1　零信任正跨越鸿沟，解决市场具体问题至关重要

（1）零信任技术跨越“鸿沟”，面临多重挑战需克服

“跨越鸿沟”理论是杰弗里·摩尔提出的一项技术采纳生命周期模型，该模型描述了新技术或新产品从创新者群体扩散至早期采纳者，并最终进入大众市场的复杂过程。在这一系列阶段中，“鸿沟”阶段尤为重要，它代表了新技术或产品在从早期市场向主流市场过渡时所面临的重大障碍。目前，零信任正面临着跨越一系列关键“鸿沟”的挑战：

用户认知方面，用户对于零信任的认知不断提高，但是仍有小部分用户认为零信任与VPN之间没有区别。中国信通院调研结果显示，有69.44%的零信任供应侧企业在拓客时感觉用户对零信任的认知变好，无需过多解释零信任能带来的优势，可直接与应用侧企业进行PoC（Proof of Concept，概念验证）或沟通落地事宜。但仍有25%的零信任供应侧企业在拓客时感觉用户对零信任的认知变化不多，仍然需要解释零信任概念、优势等，甚至无法区分VPN与零信任。

资金投入方面，一是预算有限，难以持续投入。零信任的部署是一个渐进式的过程，有限的预算使得用户在持续投入和扩大零信任建设方面显得力不从心，难以充分满足长期建设和维护的需求。二是零信任替换成本较高，投资回报率不高。许多企业已经建立了较为完善的安全防护体系，替换为零信任意味着需要放弃原有的安全产品或和已有的安全产品进行集成，不仅会面临技术兼容性和业务连续性等方面的挑战，还会带来额外的成本支出，特别是在高度集成化或自研比例较高的环境中，零信任的实施成本高，回报率未达到预期。

成效评估方面，一是客户侧对零信任的战略认知难在高层达成共识。这主要源于零信任理念的新颖性和实践复杂性，以及不同高层管理者对安全战略和业务目标的认知差异，同时，零信任战略的实施需要跨部门的紧密协作，这也增加了高层达成共识的难度。二是难以验证零信任部署效果。安全体系的构建成效通常考虑四项能力，互联互通、自动化编排、全局管控及快速恢复能力，然而上述四项能力难以得到验证，互联互通要求零信任产品与用户环境的安全系统实现接口与消息的统一；自动化编排要求用户环境具备智能化的安全工具与工作流程；全局管控需要全方位、多层次的监控和管理；快速恢复作为最重要的安全能力，是四项能力中需要优先实现的能力，但该能力的验证需要对技术故障进行模拟，然而故障模拟的构造难度较大。

员工体验方面，一是资源访问产生延迟，流畅度降低。由于零信任架构需要实时、动态地评估用户的身份、设备、位置和行为等因素，这可能导致在访问资源时出现一定的延迟，影响了用户的工作效率和流畅度。二是员工担忧隐私泄露。零信任架构要求持续监控用户的访问行为和设备状态，员工担忧自己的个人信息和隐私被过度收集和使用，从而对零信任产生抵触情绪。

（2）用户或有意或不经意正在使用零信任理念解决安全问题

Gartner发布的2024年中国安全技术成熟度曲线显示，零信任网络访问已进入稳步爬升的中期，与2023年（处于稳步爬升初期）和2022年（处于泡沫破裂低谷期）相比，零信任在中国的应用逐步提升。零信任从概念初现行至今日已有十多年，目标客户也从追求技术方案革新，到以解决问题和风险为导向，期望零信任能够解决具体场景下的业务问题。2024年中国信通院调研了零信任供应侧企业主要服务的行业，调研结果显示零信任供应侧企业服务最多的行业是信息技术服务业，其次是政府机关和电信业，制造业与金融业并列第四。其中，交通业零信任供应能力增幅较大，2024年近半数零信任供应侧企业能为交通业提供安全服务。此外，调研的样本数量也有增长，表明2024年有更多企业进入零信任赛道。各零信任供应侧企业也在积极拓宽自己服务能力，使用零信任产品解决行业用户安全痛点。

来源：中国信通院

图1 2021年与2024年零信任供应侧企业解决方案主要服务的行业对比

用户并不一定期望其安全架构彻底变为零信任，而是从切实需求出发选择零信任。从广义的实现“零信任”理念方面来看，用户未必一定要使用SDP、增强的IAM、MSG等技术，只要遵循最小权限授权、基于身份授权等原则实现即可，过去很多用户是按照这样的原则规划访问控制、隔离或授权体系。然而，专业的零信任产品所提供的核心能力，可以帮助用户解决过去依靠手工难以解决、无法持续的问题，使得安全体系在零信任的框架下得以运行下去。一是在全面精细可视的基础上，通过零信任策略对脆弱性风险进行最大程度的缓解。银行业受业务运行限制漏洞无法全量修补，高危端口无法尽数封禁，解决办法是使用白名单网络策略限制“带洞运行”资产的访问，需要零信任“可视化”能力的辅助，微隔离可以提供细粒度的连接信息和访问控制，令用户可以在“近源”“近站”侧全面、精准地学习流量、最小权限地控制流量，辅助用户生成收敛漏洞攻击面的最小权限策略。二是解决动态的边界防护需求。能源央企核心业务系统与其他业务系统混部部署，初时，上百个工作负载手动下发主机防火墙策略，然而在弹性需求增多的当下并不适用，弹性扩容的环境中，零信任可以“基于业务属性标识资产身份”，基于资产的身份自动将拉起后的工作负载动态的划入至其应属的防护边界内部。三是解决策略统一管理需求。制造业企业工控上位机（生产线上控制机械臂的电脑）被勒索后导致全面停工，初期通过手工定义策略的方式下发黑名单策略封禁端口，后期为了追求更佳效果，8人团队耗费18个月将黑名单转换为白名单模式，然而后续的人力、精力无法支撑。而零信任的策略决策点能够批量、自动编排多个策略执行点上的策略，从而提升运维效率，确保安全策略可落地、可持续。

2　国内外相关政策与标准涌现，驱动产业规范发展

面对不断演变的网络安全形势和业务需求，零信任在政策的推动、市场的引导以及厂商的积极实践下，不断拓宽应用边界，释放出独有的价值，为数字经济的发展提供安全保障，为企业的数字化转型保驾护航。

（1）国际零信任政策推动全球网络安全战略加速实施

全球加速布局零信任安全战略，推动网络安全领域深刻变革。如表1所示，自2019年起，美国陆续发布零信任指导建议、计划等推动零信任在美落地，其他国家也纷纷在零信任领域展开布局，提升各自的网络安全防护能力。美国方面，近两年，美国在零信任战略的实施上取得了显著进展，2023年2月7日，DoD（美国国防部）发布了第五版《国防部网络安全参考架构（CSRA）》，制定了与国防部零信任战略密切相关的新目标；2024年6月4日，DoD发布了《国防部零信任覆盖》文件，是DoD为实现零信任战略而发布的重要指导文件，该文件首次对DoD在国防企业范围内实施零信任的方式进行了标准化，全面描述了实施路径、控制措施以及预期成果，规定实施零信任控制的分阶段方法，并指导系统架构师和授权官员开展零信任差距分析；2024年10月31日，美国联邦政府发布了《联邦零信任数据安全指南》，该指南强调以保护数据本身为中心，而非保护数据边界，汇集了30多个联邦机构和部门的数据和安全专家的意见，提供了零信任数据安全原则，并给出了实施指导和风险管理方法，旨在帮助联邦机构保护其敏感数据资产，并降低数据泄露和其他安全事件的风险。欧盟方面，2023年1月13日，《关于在欧盟全境实现高度统一网络安全措施的指令》（NIS2指令）正式生效，指令中提出所有关键实体应实施零信任安全模型，包括身份验证、授权和访问控制等措施，并制定了执法和制裁措施。英国方面，2023年2月，NCSC（英国国家网络安全中心）发布了《零信任：构建混合资产指南1.0》，为解决零信任不兼容问题提出建构一种新的“混合资产架构”，通过零信任代理和托管虚拟专用网络两种方法实现其访问，保持整个系统的零信任安全优势。澳大利亚方面，2023年10月，澳大利亚政府发布《2023-2030年网络安全战略》，将零信任作为网络安全的核心战略，保护政府数据和数字资产。上述举措体现了各实体正通过政策引导和技术实践，加速推进零信任的应用，以应对日益复杂的网络安全挑战。

表1 国外零信任相关政策

（2）国内加大政策推动，多层级标准建立产业规范

国家政策支持为零信任发展提供方向指引。目前我国正在从政策层面积极地推动零信任技术的发展与应用，通过发布一系列指导意见，加快相关标准的研制，为零信任技术的普及与深化提供了坚实的政策保障与支持，具体表现为：标准推动方面，2024年5月17日，中央网信办、公安部、交通运输部、应急管理部等10部门联合印发《关于实施公共安全标准化筑底工程的指导意见》，提出针对新技术新应用带来的风险挑战和具体问题，加快研制人工智能安全、云安全技术、安全可信认证、区块链共识机制、零信任等标准。技术创新方面，2024年9月27日，国家数据局发布《关于促进数据产业高质量发展的指导意见（征求意见稿）》，提出在数据安全方面，要加强多因子身份认证、端到端加密、零信任安全等技术创新，发展数据安全监测预警、数据合规检测、人工智能数据安全等服务业态。

多省份将零信任技术视为数字建设的关键，用以强化数据安全防护。据不完全统计，近年来我国各省市在数字建设与发展规划中均强调零信任安全技术的运用，如表2所示。一是强化关键领域数据安全，从北京市的智慧城市行动纲要，到山东省、湖南省、辽宁省等多地的数字发展规划，均明确提出探索或应用零信任机制以增强数据安全与网络防护，各地政策不仅强调探索零信任安全机制，还积极推动其在金融、政务、工业互联网等关键领域的部署应用。二是提升数据安全防护效能，福建省、河南省等地区计划建设基于零信任的数字身份与访问管理安全设施，并积极推动这一新技术在各业务场景中的实际应用，通过持续的技术优化和场景适配，不断提升数据安全防护的效能与智能化水平。零信任安全技术已成为我国数字建设的重要一环，对保障数据安全、提升网络防护能力起到了关键作用。

表2 国内各省市零信任相关政策

我国已从多层级启动零信任标准研究，协助建立产业规范。为落实国家网络信息安全相关要求，我国已从多层级开展零信任标准研究。国家标准方面，我国网络安全领域首个规范零信任理念的国家标准GB/T43696-2024《网络安全技术零信任参考体系架构》，2024年11月1日正式施行。行业标准方面，一是由中华人民共和国工业和信息化部发布的行业标准《零信任安全技术参考框架》《面向云计算的零信任体系第1部分：总体架构》《面向云计算的零信任体系第2部分：关键能力要求》《面向云计算的零信任体系第3部分：安全访问服务边缘能力要求》和《面向云计算的零信任体系第6部分：数字身份安全能力要求》均已开始实施。二是中国通信标准化协会正在开展《面向云计算的零信任成熟度评价模型》标准的研究工作。

摘自：中国通信标准化协会—云计算标准和开源推进委员会和中国信息通信研究院《零信任发展洞察报告》

摘自《自动化博览》2025年1月刊