中國信通院：網絡安全先進技術與應用發展系列報告零信任技術（Zero Trust）[54頁].pdf

《中國信通院：網絡安全先進技術與應用發展系列報告零信任技術（Zero Trust）[54頁].pdf》由會員分享，可在線閱讀，更多相關《中國信通院：網絡安全先進技術與應用發展系列報告零信任技術（Zero Trust）[54頁].pdf（54頁珍藏版）》請在三個皮匠報告上搜索。

1、中國信息通信研究院安全研究所中國信息通信研究院安全研究所 奇安信科技集團股份有限公司奇安信科技集團股份有限公司 20202020 年年 8 8 月月 網絡安全先進技術與應用發展系列報告網絡安全先進技術與應用發展系列報告 零信任技術零信任技術( (Zero TrustZero Trust) ) （20202020 年）年） 版權聲明版權聲明 本報告版權屬于中國信息通信研究院本報告版權屬于中國信息通信研究院、奇安信科技集團、奇安信科技集團 股份有限公司股份有限公司，并受法律保護。轉載、摘編或利用其它方式，并受法律保護。轉載、摘編或利用其它方式 使用本報告文字或者觀點的，應注明“來源：中國信息通信使

2、用本報告文字或者觀點的，應注明“來源：中國信息通信 研究院研究院、 奇安信科技集團股份有限公司、 奇安信科技集團股份有限公司” 。 違反上述聲明者，” 。 違反上述聲明者， 將追究其相關法律責任。將追究其相關法律責任。 rQsNqQoRsNpNwOpQsOpQtQaQ9R6MpNnNnPnNjMnNxPeRoPoM7NoPzRvPoOnRNZsQrR 前前 言言 隨著全球數字化轉型的逐漸深入，在“云大物移智工”等新技術 發展支撐下，零信任從原型概念加速演進，成為新一代信息技術安全 架構。在過去的 2019 年，國內零信任從概念走向落地，零信任安全 架構以其兼容移動互聯網、物聯網、5G 等新興應

3、用場景，支持遠程 辦公、多云環境、多分支機構、跨企業協同等復雜網絡架構，受到各 界青睞，從產品研制、解決方案到應用試點示范，到逐步探索完善適 應不同場景的零信任應用實踐。進入 2020 年以來，在“新基建”和 疫情的雙重刺激下， 零信任作為一種可支撐未來發展的最佳業務安全 防護方式，成為我國網絡安全界的焦點。 本報告聚焦零信任發展，從技術、產業、應用和實踐四個維度進 行剖析： 技術部分包含零信任安全架構定義和關鍵技術的最新研究成 果；產業部分介紹了國內外產業發展、標準化等方面的最新進展；應 用部分匯集遠程辦公、大數據中心、云計算、物聯網和 5G 應用等核 心應用場景的零信任解決方案建議； 實踐

4、部分聚焦零信任規劃與部署， 介紹零信任實施經驗。最后以零信任建議和展望總結全文，希望通過 本書幫助更多的人理解和實踐零信任，加快推進零信任創新發展，為 以新基建為代表的數字化轉型保駕護航。 目目 錄錄 一、零信任技術和產業發展現狀 . 1 （一）零信任核心原則 . 2 （二）零信任安全架構及組件 . 4 （三）零信任關鍵技術 . 7 （四）國外產業發展及應用規劃 . 10 （五）國內零信任概念走向落地 . 12 二、零信任應用場景 . 14 （一）遠程辦公 . 14 （二）大數據中心 . 18 （三）云計算平臺 . 22 （四）物聯網 . 26 （五）5G 應用 . 30 三、零信任實施建議

5、. 34 （一）使用范圍 . 34 （二）實施規劃 . 38 （三）技術實現 . 40 四、零信任思考和展望 . 46 圖圖 目目 錄錄 圖 1 零信任概念演進歷程圖 . 2 圖 2 零信任架構總體框架圖 . 4 圖 3 基于零信任架構的遠程辦公安全參考架構 . 18 圖 4 數據中心內部訪問流程示意圖 . 21 圖 5 數據中心安全接入區案例示意圖 . 22 圖 6 基于零信任架構的云計算平臺安全參考架構 . 26 圖 7 基于設備指紋的物聯邊緣網關零信任方案示意圖 . 30 圖 8 零信任實施技術路線示意圖 . 41 表表 目目 錄錄 表 1 零信任解決方案市場供應商分析 . 11 表 2

6、 5G 架構下的主要對象 . 31 表 3 5G 架構下的風險來源 . 31 表 4 5G 架構下的攻擊情況 . 31 表 5 5G 典型攻擊行為案例 . 32 零信任技術（Zero Trust） （2020 年） 1 一、零信任技術和產業發展現狀 近年來， 中央地方高度重視新型基礎設施建設 （簡稱 “新基建” ） ， 國家高層會議密集提及新基建，各省積極推動新基建項目集中開工。 作為新基建三大領域之一的信息基礎設施， 成為數字經濟的關鍵乃至 整個經濟社會的神經中樞，其安全性、敏捷性、穩定性等將對新基建 安全發展產生至關重要的影響。因此，在主動擁抱新基建的同時，首 先應當系統性地評估網絡安全的

7、準備工作是否到位。 隨著新一代信息 技術的快速演進，新技術態勢下的網絡安全威脅和風險不斷涌現、擴 散，移動互聯網、物聯網、工業互聯網、車聯網等新型應用場景致使 物理網絡安全邊界逐步瓦解，用戶、設備、業務、平臺等多樣化趨勢 不可阻擋，新場景疊加的安全風險不容忽視。為了應對逐漸復雜的網 絡環境，一種新的網絡安全技術架構零信任逐步走入公眾視野，其 創新性的安全思維契合數字基建新技術特點， 著力提升信息化系統和 網絡的整體安全性，受到了廣泛關注，并被寄予厚望。 零信任雛形最早源于 2004 年成立的 Jericho Forum1，其成立目的 是尋求網絡無邊界化趨勢下的全新安全架構及解決方案。2010

8、年， Forrester2的分析師約翰 金德維格正式提出了 “零信任”（Zero Trust） 一詞 3。隨著業界對零信任理論和實踐的不斷完善，零信任從原型概 念向主流網絡安全技術架構逐步演進， 從最初網絡層微分段的范疇開 1 Jericho Forum：耶利哥論壇，成立于 2004 年，公益論壇 2 Forrester：弗雷斯特研究公司，成立于 1983 年，技術和市場調研公司 3 S. Rose et al., Zero Trust Architecture, National Institute of Standards and Technology (NIST) Draft (2nd)

9、 Special Publication 800-207, Gaithersburg, Md., February 2020. Available: https:/nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207- draft2.pdf. 零信任技術（Zero Trust） （2020 年） 2 始，逐步演變成為覆蓋云環境、大數據中心、微服務等眾多場景的新 一代安全架構。 圖 1 零信任概念演進歷程圖 （一）零信任核心原則（一）零信任核心原則 零信任網絡：在不可信網絡中構建安全系統一書中，作者使 用如下五句話對零信任安全

10、進行了抽象概括： 網絡無時無刻不處于危險的環境中。 網絡中自始至終存在外部或內部威脅。 網絡位置不足以決定網絡的可信程度。 所有的設備、用戶和網絡流量都應當經過認證和授權。 安全策略必須是動態的，并基于盡可能多的數據源計算而來 4。 簡而言之，零信任的核心思想是：默認情況下，企業內外部的任默認情況下，企業內外部的任 何人、事、物均不可信，應在授權前對任何試圖接入網絡和訪問網絡何人、事、物均不可信，應在授權前對任何試圖接入網絡和訪問網絡 4【美】埃文吉爾曼（Evan Gilman） 、道格巴特（Doug Barth） ，零信任網絡：在不可信網絡中構建安 全系統，人民郵電出版社，北京，2019 年

11、 7 月 零信任技術（Zero Trust） （2020 年） 3 資源的人、事、物進行驗證資源的人、事、物進行驗證。 基于對零信任安全框架的理解， 可將零信任架構的原則歸納如下： （1）將身份作為訪問控制的基礎將身份作為訪問控制的基礎：零信任的信任關系來自于對 所有參與對象的身份驗證。 所有參與對象共同構成端到端信任關系的 基礎，這些參與對象包括基礎網絡、設備、用戶、應用等。零信任架 構為所有對象賦予數字身份， 基于身份而非網絡位置來構建訪問控制 體系。 （2）最小權限原則最小權限原則：零信任架構強調資源的使用按需分配，僅 授予執行任務所需的最小特權，同時限制了資源的可見性。通過使用 端口隱

12、藏等技術手段， 默認情況下資源對未經認證的訪問主體不可見。 授權決策時將人員、 設備、 應用等實體身份進行組合， 形成訪問主體。 針對主體的組合信息和訪問需求， 以及信任評估和權限策略計算情況， 確定是否授予訪問權限。 （3）實時計算訪問控制策略實時計算訪問控制策略：授權決策依據主體的身份信息、 權限信息、環境信息、當前主體信任等級等，通過將這些信息進行實 時計算，形成訪問控制策略。在資源訪問過程中，一旦授權決策依據 發生了變化，將重新進行計算分析，必要時即時變更授權決策。 （4）資源受控安全訪問資源受控安全訪問：零信任架構對所有業務場景、所有資 源的每一個訪問請求進行強制身份識別和授權判定，

13、 確認訪問請求的 權限、信任等級符合安全策略要求后才予以放行，實施會話級別的細 粒度訪問控制。零信任默認網絡互聯環境是不安全的，要求所有的訪 問連接都必須加密。 零信任技術（Zero Trust） （2020 年） 4 （5）基于多源數據進行信任等級持續評估基于多源數據進行信任等級持續評估：主體信任等級是零 信任授權決策的判定依據之一，主體信任等級根據實時多源數據，如 身份、權限、訪問日志等信息計算得出，參與計算的數據種類越多， 數據的可靠性越高，信任等級的評估就越準確。人工智能技術的迅猛 發展為信任評估賦能，通過專家系統、模型訓練、機器學習等人工智 能技術，緊扣應用場景，提升信任評估策略計算

14、效率，實現零信任架 構在安全性、可靠性、可用性、安全成本等方面的綜合平衡。 （二）零信任安全架構及組件（二）零信任安全架構及組件 參考美國國家標準與技術研究院NIST特別出版物SP800-207 零 信任架構定義的零信任體系架構，結合零信任的實踐探索，本報告 將零信任架構的總體框架歸納如下： 圖 2 零信任架構總體框架圖 零信任秉承“從不信任并始終驗證”的安全原則，對訪問主體和 訪問客體之間的數據訪問和認證驗證進行處理， 并將訪問行為實施平 零信任技術（Zero Trust） （2020 年） 5 面分解為用于網絡通信控制的控制平面和用于應用程序通信的數據 平面。訪問主體通過控制平面發起的訪問

15、請求，由信任評估引擎、訪 問控制引擎實施身份認證和授權，一旦訪問請求獲得允許后，系統動 態配置數據平面，訪問代理接受來自訪問主體的流量數據，建立一次 性的安全訪問連接。信任評估引擎將持續進行信任評估，把評估數據 提供給訪問控制引擎進行零信任策略決策運算， 判斷訪問控制策略是 否需要改變，如有需要及時通過訪問代理中斷連接，快速實施對資源 的保護。 1.核心組件 （1）信任評估引擎 零信任架構中實現持續信任評估能力的核心組件之一， 與訪問控 制引擎聯動，持續為其提供主體信任等級評估、資源安全等級評估以 及環境評估等評估數據，作為訪問控制策略判定依據。 （2）訪問控制引擎 持續接收來自信任評估引擎的

16、評估數據，以會話為基本單元，秉 承最小權限原則，對所有的訪問請求進行基于上下文屬性、信任等級 和安全策略的動態權限判定， 最終決定是否為訪問請求授予資源的訪 問權限。 （3）訪問代理 零信任架構的數據平面組件， 是動態訪問控制能力的策略執行點。 零信任技術（Zero Trust） （2020 年） 6 訪問代理攔截訪問請求后， 通過訪問控制引擎對訪問主體進行身份認 證，對訪問主體的權限進行動態判定。訪問代理將為認證通過、并且 具有訪問權限的訪問請求，建立安全訪問通道，允許主體訪問被保護 資源。當訪問控制引擎判定訪問連接需要進行策略變更時，訪問代理 實施變更，中止或撤銷會話。 2.身份安全基礎設

17、施 身份安全基礎設施是實現零信任架構的關鍵支撐組件， 甚至可以 說，零信任架構借助現代身份管理平臺實現對人/設備/系統的全面、 動態、智能的訪問控制。身份管理和權限管理為訪問控制提供所需的 基礎數據來源， 其中身份管理實現各種實體的身份化及身份生命周期 管理，權限管理實現對授權策略的細粒度管理和跟蹤分析。典型的身 份安全基礎設施包括：PKI5系統、身份管理系統、數據訪問策略等。 身份基礎設施可以是企業的 4A6、IAM7、AD8、LDAP9、PKI 等 基礎設施，也可以是企業的人力資源等業務系統。隨著企業規模的發 展，企業人員、設備、權限都會越來越龐大，零信任架構的身份基礎 設施需要能滿足現代

18、 IT10環境下復雜、高效的管理要求。作為零信任 架構的支撐組件，還需要支持數字證書，提供生物特征、電子憑證等 多模式身份鑒別，并結合身份管理，對主體和客體進行有效性驗證。 5 PKI：Public Key Infrastructure，公鑰基礎設施 6 4A：認證 Authentication、授權 Authorization、賬號 Account、審計 Audit，統稱為統一安全管理平臺解 決方案 7 IAM：Identity and Access Management，身份與訪問管理 8 AD：Active Directory，活動目錄 9 LDAP：Lightweight Direct

19、ory Access Protocol，輕型目錄訪問協議 10 IT：Internet Technology，信息技術，用于管理和處理信息所采用的各種技術的總稱 零信任技術（Zero Trust） （2020 年） 7 3.其他安全分析平臺 企業現有的安全平臺建設成果，為零信任提供資產狀態、規范性 要求、運行環境安全風險、威脅情報等數據。綜合大量的日志信息能 夠支撐零信任實現持續的動態評估。其中，典型的其他安全分析平臺 包括： 終端防護與響應系統、 安全態勢感知分析系統、 行業合規系統、 威脅情報源、安全信息和事件管理系統等。 （三）零信任關鍵技術（三）零信任關鍵技術 1.現代身份與訪問管理技

20、術 現代身份與訪問管理技術通過圍繞身份、權限、環境、活動等關 鍵數據進行管理與治理的方式，確保正確的身份、在正確的訪問環境 下、基于正當的理由訪問正確的資源?，F代身份與訪問管理技術主要 包括身份鑒別、授權、管理、分析和審計等，是支撐企業業務和數據 安全的重要基礎設施。 隨著數字化轉型的進一步深化，用戶訪問關系更加復雜，新型服 務和設備的需求與日俱增。比如用戶從企業雇員、外包員工，發展到 合作伙伴、顧客等；設備涵蓋手機、平板電腦、可穿戴設備等各種物 聯網設備；此外，同一個用戶可能使用多臺設備，這些都增加了用戶 和設備管理的難度。同時，大量企業、機構辦公地點遍布全國，甚至 全世界， 地理位置分散導

21、致身份和訪問管理系統需要遵守不同地區關 于數據隱私保護、數據留存等方面的法律要求。 業務系統自身的技術架構和環境也在發生變化，例如，越來越多 零信任技術（Zero Trust） （2020 年） 8 的 IT 基礎設施和業務應用云服務化， 可擴展的混合 IT 環境已成為主 流的系統運行環境。傳統靜態、封閉的身份和訪問管理機制已經不能 滿足現代信息系統對身份與訪問管理的要求，即：確保正確的人或 “物” ， 出于正確的原因， 能夠在正確的時間、 正確的地點， 從正確的 設備中獲取到正確的資源（應用、數據等） 。 采用現代身份與訪問管理技術構建的智能身份管理平臺， 具有敏 捷和靈活的特點，適配各種新

22、技術應用場景。零信任具備高級分析能 力，能夠應對外部攻擊、內部威脅、身份欺詐等各種安全威脅，并通 過采用動態的策略，實現持續自我完善，不斷調整以滿足新的業務、 技術和安全性要求。 2.軟件定義邊界技術 SDP11技術旨在通過軟件的方式，在“移動+云”的時代背景下， 為企業構建起虛擬邊界， 利用基于身份的訪問控制以及完備的權限認 證機制，為企業應用和服務提供隱身保護，使網絡黑客因看不到目標 而無法對企業的資源發動攻擊，有效保護企業的數據安全。 SDP 具有五大特點： （1）網絡隱身：SDP 應用服務器沒有對外暴露的 DNS12、IP13地 址或端口，必須通過授權的 SDP 客戶端使用專有的協議才

23、能進行連 接，攻擊者無法獲取攻擊目標。 （2）預驗證：用戶和終端在連接服務器前必須提前進行驗證， 11 SDP：Software Defined Perimeter，軟件定義邊界 12 DNS：Domain Name System，域名系統（服務）協議 13 IP：Internet Protocol，網絡之間互連的協議 零信任技術（Zero Trust） （2020 年） 9 確保用戶和設備的合法性。 （3）預授權：根據用戶不同的職能以及工作需求，依據最小權 限原則， SDP 在設備接入前對該用戶授予完成工作任務所需的應用和 最小訪問行為權限。 （4）應用級的訪問準入：用戶只有應用層的訪問權限

24、，理論上 無法獲取服務器的配置、 網絡拓撲等其他信息， 無法進行網絡級訪問。 （5）擴展性：除采用特殊協議對接 SDP 服務器以外，其他訪問 依然基于標準的網絡協議，可以方便的與其它安全系統集成。 3.微隔離技術 微隔離（Micro-segmentation） （又稱軟件定義隔離、微分段）最 早由 Gartner14在其軟件定義的數據中心相關技術體系中提出。 對數據 中心而言，主要有南北向流量和東西向流量：南北向流量是指通過網 關進出數據中心的流量； 東西向流量是指數據中心內部服務器彼此相 互訪問的內部流量。 傳統防護模式通常采用防火墻作為南北向流量的 安全防護手段，一旦攻擊者突破防護邊界，缺

25、少有效的安全控制手段 用來阻止東西向流量之間的隨意訪問。 隨著東西向流量占比越來越大， 微隔離技術應運而生，其作為一種網絡安全技術，重點用于阻止攻擊 者在進入企業數據中心網絡內部后的東西向移動訪問。 從廣義上講，微隔離就是一種更細粒度的網絡隔離技術，使用策 略驅動的防火墻技術（通常是基于軟件的）或者網絡加密技術來隔離 14 Gartenr，高德納咨詢公司，成立于 1979 年，信息技術研究和分析公司 零信任技術（Zero Trust） （2020 年） 10 數據中心、公共云 IaaS15和容器，在邏輯上將數據中心劃分為不同的 安全段，每個段包含混合場景中的不同工作負載、應用和進程，可以 為每

26、個段定義安全控制和所提供的服務。此外，數據中心往往包括海 量的節點，頻繁變化帶來的工作量不可預估，傳統的人工配置模式已 無法滿足管理的需求， 自動適應業務變化的策略計算引擎是微隔離成 功的關鍵。 （四）國外產業發展及應用規劃（四）國外產業發展及應用規劃 近年來，零信任在國際上的應用已經越來越廣泛，零信任產業已 初具規模。 Google16、 Microsoft17等業界巨頭率先在企業內部實踐零信 任并推出完整解決方案；Duo18、OKTA19、Centrify20、Ping Identity21 為代表的身份安全廠商當仁不讓，推出“以身份為中心”的零信任方 案；Cisco22、Akamai23

27、、Symantec24、VMware25、F526等公司推出了偏 重于網絡實施方式的零信任方案；同時，零信任也催生了一批非常成 功的創業公司，包括 Vidder27、Cryptzone28、Zscaler29、Illumio30等。 根據 Forrester 2020 年二季度對于零信任產業的統計數據，按照零信 15 IaaS：Infrastructure as a Service，基礎設施即服務 16 Google：谷歌公司，成立于 1998 年，跨國科技企業 17 Microsoft：微軟公司，成立于 1975 年，跨國科技企業 18 Duo：美國網絡安全公司，成立于 2010 年 19

28、OKTA：美國網絡安全公司，成立于 2009 年 20 Centrify：美國網絡安全公司，成立于 2004 年 21 Ping Identity：美國網絡安全公司，成立于 2002 年 22 Cisco：思科，成立于 1984 年，網絡解決方案供應商 23 Akamai：阿卡邁，成立于 1998 年，互聯網服務供應商 24 Symantec：賽門鐵克，成立于 1982 年，網絡安全公司 25 VMware：威睿，成立于 1998 年，云基礎架構和移動商務解決方案供應商 26 F5：應用交付網絡和業務解決方案供應商，成立于 1996 年 27 Vidder：初創企業，網絡安全公司 28 Cry

29、ptzone：美國網絡安全公司，成立于 2008 年 29 Zscaler：美國網絡安全公司，成立于 2008 年 30 Illumio：美國網絡安全公司，成立于 2013 年 零信任技術（Zero Trust） （2020 年） 11 任解決方案收入，將該市場的供應商分為三類，見下表所示。其中， 零信任營收超過 1.9 億美元的廠商已有 10 余家，零信任已經進入規 范化、規?；a業發展階段。 表 1 零信任解決方案市場供應商分析 公司規模 公司列表（字母排序） 營收標準 大型 Akamai、Cisco、Fortinet、Google、 Illumio、Microsoft、Okta、Palo

30、 Alto Networks、Proofpoint、Unisys 收入超過 1.9 億 美元 中型 AlgoSec、Armis、Centrify、Check Point Software Technologies、FireMon、 Forcepoint、Forescout、Gigamon、 GitLab、Ionic Security、MobileIron、 Tufin、Venafi 收入在 0.35 億 1.9 億美元 小型 A10 Networks、AppGate、 Awingu Axis Security、BlackBerry、 ClearedIn、ColorTokens、Edgewise

31、、 Guardicore、HyperQube、 IDENProtect、Infocyte、 ShieldX Networks、ThreatLocker、 Zentera Systems 收入少于 3500 萬美元 數據來源：Forrester31 隨著技術的成熟和產業基礎的逐步完善，2019 年以來，美國軍 方、聯邦政府和標準化組織紛紛發表各自的白皮書、評估報告和標準 草案， 闡述各自對零信任的認識和規劃。 Forrester 在 2019 年度預測： 轉型走向務實 中明確指出零信任將在美國某些特定的領域成為標準 的、階段性的網絡安全架構。美國軍隊、政府將其作為優先選用的網 絡安全戰略和指導原

32、則，并對其它行業產生深刻的影響。 DIB32作為美國國防部下屬專注于技術與創新的機構于 2019 年 7 月發布了 DIB 零信任架構白皮書零信任安全之路 ，指導國防部網 31 數據來源：Forrester，Now Tech: Zero Trust Solution Providers, Q2 2020 32 DIB：Defense Innovation Board，美國國防創新委員會 零信任技術（Zero Trust） （2020 年） 12 絡實施零信任架構。緊接著在 2019 年 10 月發布報告零信任架構 （ZTA） 建議 ， 建議國防部將零信任列為最高優先事項實施。 這兩個 重量級文

33、件的發布，反映出美國國防部對零信任的重要定位：零信任 架構是美國國防部網絡安全架構的必然演進方向。 作為聯邦政府顧問智囊的美國技術委員會-工業咨詢委員會，于 2019 年 4 月發布了零信任網絡安全當前趨勢白皮書。通過開展市 場研究，評估了零信任技術成熟度和準備度、適合性、可擴展性和基 于實際實現的可承受性，最終，對美國政府機構采用零信任提出評估 建議。 （五）國內零信任概念走向落地（五）國內零信任概念走向落地 2019 年 9 月，工信部公開發布的關于促進網絡安全產業發展 的指導意見（征求意見稿） 中，將“零信任安全”列入需要“著力突 破的網絡安全關鍵技術” 。 國內安全廠商， 一直以來都關

34、注著零信任在國際上的發展并結合 國內實際場景進行落地實踐。奇安信、騰訊、阿里、華為、深信服、 啟明等安全和互聯網廠商都利用各自在安全領域的技術優勢， 推出了 零信任整體解決方案，并積極尋找機會，開展全面應用實踐；竹云、 九州云騰等身份管理廠商積極推動身份管理技術在零信任架構上的 應用；云深互聯、薔薇靈動、山石科技等廠商則積極推動 SDP、微隔 離等零信任技術方案的應用實踐。2019 年以來，我國相關部委、部分 央企、大型集團企業開始將零信任架構作為新建 IT 基礎設施安全架 零信任技術（Zero Trust） （2020 年） 13 構；銀行、能源、通信等眾多領域和行業針對新型業務場景，開展采

35、 用零信任架構的關鍵技術研究和試點示范。 同時，我國也在積極推進零信任的標準化進程。2019 年 7 月，在 中國通信標準化協會 CCSA TC8 WG333第 60 次工作會議上，騰訊牽 頭提交的 零信任安全技術-參考框架 行業標準正式通過評審， 成為 國內首個立項的零信任安全技術行業標準。 2020 年 5 月，在全國信息安全標準化技術委員會 2020 年第一次 線上工作組 “會議周” 上， 奇安信牽頭提出的 信息安全技術 零信任 參考體系架構 ，在 WG434（認證與鑒別組）工作組成功立項，這是 零信任標準層面的首個國家標準，對接身份鑒別、認證、風險評估、 可信計算環境等相關信息安全標準

36、，確定零信任架構組成、功能及內 外部組件間關系， 對于應對數字化轉型與信息技術革新下的新型網絡 環境的安全威脅，推進零信任在云計算、大數據、物聯網、5G35等領 域的橫向應用，具有重大意義。 33 CCSA TC8 WG3：China Communications Standards Association，中國通信標準化協會網絡與信息安全技 術工作委員會安全管理工作組 34 WG4：全國信息安全標準化技術委員會 認證與鑒別組 35 5G：The 5th Generation Mobile Communication Technology，第五代移動通信技術 零信任技術（Zero Trust）

37、 （2020 年） 14 二、零信任應用場景 面向不同的應用環境、業務場景，零信任架構有多種靈活的實現 方式和部署模式。 面向遠程辦公、 云計算平臺、 大數據中心、 物聯網、 5G 應用等典型場景，按照訪問主體和資源之間的關系，數據平面的 訪問代理重點考慮采用便于和被保護資源相結合的部署模式，如“設 備代理+網關”模式、 “資源門戶”模式、 “設備應用沙箱”模式等，搭 建安全的訪問通道，對訪問請求進行分流?？刂破矫娴脑L問控制引擎 負責指揮，按照“先認證后連接”原則，建立、維持有效連接，實施 對資源的安全訪問控制。在此過程中，持續開展安全監控評估，對應 用場景中出現的安全威脅及時響應，消減風險。

38、 （一）遠程辦公（一）遠程辦公 遠程辦公已經逐步成為一種常態化的工作模式， 這也是移動辦公 延展后的必然結果。從國內 2 月份以來的情況看，全民在抗擊疫情和 復工復產兩手抓的形勢下，開始了規模龐大的居家遠程辦公，據第三 方調查數據顯示，2020 年春節期間，中國有超過 3 億人遠程辦公 36， 以前在辦公室開展的工作全部搬回了員工的家中， 不再局限于日常工 作協同溝通、 視頻會議等， 包括遠程辦公平臺、 遠程開發、 遠程運維、 遠程客服、遠程教學等等都已成為現實，遠程辦公已經成為走出固定 地點（如辦公室、寫字樓） ，隨時隨地的辦公形態。事實上，在歐美國 家遠程辦公早就已經成為一種常態化的辦公模

39、式。在我國，遠程辦公 36 全球抗疫云辦公云教育陡然升溫 環球網 EB/OL.( 2020-03-21)2020-03-23. 零信任技術（Zero Trust） （2020 年） 15 也將逐步作為未來工作模式之一， 而不僅僅是特殊時期的一種辦公形 式。 1.應用場景分析 在現在企業的信息化建設環境中， 遠程辦公必須涵蓋的應用場景 越來越復雜： （1）接入人員和設備的多樣性增加 員工、外包人員、合作伙伴等各類人員，使用家用 PC37、個人移 動終端、企業管理設備等，從任何時間、任何地點遠程訪問業務。各 種接入人員的身份和權限管理混亂，弱密碼屢禁不止；接入設備的安 全性參差不齊，接入程序漏洞無

40、法避免等，帶來極大的風險。 （2）企業資源暴露程度大幅度增加 企業資源可能位于企業內網服務器， 也可能被企業托管在公有云 上的數據中心；企業服務通常需要在不同的服務器之間交互，包括部 署在內網、公有云、私有云中的服務器。一個典型的場景，公有云上 的網站服務器與內網應用程序服務器通信后， 應用程序服務器檢索獲 得內網數據，返回給網站服務器。資源信息基礎設施與應用服務之間 的關系越復雜，引入的系統風險越高。 （3）數據泄露和濫用風險大幅增加 在遠程辦公過程中，企業的業務數據會在不同的人員、設備、系 37 PC：Personal Computer，個人計算機 零信任技術（Zero Trust） （2

41、020 年） 16 統之間頻繁流動， 原本只能存放于企業數據中心的數據也不得不面臨 在員工個人終端留存的問題。同時，數據移動增加了數據“意外”泄 露的風險， 安全措施相對較弱的智能手機頻繁訪問企業數據也將對企 業數據的機密性造成威脅。 2.先進性和創新性 近年來外部攻擊的規模、手段、目標等都在演化，有組織的、武 器化的、以數據及業務為攻擊目標的高級持續攻擊屢見不鮮。利用遠 程辦公找到漏洞，突破企業邊界后進行橫向移動訪問，成為最常見和 最有效的攻擊手段之一。 常見遠程接入的方式主要有兩種， 一種是通過端口映射將業務系 統直接在公網上開放；另一種是使用 VPN38打通遠程網絡通道。各組 織都在對自己的安全邊界進行“加固” ，盡量使用 VPN 遠程接入而非 直接開放業務端口，增強威脅檢測的能力等等。然而，這些手段基本