1、 版權聲明版權聲明 本報告版權屬于零信任實驗室和云計算開源產業聯盟，并受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的，應注明“來源：零信任實驗室和云計算開源產業聯盟”。違反上述聲明者，實驗室與聯盟將追究其相關法律責任。前前 言言 近年來，云計算、大數據等新一代信息技術與實體經濟加速融合，產業數字化轉型迎來發展新的浪潮。數字化在為企業提質降本增效的同時，也為企業 IT 架構帶來新的安全挑戰，傳統安全防護機制遭遇瓶頸，探索適應企業數字化轉型需求的新一代安全體系具有重要意義。零信任理念及架構能夠有效應對企業數字化轉型過程中的安全痛點，愈發得到行業關注。在此背景下，零信任實驗室和云計算開

2、源產業聯盟繼零信任發展與評估洞察報告（2021 年）后第 2 次發布報告。報告基于對重點零信任供應側企業的調研結果，從零信任發展呈現的四點趨勢展開，對我國零信任的發展趨勢與供應側的零信任生態進行觀察和分析。一是，在未來，零信任與數字身份密不可分，并向統一整個基礎設施的策略管理發展。二是，在零信任供應側方面，梳理了零信任理念所涵蓋的六大能力、供應生態概況、金融行業與電信行業在零信任落地方面的表現，包括：落地零信任用戶數量、不同類型的零信任產品應用情況、應用場景與環境等。三是，對零信任產品與身份安全產品、終端安全產品，以及安全管理類產品的聯動能力進行調研。最后展望我國零信任產業發展，應從提升技術壁

3、壘避免同質化競爭、強化安全產業供應鏈間合作、持續強化信創改造、細化實施引導、以及深化行業應用五方面開展。參與參與編寫單位編寫單位 中國信息通信研究院、北京薔薇靈動科技有限公司、騰訊云計算（北京）有限責任公司、聯通數字科技有限公司、綠盟科技集團股份有限公司、深信服科技股份有限公司、北京持安科技有限公司、北京芯盾時代科技有限公司、成都云山霧隱科技有限公司、中移（蘇州）軟件技術有限公司、數篷科技（深圳）有限公司、天翼云科技有限公司、上海派拉軟件股份有限公司、江蘇易安聯網絡技術有限公司、貴州白山云科技股份有限公司、北京天融信網絡安全技術有限公司、奇安信科技集團股份有限公司、網宿科技股份有限公司、新華三

4、集團、北京從云科技有限公司、廣東一知安全科技有限公司、深圳竹云科技股份有限公司、北京指掌易科技有限公司、杭州億格云科技有限公司、ZTE中興通信、飛天誠信科技股份有限公司、北京棲安科技有限責任公司、山石網科通信技術股份有限公司、蘇州云至深技術有限公司、杭州默安科技有限公司、北京國信融信科技產業有限公司、北京哈希安全科技有限公司、深圳市米特信息科技有限公司、廣州錦行網絡科技有限公司 編制人員編制人員 吳倩琳、栗蔚、孔松、郭雪、陳鎮東、熊瑛、王丹、鄒艷鵬、諶鵬、張慧瑩、楊志剛、姚坤、何藝、季文東、曾帥、楊一飛、嚴益昌、王肖斌、張羽、王鑫淵、劉羽、左奕航、張麗婷、許博文、湯冰潔、趙菁菁、趙培、程君、秦

5、忠鵬、李沂航、史曉婧、王杰、王璐瑤、侯芳、崔石磊、廉秀苓、張建偉、崔芙蓉、張秀巖、宋園園、亞米、黃佳妮 1 目目 錄錄 一、零信任發展備受關注.3 1.零信任發展呈以下四點趨勢.3 1.1 零信任產品形態向大而全的平臺化、集成化演進.3 1.2 身份管理分層之上與更多安全能力結合.3 1.3 身份信息穿透業務訪問全程.4 1.4 南北向流量與東西向流量統一納管.5 2.零信任相關政策與標準涌現，驅動產業規范發展.6 二、供應側的零信任能力生態逐漸成熟.9 1.圍繞六大領域能力，建立產品體系.9 2.零信任能力供應生態豐富.11 3.持續提升產品聯動能力，加快與現有架構融合.15 三、行業應用不

6、斷深化，零信任市場步入成長期.18 1.零信任市場近三年呈持續增長態勢.18 2.不同應用場景逐步實現零信任落地.21 四、我國零信任產業發展展望.23 2 圖圖 目目 錄錄 圖 1 身份信息與各類安全工具的事件信息貫通.4 圖 2 身份信息穿透業務訪問全程.5 圖 3 統一整個基礎設施的策略管理.6 圖 4 我國零信任供應側發展路徑.12 圖 5 供應側 SaaS 化情況.13 圖 6 供應側零信任安全能力.14 圖 7 身份安全產品聯動情況.16 圖 8 安全管理產品聯動情況.17 圖 9 終端安全產品聯動情況.18 圖 10 供應側企業落地零信任客戶數量區間.19 圖 11 微隔離類產品

7、納管工作負載總數.20 圖 12 軟件定義邊界類產品納管員工總數.21 圖 13 零信任應用環境情況.22 圖 14 落地零信任使用場景情況.23 表表 目目 錄錄 表 1 國外零信任相關政策.6 表 2 零信任能力域與能力項.10 3 一、零信任發展備受關注 1.零信任發展呈以下四點趨勢 1.1 零信任產品形態向大而全的平臺化、集成化演進 零信任從為企業解決部分安全問題向解決整體的網絡安全問題發展，向架構性的平臺前進。一方面，當下企業選擇零信任主要解決數據中心網絡安全接入的問題，但隨著企業云計算使用規模逐步提升，安全邊界的粒度逐步細化，安全風險不再以網絡分隔出的安全域為維度劃分，而是以訪問的

8、業務為維度進行劃分，僅解決網絡安全接入并不能滿足業務安全需求，需要貼合業務的身份以解決業務訪問全鏈路的風險，從而緩解整個企業網絡的安全問題。另一方面，安全本身在企業中是一種橫向的能力，集成的、聚合的安全能力可形成平臺化的、中臺化的產物，基于零信任理念的架構性平臺可在身份安全、終端安全、數據安全、網絡環境安全、工作負載安全等方面提供全方位的防護。1.2 身份管理分層之上與更多安全能力結合 零信任是為了應對基礎設施的變化、為了應對無邊界化后網絡安全威脅而出現的手段，零信任基于訪問主體身份為訪問過程提供全鏈路的安全保障，如圖 1 所示。一是建立身份管理分層。零信任在邏輯上建立了一張基于身份的網絡，賦

9、予人、設備、工作負載等實體唯一身份標識，基于身份對訪問主體進行動態訪問控制。二是在身份管理分層之上建立安全管理分層，將更多的安全能力進行編排。傳統安全 4 工具缺乏訪問主體身份識別能力，如防火墻僅能識別訪問主體 IP，然而 IP 并非訪問主體唯一身份標識，因此諸如防火墻一類的傳統安全工具無法確定訪問主體身份。零信任架構下將傳統安全能力與身份管理分層共同編排，通過編排鏈共享身份信息，實現基于身份的安全管理分層，以針對訪問過程實現動態訪問控制。來源：中國信息通信研究院 2022 年 12 月 圖 1 身份信息與各類安全工具的事件信息貫通 1.3 身份信息穿透業務訪問全程 通過應用改造實現身份信息“

10、穿透”業務訪問全程。如圖 2 所示，當下應用訪問過程中的身份調用是中斷的，例如當用戶通過零信任網關訪問某應用時，前端應用可以識別訪問主體的身份，當應用調用后端數據庫時，會建立新的會話連接，數據庫視角所見是應用在進行服務調用，此時訪問過程中的身份調用已中斷。零信任架構下，應用應攜帶訪問主體的身份信息對數據庫發起訪問，數據庫的策略決策點將基于身份進行權限和執行策略的判定，默認不信任前端應用。諸如前端應用、后端數據庫等檢控點都應具備策略執行能力，因此需要對應用進行改造以實現身份信息穿透業務訪問全程。5 來源：中國信息通信研究院 2022 年 12 月 圖 2 身份信息穿透業務訪問全程 1.4 南北向

11、流量與東西向流量統一納管 統一整個基礎設施的策略管理，彌補零信任網絡訪問與微隔離在物理拼接后留下的防護斷層。如圖 3 所示，物理式拼接易留下潛在安全威脅，例如業務通過零信任網關對外暴露時，Web 服務對外暴露，但后端數據庫不對外暴露，所有從外部訪問 Web 的流量受零信任網關上相應策略的管控，此處需設計一套面向南北向流量的管控策略；Web 服務與后端數據庫通過微隔離進行網絡微分段，數據庫工作負載需設置限制，僅允許從 Web 服務過來的流量通行，此處需設計一套面向東西向流量的策略。一旦任意工作負載發生變化，兩套策略需要同時修改，否則將留下防護斷層，為解決上述問題，可統一基礎設施的流量策略，通過使

12、用一套策略對全網流量進行管理。6 來源：中國信息通信研究院 2022 年 12 月 圖 3 統一整個基礎設施的策略管理 2.零信任相關政策與標準涌現，驅動產業規范發展 隨著零信任落地及商業模式走向成熟，零信任已逐漸成為政府與企業數字化轉型的安全首選戰略，各國在近五年都出臺了零信任相關政策，以加快零信任部署落地，為數字經濟快速發展護航。以美國為首的發達國家高度重視零信任能力建設。如表 1 所示，自 2019 年起，美國陸續發布零信任指導建議、計劃等推動零信任在美落地，其他發達國家也紛紛在零信任領域展開布局，以強化網絡空間話語權。2022 年 11 月 22 日，美國國防部發布了 國防部零信任戰略

13、和國防部零信任能力執行路線圖，計劃在 2027 年之前實施戰略和相關路線圖中概述的獨特的零信任能力和活動。表 1 國外零信任相關政策 時間時間 政策發布組織政策發布組織 名稱名稱 側重點側重點 美國 2019.04 ACT-IAC（美國技術委員會-工業咨詢委員會）零信任網絡安全當前趨勢 對政府機構采用零信任進行評估 7 2019.07 DIB（美國國防創新委員會）零信任安全之路 指導國防部實施零信任架構 2019.07 DISA（美國國防信息系統局）DISA 戰略計劃2019-2022 明確 DISA 網絡防御戰略重點為零信任 2019.10 DIB 零信任架構（ZTA）建議 建議將零信任實施

14、列為最高優先事項 2021.02 DISA 國防部零信任參考結構1.0 建議 DoD 下一代網絡安全架構基于零信任建設 2021.02 NSA（美國國家安全局）擁抱零信任安全模型 提出漸進式部署零信任方式 2021.05 美國總統拜登 14028 號行政令 發動聯邦政府遷移上云使用零信任架構 2021.09 OMB（聯邦政府管理和預算辦公室）美國政府向零信任網絡安全原則的遷移（征求意見稿）要求各機構在 2024 年前實現具體的零信任安全目標 2021.09 CISA（網絡安全和基礎設施安全局）零信任成熟度模型（征求意見稿）細化五個“具體的零信任安全目標”2021.09 CISA 云安全技術參考

15、架構（征求意見稿）推薦采用零信任輔助遷移上云 2022.11 DoD（國防部）國防部零信任戰略、國防部零信任能力執行路線圖 概述國防部計劃如何在 2027 年前在國防部范圍全面實施零信任網絡安全框架 英國 2020.10 NCSC（英國國家網絡安全中心）零信任架構設計原則 積極響應美國零信任戰略，為政企機構實施零信任提供參考 加拿大 8 2021.03 加拿大政府部門機構-共享服務部 網絡與安全戰略 采用零信任等新方法支撐未來網絡服務 新加坡 2021.10 新加坡政府 網絡安全戰略2021 要求相關機構實現從邊界防護向零信任安全模式轉變 來源：公開材料整理 我國加大政策保障，推動零信任落地。

16、目前我國正在從政策、行業實踐、產業發展等多個層面對零信任進行積極探索，工業和信息化部通過多種舉措引導零信任發展，前期以推動零信任理論研究和技術創新為主，后期加強零信任技術，推動項目落地，具體表現為：一是，發布網絡安全產業高質量發展三年行動計劃（2021-2023 年），重點圍繞“加快開展基于開發安全運營、主動免疫、零信任等框架，推動創新技術發展與網絡安全體系研發。加快發展動態邊界防護技術，鼓勵企業深化微隔離、軟件定義邊界、安全訪問服務邊緣框架等技術產品應用”等內容展開。二是，多個零信任項目在試點示范項目名單上發布，包括“2022 年網絡安全技術應用試點示范項目名單”、“2021 年大數據產業發

17、展試點示范項目名單”等。我國已從多層級啟動零信任標準研究，協助建立產業規范。為落實國家網絡信息安全相關要求，我國已從多層級開展零信任標準研究。國際標準方面，由中國企業主導的 ITU-T（國際電信聯盟電信標準分局）零信任國際標準服務訪問過程持續保護指南正式發布；國家標準方面，全國信息安全標準化技術委員會正在開展信息安全技術 零信任參考體系架構的編制；行業標準方面，中國通信標準化協會 9 正在開展 面向云計算的零信任體系 第 2 部分：關鍵能力要求、面向云計算的零信任體系 第 4 部分：成熟度評價模型、面向云計算的零信任體系 第 5 部分：數字身份安全能力要求與零信任安全技術參考框架等標準的研究工

18、作。二、供應側的零信任能力生態逐漸成熟 1.圍繞六大領域能力，建立產品體系 對于網絡攻擊者，只需要找到整個網絡防護的一個脆弱點即可攻破網絡，而作為網絡安全防護者，需要進行整體的防御。因此，基于零信任理念展開的安全防護不單獨強調技術，而是強調解決了哪個領域的安全問題。本報告中，零信任安全能力涵蓋六大領域，如表 2 所示：數字身份是基礎組件、是核心，聯合網絡環境安全、終端安全、數據安全、應用工作負載安全和安全管理五個關鍵能力，共同賦能企業整體安全防御。數字身份主要解決用戶身份不統一，以及 IT 架構中所有對象數字身份缺失、不合法等問題。一是，對接入用戶、組織架構、設備、應用賦予唯一身份標識，并對其

19、數字身份進行全生命周期管理，完成身份的自動化管控；二是，通過持續的身份認證，確保訪問主體在整個資源訪問過程中身份的合法性。網絡環境安全主要解決威脅的橫向移動，以及傳輸數據被竊取等問題。一是，將資源劃分到一個個微小的網絡分段中，分段間通過策 10 略隔離，阻止威脅的擴散；二是，對網絡傳輸鏈路進行加密，以保證數據傳輸過程中的安全性。終端安全主要解決使用移動終端辦公難以對設備進行管控，以及不同終端的安全基礎不同易引入威脅等問題。一是，加強終端威脅檢測，實現終端安全狀況可感；二是，對所有連入企業網絡的移動終端進行納管，實現 BYOD 可控；三是，建立終端基線，對于不符合基線要求的終端可修復。數據安全主

20、要解決數據資產安全防護無法差異化，以及數據在使用、傳輸和存儲過程中意外泄露等問題。一是，通過數據分類規范化關聯關系，再通過數據分級實現數據防護策略的差異化；二是，通過數據脫敏、加密、審計等技術手段降低數據泄露的可能性。應用工作負載安全主要解決兩類被訪問資源的安全問題，包括容器、虛擬機等基礎設施資源，以及應用系統、API 等應用資源。一是，通過安全基線掃描、漏洞管理、入侵檢測等技術手段，輔以計算資源納管清單、供應商名錄等管理手段對基礎設施資源進行防護；二是，在應用研發階段引入安全檢測流程、為已發布應用提供各類惡意攻擊防護手段，以及持續驗證應用執行的動作是否符合其權限。安全管理主要解決各安全組件無

21、法聯動處置威脅、流量不透明等問題。一是，通過編排將各安全工具的能力以某種邏輯組合在一起，聯動進行威脅的檢測與響應；二是，聯動各安全組件并以可視化形式展示監測指標，以便快速定位威脅。表 2 零信任能力域與能力項 能力域 能力項 11 身份安全 身份管理 身份認證 訪問控制 身份風險評估 終端安全 終端資產管理 終端安全基本要求 終端防護 網絡安全 網絡隔離 網絡流量加密 網絡威脅防護 應用工作負載安全 計算資源安全 研發運營安全 應用威脅防護 應用訪問控制 數據安全 數據分類分級 數據防泄漏 安全管理 安全編排和自動化 威脅檢測與響應 安全事件管理 來源：中國信息通信研究院 2022 年 12

22、月 2.零信任能力供應生態豐富 用戶訪問和工作負載訪問是產品發展的兩條關鍵路徑。用戶訪問需要對數據中心內外的南北向流量進行訪問控制，工作負載訪問需要對數據中心內部的東西向流量進行訪問控制，兩者安全防護位置不同，逐漸形成不同零信任產品。在本報告的調查統計中，如圖 3 所示，提供南北向流量安全防護能力的廠商仍占多數，有 89%的零信任供應側企業可提供 ZTNA（Zero Trust Network Access，零信任網絡接入），12 對四層流量進行防護；在這些企業中，又有 84%的企業可提供 ZTAA（Zero Trust Application Access，零信任應用接入），可對七層流量進行

23、防護；提供東西向流量安全防護能力的廠商較少，僅有 25%的企業可提供微隔離能力；但是這些企業中，又有 95%和 91%的企業支持以ZTNA 和 ZTAA 形式提供南北向流量的安全防護。來源：中國信息通信研究院 2022 年 12 月 圖 4 我國零信任供應側發展路徑 SaaS 化零信任在國內普及仍面臨企業上云比例低等諸多挑戰，但已有超七成零信任供應側企業支持提供 SaaS 化的零信任服務。與本地化部署相比，SaaS 化的零信任有四大優勢：一是標準化交付，交付更加便捷，普及性更強，適合中小型企業部署，降低用戶使用門檻；二是自身維護成本低，用戶無需部署、維護系統；三是可利用云網自身優勢，提供安全以

24、外的增值特性，如出海訪問加速等；四是連通性強，通過云的方式提供接入點，便于對云上業務進行訪問。然而，對于國內用戶而言，尤其是中小企業，安全需求的剛性尚且不足，“零信任”乃至“安全”都不一定構成“買點”，SaaS 化零信任的推廣更 13 是面臨了諸多挑戰：一是國內大部分企業的業務部署在內網，云接入的優勢變為劣勢，用戶從 POP 點接入再訪問數據中心內部業務，存在流量繞圈問題；二是 SaaS 化產品很難提供業務側的安全能力，SaaS化產品雖然解決了云上業務的網絡接入便利性問題，在網絡方面提供了安全性，但實際上在安全攻防領域，安全威脅多發生在近業務側，SaaS 化產品鞭長莫及；三是無法定制化需求，企

25、業內部業務環境存在差異性，而 SaaS 化產品提供的標準化產品，在功能適配上難以滿足用戶個性化需求，尤其在國內頭部企業的定制化需求較高。四是對云上數據安全性有顧慮，國內多數企業認為公有云上數據不受控難以開展安全保障。本報告對國內零信任供應側企業的 SaaS 化供應能力進行調查，結果如圖 4 所示，有 96.4%的零信任供應側企業支持本地化部署，有 71.4%的企業支持提供 SaaS 化的零信任服務，即便 SaaS 化零信任產品在國內的普及仍面臨諸多挑戰，但國內零信任廠商已有超7 成在 SaaS 化上進行了投入。來源：中國信息通信研究院 2022 年 12 月 圖 5 供應側 SaaS 化情況

26、自 2021 年起，本報告便已基于選定的六大安全能力，對國內云 14 廠商、安全廠商以及專精型零信任廠商提供的零信任安全解決方案展開調研，今年是在去年調研的基礎上對結果進行了更新，結果如圖 5所示。來源：中國信息通信研究院 2022 年 12 月 圖 6 供應側零信任安全能力 15 國內零信任賽道競爭激烈，各家都在不同領域尋求新的突破。一是在端上實現更多安全功能。越來越多的客戶希望通過一個客戶端解決 PC 終端安全的問題，端上安全檢測能力、防泄漏、漏洞修復等備受重視。二是在端上建立可信安全環境以保護數據安全。疫情之后，遠程辦公需求增多，移動終端上訪問企業業務數據成為剛需，通過軟件定義邊界與終端

27、沙箱相結合的方式，將零信任的能力延伸至端上成為一種新的解決方案。3.持續提升產品聯動能力，加快與現有架構融合 零信任與企業已有的安全防護能力應該能相互融合，企業已有的安全工具不應因零信任的使用而失效，而應該得到能力的提升。零信任控制引擎為了更精準地下發策略，應與企業環境中的身份安全類、安全分析類、終端安全類產品進行聯動：身份安全類包含身份管理與身份認證能力，一方面，零信任從身份源同步用戶身份，建立用戶身份與訪問過程中使用的設備、訪問的資源、訪問行為等之間的聯系，形成用戶畫像；另一方面，零信任可以將身份認證與多源評估結合實現動態地認證。本報告調研了零信任供應側企業的產品與用戶環境中的身份安全產品

28、聯動能力，結果如圖6 所示。超七成零信任供應側企業支持與第三方身份安全產品對接。46.4%企業可提供自研身份安全產品，同時其零信任產品支持與第三方身份安全產品如竹云、派拉、亞信、芯盾、格爾、吉大正元、金智等進行對接；有 21.4%企業不具備自研身份安全產品，但支持與第三方身份安全產品對接；有 25%企業僅支持客戶使用自家提供的身份安 16 全產品，還有 7.1%企業無法與客戶環境中已有的身份安全產品進行聯動。在身份安全產品展開投入的零信任供應側企業占比超過 70%，反向說明同質化競爭激烈，并非每家都能將零信任安全領域做全，各家應避免同質化競爭建立技術壁壘以實現合作共贏。來源：中國信息通信研究院

29、 2022 年 12 月 圖 7 身份安全產品聯動情況 安全管理類包含安全事件和信息的匯聚、實體行為分析、威脅檢測與響應等能力，一方面，通過與實體行為分析工具結合可獲取更多安全風險信息，對訪問主體的評估將更加準確；另一方面，零信任和威脅檢測與響應工具的結合為策略執行提供了更豐富的管控手段。本報告調研了零信任供應側企業的產品與用戶環境中的安全分析產品聯動能力，結果如圖 7 所示。超半數企業的零信任產品支持與客戶已有的安全運營中心、態勢感知、威脅情報等安全分析系統聯動，占比53.6%，也有 35.7%的企業僅支持與自家的安全分析系統進行聯動，有 10.7%的企業尚不支持與安全分析系統聯動。17 來

30、源：中國信息通信研究院 2022 年 12 月 圖 8 安全管理產品聯動情況 終端安全類包括終端安全檢測與修復、以及數據安全等能力，一方面，收集終端環境信息，并根據檢測結果對終端進行管控；另一方面，通過技術手段實現數據不落地，以保護數據安全。本報告調研了零信任供應側企業的產品與用戶環境中的終端產品聯動能力，結果如圖 8 所示。零信任供應側企業在終端安全展開投入的較多，與第三方對接率較低。尤為明顯的一個數據是支持與自家終端安全產品聯動的企業占比 39.3%，這一數據在身份安全領域為 25%，一方面說明終端安全的重要性，供應側企業紛紛展開投入，另一方面說明與第三方終端安全產品的對接仍面臨接口協議無

31、法統一的困境；支持自家與第三方如騰訊、北信源、安天、奇安信、深信服、啟明星辰、青藤等企業的終端安全產品進行對接的僅占比 32.1%；此外也有超七成零信任供應側企業支持提供終端安全產品，零信任供應側企業在終端安全的投入超過安全管理類產品與身份安全類產品，主要原因是身份認證與身份管理所使用協議具有國際、國家標準，然而終端安全領域存在標準協議缺口，有待通過生態間接口互認解決。18 來源：中國信息通信研究院 2022 年 12 月 圖 9 終端安全產品聯動情況 三、三、行業應用不斷深化，零信任市場步入成長期行業應用不斷深化，零信任市場步入成長期 1.零信任市場近三年呈持續增長態勢 經過多年發展，零信任

32、商業模式走向成熟，市場逐步規?；?，已經在各個行業進入落地階段。在 2022 年，以 VPN 替換為主要目標，國內的零信任供應商在用戶側擁有了一個切實落地的賣點。同時，在今年的安全攻防行動中，零信任防護效果優異，得到了眾多企業的認可。在未來，會有更多企業選擇零信任作為其安全防護架構。金融與電信行業在近三年落地零信任的客戶逐年增長。本報告調研了 2019 年至 2022 年三年間，零信任供應側企業服務過的金融客戶數量區間，結果如圖 9 所示。一方面，在金融行業，2019-2020 年間僅有 39.2%零信任供應側企業為金融客戶落地過零信任，這一數據在2020-2021 年間與 2021-2022

33、年間分別達到了 60.7%與 82.1%，越來越多的金融機構認可零信任架構所提供的安全防護能力。另一方面，在 19 電信行業，2019-2020 年間僅有 32.1%零信任供應側企業為電信客戶落地過零信任，與金融行業相比低 7.1%，這一數據在 2020-2021 年間與 2021-2022 年間分別為 67.9%與 85.7%，電信行業在近兩年落地勢頭較猛，超過金融行業。落地 10 家以內的零信任供應側企業占據主流，多數行業用戶仍處于應用研究探索階段。據調研，三年間落地用戶數量區間 1-10 的企業分別占比金融行業為25%、35.7%和50%，電信行業為35%、42.8%和 50%。也有一些

34、行業專精型的企業存在客戶量超過 200 的情況，三年間在金融行業的占比分別為 3.5%、3.5%和 3.5%，電信行業占比分別 0%、3.57%和 7.14%?？梢钥闯?，2020 年零信任才開始在國內安全圈中得以普及，產品經過兩年的打磨，用戶對這個理念有了初步了解，開始積極的在此領域展開采購。來源：中國信息通信研究院 2022 年 12 月 圖 10 供應側企業落地零信任客戶數量區間 微隔離類產品應用情況呈兩極分化，與行業相關性較低。本報告調研了 2021-2022 年間，提供微隔離類產品的零信任供應側企業所納管用戶的工作負載總數，結果如圖 10 所示。在支持提供微隔離能力的企業中，金融行業納

35、管工作負載總數低于 500 的占比 42.8%，高于 20 10000 的占比 42.8%，電信行業表現類似，納管工作負載總數低于 500的占比 62.5%，高于 10000 的占比 37.5%。將近半數供應側企業的微隔離在行業內僅開展試點工作或未曾開展，同時也有近半數企業在行業內進行了規?；穆涞貙嵺`。來源：中國信息通信研究院 2022 年 12 月 圖 11 微隔離類產品納管工作負載總數 軟件定義邊界類產品應用潛力大，頭部客戶已進入探索階段。本報告調研了 2021-2022 年間，提供軟件定義邊界類產品的零信任供應側企業所納管用戶的員工總數，結果如圖 11 所示。在金融與電信行業中，納管低

36、于 5000 人占比最高，分別為 52.2%和 61.9%，剩余半數涵蓋 5000-100000 不等，再結合對零信任落地客戶數量的統計結果，即在2021-2022年間金融與電信行業均有50%零信任供應側企業落地客戶數區間為 1-10 家，推算每個客戶使用基于軟件定義邊界納管員工數量低于 500 人，甚至更低。500 人已屬于中型企業，因此各行業內的中型企業應是落地軟件定義邊界類產品的中流砥柱。此外，在電信行業納管員工 20000 人以上的占比 33.3%，金融行業僅有 17.4%，21 電信行業在零信任領域的投入與落地勢頭相較金融行業略高一籌。來源：中國信息通信研究院 2022 年 12 月

37、 圖 12 軟件定義邊界類產品納管員工總數 2.不同應用場景逐步實現零信任落地 將零信任應用于辦公環境是用戶主流選擇。本報告調研了零信任供應側企業服務的金融與電信行業客戶應用零信任時的環境選擇情況，如圖 12 所示。金融行業 51%應用于辦公環境，18.7%應用于開發測試環境，僅有 11.8%應用于生產環境。電信行業 48.1%應用于辦公環境，17.6%應用于生產環境，16.8%應用于開發測試環境。金融行業生產環境承擔了核心賬務系統的運營，數據資產安全穩定性尤為重要，在生產環境的應用更顯謹慎。22 來源：中國信息通信研究院 2022 年 12 月 圖 13 零信任應用環境情況 遠程辦公、遠程運

38、維、多分支機構互連為用戶主要使用的場景，總占比超過半數。本報告調研了金融與電信用戶落地零信任時使用的場景，分布如圖 13 所示。一方面，遠程辦公場景是當前企業實施零信任的主要驅動和優先選擇，在金融與電信行業占比分別達到 32.5%和 35%，其次是遠程運維和多分支互連，金融行業遠程運維場景占比14%較多分支互連場景的 13.2%略多一些，電信行業遠程運維場景占比 10.5%較多分支互連場景的 12.5%略少，電信行業在多分支互連的需求上較金融行業更高一些。另一方面，多云、混合云戰略是當前企業實施零信任最少場景，金融行業使用多云、混合云場景占比僅 3%和 4.5%，電信行業分別為 3.6%和 4

39、.7%，大多數企業不具備在云原生環境中的治理能力和安全能力可能是企業遲遲難以大規模上云的主要原因，零信任可以提供此場景下的安全訪問，未來多云、混合云場景蘊含較多發展機會。23 來源：中國信息通信研究院 2022 年 12 月 圖 14 落地零信任使用場景情況 四、我國零信任產業發展展望 提升技術壁壘避免同質化競爭。當前我國有非常多的零信任供應側企業，一旦企業提供能力相似，同時針對技術不具備深入突破能力，就會產生泡沫，市場將會在惡意競爭下變得不健康。當下，對于用戶的簡單場景和輕量需求已經基本可以覆蓋，要將零信任向整個企業安全防護架構、向更復雜的業務場景推進，就必須要從底層技術做出深度創新。安全產

40、業供應鏈間合作有待強化。目前，我國安全產業內各主體圍繞各自擅長的領域發揮著推動產業發展的重要作用，但彼此間的協作尚有欠缺。報告調研的零信任供應側企業在身份安全與終端安全的對接能力上，在國內已有較多成熟的身份安全與終端安全產品的情況下，現有超七成企業基于自身產品體系研發了相關產品，且有相當大一部分企業的零信任產品只能與自研身份安全、終端安全進行聯動，24 在產業鏈的技術合作方面意愿較弱。以零信任為加速引擎，加強我國安全產業主體間的協作，有助于打造繁榮共生的零信任產業生態。信創改造需持續深入。為提升我國在安全領域的核心競爭力，零信任供應側企業已持續在國產操作系統適配、國密算法支持等維度開展了改造與

41、適配工作。但存在強調運行環境適配改造，而忽略系統性開源研發框架風險的問題，因此，需針對零信任產品所涉及的開源框架風險應做好預案，梳理潛在的限制供應、停止更新、閉源等風險并找尋替代方案。信創是我國信息化建設的關鍵環節，而零信任作為網絡安全領域的熱點，其信創工作的深層次推進將為我國網絡安全產業的發展提供有效借鑒。零信任成熟度評價模型為用戶實施零信任提供細化幫助。我國零信任相關標準建設已初步成型，規范零信任應具有的關鍵能力，但零信任理念的實施不僅是平臺工具的建設，更是思維文化的變革。在零信任的落地實施層面，企業需要制定零信任的戰略規劃，具備可驅動戰略的組織力量，以及戰略實施所需保障，這與企業整體的經

42、濟基礎、組織架構規劃業務發展等方面強相關，并且是一個分步實施并持續優化的過程，零信任成熟度評價模型對部署過程與目標進行描述，針對零信任的落地提供了更加細化的指引。鼓勵試點示范，深化行業應用。政務、金融、電信、工業等行業業務場景各有特色，如政務通常使用多租戶統一接入場景，省級單位管理政務云，下屬的若干企事業單位以租戶形式入駐，管理自己的用戶和安全策略。電信行業通常落地多分支互聯場景，通過連接省內多 25 個分支，從而實現資源共享。金融行業通常落地第三方協作場景，解決第三方運維人員有多賬號下的安全接入問題。即便是相同場景，在不同行業落地也具有不同行業特色，為鼓勵行業試點示范工作，中國信通院開展了安

43、全守衛者計劃，甄選一批成熟度高具有代表性的零信任優秀案例，鼓勵零信任供應側企業結合行業安全需求不斷升級產品。26 零信任實驗室“2021 年可信云大會”上，中國信通院牽頭成立零信任實驗室，致力于推動零信任標準和測試評估體系建設，引領零信任產業健康有序發展。零信任理念秉持“從不信任，永遠驗證”，以身份為核心，對所有訪問請求進行持續動態的身份驗證和最小權限授予，將風險面盡可能收斂，為企業數字化轉型安全建設提供思路和手段。目前，零信任實驗室正開展零信任關鍵技術探索、標準預研、測試評估實施、專家研討與行業交流等工作。截止于 2022 年末，實驗室成員共 66 家單位，包括 1 個理事長單位，8 個副理事長單位，57個成員單位。27