認(rèn)證與多源評(píng)估結(jié)合實(shí)現(xiàn)動(dòng)態(tài)地認(rèn)證。本報(bào)告調(diào)研了零信任供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的身份安全產(chǎn)品聯(lián)動(dòng)能力，結(jié)果如圖5

所示。超七成零信任供應(yīng)側(cè)企業(yè)支持與第三方身份安全產(chǎn)品對(duì)接。46.4%企業(yè)可提供自研身份安全產(chǎn)品，同時(shí)其零信任產(chǎn)品支持與第三方身份安全產(chǎn)品如竹云、派拉、亞信、芯盾、格爾等進(jìn)行對(duì)接；有

21.4%企業(yè)不具備自研身份安全產(chǎn)品，但支持與第三方身份安全產(chǎn)品對(duì)接；有

25%企業(yè)僅支持客戶使用自家提供的身份安全產(chǎn)品，還有

7.1%企業(yè)無法與客戶環(huán)境中已有的身份安全產(chǎn)品進(jìn)行聯(lián)動(dòng)。在身份安全產(chǎn)品展開投入的零信任供應(yīng)側(cè)企業(yè)占比超過

70%，反向說明同質(zhì)化競(jìng)爭(zhēng)激烈，并非每家都能將零信任領(lǐng)域做全，各家應(yīng)避免同質(zhì)化競(jìng)爭(zhēng)建立技術(shù)壁壘以實(shí)現(xiàn)合作共贏。來源：中國(guó)信息通信研究院

2022年

12

月圖

6

安全管理產(chǎn)品聯(lián)動(dòng)情況18零信任發(fā)展研究報(bào)告（2023年）安全管理類包含安全事件和信息的匯聚、實(shí)體行為分析、威脅檢測(cè)與響應(yīng)等能力，一方面，通過與實(shí)體行為分析工具結(jié)合可獲取更多安全風(fēng)險(xiǎn)信息，對(duì)訪問主體的評(píng)估將更加準(zhǔn)確；另一方面，零信任和威脅檢測(cè)與響應(yīng)工具的結(jié)合為策略執(zhí)行提供了更豐富的管控手段。本報(bào)告調(diào)研了零信任供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的安全分析產(chǎn)品聯(lián)動(dòng)能力，結(jié)果如圖

6所示。超半數(shù)企業(yè)的零信任產(chǎn)品支持與客戶已有的安全運(yùn)營(yíng)中心、態(tài)勢(shì)感知、威脅情報(bào)等安全分析系統(tǒng)聯(lián)動(dòng)，占

比53.6%，也有

35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進(jìn)行聯(lián)動(dòng)，有

10.7%的企業(yè)尚不支持與安全分析系統(tǒng)聯(lián)動(dòng)。來源：中國(guó)信息通信研究院

2022年

12

月圖

7

終端安全產(chǎn)品聯(lián)動(dòng)情況終端安全類包括終端安全檢測(cè)與修復(fù)、以及數(shù)據(jù)安全等能力，一方面，收集終端環(huán)境信息，并根據(jù)檢測(cè)結(jié)果對(duì)終端進(jìn)行管控；另一方面

，通過技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)不落地，以保護(hù)數(shù)據(jù)安全。本報(bào)告調(diào)研了零信任供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的終端產(chǎn)品聯(lián)動(dòng)能力，結(jié)果如19零信任發(fā)展研究報(bào)告（2023年）圖

7所示。零信任供應(yīng)側(cè)企業(yè)在終端安全展開投入的較多，與自家產(chǎn)品聯(lián)動(dòng)率更高。尤為明顯的是支持與自家終端安全產(chǎn)品聯(lián)動(dòng)的企業(yè)占比

39.3%，這一數(shù)據(jù)在身份安全領(lǐng)域?yàn)?/p>

25%，一方面說明終端安全的重要性，供應(yīng)側(cè)企業(yè)紛紛展開投入，另一方面說明與第三方終端安全產(chǎn)品的對(duì)接仍面臨接口協(xié)議無法統(tǒng)一的困境；支持自家與第三方如騰訊、北信源、安天、奇安信、深信服、啟明星辰、青藤等企業(yè)的終端安全產(chǎn)品進(jìn)行對(duì)接的僅占比

32.1%；此外也有超七成零信任供應(yīng)側(cè)企業(yè)支持提供終端安全產(chǎn)品，零信任供應(yīng)側(cè)企業(yè)在終端安全的投入超過安全管理類產(chǎn)品與身份安全類產(chǎn)品，主要原因是身份認(rèn)證與身份管理所使用協(xié)議具有國(guó)際、國(guó)家標(biāo)準(zhǔn)，然而終端安全領(lǐng)域存在標(biāo)準(zhǔn)協(xié)議缺口，有待通過生態(tài)間接口互認(rèn)解決。（二）

行業(yè)應(yīng)用不斷深化，零信任市場(chǎng)步入成長(zhǎng)期1.

零信任在重點(diǎn)行業(yè)市場(chǎng)近三年呈持續(xù)增長(zhǎng)態(tài)勢(shì)經(jīng)過多年發(fā)展，零信任商業(yè)模式走向成熟，市場(chǎng)逐步規(guī)模化，已經(jīng)在各個(gè)行業(yè)進(jìn)入落地階段。據(jù)中國(guó)信通院調(diào)研顯示，電信行業(yè)和金融行業(yè)是被調(diào)研的

11

行業(yè)中探索零信任落地實(shí)施排名靠前的行業(yè)，其零信任實(shí)施應(yīng)用相對(duì)成熟，且對(duì)其他行業(yè)的通用參考性較高。因此本報(bào)告選擇金融與電信行業(yè)的零信任市場(chǎng)情況進(jìn)行分析，相信在未來，會(huì)有更多行業(yè)客戶選擇零信任作為其安全防護(hù)架構(gòu)。金融與電信行業(yè)在近三年落地零信任的客戶逐年增長(zhǎng)。本報(bào)告調(diào)研了

2019年至

2022年三年間，零信任供應(yīng)側(cè)企業(yè)服務(wù)過的金融客戶數(shù)量區(qū)間，結(jié)果如圖

8

所示。一方面，在金融行業(yè)，2019-2020

年間20零信任發(fā)展研究報(bào)告（2023年）僅有

39.2%零信任供應(yīng)側(cè)企業(yè)為金融客戶落地過零信任，這一數(shù)據(jù)在2020-2021年間與

2021-2022年間分別達(dá)到了

60.7%與

82.1%，越來越多的金融機(jī)構(gòu)認(rèn)可零信任架構(gòu)所提供的安全防護(hù)能力。另一方面，在電信行業(yè)，2019-2020

年間僅有

32.1%零信任供應(yīng)側(cè)企業(yè)為電信客戶落地過零信任，與金融行業(yè)相比低

7.1%，這一數(shù)據(jù)在

2020-2021年間與

2021-2022

年間分別為

67.9%與

85.7%，電信行業(yè)在近兩年落地勢(shì)頭較猛，超過金融行業(yè)。落地

10

家以內(nèi)的零信任供應(yīng)側(cè)企業(yè)占據(jù)主流，多數(shù)行業(yè)用戶仍處于應(yīng)用研究探索階段。據(jù)調(diào)研，三年間落地用戶數(shù)量區(qū)間

1-10

的企業(yè)分別占比金融行業(yè)為

25%、35.7%和

50%，電信行業(yè)為

35%、42.8%和

50%。也有一些行業(yè)專精型的企業(yè)存在客戶量超過

200的情況，三年間在金融行業(yè)的占比分別為

3.5%、3.5%和

3.5%，電信行業(yè)占比分別為

0%、3.57%和

7.14%?？梢钥闯?，2020年零信任才開始在國(guó)內(nèi)安全圈中得以普及，產(chǎn)品經(jīng)過兩年的打磨，用戶對(duì)這個(gè)理念有了初步了解，開始積極的在此領(lǐng)域展開采購。來源：中國(guó)信息通信研究院

2022年

12

月圖

8

供應(yīng)側(cè)企業(yè)落地零信任客戶數(shù)量區(qū)間21零信任發(fā)展研究報(bào)告（2023年）微隔離類產(chǎn)品應(yīng)用情況呈兩極分化，與行業(yè)相關(guān)性較低。本報(bào)告調(diào)研了

2021-2022年間，提供微隔離類產(chǎn)品的零信任供應(yīng)側(cè)企業(yè)所納管用戶的工作負(fù)載總數(shù)，結(jié)果如圖

9所示。在支持提供微隔離能力的企業(yè)中，金融行業(yè)納管工作負(fù)載總數(shù)低于

500

的占比

42.8%，高于10000的占比

42.8%，電信行業(yè)表現(xiàn)類似，納管工作負(fù)載總數(shù)低于

500的占比

62.5%，高于

10000

的占比

37.5%。將近半數(shù)供應(yīng)側(cè)企業(yè)的微隔離在行業(yè)內(nèi)僅開展試點(diǎn)工作或未曾開展，同時(shí)也有近半數(shù)企業(yè)在行業(yè)內(nèi)進(jìn)行了規(guī)?；穆涞貙?shí)踐。來源：中國(guó)信息通信研究院

2022年

12

月圖

9

微隔離類產(chǎn)品納管工作負(fù)載總數(shù)軟件定義邊界類產(chǎn)品應(yīng)用潛力大，頭部客戶已進(jìn)入探索階段。本報(bào)告調(diào)研了

2021-2022年間，提供軟件定義邊界類產(chǎn)品的零信任供應(yīng)側(cè)企業(yè)所納管用戶的員工總數(shù)，結(jié)果如圖

10

所示。在金融與電信行業(yè)中，納管低于

5000人占比最高，分別為

52.2%和

61.9%，剩余半數(shù)涵蓋

5000-100000

不等，再結(jié)合對(duì)零信任落地客戶數(shù)量的統(tǒng)計(jì)結(jié)果，22零信任發(fā)展研究報(bào)告（2023年）即在

2021-2022

年間金融與電信行業(yè)均有

50%零信任供應(yīng)側(cè)企業(yè)落地客戶數(shù)區(qū)間為

1-10

家，推算每個(gè)客戶使用基于軟件定義邊界納管員工數(shù)量低于

500人，甚至更低。500人已屬于中型企業(yè)，因此各行業(yè)內(nèi)的中型企業(yè)應(yīng)是落地軟件定義邊界類產(chǎn)品的中流砥柱。此外，在電信行業(yè)納管員工

20000

人以上的占比

33.3%，金融行業(yè)僅有

17.4%，電信行業(yè)在零信任領(lǐng)域的投入與落地勢(shì)頭相較金融行業(yè)略高一籌。來源：中國(guó)信息通信研究院

2022年

12

月圖

10

軟件定義邊界類產(chǎn)品納管員工總數(shù)2.

不同應(yīng)用場(chǎng)景逐步實(shí)現(xiàn)零信任落地隨著零信任的不斷發(fā)展和成熟，企業(yè)用戶基于自身業(yè)務(wù)特性和安全需求，選擇在不同場(chǎng)景下落地實(shí)施零信任。將零信任應(yīng)用于辦公環(huán)境是用戶主流選擇。本報(bào)告調(diào)研了零信任供應(yīng)側(cè)企業(yè)服務(wù)的金融與電信行業(yè)客戶應(yīng)用零信任時(shí)的環(huán)境選擇情況，如圖

11所示。金融行業(yè)

51%應(yīng)用于辦公環(huán)境，18.7%應(yīng)用于開發(fā)測(cè)試環(huán)境，僅有

11.8%應(yīng)用于生產(chǎn)環(huán)境。電信行業(yè)

48.1%應(yīng)用于辦公23零信任發(fā)展研究報(bào)告（2023年）環(huán)境，17.6%應(yīng)用于生產(chǎn)環(huán)境，16.8%應(yīng)用于開發(fā)測(cè)試環(huán)境。金融行業(yè)生產(chǎn)環(huán)境承擔(dān)了核心賬務(wù)系統(tǒng)的運(yùn)營(yíng)，數(shù)據(jù)資產(chǎn)安全穩(wěn)定性尤為重要，在生產(chǎn)環(huán)境的應(yīng)用更顯謹(jǐn)慎。來源：中國(guó)信息通信研究院

2022年

12

月圖

11

零信任應(yīng)用環(huán)境情況遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維、多分支機(jī)構(gòu)互連為用戶主要使用的場(chǎng)景，總占比超過半數(shù)。本報(bào)告調(diào)研了金融與電信用戶落地零信任時(shí)使用的場(chǎng)景，分布如圖

12

所示。一方面，遠(yuǎn)程辦公場(chǎng)景是當(dāng)前企業(yè)實(shí)施零信任的主要驅(qū)動(dòng)和優(yōu)先選擇，在金融與電信行業(yè)占比分別達(dá)到

32.5%和

35%，其次是遠(yuǎn)程運(yùn)維和多分支互連，金融行業(yè)遠(yuǎn)程運(yùn)維場(chǎng)景占比14%，較多分支互連場(chǎng)景的

13.2%略多一些，電信行業(yè)遠(yuǎn)程運(yùn)維場(chǎng)景占比

10.5%，較多分支互連場(chǎng)景的

12.5%略少，電信行業(yè)在多分支互連的需求上較金融行業(yè)更高一些。另一方面，多云、混合云戰(zhàn)略是當(dāng)前企業(yè)實(shí)施零信任最少場(chǎng)景，金融行業(yè)使用多云、混合云場(chǎng)景占比僅3%和

4.5%，電信行業(yè)分別為

3.6%和

4.7%，大多數(shù)企業(yè)不具備在云原生環(huán)境中的治理能力和安全能力可能是企業(yè)遲遲難以大規(guī)模上云的主要原因，零信任可以提供此場(chǎng)景下的安全訪問，未來多云、混合24零信任發(fā)展研究報(bào)告（2023年）云場(chǎng)景蘊(yùn)含較多發(fā)展機(jī)會(huì)。來源：中國(guó)信息通信研究院

2022年

12

月圖

12

落地零信任使用場(chǎng)景情況三、產(chǎn)業(yè)應(yīng)用側(cè)調(diào)研洞察：用戶對(duì)零信任建設(shè)尚存顧慮，同時(shí)肯定零信任核心價(jià)值零信任應(yīng)用側(cè)方面，通過對(duì)重點(diǎn)行業(yè)的客戶調(diào)研與訪談，本報(bào)告總結(jié)了在安全防護(hù)架構(gòu)建設(shè)的各個(gè)時(shí)期，企業(yè)管理人員的建設(shè)痛點(diǎn)以及考慮，幫助零信任供應(yīng)側(cè)廠商了解用戶側(cè)的實(shí)際訴求。（一）

零信任從零到一，落地部署面臨多重阻礙零信任的概念產(chǎn)品居多，投入產(chǎn)出比是企業(yè)核心考量點(diǎn)。金融、制造等行業(yè)屬于嚴(yán)謹(jǐn)型行業(yè)，對(duì)新概念產(chǎn)品的引入非常謹(jǐn)慎，為提升企業(yè)效益，企業(yè)在落地零信任時(shí)通常會(huì)有多重考量。一方面，利舊以節(jié)約建設(shè)成本。零信任概念興起之前，企業(yè)在當(dāng)前安全防護(hù)架構(gòu)中已經(jīng)購買并部署了身份、終端和網(wǎng)絡(luò)等安全領(lǐng)域的相關(guān)產(chǎn)品，因此零信25零信任發(fā)展研究報(bào)告（2023年）任的建設(shè)需要考慮如何與企業(yè)已有系統(tǒng)或產(chǎn)品兼容，實(shí)現(xiàn)安全聯(lián)動(dòng)的同時(shí)降低開銷。另一方面，實(shí)際成效是否可量化。一個(gè)新的安全領(lǐng)域概念誕生后，通常會(huì)伴隨著三個(gè)經(jīng)典問題，零信任也不例外：一是，零信任的產(chǎn)出到底是什么。二是，零信任做與不做的區(qū)別是什么。三是，零信任簡(jiǎn)單做和復(fù)雜做的區(qū)別又是什么。可量化的零信任防護(hù)效果更具有事實(shí)意義，勝于萬千落于紙面的優(yōu)勢(shì)與意義。零信任部署跨企業(yè)多部門，明確責(zé)任邊界是建設(shè)第一步。零信任作為安全理念，其落地將涉及身份、終端、網(wǎng)絡(luò)等多安全領(lǐng)域，在傳統(tǒng)安全防護(hù)建設(shè)模式下，企業(yè)在上述領(lǐng)域內(nèi)各有獨(dú)立部門負(fù)責(zé)安全建設(shè)并承擔(dān)安全事件責(zé)任。然而，基于零信任理念的安全防護(hù)建設(shè)模式需要多領(lǐng)域聯(lián)結(jié)共同完成威脅防御和響應(yīng)，出現(xiàn)安全事件無法落實(shí)責(zé)任至單領(lǐng)域部門。即便企業(yè)在部署零信任之初成立一個(gè)總體部門負(fù)責(zé)推進(jìn)零信任建設(shè)事項(xiàng)，但由于零信任涵蓋領(lǐng)域之廣會(huì)使得該部門責(zé)任無限大，因此其不敢包攬全部建設(shè)后的安全責(zé)任，故此企業(yè)在部署零信任之前需明確責(zé)任劃分，否則難以協(xié)同多部門推進(jìn)落地?；诹阈湃蔚慕y(tǒng)一身份管理體系在接管組織內(nèi)老舊系統(tǒng)時(shí)面臨雙重阻礙。組織內(nèi)的老舊系統(tǒng)自身通常具備身份認(rèn)證體系，然而此類系統(tǒng)安全合規(guī)性差，如接口和用戶身份信息均未經(jīng)加密，極易引發(fā)安全問題。組織若想落地零信任，需要梳理清楚組織內(nèi)的身份體系，過程中面臨兩方面困難。一是技術(shù)層面。組織內(nèi)使用的老舊系統(tǒng)復(fù)雜多樣，PMS、OA、CRM和

HR等系統(tǒng)來自不同供應(yīng)商，使用的

SaaS服務(wù)受

license

限制無法改造，即便是自研系統(tǒng)也會(huì)受到?jīng)]有統(tǒng)一標(biāo)準(zhǔn)26零信任發(fā)展研究報(bào)告（2023年）的影響，身份權(quán)限規(guī)則不一致，不同系統(tǒng)中人員權(quán)限不一致，統(tǒng)一身份體系難以接管。二是規(guī)劃設(shè)計(jì)層面。身份作為敏感信息，受體制規(guī)則和組織職能等因素限制，在垂直領(lǐng)域難以打通，因此需要從頂層設(shè)計(jì)角度出發(fā)，解決身份在行政級(jí)別線條與業(yè)務(wù)級(jí)別線條的連貫性。企業(yè)內(nèi)驅(qū)力不足，落地方案難推動(dòng)。業(yè)內(nèi)一句較為經(jīng)典的話“沒有生產(chǎn)標(biāo)準(zhǔn)化零信任產(chǎn)品的廠商，只有完成零信任建設(shè)的企業(yè)”值得深思，其含義是指沒有一家應(yīng)用側(cè)企業(yè)所建設(shè)的零信任是相同的，企業(yè)需要結(jié)合自身需求部署零信任，其所需要的是一系列理論、規(guī)劃、架構(gòu)以及產(chǎn)品交付，單靠供應(yīng)側(cè)廠商無法實(shí)現(xiàn)，需要依靠企業(yè)強(qiáng)大內(nèi)驅(qū)推動(dòng)。一是需要數(shù)字化轉(zhuǎn)型中的企業(yè)在網(wǎng)絡(luò)安全建設(shè)主動(dòng)求變。據(jù)公開數(shù)據(jù)整理統(tǒng)計(jì)，92%的管理者認(rèn)為由企業(yè)內(nèi)部需求驅(qū)動(dòng)向零信任落地效果往往高于政策性驅(qū)動(dòng)的落地效果，因此主動(dòng)求變才能以更積極的心態(tài)面臨變化。二是零信任的建設(shè)不會(huì)一蹴而就，需要接受挑戰(zhàn)與成效并存。零信任的落地是一個(gè)漫長(zhǎng)過程，企業(yè)需要全方面梳理自身脈絡(luò)，梳理的越清晰，效果會(huì)越好。三是需要企業(yè)長(zhǎng)時(shí)間的支持。企業(yè)人員的安全認(rèn)知和配合是關(guān)鍵因素，尤其是領(lǐng)導(dǎo)層面是否意識(shí)到，當(dāng)前企業(yè)面臨的安全威脅已經(jīng)發(fā)生變化，以及領(lǐng)導(dǎo)推動(dòng)零信任的決心是否堅(jiān)定。（二）

微隔離市場(chǎng)向好，用戶看重網(wǎng)絡(luò)分段能力企業(yè)購入微隔離本質(zhì)是對(duì)核心功能的考慮，更理性看待零信任。企業(yè)上云前，通過物理防火墻劃分物理分區(qū)，實(shí)現(xiàn)物理分區(qū)間的訪問控制。企業(yè)上云后，由于云資源的分布式特性，其無法按物理資源進(jìn)27零信任發(fā)展研究報(bào)告（2023年）行分區(qū)，若仍使用物理防火墻進(jìn)行訪問控制，流量需要繞行物理防火墻，因此物理防火墻在云環(huán)境中并不適用。此外，安全組策略可以解決如物理機(jī)和虛擬機(jī)這類工作負(fù)載的訪問控制問題，但無法解決容器的訪問控制，因此需要一種技術(shù)將訪問控制規(guī)則下發(fā)至工作負(fù)載上，實(shí)現(xiàn)工作負(fù)載粒度的訪問控制，這正是微隔離的核心功能。通過位置、環(huán)境和應(yīng)用三維標(biāo)簽，配合云管平臺(tái)，在業(yè)務(wù)人員申請(qǐng)?zhí)摂M機(jī)或容器時(shí)，為工作負(fù)載打上唯一身份標(biāo)識(shí)，并由應(yīng)用系統(tǒng)管理員配置訪問策略，實(shí)現(xiàn)服務(wù)間的權(quán)限最小化。企業(yè)初始采購微隔離看重其宏觀網(wǎng)絡(luò)微觀化能力，零信任概念的火熱并未成為當(dāng)時(shí)企業(yè)購買微隔離的買點(diǎn)。微隔離人力成本耗費(fèi)隨使用時(shí)間增長(zhǎng)持續(xù)下降。微隔離應(yīng)用初期，初始理解與策略配置難度較大，由于傳統(tǒng)邊界防火墻僅管理分區(qū)間流量，區(qū)域間流量簡(jiǎn)單清晰，管理較為簡(jiǎn)易。而部署微隔離后，微隔離對(duì)業(yè)務(wù)涉及所有工作負(fù)載進(jìn)行隔離與控制，需要在工作負(fù)載中安裝代理，因此要求建設(shè)團(tuán)隊(duì)對(duì)云平臺(tái)上所有業(yè)務(wù)都非常清晰，代理識(shí)別到的分區(qū)內(nèi)流量多且復(fù)雜，梳理難度較大，因此初期人力管理成本較高。微隔離應(yīng)用后期，隨著使用時(shí)長(zhǎng)的增長(zhǎng)，應(yīng)用系統(tǒng)內(nèi)工作負(fù)載使用的標(biāo)簽以及安全隔離策略相對(duì)固定，標(biāo)簽配合工作負(fù)載的變化而變化，微隔離的自適應(yīng)特性也能更好地將安全策略與標(biāo)簽匹配，實(shí)現(xiàn)安全策略與業(yè)務(wù)系統(tǒng)本身的變化聯(lián)動(dòng)，完成無人值守處置，人力成本大幅下降。（三）

應(yīng)用價(jià)值受肯定，仍需避免重建設(shè)輕運(yùn)營(yíng)零信任價(jià)值得到企業(yè)肯定。經(jīng)過對(duì)部分政府機(jī)構(gòu)走訪調(diào)研，結(jié)果28零信任發(fā)展研究報(bào)告（2023年）顯示地方政府在開展信息化建設(shè)后，需要對(duì)企業(yè)自身員工身份、供應(yīng)鏈上下游合作伙伴身份和地方政府員工身份的總集以及代碼開放權(quán)限進(jìn)行管理，零信任的應(yīng)用可簡(jiǎn)化管理難度。一是降低代碼流失率，由于參與代碼開發(fā)人員構(gòu)成復(fù)雜，員工安全意識(shí)參差不齊，曾出現(xiàn)誤將內(nèi)部代碼作為開源代碼貢獻(xiàn)至開源網(wǎng)站，通過對(duì)敏感人員行為的實(shí)時(shí)監(jiān)測(cè)，降低內(nèi)部代碼流出的可能性；二是資產(chǎn)管理精確到人，為設(shè)備分配唯一標(biāo)識(shí)，并與身份信息綁定，實(shí)時(shí)監(jiān)測(cè)設(shè)備安全狀態(tài)，落實(shí)安全責(zé)任至個(gè)人；三是個(gè)人效能監(jiān)測(cè)，通過零信任對(duì)終端的實(shí)時(shí)監(jiān)測(cè)能力，收集員工開機(jī)、關(guān)機(jī)和提交代碼等關(guān)鍵節(jié)點(diǎn)時(shí)間信息，對(duì)員工工作效率進(jìn)行監(jiān)測(cè)。零信任高質(zhì)量運(yùn)營(yíng)能力有待提升，需聚焦精細(xì)化安全策略的實(shí)施。大部分落地零信任的企業(yè)都需要長(zhǎng)期使用基于零信任和基于邊界的混合安全防護(hù)架構(gòu)，高質(zhì)量的運(yùn)營(yíng)主要體現(xiàn)在策略的打通與高效使用。一方面，高質(zhì)量運(yùn)營(yíng)需解決網(wǎng)絡(luò)層和應(yīng)用層管控策略的沖突。零信任聚焦對(duì)訪問的過程進(jìn)行動(dòng)態(tài)訪問控制，零信任安全架構(gòu)運(yùn)營(yíng)者應(yīng)統(tǒng)一調(diào)整應(yīng)用