2023零信任技術(shù)應(yīng)用場景

11零信任技術(shù)應(yīng)用（2022）目錄一、零信任發(fā)展背景與產(chǎn)業(yè)生態(tài) 1(一)零信任的誕生及發(fā)展 1(二)零信任戰(zhàn)略價值 2(三)零信任產(chǎn)業(yè)生態(tài)分析 4(四)零信任產(chǎn)業(yè)中的關(guān)鍵角色 5二、零信任總體架構(gòu)及關(guān)鍵技術(shù) 8(一)零信任總體架構(gòu) 8(二)零信任關(guān)鍵技術(shù) 9三、零信任典型應(yīng)用場景 23(一)遠(yuǎn)程辦公 25(二)多云環(huán)境 27(三)多分支機(jī)構(gòu) 32(四)物聯(lián)網(wǎng) 34(五)數(shù)據(jù)中心 37四、零信任工程實施重點與案例 40(一)零信任工程實施方法與要點 40(二)金融行業(yè)應(yīng)用案例 42(三)電信運(yùn)營商行業(yè)應(yīng)用案例 45(四)政府行業(yè)應(yīng)用案例 49(五)國企央企行業(yè)應(yīng)用案例 52(六)醫(yī)療行業(yè)應(yīng)用案例 56、61(一)美國高度重視零信任產(chǎn)業(yè)建設(shè) 61(二)我國逐步推進(jìn)零信任產(chǎn)業(yè)發(fā)展 67六、零信任發(fā)展機(jī)遇與挑戰(zhàn) 68(一)5G場景 69(二)車聯(lián)網(wǎng)場景 70(三)物聯(lián)網(wǎng)場景 72(四)工業(yè)互聯(lián)網(wǎng)場景 73(五)算力網(wǎng)絡(luò)場景 75(六)元宇宙場景 77圖目錄圖目錄11圖1中國零信任產(chǎn)品視圖 7圖2零信任總體架構(gòu) 8圖3零信任綜合安全管理要求框架 22圖4遠(yuǎn)程辦公的總體零信任安全解決方案 26圖5基于CSP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的零信任解決方案 29圖6基于SDP架構(gòu)的零信任解決方案 30圖7基于身份的微隔離零信任解決方案 31圖8多分支機(jī)構(gòu)的總體零信任安全解決方案 33圖9基于行為驗證的評估體系 36圖10物聯(lián)網(wǎng)終端安全接入方案 37圖數(shù)據(jù)中心零信任實踐技術(shù)架構(gòu) 39圖12零信任實施重點架構(gòu)圖 40圖13金融行業(yè)零信任解決方案 44圖14電信運(yùn)營商行業(yè)零信任解決方案 47圖15政府行業(yè)零信任解決方案 50圖16國企央企行業(yè)零信任解決方案 55圖17醫(yī)療行業(yè)零信任解決方案 58圖18車聯(lián)網(wǎng)系統(tǒng)架構(gòu)示意圖 71一、零信任發(fā)展背景與產(chǎn)業(yè)生態(tài)一、零信任發(fā)展背景與產(chǎn)業(yè)生態(tài)11(一)零信任的誕生及發(fā)展PAGEPAGE2(二)零信任戰(zhàn)略價值PAGEPAGE3，將資源僅限于“需要訪問和僅授予執(zhí)行任務(wù)所需的最小權(quán)限”的主體，并對每個訪問請求的身份和安全態(tài)勢進(jìn)行持續(xù)認(rèn)證和授權(quán)。的PAGEPAGE10(三)零信任產(chǎn)業(yè)生態(tài)分析數(shù)據(jù)訪問等各方面的安全產(chǎn)品和架構(gòu)體系。目前業(yè)內(nèi)普遍認(rèn)為軟件定（基于此設(shè)計研發(fā)。軟件定義邊界分離控制面與數(shù)據(jù)面，實現(xiàn)資產(chǎn)隱身，零信任理念投射到架構(gòu)中實現(xiàn)對基于網(wǎng)絡(luò)的攻擊行為的阻斷；身份識別與訪問管理是零信任模型的應(yīng)用基礎(chǔ)，零信任借助實現(xiàn)持續(xù)的動態(tài)認(rèn)證與動態(tài)授權(quán)；微隔離超越年，在向生態(tài)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用程序中，80%將通過零信家、(四)零信任產(chǎn)業(yè)中的關(guān)鍵角色數(shù)據(jù)來源：中國信息通信研究院整理（截至2022年10月）圖1中國零信任產(chǎn)品視圖二、零信任總體架構(gòu)及關(guān)鍵技術(shù)(一)零信任總體架構(gòu)數(shù)據(jù)來源：中國信息通信研究院整理（202210月）2零信任總體架構(gòu)(二)零信任關(guān)鍵技術(shù)1、身份安全。在零信任安全架構(gòu)中，訪問主體包括人員、設(shè)備、應(yīng)用、系統(tǒng)等訪問管理可以提供基于訪問控制模型，如：基于角色的訪問控制2、基礎(chǔ)設(shè)施，對計算資源的使用進(jìn)行全面監(jiān)控。3、網(wǎng)絡(luò)安全4、數(shù)據(jù)安全，在不改變源數(shù)據(jù)的前提下，增加識別泄密者的概率。備份恢復(fù)技術(shù)主要是實現(xiàn)對大數(shù)據(jù)環(huán)境下的特殊數(shù)據(jù)，如元數(shù)據(jù)數(shù)據(jù)在跨網(wǎng)跨域之間進(jìn)行交換，需要對數(shù)據(jù)交換內(nèi)容、交換行為5、應(yīng)用/負(fù)載安全6、安全監(jiān)測與評估應(yīng)急事件處理的這一階段需要實施在調(diào)查過程中確定的環(huán)節(jié)步驟7、安全可視化接入信息、歷史接入信息等態(tài)勢展示。險分布等分析數(shù)據(jù)，進(jìn)行態(tài)勢展示。b）支持形成包括數(shù)據(jù)泄露風(fēng)險、數(shù)據(jù)敏感級別、數(shù)據(jù)訪問模式、越權(quán)操作行為、異常訪問行為等分析數(shù)據(jù)，進(jìn)行態(tài)勢展示。和可視化呈現(xiàn)。b）對數(shù)據(jù)流轉(zhuǎn)過程中的安全事件和訪問行為，按照事件主體、級別、類型、區(qū)域分布、流量信息、處置狀態(tài)等進(jìn)行多維度分析展示。a）對安全事件的蔓延、影響范圍及趨勢進(jìn)行分析結(jié)果展示；b）基于應(yīng)急響應(yīng)的執(zhí)行、流程跟蹤、狀態(tài)反饋、資源對象、安全事件處置情況等數(shù)據(jù)進(jìn)行多維度分析和展示。8、綜合安全管理圖3零信任綜合安全管理要求框架安全風(fēng)險管理重點體現(xiàn)傳統(tǒng)信息安全管理與風(fēng)險管理的綜合要求三、零信任典型應(yīng)用場景表1多場景零信任解決方案分析應(yīng)用場景應(yīng)用技術(shù)關(guān)鍵技術(shù)要素遠(yuǎn)程辦公SDPIAM動態(tài)身份認(rèn)證動態(tài)授權(quán)多云環(huán)境動態(tài)訪問控制網(wǎng)絡(luò)微分段安全可視化多分支機(jī)構(gòu)SDPIAM物聯(lián)網(wǎng)SDPIAM增強(qiáng)型身份認(rèn)證數(shù)據(jù)中心(一)遠(yuǎn)程辦公1、遠(yuǎn)程辦公的安全需求自2020年新冠疫情爆發(fā)之后，遠(yuǎn)程辦公已成為主流的辦公方式之一，其靈活便捷的特性讓企業(yè)員工可以隨時隨地辦公，大大降低了疫情防控的風(fēng)險，提升了企業(yè)辦公效率的同時壓縮了公司運(yùn)營成本。遠(yuǎn)程辦公雖提升了工作的便利性，但其潛在的安全問題還是影響并制約著它的發(fā)展:系統(tǒng)安全：在線會議、文檔協(xié)作等辦公場景下的系統(tǒng)安全功能不完備，系統(tǒng)自身安全漏洞，安全配置不適配等問題，加大了遠(yuǎn)程辦公安全威脅。數(shù)據(jù)安全：在遠(yuǎn)程協(xié)作的辦公模式下，原本存放于數(shù)據(jù)中心的數(shù)據(jù)通過各類會議軟件、網(wǎng)絡(luò)通道在員工的個人終端流動、存儲，致使企業(yè)內(nèi)部網(wǎng)絡(luò)對外暴露風(fēng)險增大，重要敏感業(yè)務(wù)數(shù)據(jù)泄露風(fēng)險加大。設(shè)備安全：遠(yuǎn)程辦公的設(shè)備絕大多數(shù)為用戶自由設(shè)備，在接入遠(yuǎn)程辦公系統(tǒng)時，由于未采取適當(dāng)?shù)陌踩雷o(hù)策略，極易被惡意軟件攻破，導(dǎo)致權(quán)限濫用、數(shù)據(jù)泄露等風(fēng)險引入內(nèi)部網(wǎng)絡(luò)。個人信息安全：遠(yuǎn)程辦公系統(tǒng)在用戶接入系統(tǒng)時，通常會采集用戶的個人信息以進(jìn)行核對，所有的個人信息（如：通訊信息、健康情況、地址信息等）會進(jìn)行統(tǒng)一的存儲，即存在被濫采、濫用和泄露的風(fēng)險。2、遠(yuǎn)程辦公的零信任解決方案零信任側(cè)重數(shù)據(jù)保護(hù)，可形成一種端到端的網(wǎng)絡(luò)安全體系，對身份、憑據(jù)、訪問管理、操縱、終端、托管環(huán)境與關(guān)聯(lián)基礎(chǔ)設(shè)施等進(jìn)行安全防護(hù)，合理的應(yīng)用零信任架構(gòu)可以很好的解決上述遠(yuǎn)程辦公中出現(xiàn)的問題。圖4遠(yuǎn)程辦公的總體零信任安全解決方案1、遠(yuǎn)程辦公系統(tǒng)嵌套在企業(yè)內(nèi)網(wǎng)資源里選擇安全可靠的遠(yuǎn)程辦公系統(tǒng)供應(yīng)商，并對其安全能力、應(yīng)急響應(yīng)能力、安全信譽(yù)等進(jìn)行審核，通過審核之后將其嵌套進(jìn)企業(yè)內(nèi)網(wǎng)中。當(dāng)員工應(yīng)用遠(yuǎn)程辦公系統(tǒng)的時候需先進(jìn)行身份安全審查，隨后通過企業(yè)軟件定義邊界網(wǎng)關(guān)訪問對應(yīng)系統(tǒng)資源。研發(fā)自有遠(yuǎn)程辦公系統(tǒng)，并配套應(yīng)用單點登錄方式進(jìn)行安全鑒別，公網(wǎng)系統(tǒng)采用雙因子認(rèn)證進(jìn)行用戶身份核實，再按照不同的用戶身份分別提供不同的訪問方式。2、確保數(shù)據(jù)傳輸鏈路雙向加密通信mTLS，建立加密傳輸隧道，確保數(shù)據(jù)在運(yùn)算、傳輸、存儲的全生命周期內(nèi)，時時刻刻處于密文狀態(tài)，有效防止數(shù)據(jù)泄露，形成數(shù)據(jù)的全面安全保護(hù)。3、增加設(shè)備風(fēng)險檢測機(jī)制對員工的自有接入設(shè)備加強(qiáng)防護(hù)，提升自有設(shè)備的安全可靠SIEM管理設(shè)備日志和事件，通過集成其它第三方數(shù)據(jù)作為設(shè)備合規(guī)性策略和設(shè)備條件訪問規(guī)則的信息源，來檢測設(shè)備風(fēng)險。4、使用多因子認(rèn)證方式保護(hù)身份信息安全驗證用戶身份除了靜態(tài)口令，還可以增加動態(tài)口令、短信驗證碼等其他認(rèn)證因素，實現(xiàn)多因子認(rèn)證，提高身份認(rèn)證的安全性；采用硬件密鑰或生物認(rèn)證，大幅提升安全性。采用基于身份的訪問控制，實現(xiàn)從用戶、終端到業(yè)務(wù)系統(tǒng)（URL級別）的精細(xì)化訪問控制，縮小攻擊面和訪問面，以最小化訪問權(quán)限管理進(jìn)一步縮小暴露面。(二)多云環(huán)境1、多云環(huán)境的安全需求/、服務(wù)（Service）以及承載這些應(yīng)用和服務(wù)的工作負(fù)載（Workload）2、多云環(huán)境的零信任解決方案所圖5基于CSP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的零信任解決方案6圖6基于SDP架構(gòu)的零信任解決方案任與傳統(tǒng)基于網(wǎng)絡(luò)的零信任架構(gòu)不同，基于身份的微隔離將傳統(tǒng)的在給每個工作負(fù)載賦予唯一的不可篡改的身份后，用安全編排器圖7基于身份的微隔離零信任解決方案(三)多分支機(jī)構(gòu)1、多分支機(jī)構(gòu)的安全需求運(yùn)維管理難度升級：分支機(jī)構(gòu)的應(yīng)用讓可接入用戶和設(shè)備數(shù)增加2、多分支機(jī)構(gòu)的零信任解決方案圖8多分支機(jī)構(gòu)的總體零信任安全解決方案1、在傳統(tǒng)安全能力的基礎(chǔ)上建立零信任網(wǎng)絡(luò)架構(gòu)應(yīng)用零信任網(wǎng)絡(luò)安全架構(gòu)，集成傳統(tǒng)安全能力，如漏洞攻擊防護(hù)2、應(yīng)用層準(zhǔn)入，減小攻擊面3、簡化網(wǎng)絡(luò)架構(gòu)，提升運(yùn)維管理能力，對用戶及資源的訪問控制進(jìn)行了標(biāo)準(zhǔn)化。4、分布式提升效率(四)物聯(lián)網(wǎng)1、物聯(lián)網(wǎng)的安全需求物聯(lián)網(wǎng)與互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)差異大：由于物聯(lián)網(wǎng)設(shè)備配置通常較。2、物聯(lián)網(wǎng)的零信任解決方案因此物聯(lián)網(wǎng)的零信任解決方案需具備以下幾點：圖9基于行為驗證的評估體系圖10物聯(lián)網(wǎng)終端安全接入方案(五)數(shù)據(jù)中心1、數(shù)據(jù)中心的安全需求、日志審計等部分；，很容易被惡意代碼鉆空子直接利用開放的端口進(jìn)行通信。2、數(shù)據(jù)中心的零信任解決方案圖11數(shù)據(jù)中心零信任實踐技術(shù)架構(gòu)四、零信任工程實施重點與案例(一)零信任工程實施方法與要點零信任工程實施重點包括以下五點，即甄別業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)角色圖12零信任實施重點架構(gòu)圖1、甄別業(yè)務(wù)數(shù)據(jù)和業(yè)務(wù)角色和角色的定義，對業(yè)務(wù)數(shù)據(jù)進(jìn)行不同角色的最小化授權(quán)。2、關(guān)聯(lián)敏感數(shù)據(jù)流量和業(yè)務(wù)應(yīng)用程序4、持續(xù)性監(jiān)控，動態(tài)策略執(zhí)行5、關(guān)注安全架構(gòu)帶來的業(yè)務(wù)成果(二)金融行業(yè)應(yīng)用案例背景介紹客戶痛點VPN和云桌面自身存在安全漏洞靜態(tài)授權(quán)機(jī)制無法實時響應(yīng)風(fēng)險解決方案概述圖13金融行業(yè)零信任解決方案方案價值訪問控制基于身份而非網(wǎng)絡(luò)位置業(yè)務(wù)訪問基于應(yīng)用層代理而非網(wǎng)絡(luò)層隧道信任基于持續(xù)評估而非人為預(yù)置解決方案對終端、用戶等訪問主體進(jìn)行持續(xù)風(fēng)險感知和信任評估訪問權(quán)限基于動態(tài)調(diào)整而非靜態(tài)賦予(三)電信運(yùn)營商行業(yè)應(yīng)用案例背景介紹4A對內(nèi)部資源進(jìn)行訪問控制，然而隨4A面臨安全挑戰(zhàn)?？蛻敉袋c1）4A采用的基于邊界的模型中，位置決定信任程度。它認(rèn)為安全區(qū)域內(nèi)的用戶在默認(rèn)情況下是受信任的，這使得用戶擁有過高的訪問權(quán)限，導(dǎo)致過度信任。認(rèn)證過程中，用戶和設(shè)備沒有進(jìn)行綁定，可能存在身份信息被盜用、或使用存在未知風(fēng)險設(shè)備等安全事件，4A提供的單一的用戶身份認(rèn)證難以保證訪問過程安全可控。在訪問過程中，設(shè)備、資源或網(wǎng)絡(luò)的狀態(tài)可能變得不安全，用戶也可能存在誤操作，4A無法收集這些風(fēng)險信息，并據(jù)此對訪問權(quán)限進(jìn)行動態(tài)調(diào)整。隨著電信網(wǎng)云化，遠(yuǎn)程訪問的需求不斷增加，提供遠(yuǎn)程訪問VPN設(shè)備頻繁暴露出高危漏洞，且其采用“先連接，后認(rèn)證”的開放式資源訪問模式，最大化的將內(nèi)網(wǎng)資源暴露給了攻擊者。解決方案概述4A平臺的基礎(chǔ)上，通過增加設(shè)備注冊、預(yù)認(rèn)證、風(fēng)險數(shù)據(jù)采集、持續(xù)信任評估、動態(tài)訪問控制4A平臺，實現(xiàn)了網(wǎng)絡(luò)隱身、VPN設(shè)備、實時審計等功能。保證遠(yuǎn)程接入易用性的同時，提升了運(yùn)維管理的安全性。某運(yùn)營商新增的零信任組件包含三個部分—可信訪問客戶端、可信訪問控制網(wǎng)關(guān)、持續(xù)信任評估中心。圖14電信運(yùn)營商行業(yè)零信任解決方案144A平臺系統(tǒng)架構(gòu)由“兩層三區(qū)”組成，兩層分為控制層和數(shù)據(jù)層，數(shù)據(jù)層面主要完成主客體之間的數(shù)據(jù)轉(zhuǎn)發(fā)，控制層面主要完成訪問前期的風(fēng)險識別、訪問過程中的持續(xù)風(fēng)險與信任評估以及動態(tài)授權(quán)、訪問事后的審計等；三區(qū)分為可信訪問區(qū)、零信任安全管控核心基礎(chǔ)能力區(qū)、集中運(yùn)維區(qū)，下面分別介紹各區(qū)域的核心功能：可信訪問區(qū)：可信訪問區(qū)由“可信訪問客戶端”和“可信訪問控制網(wǎng)關(guān)”構(gòu)成，在所有訪問主體對目標(biāo)客體資源進(jìn)行訪問之前，都必須要通過“可信控制網(wǎng)關(guān)”的預(yù)認(rèn)證。預(yù)認(rèn)證的目的是確認(rèn)用戶及其終端是否安全可信。在確認(rèn)是合法用戶和終端后，建立“可信訪問客戶端”與“可信訪問控制網(wǎng)關(guān)”的加密隧道，為后續(xù)的訪問行為做準(zhǔn)備。同時，“可信訪問客戶端”會采集客戶端的相關(guān)數(shù)據(jù)，通過零信任核心基礎(chǔ)能力模塊進(jìn)行持續(xù)信任評估，并將分析得到的控制策略通過“可信控制網(wǎng)關(guān)”執(zhí)行。零信任安全管控核心基礎(chǔ)能力區(qū)：核心基礎(chǔ)功能區(qū)涵蓋了身份管理、終端管理、資產(chǎn)管理、認(rèn)證管理、授權(quán)管理、審計管理、持續(xù)信任評估中心，既是基礎(chǔ)功能區(qū)，又是核心功能區(qū)。其中，持續(xù)信任評估模型模塊主要通過多維度的數(shù)據(jù)分析，根據(jù)制定出的專家規(guī)則、機(jī)器學(xué)習(xí)模型，持續(xù)的在信任與風(fēng)險中做出科學(xué)決策；動態(tài)決策授權(quán)模塊中，根據(jù)風(fēng)險評估等級，執(zhí)行訪問控制策略，實現(xiàn)動態(tài)的決策授權(quán)。由安全管控平臺提供的剩余模塊也需在原有功能的基礎(chǔ)上進(jìn)行完善。集中運(yùn)維區(qū)：集中運(yùn)維區(qū)包括運(yùn)維堡壘、被訪問的應(yīng)用資源和系統(tǒng)資源。方案價值提高遠(yuǎn)程訪問安全性排除接入終端安全風(fēng)險杜絕權(quán)限濫用實現(xiàn)審計與授權(quán)的閉環(huán)管理(四)政府行業(yè)應(yīng)用案例背景介紹某市大數(shù)據(jù)發(fā)展管理局一直來在以大數(shù)據(jù)賦能智慧城市、智慧國企、智慧健康等方面走在前列，已建成的一體化智能化公共數(shù)據(jù)平臺為該市下屬的委辦單位、企業(yè)、公眾提供良好的大數(shù)據(jù)業(yè)務(wù)支撐服務(wù)，以數(shù)據(jù)智能賦能數(shù)字經(jīng)濟(jì)和民生?？蛻敉袋c十四五規(guī)劃中，數(shù)據(jù)相關(guān)產(chǎn)業(yè)將成為未來中國發(fā)展建設(shè)的重點部署領(lǐng)域，相關(guān)的數(shù)據(jù)安全也變得更加重要。隨著數(shù)據(jù)開放面逐漸擴(kuò)大、數(shù)據(jù)訪問量不斷增加，某市大數(shù)據(jù)發(fā)展管理局預(yù)見到了開放共享過程中潛在的數(shù)據(jù)安全防護(hù)及溯源問題，例如數(shù)據(jù)訪問無法追溯到最終用戶、API自身脆弱性帶來的安全配置錯誤及注入風(fēng)險、API異常高頻訪問帶來的數(shù)據(jù)暴露風(fēng)險等，為此某市大數(shù)據(jù)局啟動了一體化智能化公共數(shù)據(jù)平臺零信任安全防護(hù)體系的建設(shè)任務(wù)，并引入某網(wǎng)絡(luò)安全公司作為零信任安全供應(yīng)商。解決方案概述基于零信任的理念，本次方案強(qiáng)調(diào)“從不信任、始終驗證”，在業(yè)務(wù)訪問的全流程中引入身份認(rèn)證的能力，對管控的客體對象“用戶”“應(yīng)用”的身份進(jìn)行持續(xù)校驗，并針對防護(hù)對象API資源，實現(xiàn)“先認(rèn)證、再授權(quán)、再訪問”的管控邏輯，通過為公共數(shù)據(jù)平臺構(gòu)建虛擬身份安全邊界，最大程度上收窄公共數(shù)據(jù)平臺的暴露面，保障業(yè)務(wù)安全開展。圖15政府行業(yè)零信任解決方案某市一體化智能化公共數(shù)據(jù)平臺零信任安全防護(hù)體系由以下幾個關(guān)鍵組件構(gòu)成：PDP，維護(hù)用戶清單、應(yīng)SSO系統(tǒng)，并負(fù)責(zé)零信任體系內(nèi)訪問控制API安全代理的控制。其中用戶清單來源于所在省數(shù)IDaaS、某政釘?shù)榷嘣从脩羯矸菽夸浀暮喜?，追蹤和更新?2萬余用戶信息的變化，所有用戶具有唯一標(biāo)識，用戶清單為零UEBA行為分析引擎提供信息；應(yīng)用清單維護(hù)所有接入零信任體系的應(yīng)用系統(tǒng)的身份信息，通過與某市建設(shè)的目錄系統(tǒng)聯(lián)動，實現(xiàn)全網(wǎng)應(yīng)用身份統(tǒng)一，并為應(yīng)用生成零信任安全接入工具；資源清單維護(hù)所有要保護(hù)的客體對象信息（在溫州場景下即API接口資源），通過手動配置或從流量中分析的方式建立。APIPEP，以“默認(rèn)拒絕”的模式接管所有面向公共數(shù)據(jù)平臺的訪問請求，針對每條請求進(jìn)行身份鑒別和權(quán)限鑒別，僅放行通過統(tǒng)一控制臺驗證的合法請求，同時API安全防護(hù)能力。UEBA行為分析引擎：負(fù)責(zé)采集零信任體系中的用戶行為數(shù)據(jù)，并對用戶行為、應(yīng)用行為進(jìn)行大數(shù)據(jù)建模匹配分析，為統(tǒng)一控制臺的訪問控制策略指定提供輸入依據(jù)。方案價值統(tǒng)一身份、安全認(rèn)證收縮資源暴露面全流量加密API安全代理為所有訪問公共數(shù)據(jù)平臺的請求加載TLS加密通道API調(diào)用行為分析API敏感信息監(jiān)控及溯源(五)國企央企行業(yè)應(yīng)用案例背景介紹客戶是全球最大的國際工程承包商之一，積極參與一帶一路建設(shè)客戶痛點VPN無法滿足“應(yīng)用隱身”終端安全缺乏有效管控應(yīng)用訪問權(quán)限缺乏有效管控公網(wǎng)訪問質(zhì)量差解決方案概述該產(chǎn)品方案由五大組件構(gòu)成：可信終端（client）安全網(wǎng)關(guān)（gateway）。管控平臺（controller）內(nèi)網(wǎng)連接器（connector）部署在企業(yè)內(nèi)部網(wǎng)絡(luò)中，反向主動與安全網(wǎng)關(guān)建立安全加密連接，實現(xiàn)實際業(yè)務(wù)安全請求與響應(yīng)。分布式安全&傳輸網(wǎng)絡(luò)（platform），提升用戶訪問體驗。圖16國企央企行業(yè)零信任解決方案方案價值應(yīng)用隱身，消除攻擊風(fēng)險持續(xù)驗證，動態(tài)授權(quán)應(yīng)用訪問提速與性能優(yōu)化輕量化部署，可視化平臺統(tǒng)一管控，實現(xiàn)高效運(yùn)維(六)醫(yī)療行業(yè)應(yīng)用案例背景介紹某市中醫(yī)院成立于1956年，是某市中醫(yī)藥大學(xué)附屬某市中醫(yī)院客戶痛點“解決方案概述17醫(yī)療行業(yè)零信任解決方案環(huán)等明確云內(nèi)核心資產(chǎn)，是實現(xiàn)零信任安全模型的基礎(chǔ)，從內(nèi)向PDCA的循環(huán)中，這是一個動態(tài)的過程，需一步步圍繞現(xiàn)有以及未來增加的數(shù)據(jù)計算核心資產(chǎn)，來劃分MCAP(MicroCoreAccessPerimeter)進(jìn)行防護(hù)，采用NFV技術(shù)，在進(jìn)行深度安全防護(hù)時，計算資源依舊寶貴、稀缺、按需對虛機(jī)進(jìn)行防護(hù)。學(xué)習(xí)和可視。初期采用旁路虛擬網(wǎng)絡(luò)流量到某網(wǎng)絡(luò)安全公司微隔離產(chǎn)品，也可以暫時設(shè)為全通策略。每次學(xué)習(xí)和可視的周期最好大于正常的業(yè)務(wù)周期，利用某網(wǎng)絡(luò)安全公司微隔離產(chǎn)品的可視化能力，刻畫云內(nèi)虛機(jī)之間的通信軌跡，有哪些應(yīng)用、有沒有威脅。對各個應(yīng)用系統(tǒng)之間數(shù)據(jù)和服務(wù)交互情況，云內(nèi)威脅情況．管理員需有實際的認(rèn)識。確定低授權(quán)策略。根據(jù)學(xué)習(xí)可視階段的成果制定接下來的防護(hù)策略，比如MCAP如何劃分，MCAP間全局的訪問控制策略和一些已知高危漏洞的防護(hù)策略，MCAP的劃分可以有多種方式，比如說按照應(yīng)用的部門進(jìn)行劃分，也可以按照一類虛機(jī)進(jìn)行防護(hù)，把一類虛機(jī)作為高危資源，設(shè)定防護(hù)策略。在這些防護(hù)策略的制定上，除了在某網(wǎng)絡(luò)安全公司微隔離產(chǎn)品上進(jìn)行相關(guān)防護(hù)外．也可以結(jié)合外部的下一代防火墻一同進(jìn)行協(xié)調(diào)配合。比如在外部防火墻上可以對不同的外包服務(wù)商設(shè)定VPN賬號，將該賬號與可訪問內(nèi)部虛機(jī)進(jìn)行限定。同時對不同外包供應(yīng)商負(fù)責(zé)的虛機(jī)，分別再劃分MCAP，設(shè)定最低授權(quán)策略。到下一個PDCA周期的時候，安全管理員可以將外包供應(yīng)商登陸VPN的情況，某網(wǎng)絡(luò)安全公司微隔離產(chǎn)品可以行到的MCAP內(nèi)部，MCAP之間通信情況、威脅情況，在統(tǒng)一的時間維度上進(jìn)行分析。借助某網(wǎng)絡(luò)安全公司微隔離產(chǎn)品的策略助手，可以學(xué)習(xí)MCAP需要配置的安全策略，并邀請主機(jī)管理員、應(yīng)用開發(fā)人員一起，循序漸進(jìn)，設(shè)定好每個MACP的最低授權(quán)策略，避免錯誤設(shè)置，也避免不敢設(shè)置導(dǎo)致的漏洞。制定實施的計劃。協(xié)調(diào)相關(guān)部門進(jìn)行防護(hù)的實施。微隔離技術(shù)在初次實施部署時，由于涉及到一些計算資源和網(wǎng)絡(luò)資源，需要網(wǎng)絡(luò)安全部門和系統(tǒng)部門進(jìn)行細(xì)致的協(xié)調(diào)配合，確定最佳的上線時間和協(xié)調(diào)相關(guān)的資源。在系統(tǒng)上線之后，明確實施計劃和細(xì)節(jié)，在應(yīng)用、系統(tǒng)部門進(jìn)行通告和協(xié)調(diào)、避免可能帶來的業(yè)務(wù)風(fēng)險。實施。實施之后，將會回到第一和第二步，一方面檢查策略是否實施有效，另外是重新審視內(nèi)部情況，制定下一步的行動計劃，采用循序漸進(jìn)的思路，在云內(nèi)實現(xiàn)零信任安全模型。方案價值DNA更精準(zhǔn)的最低授權(quán)策略更清晰的流量、威脅可視化更高的性能和可擴(kuò)展性更高的安全生產(chǎn)力五、零信任相關(guān)政策分析(一)美國高度重視零信任產(chǎn)業(yè)建設(shè)互聯(lián)網(wǎng)的迅速發(fā)展帶來了一些隱藏的弊端，其中最為嚴(yán)重的就是頻繁出現(xiàn)的網(wǎng)絡(luò)攻擊，其攻擊范圍橫跨基礎(chǔ)設(shè)施、企業(yè)和各國政府，因此強(qiáng)化網(wǎng)絡(luò)防御，推進(jìn)網(wǎng)絡(luò)安全架構(gòu)的實施成為了維護(hù)國家網(wǎng)絡(luò)安全的必經(jīng)之路。美國作為世界科技強(qiáng)國也無法從強(qiáng)勢的網(wǎng)絡(luò)攻擊中幸免遇難，2021年5月9日，美國最大的燃油管道公司ColonialPipeline遭遇勒索軟件攻擊后，網(wǎng)絡(luò)運(yùn)營終端被迫關(guān)停，迫使美國政府宣布進(jìn)入緊急狀態(tài)，該事件不僅讓該公司擔(dān)負(fù)高額的贖金換回盜走的100G數(shù)據(jù)，還造成了美國多軸燃油短缺、民眾瘋搶汽油的現(xiàn)象。這些惡意網(wǎng)絡(luò)攻擊讓美國政府重新審視了網(wǎng)絡(luò)安全的重要性，他們意識到原先單純的網(wǎng)絡(luò)問題在科技高速發(fā)展后已經(jīng)逐漸成為可以威脅國家安全的高危問題，美國政府全面開展零信任戰(zhàn)略規(guī)劃，對零信任安全建設(shè)不斷加大投入。美國先手成立多個零信任專項研究小組，研究零信任技術(shù)創(chuàng)新和部署應(yīng)用。目前，美國國安局、國防部等已經(jīng)開始投入資金部署零信任架構(gòu)，推進(jìn)基于零信任的底層數(shù)字化基礎(chǔ)設(shè)施建設(shè)和產(chǎn)業(yè)供給能力構(gòu)建，助力美國把控零信任國際產(chǎn)業(yè)，形成絕對性優(yōu)勢。專欄1美國零信任推進(jìn)進(jìn)程2019年4月18日，美國技術(shù)委員會-工業(yè)咨詢委員會（ACT-IAC）發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢》（《ZeroTrustCybersecurityCurrentTrends》）報告，該文件詳細(xì)的介紹了零信任的定義和研究的價值，從零信任部署的步驟到政府目前面臨的零信任的挑戰(zhàn)進(jìn)行了詳細(xì)的剖析，從零信任技術(shù)和服務(wù)的技術(shù)成熟度與可用性兩個角度進(jìn)行了評估，一方面掌握了市場上支持零信任的實際工具并確定了尚未實現(xiàn)的概念化能力，另一方面集中于信任算法并為聯(lián)邦機(jī)構(gòu)提供該方向的開展建議，提供零信任技術(shù)在政府中的適用性評估結(jié)果。2019年7月，美國國防創(chuàng)新委員會在《通往零信任安全之路》（《TheRoadtoZeroTrust(Security)》）白皮書中剖析了當(dāng)前網(wǎng)絡(luò)安全對于國家安防的重要性，并將傳統(tǒng)邊界安全架構(gòu)與零信任安全架構(gòu)進(jìn)行對比，并突出了零信任網(wǎng)絡(luò)內(nèi)部無信任的理念，最后督促軍方盡快實施零信任架構(gòu)，并從如何實施到技術(shù)實施的有效性進(jìn)行了深入分析。2019年9月，美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）發(fā)布了《零信任架構(gòu)》草案（SP800-207），以對外征求意見，從零信任架構(gòu)的定義與邏輯組件到部署場景與方案進(jìn)行了詳細(xì)介紹，并對潛在困難和國家政策進(jìn)行了相應(yīng)的分析，旨在為未來開展更多研究以及零信任相關(guān)內(nèi)容標(biāo)準(zhǔn)化進(jìn)行鋪墊，對各組織機(jī)構(gòu)制定與實施的零信任安全戰(zhàn)略提供幫助。2019年10月24日，美國國防創(chuàng)新委員會（DIB）發(fā)布《零信任架構(gòu)（ZTA）建議》（ZeroTrustArchitecture(ZTA)Recommendations）再次對國防部在零信任實施層面的工作進(jìn)行施壓，強(qiáng)烈建議國防部將零信任實施列為最高優(yōu)先事項。報告核心圍繞零信任實施的緊迫性和影響范圍進(jìn)行闡述，同時認(rèn)定零信任架構(gòu)是美國國防部網(wǎng)絡(luò)安全架構(gòu)的推進(jìn)方向，無論是涉密網(wǎng)還是非密網(wǎng)終將使用全網(wǎng)統(tǒng)一的零信任架構(gòu)。2020212日，NIST程并提醒美國政府可以盡快采用并將現(xiàn)有網(wǎng)絡(luò)架構(gòu)過渡到零信任架構(gòu)。對取了足夠的經(jīng)驗教訓(xùn)，其中美國國家安全局（NSA）、國防信息系統(tǒng)局（DISA）和網(wǎng)絡(luò)司令部聯(lián)合啟動的針對“零信任”技術(shù)的試點項目取得了些許成果，這些成果將被應(yīng)用在零信任技術(shù)與美國國防部體系的融合中，這套新的網(wǎng)絡(luò)安全體系能夠?qū)﹃P(guān)鍵系統(tǒng)的網(wǎng)絡(luò)攻擊活動進(jìn)行預(yù)防、監(jiān)測、響應(yīng)和恢復(fù)。2020811日，NIST在官網(wǎng)上發(fā)布了（SP）800-207終版本，從零信任架構(gòu)的基本組成部分、零信任用例、與零信任相關(guān)的威脅以及聯(lián)邦機(jī)構(gòu)的其他零信任建議進(jìn)行了詳細(xì)的闡述，其中提及了零信任是規(guī)劃、部署和運(yùn)營信息技術(shù)架構(gòu)所依據(jù)的一系列原則，細(xì)化了零信任架構(gòu)的核心組件并明確重點保護(hù)的是資源而不是網(wǎng)絡(luò)段，此外該文件對需要更多研究和標(biāo)準(zhǔn)化以促進(jìn)采用網(wǎng)絡(luò)安全戰(zhàn)略的領(lǐng)域的差異分析。這份文件不僅為風(fēng)險IT人員了解自己在零信任架構(gòu)遷移中的角色演變。202212月，NISTSP1800-35《零信任架構(gòu)（ZTA）》草案，指出零資源進(jìn)行安全授權(quán)訪問，同時使員工和合作伙伴能夠隨時隨地從任何設(shè)備訪問資源，以支持組織的業(yè)務(wù)運(yùn)營。2021年零信任相關(guān)戰(zhàn)略計劃2021225日，美國國家安全局（NSA）發(fā)布《擁抱零信任安全模型指南》，作為美國情報局的中流砥柱，此次指南的發(fā)表標(biāo)志著美國軍方對零信任架構(gòu)推行已經(jīng)達(dá)成全面共識、雖實施過程中將面臨眾多源自管理和技術(shù)兩個層面的挑戰(zhàn)，美方會持續(xù)推進(jìn)對涉密網(wǎng)和非密網(wǎng)統(tǒng)一的零信任架構(gòu)的探NSA重要程度不可言喻。2021年4月底，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA)）和NIST聯(lián)合發(fā)布《防御軟件供應(yīng)鏈攻擊》報告，提供了與軟件供應(yīng)鏈攻擊相關(guān)的定義及實際案例，針對可能存在的風(fēng)險提出了利用當(dāng)下行業(yè)最佳實踐解決安全問題的建議。文中提及到一種緩解漏軟件及相關(guān)漏洞帶來的影響的方式就是在基于主機(jī)的防火墻或代理上實施基于端點的微分段，其中微分段可以作為零信任架構(gòu)的一部分。2021512日，面對勒索軟件對美國能源供應(yīng)商的嚴(yán)重網(wǎng)絡(luò)攻擊，美國總統(tǒng)拜登簽署《改善國家網(wǎng)絡(luò)安全的行政命令》，其中包含了九項關(guān)鍵舉她們對于提高國家網(wǎng)絡(luò)安全防御能力的決心。2021513日，美國國防信息系統(tǒng)局（DISA）在其官網(wǎng)宣布公開發(fā)布初始國防部（DoD）零信任參考架構(gòu)，從背景、零信任參考架構(gòu)的戰(zhàn)略目的、原則、技術(shù)地位與模式等方向進(jìn)行了介紹，旨在為國防部增強(qiáng)網(wǎng)絡(luò)安全并在數(shù)字戰(zhàn)場上保持信息優(yōu)勢。國防部再零信任的實現(xiàn)上劃分了三個階段，按照基線、中級和高級劃分了成熟度級別，并按照用戶、設(shè)備、網(wǎng)絡(luò)/7劃分。20218CISA的重要性。202197日，美國管理與預(yù)算辦公室（OMB）發(fā)布了《聯(lián)邦零信任戰(zhàn)略》——施，試圖威脅公共安全與隱私，損害美國經(jīng)濟(jì)并削弱民眾對政府的信任程明顯提升了云基礎(chǔ)架構(gòu)的安全優(yōu)勢同時降低了相關(guān)風(fēng)險。同期，網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布了《零信任成熟度模型》、《云安全20215月拜登總統(tǒng)簽署發(fā)布的關(guān)于加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全的執(zhí)行令，構(gòu)建了聯(lián)邦各級機(jī)構(gòu)的網(wǎng)絡(luò)安全2024IT服務(wù)及雇員轉(zhuǎn)化為零信任戰(zhàn)略中能夠動員起來、而且相互協(xié)同的組成單元，幫助聯(lián)邦政府實IT現(xiàn)代化目標(biāo)。202111月，美國國防信息系統(tǒng)局（DISA）Thunderdome（雷霆穹頂）SASE演進(jìn)，零信任工作正式進(jìn)入落地試點階段，以SASE為核心的架構(gòu)體系將替代聯(lián)合區(qū)域安全棧（JRSS）中間層安全方案。DISAThunderdome零信任實施方案的25SD-WAN5000個用戶的試點范圍。20221管理辦公室（ZTPfMO），負(fù)責(zé)統(tǒng)籌國防部的零信任整體執(zhí)行情況，協(xié)調(diào)資源分配的優(yōu)先順序，并通過多個行動方案加快零信任理念的落地。126日，美國管理和預(yù)算辦公室（OMB）發(fā)布《聯(lián)邦政府零信任戰(zhàn)略》ZeroTrustStrategy）正式版，在之前草案稿的基礎(chǔ)上對部分表述進(jìn)行了調(diào)整。202234CISA發(fā)布基于零信任架構(gòu)的企業(yè)移動安全計劃，該的參照，以幫助各機(jī)構(gòu)實現(xiàn)企業(yè)移動性，從而實現(xiàn)其零信任目標(biāo)。2022年8月，美國空軍發(fā)布新的臨時戰(zhàn)略草案《空軍首席信息官公共戰(zhàn)略（20232028財年）景，包括實施零信任、加速云采用以及利用數(shù)據(jù)和人工智能。該戰(zhàn)略列出了六大努力方向，包括：加速云采用；網(wǎng)絡(luò)安全的未來；建立人才管理戰(zhàn)略；ITIT和任務(wù)支持服務(wù)；數(shù)據(jù)和人工智能。202210月，美國陸軍發(fā)布了《2022年陸軍云計劃》，美陸軍提出了擴(kuò)大七大戰(zhàn)略目標(biāo)，明確了新一年的發(fā)展方向。202211月，美國國防部發(fā)布《零信任戰(zhàn)略》和《國防部零信任能力執(zhí)行(COA1)》，《零信任戰(zhàn)略》闡述了部署零信任架構(gòu)的四項綜合戰(zhàn)略目標(biāo)：一是培養(yǎng)零信任文化，二是防護(hù)國防部信息系統(tǒng)，三是加速推動國防部零信任技術(shù)發(fā)展，四是賦能國防部零信任工作?！秶啦苛阈湃文芰?zhí)行(COA1)2023520275年時間，實現(xiàn)高級零信任能力建設(shè)，其中目標(biāo)級別零信任是所有國防部機(jī)構(gòu)都必須實現(xiàn)的水平，而高級零信任是特定的機(jī)構(gòu)基于其系統(tǒng)和信息的敏感程度所需要達(dá)到的水平。20232023110日，美國陸軍成立了零信任功能管理辦公室，加速實施零信任戰(zhàn)略。該辦公室將與陸軍網(wǎng)絡(luò)卓越中心、CIO/G6、NetworkCFT、FORSCOM、物資司令部等部門開展緊密合作，落實零信任戰(zhàn)略，將重點加強(qiáng)“建立一支經(jīng)過零信任培訓(xùn)”的干部隊伍。2023年3月14日，美國國家安全局發(fā)布《提升用戶層面零信任成熟度（AdvancingZeroTrustMaturitythroughouttheUserPillar）》，詳細(xì)描述了零信任成熟度模型中用戶層面的功能組件和發(fā)展階段要求，旨在指導(dǎo)系統(tǒng)運(yùn)營方完善其身份、憑證與訪問管理（ICAM）能力，有效抵御特定網(wǎng)絡(luò)威脅技術(shù)手段。2023年4月，CISA發(fā)布了零信任成熟度模型（ZeroTrustMaturity，ZTMM）2.0版本，對跨多個關(guān)鍵支柱（身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用和工作負(fù)載、數(shù)據(jù)）的聯(lián)邦機(jī)構(gòu)實施指南進(jìn)行了更新，以協(xié)助聯(lián)邦機(jī)構(gòu)制定零信任戰(zhàn)略和實施計劃。(二)我國逐步推進(jìn)零信任產(chǎn)業(yè)發(fā)展在美國系列戰(zhàn)略規(guī)劃的影響下，我國逐步意識到零信任的潛在價值，以高校為首的研究機(jī)構(gòu)聯(lián)合國內(nèi)網(wǎng)絡(luò)安全廠商對零信任整體架構(gòu)與相關(guān)技術(shù)開展了深入研究。在新冠疫情的催化下，遠(yuǎn)程辦公的安全問題逐步引起了政府乃至國家的關(guān)注，針對零信任我國出臺了部分政策文件鼓勵其發(fā)展，并逐步推進(jìn)零信任相關(guān)研究與試點實驗項目落地。我國零信任標(biāo)準(zhǔn)建設(shè)進(jìn)程在產(chǎn)業(yè)各方的推動下也不斷加快。2020年8月全國信息技術(shù)標(biāo)準(zhǔn)化及技術(shù)委員會提出《信息安全技術(shù)零信任參考體系架構(gòu)》國標(biāo)立項。2021年起，中國通信學(xué)會組織開展了《零信任能力成熟度模型》、《零信任軟件定義邊界技術(shù)規(guī)范國內(nèi)零信任產(chǎn)業(yè)整體發(fā)展還尚處于初期階段，缺乏系統(tǒng)性的戰(zhàn)略布局，未形成針對性的發(fā)展路線，零信任規(guī)?；渴饘嵺`仍存一定挑戰(zhàn)，但我國高度重視網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展，未來也將從宏觀層面助力零信任為代表的網(wǎng)絡(luò)安全創(chuàng)新技術(shù)的高速發(fā)展。202120212月，《北京市“十四五”時期智慧城市發(fā)展行動綱要》在第五項主要”中提出，“建立健全與智慧城市發(fā)展相匹配的數(shù)據(jù)安全治理體系，探索構(gòu)建零信任框架下的數(shù)據(jù)訪問安全機(jī)制。”將零信任作為北京“十四五”發(fā)展規(guī)劃中的關(guān)鍵技術(shù)之一。2021年7月，工信部出臺《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）（征求意見稿）》，做出“加快開展零信任網(wǎng)絡(luò)安全體系研發(fā)”和“推動零信任技術(shù)應(yīng)用”的部署安排。2020年起，在工信部發(fā)布的“網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范項目名單”、“大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點示范項目名單”等名單專欄1中國助力相關(guān)零信任產(chǎn)業(yè)構(gòu)建政策文件六、零信任發(fā)展機(jī)遇與挑戰(zhàn)(一)5G場景。1、零信任在5G網(wǎng)絡(luò)演進(jìn)中的發(fā)展機(jī)遇內(nèi)掃描和合規(guī)性檢測。2、零信任在5G網(wǎng)絡(luò)應(yīng)用中面臨的挑戰(zhàn)，所以需要引入自動化的運(yùn)維模式。(二)車聯(lián)網(wǎng)場景圖18車聯(lián)網(wǎng)系統(tǒng)架構(gòu)示意圖1、零信任在車聯(lián)網(wǎng)的發(fā)展機(jī)遇（車聯(lián)網(wǎng)云平臺的微隔離采用的開源和商業(yè)軟件的供應(yīng)鏈安全管理的終端安全2、零信任在車聯(lián)網(wǎng)應(yīng)用面臨的主要挑戰(zhàn)千雖6(三)物聯(lián)網(wǎng)場景智能家居，未來的智慧城市，智慧農(nóng)牧業(yè)將以物聯(lián)網(wǎng)IoT為基礎(chǔ)年1、零信任在物聯(lián)網(wǎng)發(fā)展中的機(jī)遇2、零信任在物聯(lián)網(wǎng)應(yīng)用中面臨的挑戰(zhàn)(四)工業(yè)互聯(lián)網(wǎng)場景1、零信任在工業(yè)互聯(lián)網(wǎng)發(fā)展中的機(jī)遇零信任安全架構(gòu)在工業(yè)互聯(lián)網(wǎng)安全防護(hù)的應(yīng)用前景主要包括，對所有訪問工業(yè)互聯(lián)網(wǎng)平臺、工控設(shè)備、邊緣數(shù)據(jù)、企業(yè)資源的請求，進(jìn)行認(rèn)證、授權(quán)和加密，其中認(rèn)證包括對用戶和通用、工控設(shè)備的全面驗證。對來自工業(yè)企業(yè)工業(yè)內(nèi)網(wǎng)層、邊緣層、云平臺層、互聯(lián)網(wǎng)層的所有訪問進(jìn)行信任評估和動態(tài)訪問控制，且對每一次訪問請求進(jìn)行不限于終端環(huán)境、用戶操作風(fēng)險、網(wǎng)絡(luò)風(fēng)險、外部威脅等因素的實時風(fēng)險評估，根據(jù)評估結(jié)果進(jìn)行動態(tài)訪問控制，實現(xiàn)對工業(yè)互聯(lián)網(wǎng)安全保障能力的提升。2、零信任在工業(yè)互聯(lián)網(wǎng)應(yīng)用中面臨的挑戰(zhàn)InternetOT網(wǎng)絡(luò)可能無法徹底隔離，無法應(yīng)用零信任的微隔離方法，需要進(jìn)行更強(qiáng)的身份認(rèn)證和持續(xù)的安全監(jiān)控，將會增加方案的復(fù)雜度。OT網(wǎng)絡(luò)上的傳統(tǒng)制造生產(chǎn)和控制系統(tǒng)/工作站無法安裝端點安全軟件，只能依靠網(wǎng)絡(luò)訪問控制和安全監(jiān)控，但因為高可用的要求，在工控網(wǎng)絡(luò)只能夠在線部署安全監(jiān)控設(shè)備仍然會倍受質(zhì)疑，如何在保證高可用和低延遲的前提下實現(xiàn)零信任安全需要創(chuàng)新的解決方案。OTIoTOT裝置不再