1、 1 零信任技術和產業發展 （2022 年）2 版權聲明 本白皮書版權屬于算網融合產業及標準推進委員會，并受法律保護。轉載、摘編或利用其它方式使用本白皮書文字或者觀點的，應注明“來源：算網融合產業及標準推進委員會”。違反上述聲明者，編者將追究其相關法律責任。3 參與編寫單位 中國信息通信研究院、中興通訊股份有限公司、奇安信科技集團股份有限公司、派拓網絡(上海)有限責任公司、北京山石網科信息技術有限公司、阿里云計算有限公司、深圳艾貝鏈動科技有限公司、中國移動通信有限公司、北京信達網安信息技術有限公司、北京工業大學、網宿科技股份有限公司、北京交通大學、北京郵電大學、北京神州綠盟科技有限公司 主要撰

2、稿人 穆琙博、張云暢、柴瑤琳、畢立波、韓維娜、黨小東、宋平、韓淑君、竹勇、董路明、張彬、李臻、智勇、馬振國、吳航、蔡亦默、任亮、張玉峰、胡愷健、闕云川、劉炯、陳妍峰、郭亮、王昱波、童林祥、周華春、石瑞生、羅期豐、田旭達 4 前 言 零信任作為新型網絡安全架構，以其“從不信任、始終驗證”的理念為產業數字化升級轉型提供了全新的安全方案。零信任網絡安全架構的研究已經進入快車道。強化零信任網絡安全體系建設，推動零信任網絡安全部署實施，優化數字信息基礎設施安全模型，培育零信任產業生態閉環已成為當前國內國際安全領域關注的重點。本白皮書以零信任總體架構與關鍵技術為基礎，聚焦典型應用的場景需求，提煉針對性的參

3、考方案，整合當前的實踐情況，分析實施應用案例的價值與可推廣性。以微觀視角探討供需雙方的需求，以宏觀視角分析相關政策的指導性意義，最后總結與分析零信任在重點領域的發展機遇和挑戰，形成對零信任發展全流程的探索。1 目 錄 一、零信任發展背景與產業生態.1(一)零信任的誕生及發展.1(二)零信任戰略價值.2(三)零信任產業生態分析.4(四)零信任產業中的關鍵角色.5 二、零信任總體架構及關鍵技術.8(一)零信任總體架構.8(二)零信任關鍵技術.9 三、零信任典型應用場景.23(一)遠程辦公.25(二)多云環境.27(三)多分支機構.32(四)物聯網.34(五)數據中心.37 四、零信任工程實施重點與

4、案例.40(一)零信任工程實施方法與要點.40(二)金融行業應用案例.42(三)電信運營商行業應用案例.45(四)政府行業應用案例.49(五)國企央企行業應用案例.52(六)醫療行業應用案例.56 五、零信任相關政策分析.61(一)美國高度重視零信任產業建設.61(二)我國逐步推進零信任產業發展.67 六、零信任發展機遇與挑戰.68 2(一)5G 場景.69(二)車聯網場景.70(三)物聯網場景.72(四)工業互聯網場景.73(五)算力網絡場景.75(六)元宇宙場景.77 1 圖 目 錄 圖 1 中國零信任產品視圖.7 圖 2 零信任總體架構.8 圖 3 零信任綜合安全管理要求框架.22 圖

5、4 遠程辦公的總體零信任安全解決方案.26 圖 5 基于 CSP 網絡基礎設施的零信任解決方案.29 圖 6 基于 SDP 架構的零信任解決方案.30 圖 7 基于身份的微隔離零信任解決方案.31 圖 8 多分支機構的總體零信任安全解決方案.33 圖 9 基于行為驗證的評估體系.36 圖 10 物聯網終端安全接入方案.37 圖 11 數據中心零信任實踐技術架構 .39 圖 12 零信任實施重點架構圖.40 圖 13 金融行業零信任解決方案.44 圖 14 電信運營商行業零信任解決方案.47 圖 15 政府行業零信任解決方案 .50 圖 16 國企央企行業零信任解決方案 .55 圖 17 醫療行

6、業零信任解決方案.58 圖 18 車聯網系統架構示意圖.71 零信任技術和產業發展白皮書 1 一、零信任發展背景與產業生態(一)零信任的誕生及發展 傳統的安全模型依賴于基于邊界的安防方式，即建立一個安全的網絡邊界，在邊界部署包括防火墻、入侵檢測、WAF等安全設備，形成的安全防護自然切分出企業內外網，同時默認內網的一切都是可信的。然而隨著新一代信息技術的快速演進，云計算、大數據、物聯網、移動辦公等新技術與業務的深度融合，網絡的復雜性不斷增加，其安全威脅和風險更是不斷涌現，邊界意識逐漸淡化，默認以物理邊界內外網來判斷安全威脅的應用模式無法抵御多重安全挑戰，在此背景下，“從不信任、始終驗證”的零信任

7、（Zero Trust）理念應運而生。2010年，Forrester分析師約翰.金德維格(John Kindervag)首次提出了零信任安全的概念，即“所有的網絡流量都是不可信的，需要對訪問任何資源的任何請求進行安全控制”。該理念顛覆了傳統邊界安全架構思想，是應對新IT時代網絡安全挑戰的全新戰略，因此其理念一經提出便引起了網絡安全產業界的關注。谷歌率先孵化出了以零信任為基礎的“BeyondCorp”項目，旨在讓員工在不受信任的網絡中無需接入VPN就能順利工作。BeyondCorp項目構建了中心化的認證、授權和訪問控制系統，真正且徹底地改變了企業的安全體系，是全球第一個零信任理念的落地實踐，至此

8、零信任概念得到了網絡安全產業界更為廣泛的認可。零信任技術和產業發展白皮書 2 作為規劃和實施企業體系結構時使用的網絡安全原則，零信任可在整個架構中嵌入安全性，將防御重點從狀態、基于網絡的邊界轉移到用戶、資產和資源。零信任的基本原則是任何參與者、系統、網絡或服務在安全范圍之外或之內都不會受到信任，對于任何嘗試建立訪問的行為需要持續的進行安全驗證，驗證范圍涵蓋每個用戶、設備、應用和交互。為規范化零信任安全架構與技術要求，各方機構先后開展了零信任標準規范、白皮書等相關內容的研究工作。2014年，云安全聯盟（Cloud Security Alliance，CSA）發布SDP標準規范V1.0，形成了針對

9、零信任三大技術路線之一軟件定義邊界的初步探索，后續于2019年到2022年期間，陸續發布了SDP架構指南v2白皮書、軟件定義邊界（SDP）和零信任、軟件定義邊界（SDP）標準規范V2.0，形成了針對軟件定義邊界領域全面且深入的系列成果，進一步推動零信任技術發展。2019年，美國國家標準與技術研究院（NIST）發布了零信任架構草案稿，標志著零信任架構已正式開始了標準化進程。(二)零信任戰略價值 全球數字化轉型的逐漸深入讓“云大物移智”等新技術演進速度加快，越來越多的網絡服務需要兼容移動互聯網、物聯網、5G等新興技術，同時支持遠程辦公、多云環境、多分支機構、跨企業協同等復雜網絡應用場景，保障終端和

10、用戶可以從任何IP地址接入服務網絡。然而企業機構的傳統網絡安全模式專注于邊界防御，授權主體（資源請求的終端用戶、應用以及其他非人類實體）可廣泛地訪問內網資源，零信任技術和產業發展白皮書 3 因此，環境內未經授權的橫向移動一直是企業機構面臨的最大挑戰之一。零信任的理念和技術精準對應了市場的需求，根據 Evan Gilman在Zero Trust Networks書中所述，零信任網絡建立在五個假設前提之下：l 應該始終假設網絡充滿威脅；l 外部和內部威脅每時每刻都充斥著網絡；l 不能僅僅依靠網絡位置來確認信任關系；l 所有設備、用戶、網絡流量都應該被認證和授權；l 訪問控制策略應該動態地基于盡量多

11、的數據源進行計算和評估。在零信任安全模型中，假設環境中存在攻擊者，企業環境和任何非企業環境毫無差異，并沒有更值得信賴。在這種新范式下，企業必須拒絕隱性信任，不斷地分析和評估其內部資產和業務功能的風險，然后制定防護措施來緩解這些風險。在零信任中，這些防護措施通常盡可能減少對資源（如數據、計算資源和應用/服務）的廣泛授權訪問，將資源僅限于“需要訪問和僅授予執行任務所需的最小權限”的主體，并對每個訪問請求的身份和安全態勢進行持續認證和授權。作為一種以資源保護為核心的網絡安全范式，零信任拒絕隱式授予信任，持續進行安全評估，其體系架構是一種端到端的企業資源和數據安全方法，包括身份（人類和非人類的實體）、

12、憑證、訪問管理、操作、端點、宿主環境和基礎設施?；凇皬牟恍湃?，始終驗證”的原則，零信任通過網絡分段、防止橫向移動、提供威脅預防和簡化精細用戶訪問控制來保護現代數字環境。作為一種可支撐未來發展的綜零信任技術和產業發展白皮書 4 合業務安全防護方式，零信任技術持續創新，融合云原生、軟件定義安全、身份管理、數據安全、微隔離等技術體系不斷豐富促進安全應用融合發展，從傳統“打補丁”被動安全防御向原生轉變，實現了持續的安全保障。面對日益復雜的網絡環境，風險持續預測、動態授權、最小化原則的“零信任”創新性安全思維契合數字基建新技術特點，借助云、網絡、安全、AI、大數據的技術發展，著力提升信息化系統和網絡的

13、整體安全性，成為網絡安全保障體系升級的中流砥柱。(三)零信任產業生態分析 零信任幾乎可以應用到所有涉及身份認證、行為分析、區域隔離、數據訪問等各方面的安全產品和架構體系。目前業內普遍認為軟件定義邊界（Software Defined Perimeter，SDP）、身份識別與訪問管理（Identity and Access Management，IAM）、微隔離（Micro Segmentation，MSG）是實現零信任的三大技術路徑，其相關的產品及解決方案也都基于此設計研發。軟件定義邊界（SDP）分離控制面與數據面，實現資產隱身，零信任理念投射到SDP架構中實現對基于網絡的攻擊行為的阻斷；身份

14、識別與訪問管理（IAM）是零信任模型的應用基礎，零信任借助IAM實現持續的動態認證與動態授權；微隔離（MSG）超越傳統網絡分段實現東西向防御，零信任理念借助MSG實現數據中心內工作負載間流量可視及訪問控制。然而，零信任市場中各方的技術標準、安全理念和實現方案存在較大差異，零信任產業整體呈現出市場碎片化、生態分散化的特點。根據2020年Gartner 發布的零信任訪問指南顯示，到 2022 年，在向生態合作伙伴開放的新數字業務應用程序中，80%將通過零信零信任技術和產業發展白皮書 5 任進行網絡訪問，到 2023年，60%的企業將采用零信任替代大部分遠程訪問虛擬專用網（VPN）。截至目前，零信任

15、產業在國際上已經開始規?；涞夭渴?，市場認知度較高，商業模式較為成熟，其中SECaaS為主流交付模式，已快速步入向零信任架構轉型階段。市場參與者眾多，實現路徑各有差異，營收超過1.9億美元的廠商已超過10家。Google、Microsoft 等巨頭率先在企業內部實踐零信任并推出了完整的解決方案；OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于網絡實施方式的零信任方案；此外 Vidder、CryptZone、Zscaler、Illumio 等創業公司亦有創新產品推出

16、。隨著零信任研究的進一步深入，我國各個安全廠商也陸續推出零信任相關產品或解決方案，在零信任快速普及的背景下均有望迎來良好的發展機遇。奇安信、深信服、啟明星辰、綠盟科技等廠商始終關注國際網絡安全技術發展趨勢，均推出了相應的零信任整體解決方案；此外，山石網科、云深互聯等廠商也積極推動軟件定義邊界、微隔離等零信任技術方案的落地應用。從交付模式來看，綜合考慮國內信息化發展水平及對安全的投入程度，產業短期內仍以解決方案為主，長期有望向SECaaS模式轉變。零信任的安全理念，需要基于業務需求、安全運營現狀、技術發展趨勢等對技術能力進行持續完善和演進，零信任的遷移并不是一蹴而就，需要結合企業現狀、目標和愿景

17、進行妥善規劃和分步建設。(四)零信任產業中的關鍵角色 企業不僅要解決基礎網絡安全問題，擁抱安全自動化和編排，還要為這種轉變帶來的組織和文化變革做好準備。為了建立零信任信心零信任技術和產業發展白皮書 6 ，企業需要將網絡、IT、業務系統所有者、應用、最終用戶等涉眾全部考慮進來。面對碎片化的市場，產業需要有一個統一的商業架構，與業務目標一致的迭代和逐步遞增來幫助證明零信任的價值，并增強企業內部對零信任的接受度和認可度。未來的零信任產業生態圈中將有多個關鍵角色共建發展，包括：零信任產品生產者、零信任產品消費者、零信任市場管理者等。零信任產品生產者：主要代表為市場上各零信任設備、解決方案的供應商，其根

18、據對行業理解力，通過整合資源為行業提供針對性設備與解決方案的設計和交付，提供生態的聚合及業務的集成驗證服務，促進零信任產品/方案的規?；a。如圖1所示，本白皮書共調研了25家零信任產品生產公司，主要包含SDP設備提供商、SDP解決方案提供商、IAM設備提供商、IAM解決方案提供商、MSG設備提供商和MSG解決方案提供商。零信任產品消費者：作為最終用戶，是行業的踐行者。企業客戶可以在行業市場訂購行業產品/解決方案/服務，行業市場會給企業客戶提供零信任產品/解決方案/服務，以便于企業自我管理，保護核心數字資產。零信任市場管理者：在市場發展的過程中，零信任市場管理者需協助產業供需雙方建立良好的市場

19、秩序并進行維護。建立健全的零信任標準體系，規范零信任產品能力，完善零信任評測方案，搭建零信任供需交流平臺，為零信任供應商提供規范性指導，全面助力零信任產業健康化發展。零信任技術和產業發展白皮書 7 數據來源：中國信息通信研究院整理（截至 2022年 10月）圖 1 中國零信任產品視圖 零信任技術和產業發展白皮書 8 二、零信任總體架構及關鍵技術(一)零信任總體架構 零信任架構是一種新的網絡安全技術架構，其核心原則與技術框架嚴格遵循零信任的定義和原則，針對特定的業務場景和工作流，對構成組件、技術交互方式上提供指導和約束。零信任的能力可以理解為零信任技術架構所能提供的能力，另一方面也可以將零信任的

20、能力認為是實踐零信任技術框架所需達到的要求。數據來源：中國信息通信研究院整理（截至 2022年 10月）圖 2 零信任總體架構 零信任技術和產業發展白皮書 9 如圖2所示，零信任總體架構包含8項零信任關鍵技術，即身份安全、網絡安全、數據安全、基礎設施、應用/負載安全、安全監測與評估、安全可視化以及綜合安全管理。(二)零信任關鍵技術 1、身份安全 身份管理作為零信任架構的重要組成部分，嚴格踐行以身份為基石的原則，實現與實體相關標識符的獲取、處理、存儲、傳輸，并通過標識鑒別和認證確定實體身份，為建立訪問主體和訪問客體之間的關系奠定基礎。零信任架構的身份管理范圍包括從訪問主體到訪問客體之間所涉及的所

21、有實體，例如人員、設備、資源、網絡、計算環境、應用/負載等，根據實體不同的分類特征，采用對應的身份管理系統進行身份管理，遵循各自的技術標準和管理規定。例如，當實體為自然人時，個人身份信息構成人員身份，收集、獲取、存儲、共享自然人信息就需要遵循個人隱私保護的相關規定；當實體為應用系統時，身份管理系統需通過應用系統URL標識來唯一標識該應用系統；當實體為網絡對象時，身份管理系統可通過IP地址或者網絡號做為其身份信息的唯一標識；設備身份管理包括設備身份信息的獲取、處理、存儲、傳輸和使用，并支持通過設備身份認證幫助識別和驗證設備身份。為建立訪問主體和訪問客體之間的關系，需要基于訪問控制模型進行授權，例

22、如使用基于角色的訪問控制作為常用的模型，應基于工作職能，將訪問權限與特定角色相關聯，通過角色聯系用戶，賦予每個角色訪問特定資源的權限。實體被劃分到對應的組織分組時，常對應于社會關系中的組織機構，具有對應的社會身份屬性，例如，可信零信任技術和產業發展白皮書 10 身份是指國家權威機構建設管理運行的可信網絡身份，不是企業級的身份。在零信任安全架構中，訪問主體包括人員、設備、應用、系統等，資源作為訪問客體，包括一切可被操作的實體，包括終端設備、服務器、數據庫、API、功能等；人員、設備和資源也可以組合作為主體，例如用戶、用戶使用的終端設備和發起訪問的終端軟件應用組合作為主體。零信任以資源保護為核心，

23、秉承“最小授權”原則，即按照每次完成主體訪問任務所需的最小范圍，精準組合被訪問資源的最低權限，實施細粒度的身份認證和授權訪問控制?；谏矸莨芾硐到y實施的零信任架構，在云計算、大數據、移動辦公、遠程辦公、邊緣計算、物聯網、5G等多種應用場景下，身份管理系統需要基于不同場景特點，為零信任架構實施提供支撐。身份安全全面的建立和維護數字身份，并提供有效地、安全地IT資源訪問的業務流程和管理手段，從而實現信息資產統一身份認證、授權和身份數據集中管理與審計。零信任架構下的身份安全，以身份為基石，持續監控用戶活動，感知和評估實體身份、權限的變化，通過持續地實體身份鑒別、鑒權，保護所有交互過程，降低資源訪問過

24、程中的威脅。身份安全主要包括以下技術：1）身份存儲（目錄）管理技術 身份存儲是身份安全的基礎，建立身份信息的統一存儲，統一管理，提供統一的跨云端、本地端的權威身份源。2）身份生命期管理技術 身份治理實現通過流程自動完成身份生命周期的管理。包括對各類數字身份（用戶賬號）的識別、開通、變更、授權、啟用、禁用、零信任技術和產業發展白皮書 11 刪除由平臺統一管理，全面動態編排身份生命周期管理，并與各應用系統實現實時自動同步。3）訪問管理技術 訪問管理可以提供基于訪問控制模型，如：基于角色的訪問控制、基于屬性的訪問控制等形式的認證、授權功能?；诓煌愋蛻{證的使用，會有不同的認證技術。2、基礎設施 基

25、礎設施以網絡基礎設施、計算基礎設施、重要業務系統為核心支撐起零信任核心架構，是對零信任理念的落實與部署，其穩定性、包容性、可擴展性等方面的能力是零信任發展的基石，是形成訪問控制、安全審計等零信任核心體系的助力。1）網絡基礎設施 在網絡基礎設施方面，邊界防護應綜合使用防火墻、入侵防御、垃圾郵件過濾等技術；內網應精細劃分安全域進行訪問控制；應使用SDP等技術優化傳統遠程接入方案；內網接入應采用認證機制，對接入用戶進行訪問控制；應建設態勢感知系統，對全網安全態勢進行感知和響應。2）計算基礎設施 在計算基礎設施方面，應使用微隔離技術對主機進行全面訪問控制；應使用主機基線核查和主機檢測響應等技術對主機安

26、全防護進行優化；應使用堡壘機機制對主機登錄進行集中訪問控制和運維審計；應使用安全審計機制對主機日志進行審計；應建設主機資源監控系統，對計算資源的使用進行全面監控。3）重要業務系統 零信任技術和產業發展白皮書 12 在重要業務系統方面，應使用代理網關技術對業務系統的訪問控制進行優化；應綜合使用Web漏洞掃描、Web應用防火墻等技術對業務系統進行安全防護；業務系統應采用密碼技術對訪問通信進行加密；應使用安全審計機制對業務訪問日志進行審計；應建設用戶行為分析系統，對訪問用戶的行為進行全面安全分析和響應。4）生產控制系統 在生產控制系統方面，室外設備應有透風、散熱、防盜、防雨、防火、防電磁干擾等能力；

27、生產控制系統與其它業務系統之間應有物理隔離或單向安全隔離機制；配置變更應有安全審計機制；生產控制系統內部組件之間的通信應使用密碼技術保證機密性和完整性；應采用入侵檢測技術對生產控制系統內部進行威脅和異常檢測。5）重要數據資源 在重要數據資源方面，應使用網絡防火墻和數據庫防火墻等技術對數據進行訪問控制；應同時具有本地數據備份和異地數據備份與恢復能力；應采用密碼技術對數據進行加密存儲；應采用數據完整性監控技術對數據進行完整性保護；應建設完備的數據安全治理機制?；A設施的零信任建設不是一蹴而就的，通過建立基礎設施零信任技術成熟度模型可以讓組織根據自身情況在不同的階段為自己的基礎設施采用不同的安全技術

28、，并逐步增加、優化安全能力，最終完成適合組織自己的基礎設施零信任安全建設。3、網絡安全 零信任從網絡控制機制、網絡數據安全、網絡訪問準入、網絡防御機制、安全威脅防護這五個維度保障了網絡安全，實現了靈活、穩定的安全訪問控制。零信任技術和產業發展白皮書 13 1）網絡準入控制 對采用無線、有線、SD-WAN、VPN等方式接入的設備和用戶都進行準入控制。2）保護企業資源網絡隱身 軟件定義邊界（SDP），由客戶端發起一個連接請求，通過單包授權（SPA）接入到控制器服務，由控制器服務認證鑒權，認證通過后會將需要連接的內網資源下發給客戶端，并且連接隧道加密。通過認證后客戶端才會知道自己真正要連接的內網應用

29、資源，下發“最小化權限原則”不會將所有內網的操作權限和資源都公開。后續會根據設定的安全策略，逐步地“持續信任評估”。在零信任模型中，所有業務系統都隱藏在安全網關后面。3）訪問控制策略 應用基于會話的訪問控制，例如，限制哪些IP地址、用戶和設備類型可以發起訪問哪種應用系統資源。在多云環境中可以采用基于屬性的訪問控制策略。要實現主體對資源的訪問控制策略優化需要考慮訪問控制策略的對象、內容、時間、資源位置、訪問原因和方式等方面的問題。要實現一個主體對一個資源的訪問須使用確定的規則將該流量列入白名單，而對其他訪問一律拒絕，即消除隱式的信任。為此，可采用吉卜林方法（Kipling Method）優化訪問

30、控制策略。4）數據傳輸鏈路安全 根據組織內外部的數據傳輸要求，采用適當的加密保護措施，保證傳輸通道、傳輸節點和傳輸數據的安全，在數據傳輸的端點間建立安全的傳輸通道，防止傳輸過程中的數據泄漏、被劫持和篡改。加密零信任技術和產業發展白皮書 14 傳輸將保障數據傳輸過程中的機密性（只有自己和允許的人才能看到或看懂數據）、完整性（數據在傳輸過程中沒有被破壞或篡改）和可信任性（確保消息是真實的發送方所發的，而不是偽造者發的）。5）防御網絡攻擊 在防御網絡攻擊上，強調集成化防御，系統能夠集成一組豐富的威脅防御功能，對被防護系統實施3到7層的威脅防護手段，包括：URL過濾和WEB安全防護，DNS安全威脅防護

31、，IoT設備識別與防護，SaaS 應用識別與SaaS DLP，零日攻擊，未知威脅防御，未知應用識別與防護等。在防御攻擊的過程中，要強調對用戶和應用訪問的每個會話進行內容安全掃描，持續安全檢查和動態授權。4、數據安全 數據無論處在任何位置，都需要通過一定的技術手段，防止數據被破壞或被泄漏。零信任的數據安全是在保證數據安全的基礎上，更關注零信任場景下對細粒度管控和動態調整要求的匹配，比如不以數據位置為依托確定安全性、進入管控范圍的系統時需要自動及時的標識并實現自動的分類分級管控，從數據的采集、分類、隔離、加密、控制和監控等安全措施出發實現數據安全。數據安全的關鍵技術有以下6個方面。1）對數據驗證、

32、識別、分類分級和加密 數據源可信驗證技術主要是保證所采集數據的數據源是安全可信的，確保采集對象是可靠的、未被假冒的。數據安全識別檢測是對采集的數據集進行結構化、非結構化內容的安全性檢測，確保數據中不攜帶病毒或其他非安全性質內容。零信任技術和產業發展白皮書 15 數據分級分類標注技術主要實現對結構化、非結構化、半結構化的數據按照內容屬性、安全屬性、簽名屬性等不同視角進行標注，標注的方法包括基于元數據的標注技術、數據內容的標注技術、數據屬性的標注等。2）數據防泄漏 數據防泄漏技術，包括數據泄漏檢測技術，泄露阻止技術和泄露追蹤技術。其中泄露檢測技術包括：內容搜索和匹配的基礎檢測技術方式，及精確數據比

33、對（EDM）、指紋文檔比對（IDM）、向量分類比對（SVM）等高級檢測方式。泄漏阻止技術包括：一是對靜態數據的存儲保護，二是防范傳輸態數據的泄漏，三是解決應用系統在使用數據時存在的泄漏風險。泄漏阻止技術，使用較為廣泛的主流技術以控制類、加密類、過濾類、虛擬類為代表。數據泄漏追蹤技術是通過相關技術來追蹤和震懾數據泄漏行為,傳統數據泄漏追蹤技術包括標記化算法、信息傳輸決策點技術、誠信機制水印技術、便攜式數據綁定算法和流模型算法等,當前主流的泄漏追蹤算法主要以過失模型為基礎，在不改變源數據的前提下，增加識別泄密者的概率。3）數據活動監測及審計分析 為了對數據安全共享中的異常事件、違規行為和業務運行情

34、況等進行全面的了解和事后安全查漏補缺等處理，監控審計技術主要通過分析的各種安全事件日志，借助關聯分析、數字取證、事件追蹤溯源、異常行為的監控、數據血緣分析等手段以及實時監控確保數據共享的安全。零信任技術和產業發展白皮書 16 安全策略管理模塊對數據安全要求的策略基線進行維護和管理，同時根據監測預警模塊反饋的威脅信息，生成全局動態協同數據安全防護決策策略。4）重要數據脫敏和溯源 數據脫敏技術主要包括：基于數據加密的技術，采用一定的加密算法覆蓋、替換信息中的敏感部分以保護實際信息的方法?；跀祿д娴募夹g，使敏感數據只保留部分屬性，而不影響業務功能的方法?；诳赡嬷脫Q算法的技術，兼具可逆和保證業務

35、屬性的特征，可以通過位置變換、表映射、算法映射等方式實現。在數據資產元數據的基礎之上增加安全屬性，包括增加數據的標簽、安全級別等屬性，來實現對數據資產的血緣分析與追蹤溯源等安全操作。5）重要數據備份和恢復 備份恢復技術主要是實現對大數據環境下的特殊數據，如元數據、密集度很高的數據或者高頻次訪問的數據進行，通過非安全手段實現的安全防護技術，通過數據同步、數據復制、數據鏡像、冗余備份和災難恢復等方式實現的安全保護。6）數據使用保護 數據在跨網跨域之間進行交換，需要對數據交換內容、交換行為、交換過程做到可管、可視、可控。數據銷毀是為了確保刪除的數據不存在非法殘留信息和從刪除數據中進行恢復，而造成數據

36、信息的泄漏。5、應用/負載安全 零信任技術和產業發展白皮書 17 應用和負載是零信任整體框架的重要組成部分，工作負載支撐上層應用為用戶提供服務，應用負載安全的核心是權限控制，在構建可信鏈的過程中，通過對可信身份、可信設備、可信網絡的校驗后，權限是最后一道關卡。在零信任框架中，訪問行為是需要持續評估的，每次訪問默認都是不可信的狀態，基于角色訪問控制RBAC仍存在一定的監控盲點，比如角色所屬的訪問設備自身的安全，以及如何確保角色的合法性等。所以在零信任框架中，對于應用和負載安全的核心，建議采用基于屬性的訪問控制ABAC模型，同時對于每次訪問產生的不同屬性進行動態的評估，從而判斷其訪問的權限是否需要

37、動態的調整。綜上所述應用和負載安全重點建設的核心技術應包括應用訪問控制，負載管理，應用動態信任評估，應用動態權限控制。1）應用訪問控制 應用訪問控制定義了訪問主體對應用（資源）的訪問過程控制，主要能力包括訪問控制模型（ACL、RBAC、ABAC等）、身份信息校驗、應用信息同步（組織架構同步、權限同步）等。2）負載管理 負載管理定義了應用（資源）的運行環境安全保護要求，主要能力包括負載的認證和授權、負載的資產識別、負載環境隔離、負載環境安全檢測和負載風險監控。3）應用動態信任評估 應用動態信任評估定義了訪問主體對應用（資源）訪問過程中的控制能力，是零信任架構中的控制平面。主要能力信息采集和范式化

38、零信任技術和產業發展白皮書 18 、情報獲取、可信訪問過程監控和分析、風險評估模型管理、風險預警等能力。4）應用動態權限控制 應用動態權限控制是配合應用動態信任評估進行執行落地，主要能力包括權限管理和降級、動態授權策略調整、策略生命周期管理、應用權限對接。6、安全監測與評估 通過監測所有安全事件的獲取、提煉，再到分析研判，對研判的結果進行應急響應和提供相關的處置意見等，實現零信任的持續安全監測與評估。該過程亦是動態的，監測是基于實時結果的反饋，并根據一定的風險模型進行評估。安全監測與評估的主要技術特征如下：1）事件攝取和豐富 通過對日志、流量進行實時的采集和信息提取，并通過預先收集的資產臺賬、

39、用戶信息進行一定程度的完善和豐富，補全信息的上下文，在某些實踐案例中可基于SIEM完成安全監測與評估所需要的事件元素，并根據零信任應用動態評估所需要的維度進行分類。2）安全監測指標管理 安全監測指標包含了對事件和事態發展趨勢的監控。事件監控的指標包括了事件的等級，事件的類型、事件的來源以及事件的詳情，通過統計和提醒的方式持續的進行監控。事態的指標包括歷史出現頻率，相似度，以及長周期基線的情況，如暴力破解的發生概率等。指標反映了風險發生的趨勢和影響的范圍，事態的監測指標往往用于風險的評估和預判。3）事件調查 零信任技術和產業發展白皮書 19 管理員必須調查事件以確定響應和防止將來發生類似事件的最

40、佳方式，調查需要知識和經驗，并輔以提供有關事件原因的詳細信息的系統。事件調查是安全監測中較為復雜的一環，調查包括了對于事件上下文的理解，取證以及攻擊過程的還原，可通過攻擊鏈模型對安全風險進行回溯。4）響應和執行 應急事件處理的這一階段需要實施在調查過程中確定的環節步驟，這些元素相互重疊并相互加強，豐富的信息為調查奠定基礎，進而推動響應，案例管理工具和實踐使工作流程井然有序并更新所有相關利益相關者。5）預案編排 該環節需要建立應急預案的管理能力以及對于風險的預測和管理能力。風險預測管理對企業或組織的長期安全具有重要作用，風險的預測和管理是識別和評估風險后，將風險降低至可接受級別并能夠確保維持這種

41、級別的過程。百分之百安全的環境是不存在，零信任的提出是基于當前網絡、環境、人、設備等角色的不安全性，認定每種環境都具有某種程度的脆弱性，都會面臨威脅。風險管理的核心在于識別風險、以一定的方法論評估風險、結合企業組織實際情況選擇可接受風險的容忍度，在盡可能結合歷史的情況下借助實時信息進行風險的預測。7、安全可視化 零信任架構中明確定義了跨身份、設備、數據、應用、基礎設施和網絡實現端到端的零信任方法。通過提高零信任可見性，為其決策提供更豐富的數據。在上述六個方面采用零信任技術后，必然會增加零信任技術和產業發展白皮書 20 安全運營所需要分析的安全事件數量，為了最大程度提高安全分析的聚焦點，對安全事

42、件上下文感知并自動修復缺陷，可以檢測和阻止風險，降低安全運營警報分析工作量。通過呈現整個零信任異構環境所有方面的可見性，可最大限度地減少安全運營人員的工作負擔。零信任安全可視化主要包括身份可視化、終端可視化、應用可視化、網絡可視化、數據安全與違規事件可視化、事件分析響應。1）身份可視化技術 a）支持形成身份分組、分角色、分組織機構等類型以及身份的接入信息、歷史接入信息等態勢展示。b）支持形成包括身份訪問模式、身份越權操作行為、身份異常訪問行為等分析數據的態勢展示。2）設備可視化技術 a）支持形成設備類型分布、設備脆弱性、設備健康度、設備風險分布等分析數據的態勢展示；b）支持基于漏洞和基線核查信

43、息，結合組織信息、應用系統、區域、設備等基礎數據，進行多維度分析結果展示；c）支持形成在不同區域、組織、系統和設備上的脆弱性分布以及排名等分析數據的態勢展示。3）應用可視化技術 a）支持形成應用類型分布、應用脆弱性、應用健康度、應用風險分布等分析數據，進行態勢展示。b）支持形成包括數據泄露風險、數據敏感級別、數據訪問模式、越權操作行為、異常訪問行為等分析數據，進行態勢展示。4）網絡可視化技術 零信任技術和產業發展白皮書 21 通過部署NetFlow采集，分析DMZ網絡流，檢測異?；顒?。對收集和分析流經網絡的流量數據包進行網絡可視化動態呈現。5）數據安全與違規事件可視化：a）實現對平臺中數據標簽

44、、數據流轉過程進行事件監測、分析和可視化呈現。b）對數據流轉過程中的安全事件和訪問行為，按照事件主體、級別、類型、區域分布、流量信息、處置狀態等進行多維度分析展示。6）自動化的安全事件分析和缺陷彌補 自動執行安全事件分析和缺陷彌補，讓所有身份、設備、應用、基礎設施和網絡逐步過渡到自動修復，配合訪問決策模型，以縮短風險檢測和響應時間。a）對安全事件的蔓延、影響范圍及趨勢進行分析結果展示；b）基于應急響應的執行、流程跟蹤、狀態反饋、資源對象、安全事件處置情況等數據進行多維度分析和展示。8、綜合安全管理 綜合安全管理對于零信任的核心價值在于對各項零信任技術的統籌協調。零信任的實現是對現有安全關鍵技術

45、措施的進一步融合升級，促使組織的網絡安全成熟度逐步升級。零信任在組織的成功實施是一項系統性工程，組織除了對技術措施的整合升級外，對傳統的信息安全管理和組織人員管理的整合升級也應同步規劃、建設和運營，用適當的管理措施統籌零信任關鍵技術的融合升級，使零信任關鍵技術能充分有效、持續穩定地交付安全能力。零信任綜合安全管理要求框架如圖3所示。零信任技術和產業發展白皮書 22 圖 3 零信任綜合安全管理要求框架 1）風險管理要求 安全風險管理重點體現傳統信息安全管理與風險管理的綜合要求，是零信任總體架構的重要組成部分。安全風險管理需要與零信任關鍵技術能力進行適配，通過綜合的安全風險管理統籌能力，使零信任關

46、鍵技術與管理相互融合，使持續自適應風險與信任評估能力（CARTA）可以充分有效地交付，達到持續提升零信任能力成熟度等級的目標。安全風險管理要求的關鍵技術分別借鑒了信息安全管理體系和風險管理框架的PDCA循環，通過安全風險管理綜合能力、風險識別能力、風險評估能力、風險處置能力、風險溝通能力以及風險監視與評零信任技術和產業發展白皮書 23 審能力對組織內的信息安全風險進行管理，管理過程中更多地考慮采用基于零信任技術理念的控制措施對風險進行控制。安全風險管理要求的關鍵技術分別是安全風險管理綜合能力、風險識別能力、風險評估能力、風險處置能力、風險溝通能力以及風險監視與評審能力。安全風險管理綜合能力可對

47、組織的統籌管理措施進行集合，風險識別、評估與處置是環環相扣的風險管理流程的核心能力，風險溝通能力始終貫穿于風險管理過程，而風險監視與評審能力則為風險管理的有效性提供監督。2）人員管理要求 人員管理在零信任領域的核心價值在于培養和提升安全人員與業務相關方對零信任理念的理解，并在組織中利用零信任相關技術對人員異常行為進行檢測、監控和持續信任評估與響應，最后使零信任充分融入到組織文化當中。通過實施基于零信任的人員管理，組織能夠有充足的人力資源和能力參與零信任的改造實施，可以有效、正確地設置零信任的策略，實現異常行為的風險管理，使組織可以有效應對員工、實習生、供應商、合作伙伴、駐場人員、外包等各類人員

48、產生的信息安全風險。三、零信任典型應用場景 與傳統安全解決方案相比，零信任解決方案從成本、效率、安全等方面都實現了優化升級。傳統方案存在部署與維護麻煩、合規建設周期長、設備投入大建設費用高等問題，零信任解決方案實現應用程序虛擬化，可實現一臺終端多網訪問，設備及運維成本大幅降低。傳零信任技術和產業發展白皮書 24 統方案操作復雜，設備體量大，不易管理，業務效率提升難度大，零信任解決方案實現系統一體化管控，操作更為便捷，設備體量小，降低了管理壓力，效率得以大幅提升。傳統方案中完全信任企業內部網絡，缺乏有效安全防護手段，業務不能有效隱藏，致使網絡漏洞與高危端口容易成為安全隱患，零信任解決方案可切分內

49、外網，只允許授權合規訪問授信網絡，形成更為安全的網絡隔離，同時對數據進行加密隔離存放、使用控制等，實現數據面隔離，全面收斂暴露面，規避漏洞風險。目前零信任解決方案已經在多場景中進行應用，成為新型網絡安全護航模式。零信任常見使用場景有遠程辦公、多云環境、多分支機構、物聯網、數據中心，如表1所示。應用零信任SDP、IAM、MSG技術可形成一種端到端的網絡安全體系，從身份、訪問管理、操作、終端到環境與基礎設施形成動態的細粒度防護模型，消除信息系統和服務中實施精準訪問控制策略的不確定性，以保障終端對資源的可信訪問，提升企業數字化轉型中新IT架構的安全性。表 1 多場景零信任解決方案分析 應用場景 應用

50、技術 關鍵技術要素 遠程辦公 SDP IAM 多因子身份認證 動態訪問控制 數據傳輸加密 多云環境 SDP MSG 動態身份認證 動態授權 動態訪問控制 網絡微分段 安全可視化 零信任技術和產業發展白皮書 25 多分支機構 SDP IAM 多因子身份認證 動態訪問控制 網絡資源隱身 分布式部署 物聯網 SDP IAM 分布式部署 終端感知 數據防泄漏 增強型身份認證 數據中心 IAM MSG 動態信任評估 細粒度訪問控制 東西向流量防護(一)遠程辦公 1、遠程辦公的安全需求 自 2020 年新冠疫情爆發之后，遠程辦公已成為主流的辦公方式之一，其靈活便捷的特性讓企業員工可以隨時隨地辦公，大大降低

51、了疫情防控的風險，提升了企業辦公效率的同時壓縮了公司運營成本。遠程辦公雖提升了工作的便利性，但其潛在的安全問題還是影響并制約著它的發展:系統安全：在線會議、文檔協作等辦公場景下的系統安全功能不完備，系統自身安全漏洞，安全配置不適配等問題，加大了遠程辦公安全威脅。數據安全：在遠程協作的辦公模式下，原本存放于數據中心的數據通過各類會議軟件、網絡通道在員工的個人終端流動、存儲，致使企業內部網絡對外暴露風險增大，重要敏感業務數據泄露風險加大。零信任技術和產業發展白皮書 26 設備安全：遠程辦公的設備絕大多數為用戶自由設備，在接入遠程辦公系統時，由于未采取適當的安全防護策略，極易被惡意軟件攻破，導致權限

52、濫用、數據泄露等風險引入內部網絡。個人信息安全：遠程辦公系統在用戶接入系統時，通常會采集用戶的個人信息以進行核對，所有的個人信息（如：通訊信息、健康情況、地址信息等）會進行統一的存儲，即存在被濫采、濫用和泄露的風險。2、遠程辦公的零信任解決方案 零信任側重數據保護，可形成一種端到端的網絡安全體系，對身份、憑據、訪問管理、操縱、終端、托管環境與關聯基礎設施等進行安全防護，合理的應用零信任架構可以很好的解決上述遠程辦公中出現的問題。圖 4 遠程辦公的總體零信任安全解決方案 1、遠程辦公系統嵌套在企業內網資源里 零信任技術和產業發展白皮書 27 1）選擇安全可靠的遠程辦公系統供應商，并對其安全能力、

53、應急響應能力、安全信譽等進行審核，通過審核之后將其嵌套進企業內網中。當員工應用遠程辦公系統的時候需先進行身份安全審查，隨后通過企業軟件定義邊界網關訪問對應系統資源。2）研發自有遠程辦公系統，并配套應用單點登錄方式進行安全鑒別，公網系統采用雙因子認證進行用戶身份核實，再按照不同的用戶身份分別提供不同的訪問方式。2、確保數據傳輸鏈路雙向加密通信 在服務器端和客戶端之間應用 mTLS，建立加密傳輸隧道，確保數據在運算、傳輸、存儲的全生命周期內，時時刻刻處于密文狀態，有效防止數據泄露，形成數據的全面安全保護。3、增加設備風險檢測機制 對員工的自有接入設備加強防護，提升自有設備的安全可靠性。使用統一的設

54、備管理平臺達到管理的一致性。并使用 SIEM 管理設備日志和事件，通過集成其它第三方數據作為設備合規性策略和設備條件訪問規則的信息源，來檢測設備風險。4、使用多因子認證方式保護身份信息安全 驗證用戶身份除了靜態口令，還可以增加動態口令、短信驗證碼等其他認證因素，實現多因子認證，提高身份認證的安全性；采用硬件密鑰或生物認證，大幅提升安全性。采用基于身份的訪問控制，實現從用戶、終端到業務系統（URL 級別）的精細化訪問控制，縮小攻擊面和訪問面，以最小化訪問權限管理進一步縮小暴露面。(二)多云環境 零信任技術和產業發展白皮書 28 1、多云環境的安全需求 多云環境比物理數據中心和企業網絡更復雜，其四

55、大問題如下：不確定性：云平臺實際是一個資源池，具有共享和按需分配資源的特點，所以云端的工作負載/實例，如虛擬機、容器等，其啟動后獲得IP地址是動態的，按照傳統網絡利用IP地址進行訪問控制，在云端可能難以復刻，或者因實際IP地址的變化而失效。責任問題：很多云租戶認為云端的安全問題應全部交給云服務商/云平臺來解決，但實際上，云服務商負責自身云平臺的安全并為租戶提供基本的安全組或者說基于ISO網絡模型三層和四層的訪問控制，而應用層的安全需要租戶自己負責，或者額外購買云服務商提供的增值安全服務?？梢暬瘑栴}：可見才能可控，安全防護的目的是保護核心資產，所以要先梳理云端的資產，包括數據（Data）、應用（

56、Application）、服務（Service）以及承載這些應用和服務的工作負載（Workload），這些工作負載可能是虛擬機、容器，或者無服務器（Serverless）的功能即服務（Function-as-a-Service）。除了上述數據平面（data plane）的可視化，還有管理平面的可視化問題，包括對IAM配置，云端網絡配置、云端存儲配置，PaaS配置等可視化?？缍鄠€云的安全統一管理問題：雖然每個云服務商（以下簡稱CSP）都提供了一些各自的可視化和安全管理工具，但是互不通用，利用這些各自獨立的管理工具的運維學習成本和管理的開銷都較高。2、多云環境的零信任解決方案 按照零信任安全架構Z

57、TA（Zero Trust Architecture），零信任在多云環境的應用有以下三種方式：零信任技術和產業發展白皮書 29 l 強身份認證/治理 l 基于網絡微分段或者基于身份的微隔離 l 基于SDP及其他網絡基礎設施 1）基于CSP網絡基礎設施及SDP的零信任 為了解決控制權限受限的問題，CSP也在不斷努力提升云平臺的網絡流量的調度能力以幫助租戶實現最大程度上的網絡分段/隔離，比如，提供轉運/轉發網關（Transit Gateway），或者網關負載均衡器（GWLB）實現VPC顆粒度的訪問控制，包括南北向（N-S，多云之間）和東西向（E-W，云平臺內部VPC之間）。典型的應用案例如圖5所示

58、，圖 5基于 CSP網絡基礎設施的零信任解決方案 除了上述利用 CSP提供的網絡基礎架構實現零信任安全的方案外，也可采用 SDP（Software Defined Perimeters）。如圖 6所示，在這種實現方式中，代理和資源網關（作為單一的 PEP并由 PA配置）建立一個用于客戶端和資源之間通信的安全通道。零信任技術和產業發展白皮書 30 圖 6 基于 SDP架構的零信任解決方案 2）基于身份的微隔離(Identity-based Micro-segmentation)實現零信任 與傳統基于網絡的零信任架構不同，基于身份的微隔離將傳統的基于IP地址的訪問控制轉換為基于身份的驗證和訪問的授

59、權，從而應對多云環境中工作負載位置和IP地址動態變化的問題，實現微分段的功能?；谏矸莸尿炞C和訪問授權采用了與網絡基礎設施解耦合的方案，通過基于身份驗證實現云端工作負載之間的有效隔離以及訪問控制，并借鑒SDP中SPA單包認證思路，在TCP會話建立時進行訪問主體和資源間相互身份認證，實現了多云環境（共有云、私有云以及物理網絡）中的有效身份管理和訪問控制。在給每個工作負載賦予唯一的不可篡改的身份后，用安全編排器（Orchestrator），也就是零信任架構中的PE和PA，建立虛擬安全域，制定訪問控制策略，實現微隔離，如圖7所示，零信任技術和產業發展白皮書 31 圖 7 基于身份的微隔離零信任解決方

60、案 基于身份的微隔離(Identity-based Micro-segmentation)令安全和網絡基礎設施解耦合，在多云環境下實現了應用層面基于屬性的訪問控制（Attribute Based Access Control,ABAC)和分布式FW，但保持了安全策略的集中管控，也無需對應用程序做任何修改。3）云原生環境下實現零信任安全 基于工作負載的身份實現了云原生FW（Cloud Native FW）的功能，與基于身份的微隔離(Identity-based Micro-segmentation)的零信任架構一樣，云原生環境的零信任架構有兩個關鍵組件：一個集中的政策/策略管理器（Orchest

61、rator）和可視化引擎以及一個分布式的執行組件（Enforcer），兩者本身均以容器的形式存在，執行組件則以DaemonSet或者Side-car的方式部署到每個Node，集中策略管理器可以管理一個或者多個集群（Cluster）。除此之外，在云原生環境中還需用零信任的理念解決以下問題，l 容器環境可視化 l 鏡像的信任問題 零信任技術和產業發展白皮書 32 l 云原生應用防火墻CNAF（Cloud Native Application FW）和API安全 l Runtime動態安全基線分析和威脅發現 l 安全左移 4）多云環境的安全統一管理 多云環境的安全管理面臨諸多挑戰，企業或者組織需要采

62、用第三方或者自研的統一安全管理平臺，解決多云環境CSP服務標準不一致問題，例如：l 多云IAM：多云IAM自動計算跨云服務提供商的有效權限，檢測過度許可的訪問，并建議修整以達到最低權限的權利。l 風險評估及攻擊面管理：評估云端資產風險、多云互聯暴露的攻擊面。例如，API弱點和權限管理 l 配置管理：開發人員和安全團隊可能因缺乏意識和經驗、或者疏忽大意而實施有缺陷的安全設置。為此，需要建立有效的安全護欄（Guardrail），以及時糾正錯誤的配置，挫敗潛在的黑客，減少整體風險。l 合規管理：按照CIS、GDPR、等保MLPS 2.0標準進行跨多云的合規檢查，生成統一的合規分析報告，并找統一的標準

63、進行安全整改和加固。(三)多分支機構 1、多分支機構的安全需求 隨著業務的擴展，越來越多的企業選擇設立分支機構，隨之帶來了諸多安全問題。零信任技術和產業發展白皮書 33 傳統網絡邊界防護能力失效：傳統架構按照物理劃分企業內外網并設定內網是安全的，分支機構和總部都劃分在內網中，業務端口暴露在外，致使企業的核心業務與數據易被外部攻擊。網絡安全管理機制不一致：很多企業的分支機構與總部網絡安全管理機制不一致，當這些分支機構的員工訪問企業內部資源時，需要進行人員身份、設備信息校驗等安全可信性驗證。運維管理難度升級：分支機構的應用讓可接入用戶和設備數增加、物理位置分散，接入環境變得愈加復雜，運維人員對后續

64、的網絡安全管理以及追溯難度增加。訪問效率低：當分支機構的員工想要訪問企業內網服務的時候，訪問過程需要先經由總部再回傳至終端，導致用戶體驗的降低。2、多分支機構的零信任解決方案 零信任架構從安全層面不在區分內外網、是否為遠程、是否為分支，統一通過零信任網關接入、零信任網關代理、隱藏后端服務。圖 8多分支機構的總體零信任安全解決方案 零信任技術和產業發展白皮書 34 1、在傳統安全能力的基礎上建立零信任網絡架構 應用零信任網絡安全架構，集成傳統安全能力，如漏洞攻擊防護、行為管理審計等，通過多重身份驗證和授權驗證保證只有經過驗證的用戶才能訪問企業的業務系統，減少企業資源的暴露面，實現企業資源隱身。2

65、、應用層準入，減小攻擊面 針對非管控設備，使用零信任應用層準入方案，分支機構員工只具備訪問web頁面的權限，無需安裝客戶端，降低推廣難度的同時不暴露其他協議和端口的資源。3、簡化網絡架構，提升運維管理能力 零信任網絡架構的整個訪問過程基于互聯網，網絡結構變得非常簡單，不僅改善網絡安全性，還提高了總部和各個分支機構的生產力，對用戶及資源的訪問控制進行了標準化。4、分布式提升效率 采用分布式部署模式，在全國各地部署節點，使各地的分支機構可以就近接受安全服務，提升安全服務效率，提高用戶訪問速度。(四)物聯網 1、物聯網的安全需求 近些年來，企業網絡的邊界和接入主體都在不斷發生變化，從多種多樣的智能終

66、端，到每個人的 BYOD設備，再到萬物互聯時代的海量物聯網（IoT）設備，它們通過網絡接入到企業環境中，對企業網絡基礎架構造成聯動性、帶寬等壓力。物聯網與互聯網網絡架構差異大：由于物聯網設備配置通常較零信任技術和產業發展白皮書 35 低，物聯網應用系統的網絡架構較為簡單，因此物聯網設備無法直接在互聯網中進行信息傳輸，需要設置網關進行信息中轉。物聯網設備性能差：物聯網設備為降低消耗常采用簡單的網絡協議、小型的操作系統，其安全功能通常不被考慮在內，因此升級、打補丁、修復漏洞等都不會出現，缺少防護能力，極易被攻擊者入侵。運營和收入影響：物聯網設備可能會出現操作降級，用于橫向移動，或者由于安全事故而被

67、迫離線，所有這些都可能對生產質量和核心業務產生潛在的商業影響，導致收入損失。品牌價值影響：事件可能會降低的企業聲譽從而影響品牌價值。真實物理的影響：網絡物理系統（CPS）的妥協可能導致現實披露（包括潛在的安全和環境事件）。監管影響：不合規會導致企業違反政府和行業制定的監管要求，因此需要擔負罰款以及法律訴訟等。成本影響：減少安全方案使低利潤工業和低成本物聯網設備的風險增加，成本增加。2、物聯網的零信任解決方案 物聯網信息系統中感知終端的安全技術要求分為基礎級和增強級兩類。感知終端至少應滿足基礎級安全技術要求；處理敏感數據或遭到破壞對人身安全、環境安全帶來嚴重影響的感知終端，或 GB/T 2224

68、0-2008規定的三級以上物聯網信息系統中的感知終端應滿足增強級要求。物聯網數據傳輸安全技術要求也分為基礎級和增強級兩類。處理一般性數據傳輸應滿足基礎級安全技術要求；處理重要數據、敏感數零信任技術和產業發展白皮書 36 據，涉及重大安全問題的數據傳輸應滿足增強級安全技術要求，或參考等級保護或其他相關標準中安全等級劃分內容。物聯網感知層接入信息網絡的安全技術要求亦分為基礎級和增強級，比如對于設備標識，基礎級要求是信息網絡接入系統中的設備應具備可用于通信識別的物聯網系統中的唯一標識。增強級要求是：該唯一標識具備硬件防篡改保護。因此物聯網的零信任解決方案需具備以下幾點：l 接入多數據源，如：身份認證

69、日志、行為審計日志、風險行為日志、主機安全日志。l 基于AI的用戶行為分析，匯聚AI算法、機器學習，實現動態風險檢測，達到智能化識別用戶行為風險的目的。l 可自定義風險規則策略和引入白名單機制，能夠對安全風險檢測規則靈活調整。圖 9基于行為驗證的評估體系 零信任技術和產業發展白皮書 37 圖 10物聯網終端安全接入方案(五)數據中心 1、數據中心的安全需求 傳統數據中心的安全解決方案通常圍繞基礎設施、應用、數據三個方面來進行安全建設：l 基礎設施安全這一層包含物理安全、網絡安全、系統安全等部分；l 應用安全處于基礎設施安全之上，包括權限安全、訪問控制、日志審計等部分；l 數據安全這一層已經接近

70、信息安全，信息安全的對象就是數據，包括分類分級、數據加密、數據傳輸、備份歸檔等。對于傳統數據中心，做好以上三個層面就基本可以保證數據中心在技術上的安全，但是隨著云計算技術的不斷發展，數據中心的業務架構和網絡環境隨之發生了重大的變化，高級持續性威脅攻擊和內網安全事故頻發，遠程接入場景（南北向）和內部業務互訪場景（東西零信任技術和產業發展白皮書 38 向）已經暴露出傳統安全方案的不足，需要新的方案來滿足業務的安全需求：（1）VPN是傳統的遠程接入場景（南北向）的安全解決方案，由于其先連接后認證的特點，使得VPN服務直接暴露在互聯網上，成為黑客攻擊的對象；VPN用戶認證通過后就獲得了全部的網絡訪問權

71、限，很容易發生非法訪問；VPN用戶接入后，終端上存在的惡意代碼很容易穿過VPN進入數據中心。（2）內部業務互訪場景要么完全沒有安全防護方案，要么僅進行了簡單的主機防火墻策略管理。數據中心的云化甚至容器化導致傳統的物理邊界消失，傳統的物理邊界上部署的安全產品和方案就失去了作用，當某個虛擬機或者容器被單點滲透后，惡意代碼很容易在數據中心內部進行橫向移動；雖然可以在主機上配置防火墻策略進行簡單的防護，但由于云數據中心中業務變化太快，使得主機防火墻策略的動態維護工作量巨大，且主機防火墻僅能對網絡端口進行訪問控制，很容易被惡意代碼鉆空子直接利用開放的端口進行通信。2、數據中心的零信任解決方案 零信任架構

72、可對數據中心的賬戶、設備、業務應用、數據資產之間的所有訪問請求進行細粒度的訪問控制，并且訪問控制策略需要基于對請求上下文的信任評估進行動態調整，是一種應對新型IT環境下已知和未知威脅的機制。零信任需要先假定人、終端、資源等都是不可信的，通過建立人到終端到資源的信任鏈，并動態實時校驗信任鏈，來實現對資源安全可信請求，阻斷攻擊數據。在零信任架構下，傳統的邊界（網絡位置）已經不再重要，每一次對資源的請求，都要經過信任關系的校驗和建立。零信任技術和產業發展白皮書 39 圖 11數據中心零信任實踐技術架構 根據遠程接入場景（南北向）和內部業務互訪場景（東西向）的需求，建議采用如下零信任安全解決方案：1）

73、遠程接入場景（南北向）：在用戶對服務訪問場景中，零信任最核心最重要的理念包括用戶、終端設備、鏈路、資源權限應是安全、可信的；應建立起用戶、終端設備和資源權限的信任鏈；應持續、動態的檢驗信任鏈是否還安全可信。SDP+IAM的解決方案是此場景下的最佳實踐，通過提供一個額外的云上接入安全服務，提供對各種入口流量的安全處理，實現對來源流量的網絡策略管理。2）內部業務互訪場景（東西向）：對于服務之間互訪的場景，零信任的解決方案和最佳實踐，參考 Gartner相關報告，是包括基于云原生控制、基于第三方防火墻、基于主機代理三種實現方式的工作負載之間的微隔離解決方案。數據訪問需求結合零信任理念，將管理平面與數

74、據平面分離，通過微隔離組件和相應的配置，實現云數據中心虛擬機間訪問、k8s容器間訪問流量的隔離和訪問控制。零信任技術和產業發展白皮書 40 四、零信任工程實施重點與案例(一)零信任工程實施方法與要點 零信任工程實施重點包括以下五點，即甄別業務數據和業務角色、關聯敏感數據流量和業務應用程序、構建網絡防護邊界規則、持續性監控，動態策略執行、關注安全架構帶來的業務成果 圖 12零信任實施重點架構圖 1、甄別業務數據和業務角色 零信任技術和產業發展白皮書 41 零信任目的是實現業務和數據安全，要對業務數據進行保護。首先要區分識別的敏感數據，對業務進行分類監管，標記出敏感數據存在的網絡位置，最后對不同類

75、型和級別的敏感數據進行差異化保護。識別業務類型后，確定崗位的職責及所需的業務權限，明確人員和角色的定義，對業務數據進行不同角色的最小化授權。2、關聯敏感數據流量和業務應用程序 確定業務數據后，需梳理數據去向、用途以及應用，明確系統和用戶獲取數據資源的途徑，了解敏感數據的跨網絡流動方式，進行針對性保護。對流量信息進行區分，明確可通行流量后設定零信任規則，對沒有通行權限的流量進行攔截。3、構建網絡防護邊界規則 區分可通行流量后，需開展網絡框架結構設計。由于存在多連接區域和細分業務，因此需梳理對應的規則以形成更為精確的設置和管理，嚴格劃分業務和使用者的邊界，設定安全網關的位置，執行過濾規則和策略，僅

76、允許合法的數據流。確定數據流向后，在不同區域和業務段之間設置邊界網關，實現流量控制和安全審計。4、持續性監控，動態策略執行 做好規則設定，使業務流量按零信任機制進行合法合規性審核，通過審核后對安全流量放行，系統監管整個網絡架構上的流量流動情況。監管除必要的持續性與合規性審查監控外，還需增加動態權限調整功能，對從用戶、終端、行為等方面采集的數據進行實時分析，綜零信任技術和產業發展白皮書 42 合評估其信任等級，動態的調整業務系統的訪問權限和策略，最終生成全流程的日志信息。5、關注安全架構帶來的業務成果 零信任實施方案設計的核心關注點是平衡便捷性與安全性，為業務的安全穩定負責，降低實現層層安全驗證

77、時安全運維操作和業務審批流程的復雜度。因此在零信任實施方案中需做到保障業務的安全性和合規性時權限可靈活地進行動態調整，簡化業務數據流程，提升管理效率，助力業務快速運轉。降低企業管理安全基礎架構時時間與預算消耗，凝聚核心精力于業務實現。(二)金融行業應用案例 n 背景介紹 某銀行主要是以線下辦公大樓內部辦公為主，員工通過內網訪問日常工作所需的業務應用。為滿足員工外出辦公的需要，當前主要的業務流程是用戶申請 VPN+云桌面的權限，在審核通過后，管理員為用戶開通權限范圍內的應用；在遠程訪問時，員工采用賬號密碼方式登錄 SSL VPN 客戶端及云桌面撥入行內辦公網絡，訪問行內辦公系統。隨著該行業務發展

78、以及數字化轉型的需要，遠程辦公已經成了行內不可缺少的辦公手段，并日漸成為該銀行常態化辦公模式。同時，受疫情影響，使得該銀行內有些業務必須對外開放遠程訪問。為了統籌考慮業務本身發展需求以及類似于此類疫情事件影響，該行著手遠程辦公整體規劃設計，保證遠程訪問辦公應用、業務應用、運維資源的安全性及易用性。零信任技術和產業發展白皮書 43 n 客戶痛點 1）用戶遠程訪問使用的設備存在安全隱患 員工使用的終端除了派發終端還包括私有終端，安全狀態不同，存在遠控軟件、惡意應用、病毒木馬、多人圍觀等風險，給內網業務帶來了極大的安全隱患。2）VPN 和云桌面自身存在安全漏洞 VPN 和云桌面產品漏洞層出不窮。尤其

79、是傳統 VPN 產品，攻擊者利用 VPN 漏洞極易繞過 VPN 用戶驗證，直接進入 VPN 后臺將 VPN 作為滲透內網的跳板，進行肆意橫向移動。3）靜態授權機制無法實時響應風險 當前的網絡接入都是預授權機制，當訪問應用過程中發生。發生用戶登錄常用設備、訪問地理位置、訪問頻次、訪問時段、用戶的異常操作、違規操作、越權訪問、非授權訪問等行為時，無法及時阻斷訪問降低風險。n 解決方案概述 為應對上述安全挑戰，同時滿足其遠程訪問的要求，某網絡安全公司基于“從不信任，始終驗證”的零信任理念，為其構建“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”的核心能力，從設備、用戶多個方面出發，通過立體

80、化的設備可信檢查、自適應的智能用戶身份認證、細粒度的動態訪問控制，可視化的訪問統計溯源，模型化的訪問行為分析，為該行提供按需、動態的可信訪問，最終實現訪問過程中用戶的安全接入及數據安全訪問。同時，結合其現有安全管控的能力，與現有的分析系統進行安全風險事件聯動，進一步提供動態訪問控制能力。零信任技術和產業發展白皮書 44 圖 13金融行業零信任解決方案 解決方案由可信訪問控制臺（TAC）、可信應用代理（TAP）、可信環境感知系統（TESS）等關鍵產品技術組件構成。該方案在訪問的業務系統前部署可信應用代理 TAP，提供鏈路加密、業務隱藏、訪問控制能力。通過部署可信環境感知產品提供終端風險感知作用，

81、并通過可信訪問控制臺提供動態決策能力。通過部署和使用某網絡安全公司零信任遠程訪問解決方案，該銀行構建了安全、高效和合規的遠程訪問模式，實現了以最小信任度進行遠程接入，對應用權限的“最小授權”，數據的安全傳輸，達到了遠程訪問的動態訪問目的。n 方案價值 1）訪問控制基于身份而非網絡位置 解決方案以身份為邏輯邊界，基于身份而非網絡位置構建訪問控制體系，為網絡中的人、設備、應用都賦予邏輯身份，將身份化的人零信任技術和產業發展白皮書 45 和設備進行組合構建訪問主體，并為訪問主體設定其所需的最小權限?；谏矸葸M行細粒度的權限設置和判定，能夠更好地適應多類終端接入、多方人員接入、混合計算環境下的數據安全

82、訪問及共享問題。2）業務訪問基于應用層代理而非網絡層隧道 解決方案在應用層對所有訪問請求進行認證、授權和加密傳輸，將業務暴露面極度收縮，避免網絡層隧道導致的暴露面過大和權限過度開放。傳統業務代理實現時由于業務暴露面過大，經常發生安全事故。3）信任基于持續評估而非人為預置 解決方案對終端、用戶等訪問主體進行持續風險感知和信任評估，根據信任評估結果對訪問權限進行動態調整。受控終端具備安全狀態可信環境感知能力，能夠根據終端上的各種安全狀態信息，如漏洞修復情況、病毒木馬情況、危險項情況、安全配置以及終端各種軟硬件信息，采用“可信加權”原則，將所有風險項產生的權值進行相加，以百分制提供給可信訪問控制臺。

83、4）訪問權限基于動態調整而非靜態賦予 靜態權限難以對風險進行實時響應和處理，解決方案基于持續信任評估和風險感知對權限進行動態調整，遵循基于持續信任評估的動態最小權限原則，實時對風險進行閉環處置。(三)電信運營商行業應用案例 n 背景介紹 電信運營商網管系統采用 4A 對內部資源進行訪問控制，然而隨著新技術的引入和接入環境的不斷變化，傳統 4A 面臨安全挑戰。n 客戶痛點 零信任技術和產業發展白皮書 46 1）4A 采用的基于邊界的模型中，位置決定信任程度。它認為安全區域內的用戶在默認情況下是受信任的，這使得用戶擁有過高的訪問權限，導致過度信任。2）認證過程中，用戶和設備沒有進行綁定，可能存在身

84、份信息被盜用、或使用存在未知風險設備等安全事件，4A 提供的單一的用戶身份認證難以保證訪問過程安全可控。3）在訪問過程中，設備、資源或網絡的狀態可能變得不安全，用戶也可能存在誤操作，4A 無法收集這些風險信息，并據此對訪問權限進行動態調整。4）隨著電信網云化，遠程訪問的需求不斷增加，提供遠程訪問的 VPN 設備頻繁暴露出高危漏洞，且其采用“先連接，后認證”的開放式資源訪問模式，最大化的將內網資源暴露給了攻擊者。n 解決方案概述 某運營商借鑒零信任概念，在原有 4A 平臺的基礎上，通過增加設備注冊、預認證、風險數據采集、持續信任評估、動態訪問控制等安全能力，構建了一套全新的零信任 4A 平臺，實

85、現了網絡隱身、強化身份認證、代替 VPN 設備、實時審計等功能。保證遠程接入易用性的同時，提升了運維管理的安全性。某運營商新增的零信任組件包含三個部分可信訪問客戶端、可信訪問控制網關、持續信任評估中心。零信任技術和產業發展白皮書 47 圖 14 電信運營商行業零信任解決方案 如圖 14 所示，零信任 4A 平臺系統架構由“兩層三區”組成，兩層分為控制層和數據層，數據層面主要完成主客體之間的數據轉發，控制層面主要完成訪問前期的風險識別、訪問過程中的持續風險與信任評估以及動態授權、訪問事后的審計等；三區分為可信訪問區、零信任安全管控核心基礎能力區、集中運維區，下面分別介紹各區域的核心功能：1）可信

86、訪問區：可信訪問區由“可信訪問客戶端”和“可信訪問控制網關”構成，在所有訪問主體對目標客體資源進行訪問之前，都必須要通過“可信控制網關”的預認證。預認證的目的是確認用戶及其終端是否安全可信。在確認是合法用戶和終端后，建立“可信訪問客戶端”與“可信訪問控制網關”的加密隧道，為后續的訪問行為做準備。同時，“可信訪問客戶端”會采集客戶端的相關數據，通過零信任核心基礎能力模塊進行持續信任評估，并將分析得到的控制策略通過“可信控制網關”執行。2）零信任安全管控核心基礎能力區：核心基礎功能區涵蓋了身份管理、終端管理、資產管理、認證管理、授權管理、審計管理、零信任技術和產業發展白皮書 48 持續信任評估中心

87、，既是基礎功能區，又是核心功能區。其中，持續信任評估模型模塊主要通過多維度的數據分析，根據制定出的專家規則、機器學習模型，持續的在信任與風險中做出科學決策；動態決策授權模塊中，根據風險評估等級，執行訪問控制策略，實現動態的決策授權。由安全管控平臺提供的剩余模塊也需在原有功能的基礎上進行完善。3）集中運維區：集中運維區包括運維堡壘、被訪問的應用資源和系統資源。n 方案價值 1）提高遠程訪問安全性 傳統建設方案中，用戶遠程訪問內網資源多是通過VPN技術實現的，但隨著業務模式不斷的變化升級，VPN設備被發現存在簽名驗證、弱口令爆破、接口注入等高危漏洞，在日常使用過程中也存在用戶體驗差、綜合成本高、運

88、維復雜、效率不高等問題。并且VPN采用了開放式的資源訪問模式，即“先連接，后認證”，這種模式最大化的將內網資源暴露給攻擊者，為攻擊者提供了攻擊內網資源的路徑。本方案采用零信任網關代替VPN設備，通過SPA等技術實現“先認證，后連接”，提高遠程運維效率，縮減暴露面，提升訪問控制安全性。2）排除接入終端安全風險 用戶使用非企業采購或發放的未知設備訪問電信網運維域，這些未知的設備會給安全帶來不確定性。本方案在確保運維人員及運維終端的安全性后才授予運維權限；對運維終端及其所處環境進行持續安全評估，并及時調整運維權限。3）杜絕權限濫用 零信任技術和產業發展白皮書 49 傳統的訪問授權決策依賴于用戶身份、

89、角色等靜態屬性，通常提供網絡級授權，而不是服務級授權。這種粗粒度的訪問控制不僅不能及時保護訪問過程，還可能導致權限濫用。本方案通過持續的安全監測和信任評估，進行動態、細粒度的授權，最大程度杜絕權限濫用。4）實現審計與授權的閉環管理 粗心或惡意的員工的無意或惡意行為會對企業造成很大的威脅，安全管控平臺不能做到實時審計。本方案將日志的審計結果作為信任評級的打分依據，實現審計與授權的閉環管理。(四)政府行業應用案例 n 背景介紹 某市大數據發展管理局一直來在以大數據賦能智慧城市、智慧國企、智慧健康等方面走在前列，已建成的一體化智能化公共數據平臺為該市下屬的委辦單位、企業、公眾提供良好的大數據業務支撐

90、服務，以數據智能賦能數字經濟和民生。n 客戶痛點 十四五規劃中，數據相關產業將成為未來中國發展建設的重點部署領域，相關的數據安全也變得更加重要。隨著數據開放面逐漸擴大、數據訪問量不斷增加，某市大數據發展管理局預見到了開放共享過程中潛在的數據安全防護及溯源問題，例如數據訪問無法追溯到最終用戶、API 自身脆弱性帶來的安全配置錯誤及注入風險、API 異常高頻訪問帶來的數據暴露風險等，為此某市大數據局啟動了一體化智能化公共數據平臺零信任安全防護體系的建設任務，并引入某網絡安全公司作為零信任安全供應商。n 解決方案概述 零信任技術和產業發展白皮書 50 基于零信任的理念，本次方案強調“從不信任、始終驗

91、證”，在業務訪問的全流程中引入身份認證的能力，對管控的客體對象“用戶”、“應用”的身份進行持續校驗，并針對防護對象 API 資源，實現“先認證、再授權、再訪問”的管控邏輯，通過為公共數據平臺構建虛擬身份安全邊界，最大程度上收窄公共數據平臺的暴露面，保障業務安全開展。圖 15 政府行業零信任解決方案 某市一體化智能化公共數據平臺零信任安全防護體系由以下幾個關鍵組件構成：1）統一控制臺：作為零信任架構中的 PDP，維護用戶清單、應用清單及資源清單，集成 SSO 系統，并負責零信任體系內訪問控制策略的制定和 API 安全代理的控制。其中用戶清單來源于所在省數字政府 IDaaS、某政釘等多源用戶身份目

92、錄的合并，追蹤和更新該市 12 萬余用戶信息的變化，所有用戶具有唯一標識，用戶清單為零信任體系中的 UEBA 行為分析引擎提供信息；應用清單維護所有接入零信任體系的應用系統的身份信息，通過與某市建設的目錄系統聯動，實現全網應用身份統一，并為應用生成零信任安全接入工具；資源清單維護所有要保護的客體對象信息（在溫州場景下即 零信任技術和產業發展白皮書 51 API 接口資源），通過手動配置或從流量中分析的方式建立。2）API 安全代理：作為零信任架構中的 PEP，以“默認拒絕”的模式接管所有面向公共數據平臺的訪問請求，針對每條請求進行身份鑒別和權限鑒別，僅放行通過統一控制臺驗證的合法請求，同時輸出

93、其他 API 安全防護能力。3）UEBA 行為分析引擎：負責采集零信任體系中的用戶行為數據，并對用戶行為、應用行為進行大數據建模匹配分析，為統一控制臺的訪問控制策略指定提供輸入依據。n 方案價值 1）統一身份、安全認證 統一控制臺通過 SSO 系統為政務外網所有的應用系統提供認證門戶，接入應用的用戶在通過統一認證的合法性校驗后將會生成包含用戶、應用身份唯一信息的訪問令牌，作為獲得后續訪問資源的授權憑證之一。統一控制臺在認證過程中，通過對接某政釘體系、短信體系等，提供多因子認證手段，并通過門戶獲取登錄環境信息，綜合判定用戶身份，并在發生異常訪問事件時對用戶登錄進行快速處置。2）收縮資源暴露面 A

94、PI 安全代理邏輯串行在公共數據平臺的訪問通道上，默認拒絕所有請求。統一控制臺為注冊應用生成訪問工具，實現只有集成了訪問工具的應用系統服務器可以建立安全連接，同時在應用層疊加用戶身份憑證的驗證，實現只有授信用戶、通過授信應用服務器才能夠訪問 API 資源，極大強化了公共數據平臺對抗潛在的掃描攻擊等威脅的能力。3）全流量加密 零信任技術和產業發展白皮書 52 API 安全代理為所有訪問公共數據平臺的請求加載 TLS 加密通道，保障流量在通道上的安全加密、防篡改。4）用戶及 API 調用行為分析 API 安全管控系統支持對 API 訪問過程中產生的訪問日志進行智能分析，并發現潛在的違規調用行為。統

95、一控制臺支持按場景擴展異常行為特征匹配規則，根據用戶、應用、IP、入參、出參等完整的 API 請求日志信息，幫助安全團隊發現憑證共享、疑似拖庫、暴力破解等行為。5）API 敏感信息監控及溯源 為調用方發起的所有訪問請求形成日志記錄，記錄包括但不限于調用方（用戶、應用）身份、IP、訪問接口、時間、返回字段等信息，并向統一管控平臺上報。API 安全管控系統將按配置對 API 返回數據中的字段名、字段值進行自動分析，發現字段中包含的潛在敏感信息并標記，幫助安全團隊掌握潛在敏感接口分布情況。(五)國企央企行業應用案例 n 背景介紹 客戶是全球最大的國際工程承包商之一，積極參與一帶一路建設，公司總部位于

96、北京，在阿爾及利亞、白俄羅斯、烏茲別克斯坦等多個海外市場設有分支機構。項目部員工駐點海外支持項目過程中，通過傳統VPN訪問北京總部的SAP、OA等應用，由于訪問質量不穩定、分支機構IT運維能力弱等問題，嚴重影響了員工辦公效率。n 客戶痛點 1）傳統 VPN 無法滿足“應用隱身”零信任技術和產業發展白皮書 53 傳統VPN網關IP跟端口直接暴露在公網，安全隱患高，增加被惡意掃描、攻擊、入侵的風險，存在終端被入侵并作為攻擊跳板的可能性。2）終端安全缺乏有效管控 傳統VPN只針對用戶做認證，缺乏對終端設備的認證及安全性評估。隨著業務擴展，需要開放更多賬號給第三方和供應鏈合作伙伴，如果攻擊者竊取了某人

97、的VPN憑據，就可以自由訪問網絡。3）應用訪問權限缺乏有效管控 用戶通過傳統VPN接入內網后，默認開放全部應用資源給用戶，缺少更細粒度、動態的訪問和權限控制，導致關鍵應用可能存在被攻擊滲透的風險。4）公網訪問質量差 公網默認路由存在偶發故障、低聯通、高時延的問題，嚴重影響請求的響應速度，VPN經常出現掉線、重連等問題，使用戶請求的服務質量不能得到很好的保證。n 解決方案概述 該產品方案是根據云安全聯盟(CSA)的軟件定義邊界(SDP)標準規范，同時遵循Zero-Trust安全框架設計而成，為企業遠程訪問/辦公的傳統內網訪問技術（如VPN、遠程桌面）提供了一種安全、簡單、快速的替代方案。另外，憑

98、借全球分布式安全&傳輸網絡的天然優勢，為企業打造安全、高效、好用的遠程訪問環境。該產品方案由五大組件構成：1）可信終端（client）零信任技術和產業發展白皮書 54 用戶可以通過WEB瀏覽器或安裝安全接入軟件客戶端/APP接入。平臺支持用戶名密碼認證、設備綁定、手機短信驗證（MFA）等多種身份認證機制，實現終端安全管控，實現更細粒度的安全控制。2）安全網關（gateway）部署在分布式安全&傳輸網絡中，所有用戶對業務系統的訪問請求都需要經過安全網關的驗證和過濾，實現企業業務系統的網絡隱身。3）管控平臺（controller）可視化安全管控平臺實現對全平臺流量的調度和管控，包括身份認證、權限劃

99、分、用戶行為審計、數據路由調度、安全告警等。4）內網連接器（connector）部署在企業內部網絡中，反向主動與安全網關建立安全加密連接，實現實際業務安全請求與響應。5）分布式安全&傳輸網絡（platform）用戶請求經過分布式安全&傳輸網絡時，可以通過融合了多種廣域網優化技術的分布式安全&傳輸網絡實現快速與源站交互獲取響應，提升用戶訪問體驗。零信任技術和產業發展白皮書 55 圖 16 國企央企行業零信任解決方案 n 方案價值 1）應用隱身，消除攻擊風險 該產品方案通過企業內網連接器由內向外建立安全隧道，企業應用無需對外映射端口于互聯網，VPN網關及SAP、OA等內網應用實現隱身后，網絡攻擊由

100、平臺安全網關承接，消除源站被攻擊風險。2）持續驗證，動態授權 該產品方案基于UEBA技術構建動態信任評估體系，實現對終端及用戶行為持續驗證并動態調整用戶的訪問權限，實現最小權限原則和基于身份確認授權，限制不可控的人員對重要系統的訪問和操作權限，保證用戶只能看到被授權的應用或資源。此外，還可以根據員工所處的地理位置、訪問時間、訪問設備、訪問行為等維度進行評估。3）應用訪問提速與性能優化 多重傳輸優化：通過路由優化、協議優化等廣域網優化技術，加速回源交互；高可用性保障：海量優質節點、多點覆蓋、多源負載均零信任技術和產業發展白皮書 56 衡、零時延切換等技術，確保業務系統高度穩定運行；性能優化：分布

101、式安全網關集群化部署，強大的并發能力，有效突破傳統VPN的性能瓶頸。4）輕量化部署，可視化平臺統一管控，實現高效運維 該產品方案支持硬件、軟件的部署方式，可以根據企業規模靈活選擇合適的方式。設備支持零接觸部署，即插即用，可半小時快速上線。而軟件部署的方式客戶僅需提供虛擬機或云主機即可。大大降低了部署難度，提升部署效率。提供可視化運維管控平臺，管理員可通過Web頁面登錄控制平臺進行統一的策略配置、下發，并可通過管控平臺實時掌握每個用戶的訪問情況，支持以報表的形式查看或導出用戶使用數據，幫助客戶做業務數據分析及內部匯報，簡化MIS管理工作，提升運維效率。(六)醫療行業應用案例 n 背景介紹 某市中

102、醫院成立于 1956 年，是某市中醫藥大學附屬某市中醫院、某市中醫藥研究所、全國肛腸醫療中心、國家級區域診療中心，亦是一所中醫特色明顯，集醫療、教學、科研、預防保健、康復和急救功能為一體的、具有中國傳統文化特色的花園式、現代化大型三級甲等中醫院。2017年6月實行的中華人民共和國網絡安全法，第二十一條明確要求：國家實行網絡安全等級保護制度。而針對醫療衛生行業，衛生部早于 2011 年分別發布衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知和衛生行業信息安全等級保護工作的指導意見，明確要求全國所有三甲醫院核心業務信息系統的安全零信任技術和產業發展白皮書 57 保護等級原則上不低于三級；

103、2016 年，國家衛健委2016三級綜合醫院評審標準考評辦法(完整版)規定了醫院的重要業務系統必須達到信息安全等級保護三級標準才滿足三級醫院評審標準中對于網絡安全的要求。n 客戶痛點 醫療行業越來越多的業務系統比如：HIS、LIS、PACS 等遷移至虛擬化平臺中運行，但是安全建設依然沿用之前的傳統安全解決方案來應對當前主流的安全威脅。在云環境中，傳統安全的解決方案會造成云內安全的空白，從而影響將關鍵業務應用轉移至靈活低成本云環境的信心，同時業務系統面臨的安全威脅也越發凸顯。某市中醫院于 2020 年啟動了云數據中心“零信任”建設項目，對于某市中醫院虛擬化環境，雖然外部部署了入侵防御設施，但依然

104、存在上述的情況。因為傳統的安全模型僅僅關注組織邊界的網絡安全防護，認為外部網絡不可信，內部網絡是可以信任的，遵循“通過認證即被信任”。一旦繞過或攻破邊界防護，將會造成不可估量的后果。零信任安全模型理念，改變了僅僅在邊界進行防護的思路，把“通過認證即被信任”變為“通過認證、也不信任”。即任何人訪問任何數據的時候都是不被信任的，都是受控的，都是最低授權的，同時還將記錄所有的訪問行為，做到全程可視。n 解決方案概述 某網絡安全公司為用戶帶來“零信任”安全模型的最佳實踐方案，基于 SDN 的網絡微隔離可視化方案某網絡安全公司微隔離產品。某網絡安全公司微隔離產品在云計算環境中真正實現了零信任安全模型，精

105、細化按云內核心資產進行管理，可以根據用戶虛機的不同角色零信任技術和產業發展白皮書 58 劃定不同的安全域。某網絡安全公司微隔離產品更能做到 L2-L7 層的最低授權控制策略，且全面適配IPv6 環境。憑借某網絡安全公司十多年來在應用識別、入侵防御、網絡防病毒、Web訪問控制的積累，不論是借用 80 端口的 CC 攻擊，還是隱藏在文件中的“病毒”都會被發現并阻斷。某市中醫院采用某網絡安全公司微隔離產品方案分別部署在醫院外網（前置服務區）和辦公區域（內網區）。圖 17 醫療行業零信任解決方案 醫院外網虛擬化數據中心，某網絡安全公司微隔離產品部署在 VMware-vSphere（非 NSX）環境內，

106、為醫院官方網站、移動支付、院感系統等應用提供 L2-L7 層安全防護及業務隔離能力。辦公區域虛擬化數據中心內部，某網絡安全公司微隔離產品部署在 VMware-NSX環境內，通過 NSX 服務編排方式引流，某網絡安全公司微隔離產品提供了靈活的策略編排，詳細的云內流量展示以及入侵防御和防病毒功能，加固了整套虛擬化數據中心的安全能力。零信任技術和產業發展白皮書 59 某市中醫院的云數據中心中運行的眾多應用，分別由不同的供應商開發并維護對應的系統，不同應用系統之間有一定的服務調用，在安全方面，在整個教據中心的外側邊界采用了下一代防火墻、IPS 等設備進行防護，并做了基本的管理、應用系統的網絡劃分。由于

107、配置難度、保證系統快速上線和應用迭代等原因，云內未劃分更多安全城。為了業務快速開發、迭代和互相調用，采用了大二層組網的方式。系統存在的最大風險是不同外包開發商引入的安全風險，如關鍵數據的泄露，或是外包人員以報復社會為目的的惡意攻擊。在幫助用戶采用微隔離技術實現零信任安全模型時，微隔離技術的使用也是遵循 ISO 27001 標準中的 PDCA 循環，即 計劃(Plan)、實施(Do)、檢查(Check)、措施(Act)實現的。1）明確云內核心資產，是實現零信任安全模型的基礎，從內向外設計網絡，劃分安全域的第一步。在 PDCA 的循環中，這是一個動態的過程，需一步步圍繞現有以及未來增加的數據計算核

108、心資產，來劃分 MCAP(Micro Core Access Perimeter)進行防護，采用NFV 技術，在進行深度安全防護時，計算資源依舊寶貴、稀缺、按需對虛機進行防護。2）學習和可視。初期采用旁路虛擬網絡流量到某網絡安全公司微隔離產品，也可以暫時設為全通策略。每次學習和可視的周期最好大于正常的業務周期，利用某網絡安全公司微隔離產品的可視化能力，刻畫云內虛機之間的通信軌跡，有哪些應用、有沒有威脅。對各個應用系統之間數據和服務交互情況，云內威脅情況管理員需有實際的認識。3）確定低授權策略。根據學習可視階段的成果制定接下來的防零信任技術和產業發展白皮書 60 護策略，比如 MCAP 如何劃分

109、，MCAP 間全局的訪問控制策略和一些已知高危漏洞的防護策略，MCAP 的劃分可以有多種方式，比如說按照應用的部門進行劃分，也可以按照一類虛機進行防護，把一類虛機作為高危資源，設定防護策略。在這些防護策略的制定上，除了在某網絡安全公司微隔離產品上進行相關防護外也可以結合外部的下一代防火墻一同進行協調配合。比如在外部防火墻上可以對不同的外包服務商設定 VPN 賬號，將該賬號與可訪問內部虛機進行限定。同時對不同外包供應商負責的虛機，分別再劃分 MCAP，設定最低授權策略。到下一個 PDCA 周期的時候，安全管理員可以將外包供應商登陸 VPN 的情況，某網絡安全公司微隔離產品可以行到的 MCAP 內

110、部，MCAP 之間通信情況、威脅情況，在統一的時間維度上進行分析。借助某網絡安全公司微隔離產品的策略助手，可以學習 MCAP 需要配置的安全策略，并邀請主機管理員、應用開發人員一起，循序漸進，設定好每個 MACP 的最低授權策略，避免錯誤設置，也避免不敢設置導致的漏洞。4）制定實施的計劃。協調相關部門進行防護的實施。微隔離技術在初次實施部署時，由于涉及到一些計算資源和網絡資源，需要網絡安全部門和系統部門進行細致的協調配合，確定最佳的上線時間和協調相關的資源。在系統上線之后，明確實施計劃和細節，在應用、系統部門進行通告和協調、避免可能帶來的業務風險。5）實施。實施之后，將會回到第一和第二步，一方

111、面檢查策略是否實施有效，另外是重新審視內部情況，制定下一步的行動計劃，采用循序漸進的思路，在云內實現零信任安全模型。n 方案價值 零信任技術和產業發展白皮書 61 大多數的數據泄漏事件是突破了邊界防護，利用內部防護、管理的漏洞達成。零信任安全模型，提出了一個安全防護的新思路。微隔離技術不僅讓云計算中可以實現零信任安全模型，同時也是零信任安全模型提出以來獲得的最佳實踐，微隔離技術可以實現：1）從內到外設計網絡，安全融入網絡 DNA 2）更精準的最低授權策略 3）更清晰的流量、威脅可視化 4）更高的性能和可擴展性 5）更高的安全生產力 五、零信任相關政策分析(一)美國高度重視零信任產業建設 互聯網

112、的迅速發展帶來了一些隱藏的弊端，其中最為嚴重的就是頻繁出現的網絡攻擊，其攻擊范圍橫跨基礎設施、企業和各國政府，因此強化網絡防御，推進網絡安全架構的實施成為了維護國家網絡安全的必經之路。美國作為世界科技強國也無法從強勢的網絡攻擊中幸免遇難，2021年5月9日，美國最大的燃油管道公司Colonial Pipeline遭遇勒索軟件攻擊后，網絡運營終端被迫關停，迫使美國政府宣布進入緊急狀態，該事件不僅讓該公司擔負高額的贖金換回盜走的100G數據，還造成了美國多軸燃油短缺、民眾瘋搶汽油的現象。零信任技術和產業發展白皮書 62 這些惡意網絡攻擊讓美國政府重新審視了網絡安全的重要性，他們意識到原先單純的網絡

113、問題在科技高速發展后已經逐漸成為可以威脅國家安全的高危問題，美國政府全面開展零信任戰略規劃，對零信任安全建設不斷加大投入。美國先手成立多個零信任專項研究小組，研究零信任技術創新和部署應用。目前，美國國安局、國防部等已經開始投入資金部署零信任架構，推進基于零信任的底層數字化基礎設施建設和產業供給能力構建，助力美國把控零信任國際產業，形成絕對性優勢。專欄 1 美國零信任推進進程 2019 年 4 月 18 日，美國技術委員會-工業咨詢委員會（ACT-IAC）發布了零信任網絡安全當前趨勢（Zero Trust Cybersecurity Current Trends）報告，該文件詳細的介紹了零信任的

114、定義和研究的價值，從零信任部署的步驟到政府目前面臨的零信任的挑戰進行了詳細的剖析，從零信任技術和服務的技術成熟度與可用性兩個角度進行了評估，一方面掌握了市場上支持零信任的實際工具并確定了尚未實現的概念化能力，另一方面集中于信任算法并為聯邦機構提供該方向的開展建議，提供零信任技術在政府中的適用性評估結果。2019 年 7 月，美國國防創新委員會在通往零信任安全之路（The Road to Zero Trust(Security)）白皮書中剖析了當前網絡安全對于國家安防的重要性，并將傳統邊界安全架構與零信任安全架構進行對比，并突出了零信任網絡內部無信任的理念，最后督促軍方盡快實施零信任架構，并從如

115、何實施到技術實施的有效性進行了深入分析。2019 年 9 月，美國國家標準技術研究所（NIST）發布了零信任架構草案（SP800-207），以對外征求意見，從零信任架構的定義與邏輯組件到部署場景與方案進行了詳細介紹，并對潛在困難和國家政策進行了相應的分析，旨零信任技術和產業發展白皮書 63 在為未來開展更多研究以及零信任相關內容標準化進行鋪墊，對各組織機構制定與實施的零信任安全戰略提供幫助。2019 年 10 月 24 日，美國國防創新委員會（DIB）發布零信任架構（ZTA）建議（Zero Trust Architecture(ZTA)Recommendations）再次對國防部在零信任實施層

116、面的工作進行施壓，強烈建議國防部將零信任實施列為最高優先事項。報告核心圍繞零信任實施的緊迫性和影響范圍進行闡述，同時認定零信任架構是美國國防部網絡安全架構的推進方向，無論是涉密網還是非密網終將使用全網統一的零信任架構。2020 年 2 月 12 日，NIST 發布零信任架構標準草案第二版，與前一版相比增加了對零信任定義的細節性和針對性分析，推動零信任架構的標準化進程并提醒美國政府可以盡快采用并將現有網絡架構過渡到零信任架構。對此，美國國防部做出了正面回應，開展的多個零信任網絡試點項目讓他們吸取了足夠的經驗教訓，其中美國國家安全局（NSA）、國防信息系統局（DISA）和網絡司令部聯合啟動的針對“

117、零信任”技術的試點項目取得了些許成果，這些成果將被應用在零信任技術與美國國防部體系的融合中，這套新的網絡安全體系能夠對關鍵系統的網絡攻擊活動進行預防、監測、響應和恢復。2020 年 8 月 11 日，NIST 在官網上發布了（SP）800-207零信任架構的最終版本，從零信任架構的基本組成部分、零信任用例、與零信任相關的威脅以及聯邦機構的其他零信任建議進行了詳細的闡述，其中提及了零信任是規劃、部署和運營信息技術架構所依據的一系列原則，細化了零信任架構的核心組件并明確重點保護的是資源而不是網絡段，此外該文件對需要更多研究和標準化以促進采用網絡安全戰略的領域的差異分析。這份文件不僅為風險評估人員提

118、供了一個工具集，還可以幫助 IT 人員了解自己在零信任架構遷移中的角色演變。2022 年 12 月，NIST 發布 SP 1800-35零信任架構（ZTA）草案，指出零信任架構側重于保護數據和資源，支持對分布在本地和多個云環境中的企業零信任技術和產業發展白皮書 64 資源進行安全授權訪問，同時使員工和合作伙伴能夠隨時隨地從任何設備訪問資源，以支持組織的業務運營。n 美國在 2021 年零信任相關戰略計劃 2021 年 2 月 25 日，美國國家安全局（NSA）發布擁抱零信任安全模型指南，作為美國情報局的中流砥柱，此次指南的發表標志著美國軍方對零信任架構推行已經達成全面共識、雖實施過程中將面臨眾

119、多源自管理和技術兩個層面的挑戰，美方會持續推進對涉密網和非密網統一的零信任架構的探索，由此可見 NSA 對零信任的絕對擁護態度與立場，零信任在國防部眼中的重要程度不可言喻。2021 年 4 月底，美國網絡安全與基礎設施安全局（CISA)）和 NIST 聯合發布防御軟件供應鏈攻擊報告，提供了與軟件供應鏈攻擊相關的定義及實際案例，針對可能存在的風險提出了利用當下行業最佳實踐解決安全問題的建議。文中提及到一種緩解漏軟件及相關漏洞帶來的影響的方式就是在基于主機的防火墻或代理上實施基于端點的微分段，其中微分段可以作為零信任架構的一部分。2021 年 5 月 12 日，面對勒索軟件對美國能源供應商的嚴重網

120、絡攻擊，美國總統拜登簽署改善國家網絡安全的行政命令，其中包含了九項關鍵舉措，是美國在網絡安全方面最為詳細的行政命令之一。其中第三條命令聯邦政府網絡的現代化中多次提及零信任，不僅強調聯邦政府要向零信任架構邁進更是直接點名聯邦文職行政部門務必完成零信任的工作落實。此外，聯邦政府需要完善的實施計劃，各機構需盡可能采用零信任架構向云技術遷移，不難由此看出美國對于改善政府與私營部門網絡安全問題上的重視程度以及她們對于提高國家網絡安全防御能力的決心。2021 年 5 月 13 日，美國國防信息系統局（DISA）在其官網宣布公開發布初始國防部（DoD）零信任參考架構，從背景、零信任參考架構的戰略目的、原則、

121、技術地位與模式等方向進行了介紹，旨在為國防部增強網絡安全并在數字戰場上保持信息優勢。國防部再零信任的實現上劃分了三個階段，按照基線、中級和高級劃分了成熟度級別，并按照用戶、設備、網絡/環境、應用零信任技術和產業發展白皮書 65 與負載、數據、可見性和分析與自動化和編排 7 個架構的核心支柱進行生態劃分。2021 年 8 月，美國 CISA 發布網絡安全勞動力培訓指南，該指南適用于當前和未來希望擴大其網絡安全技能和職業選擇的聯邦州、地方、部落和地區的員工，幫助他們根據自己當前的技能水平和期望的職業機會制定培訓計劃。其中在專業發展培訓的身份、憑證和訪問管理如何保護機構的資產模塊中提到了零信任方法在

122、訪問控制中的應用，由此可見零信任在安全保障環節的重要性。2021 年 9 月 7 日，美國管理與預算辦公室（OMB）發布了聯邦零信任戰略美國政府向零信任網絡安全原則的遷移報告，報告中指出當前美國政府面臨的網絡威脅活動越發復雜并且頻繁，這些攻擊主要針對基礎設施，試圖威脅公共安全與隱私，損害美國經濟并削弱民眾對政府的信任程度，為此聯邦政府開展了一系列現代安全技術手段的實踐工作，其中零信任明顯提升了云基礎架構的安全優勢同時降低了相關風險。同期，網絡安全與基礎設施安全局發布了零信任成熟度模型、云安全技術參考架構公開征集意見，這些文件遵循了 2021 年 5 月拜登總統簽署發布的關于加強聯邦政府網絡安全

123、的執行令，構建了聯邦各級機構的網絡安全架構線路圖，指引了美國需在 2024 年末完成零信任部署的方向。這一線路圖的公布無疑將推動美國各級機構將以往相互隔離的孤島式 IT 服務及雇員轉化為零信任戰略中能夠動員起來、而且相互協同的組成單元，幫助聯邦政府實現至關重要的 IT 現代化目標。2021 年 11 月，美國國防信息系統局（DISA）提出了 Thunderdome（雷霆穹頂）計劃，此舉成為國防部零信任實施階段的第一步，它的提出意味著國防部網絡架構向零信任和 SASE 演進，零信任工作正式進入落地試點階段，以SASE 為核心的架構體系將替代聯合區域安全棧（JRSS）中間層安全方案。目前 DISA

124、 正在面向行業知名企業征集關于 Thunderdome 零信任實施方案的白皮書，很快將會實現 25 個 SD-WAN 站點的部署和 5000 個用戶的試點范圍。零信任技術和產業發展白皮書 66 2022 年 1 月，美國國防部設立了由首席信息官領導的國防部零信任投資組合管理辦公室（ZT PfMO），負責統籌國防部的零信任整體執行情況，協調資源分配的優先順序，并通過多個行動方案加快零信任理念的落地。1 月 26日，美國管理和預算辦公室（OMB）發布聯邦政府零信任戰略（Federal Zero Trust Strategy）正式版，在之前草案稿的基礎上對部分表述進行了調整。2022 年 3 月 4

125、 日，美國 CISA 發布基于零信任架構的企業移動安全計劃，該計劃強調了對移動設備和相關企業安全管理功能特殊考慮的必要性，旨在向各機構介紹如何將零信任原則如何應用于當前可用的移動安全技術，日后該文將將作為指導聯邦民事機構和其他組織開發和實施其特定的網絡安全功能的參照，以幫助各機構實現企業移動性，從而實現其零信任目標。2022 年 8 月，美國空軍發布新的臨時戰略草案空軍首席信息官公共戰略（2023 財年至 2028 財年），闡述空軍在未來六年內對其未來數字環境的愿景，包括實施零信任、加速云采用以及利用數據和人工智能。該戰略列出了六大努力方向，包括：加速云采用；網絡安全的未來；建立人才管理戰略；

126、IT 投資綜合管理；卓越的核心 IT 和任務支持服務；數據和人工智能。2022 年 10 月，美國陸軍發布了2022 年陸軍云計劃，美陸軍提出了擴大云計算、實施零信任架構、實現安全快速的軟件開發、發展云計算勞動力等七大戰略目標，明確了新一年的發展方向。2022 年 11 月，美國國防部發布零信任戰略和國防部零信任能力執行路線圖(COA 1)，零信任戰略闡述了部署零信任架構的四項綜合戰略目標：一是培養零信任文化，二是防護國防部信息系統，三是加速推動國防部零信任技術發展，四是賦能國防部零信任工作。國防部零信任能力執行路線圖(COA 1)中明確國防部將從 2023 財年開始利用 5 年時間，到 20

127、27 財年結束時完成零信任戰略和目標級別零信任能力建設，然后再利用 5 年時間，實現高級零信任能力建設，其中目標級別零信任是所有國防部機構都必須實現的水平，而高級零信任是特定的機構基于其系統和信息的敏感程度所需要達到的水平。零信任技術和產業發展白皮書 67 2023 年 1 月 10 日，美國陸軍成立了零信任功能管理辦公室，加速實施零信任戰略。該辦公室將與陸軍網絡卓越中心、CIO/G6、Network CFT、FORSCOM、物資司令部等部門開展緊密合作，落實零信任戰略，將重點加強“建立一支經過零信任培訓”的干部隊伍。2023 年 3 月 14 日，美國國家安全局發布提升用戶層面零信任成熟度（

128、Advancing Zero Trust Maturity throughout the User Pillar），詳細描述了零信任成熟度模型中用戶層面的功能組件和發展階段要求，旨在指導系統運營方完善其身份、憑證與訪問管理（ICAM）能力，有效抵御特定網絡威脅技術手段。2023 年 4 月，CISA 發布了零信任成熟度模型（Zero Trust Maturity，ZTMM）2.0 版本，對跨多個關鍵支柱（身份、設備、網絡、應用和工作負載、數據）的聯邦機構實施指南進行了更新，以協助聯邦機構制定零信任戰略和實施計劃。(二)我國逐步推進零信任產業發展 在美國系列戰略規劃的影響下，我國逐步意識到零信任

129、的潛在價值，以高校為首的研究機構聯合國內網絡安全廠商對零信任整體架構與相關技術開展了深入研究。在新冠疫情的催化下，遠程辦公的安全問題逐步引起了政府乃至國家的關注，針對零信任我國出臺了部分政策文件鼓勵其發展，并逐步推進零信任相關研究與試點實驗項目落地。我國零信任標準建設進程在產業各方的推動下也不斷加快。2020年8月全國信息技術標準化及技術委員會提出信息安全技術 零信任參考體系架構國標立項。2021年起，中國通信學會組織開展了零信任能力成熟度模型、零信任 軟件定義邊界技術規范零信任技術和產業發展白皮書 68 、零信任 身份安全技術規范、零信任 微隔離技術規范等系列零信任標準研制工作。國內零信任產

130、業整體發展還尚處于初期階段，缺乏系統性的戰略布局，未形成針對性的發展路線，零信任規?；渴饘嵺`仍存一定挑戰，但我國高度重視網絡安全產業發展，未來也將從宏觀層面助力零信任為代表的網絡安全創新技術的高速發展。專欄 1 中國助力相關零信任產業構建政策文件 2021 年 2 月，北京市“十四五”時期智慧城市發展行動綱要在第五項主要任務“把握態勢、及時響應，保障安全穩定”中提出，“建立健全與智慧城市發展相匹配的數據安全治理體系，探索構建零信任框架下的數據訪問安全機制?！睂⒘阈湃巫鳛楸本笆奈濉卑l展規劃中的關鍵技術之一。2021 年 7 月，工信部出臺網絡安全產業高質量發展三年行動計劃（2021-202

131、3 年）（征求意見稿），做出“加快開展零信任網絡安全體系研發”和“推動零信任技術應用”的部署安排。零信任行業應用已取得初步進展。自 2020 年起，在工信部發布的“網絡安全技術應用試點示范項目名單”、“大數據產業發展試點示范項目名單”等名單中，零信任項目均蟬聯榜單，在電信、金融、能源等行業中已形成良好應用示范。六、零信任發展機遇與挑戰 作為新一代信息技術引擎，5G網絡，車聯網、物聯網、工業互聯網以及算力網絡等智能應用場景迅猛發展，奠定了產業數字化高質量發展基礎。從信息安全的視角看，這些新應用新場景的出現也使暴露的攻擊面迅速擴大，如果沒有持續的安全漏洞檢測和修復、異常行為零信任技術和產業發展白皮

132、書 69 監控和應急處理，安全將成為制約這些領域發展的首要問題。當前，用傳統的安全理念和架構已經不能為這些新的領域保駕護航，而零信任采用新技術和方案，能夠消除這些新興領域網絡、系統資源訪問中的缺省或者隱式信任，實現“從不信任，始終驗證”的安全新范式，為新的應用賦予安全地、可持續運行的能力，也為產業未來的數字化發展帶來了新的機遇。(一)5G場景 5G是新一輪科技和產業革命中的核心關鍵技術之一，它將與物聯網、大數據、云計算、人工智能等技術融合，不僅能夠形成一系列新業態，成為經濟增長的新動能，還能為經濟社會各領域賦能，帶來經濟形態乃至社會形態的革命性變化。此外5G移動網絡為車聯網、工業互聯網、遠程醫

133、療，甚至元宇宙等新的應用和業務奠定了基礎。國際電信聯盟（ITU）已將5G移動網絡服務分為三類。增強型移動寬帶(eMBB)，超可靠和低延遲通信(uRLLC)，以及大規模機器類型通信(mMTC)。1、零信任在5G網絡演進中的發展機遇 通過大量使用基于云的資源、虛擬化、網絡切片等新興技術，5G 的實現將帶來巨大的性能優勢和應用的多樣性。5G核心網按照3GPP基于服務的體系結構（SBA）構建，管理和數據平面功能由一系列的網絡功能/NF組件實現，而NF之間按照協議規范通過基于服務的接口（SBI）互訪以提供用戶服務，隨著5G網絡的演進，各種NF的功能會增強，也會有新的NF產生，以及NF之間的訪問可能變得復

134、雜，從安全視角來看，攻擊面在擴大，5G網絡會面臨新的安全挑戰。零信任技術和產業發展白皮書 70 此時零信任給5G核心網絡安全加固帶來了新思路。容器化是5G核心網的一個發展趨勢，雖然依靠容器本身命名空間（Name Space）實現了基本的隔離，但因為容器化NF模塊間的互訪要求，一個POD內的NF容器之間存在缺省的信任，按照零信任的安全理念，這存在隱式信任，有潛在的安全風險。因此，需要消除缺省信任關系，進行有效身份認證、微隔離和持續安全監控。而且零信任能夠貫穿5G容器化環境的全生命周期管理中保證5G基礎架構的高安全性，分階段實現漏洞掃描和合規性檢測。2、零信任在5G網絡應用中面臨的挑戰 1）按照零

135、信任原則，身份認證、鑒權，持續安全監控需要增加相應的軟件模塊和系統，導致建設成本的增加，為此需要研究簡單有效的安全方案，降低成本。2）各種安全檢查增加了處理流程，可能導致處理延遲的顯著增加，特別對uRLLC、uMTC可能造成的影響，可以考慮MEC及分布式安全方案進行優化。3）最小權限原則，要求將粗放的基于IP地址和端口的安全規則改成精細化的基于身份、應用的訪問控制規則，必然增加運維的難度，所以需要引入自動化的運維模式。(二)車聯網場景 車聯網即車輛物聯網（Internet of Vehicle），是以行駛中的車輛為信息感知對象，借助4G、5G通信技術，實現車與X，即V2X，車與車、人、路、服務

136、平臺之間的網絡連接，提升車輛整體的智能駕駛水平，為用戶提供安全、舒適、智能、高效的駕駛感受與交通服務，同時提高交通運行效率，提升社會交通服務的智能化水平。零信任技術和產業發展白皮書 71 圖 18車聯網系統架構示意圖 1、零信任在車聯網的發展機遇 目前，智能電動車存在安全漏洞的報道頻繁出現，例如，安全研究人員發現了被汽車行業廣泛使用的開源軟件聯網管理（ConnMan）的漏洞：即利用無人機，無需車輛用戶交互，即可遠程打開車門，并控制車輛的娛樂系統，甚至設定控制轉向和加速模式。如果沒有持續的安全漏洞發現和修復、持續的異常行為監控和應急處理，沒有攻不破的系統，攻擊者經過成千上萬次的嘗試，最終會找到可

137、利用的系統漏洞。已經商用的車聯網平臺，不論是主機廠自建或者合作開發還是第三方獨立平臺都部署了一些傳統的信息安全防護產品和方案或部分的零信任安全方案，所以未來全面的零信任安全架構和方案可以在以下幾個方面幫助提升車聯網的整體安全等級，l 車聯網云平臺的微隔離 l 平臺和車輛 T-Box 采用的開源和商業軟件的供應鏈安全管理 l T-Box 的終端安全 零信任技術和產業發展白皮書 72 2、零信任在車聯網應用面臨的主要挑戰 低延遲對于車聯網應用至關重要，甚至生死攸關。我國高速公路的限速基本是120公里，如果未來車聯網聯網的自主駕駛車輛以120千米/小時的速度行駛，一秒鐘的位移大約是33米，假設前方發

138、生事故需要避讓或者道路施工需要重新選路，自主駕駛的車輛本身的T-box雖然算力在不斷增強，但仍需要從車聯網的TSP平臺獲取路況等信息，以及上報一些需要云端更強算力處理的緊急事件，那如果這些信息傳送和處理的延遲是秒級的，33米甚至更大的車輛位移很可能會導致車輛錯過路線調整出口，如果急剎車還可能引發交通事故。5G移動通信的空口延遲在1ms(Sub 6 5G頻段)，將來毫米波頻段的延遲低至0.1ms，傳輸速率達到2Gbps以上，用戶容量理論上高達100萬/平方公里，這就為車聯網的大規模應用提供了基礎架構的支撐，實現了NR-V2X，所以零信任的安全方案引入的安全檢查的處理延遲應該在1-10ms之間，必

139、須跟上5G移動應用的速度，如果在T-Box中增加安全模塊，需找到一種兼顧安全和處理延遲的零信任安全方案以適配在車聯網場景中的應用。(三)物聯網場景 智能家居，未來的智慧城市，智慧農牧業將以物聯網IoT為基礎，IoT設備在我們日常生活中無處不在，進一步模糊了物理世界和數字世界之間的界限，與此同時，從零信任安全的角度觀察，安全的邊界也將變得模糊，攻擊面也隨之擴大。根據Palo Alto Network2021年物聯網安全報告，受訪的中國大陸IT決策者中，有44%的受訪者認為應該遵循了零信任最佳實踐網絡微分段（Micro-segmentation）零信任技術和產業發展白皮書 73 ，在網絡中創建嚴格

140、控制的安全區域，以隔離物聯網設備與IT設備，防止黑客在網絡上橫向移動，進行攻擊。1、零信任在物聯網發展中的機遇 未來零信任在物聯網的應用前景在于自動化和發現和安全管控，利用人工智能技術幫助企業準確地發現IoT裝置，并更具每種IoT應用的特點自動建立安全基線、自動推薦或者制定安全規則并持續進行安全監控以發現非授權接入，異常行為和針對IoT設備和應用的攻擊。2、零信任在物聯網應用中面臨的挑戰 零信任安全在物聯中應用面臨的挑戰主要是成本問題。物聯網的設備單個價值不大，所以平均到每個設備上的安全投資不宜超過價值的10%，這可能會限制IoT安全的投資，但因為IoT設備和應用的脆弱性將會被廣泛利用，尋找一

141、種經濟而有效的安全解決方案成為在物聯網實現零信任安全必須解決的問題。(四)工業互聯網場景 工業互聯網是我國“新基建”新經濟發展戰略中的重要組成部分，以其平臺為代表的“數字新基建”已成為我國數字經濟工作推進的重要抓手，將塑造我國未來數字化競爭的新優勢。隨著工業互聯網深度融合發展的同時也打破了傳統工業生產相對封閉可信的網絡環境，將大量IT領域的威脅和挑戰帶入工業OT網絡，再加上工業信息系統自身的脆弱性，使得病毒、木馬、黑客、工業間諜、甚至敵對勢力對工業信息系統進行滲透變為可能，一旦發生安全事件，將會造成巨大經濟損失，并可能帶來環境災難和人員傷亡，甚至危及公眾安全和國家安全。因此，做好平臺安全保障工

142、作，是確保工業互聯網應用生態、工業數據、工業系統設備等安全的重要保證。零信任技術和產業發展白皮書 74 1、零信任在工業互聯網發展中的機遇 零信任安全架構在工業互聯網安全防護的應用前景主要包括，1)對所有訪問工業互聯網平臺、工控設備、邊緣數據、企業資源的請求，進行認證、授權和加密，其中認證包括對用戶和通用、工控設備的全面驗證。2)對來自工業企業工業內網層、邊緣層、云平臺層、互聯網層的所有訪問進行信任評估和動態訪問控制，且對每一次訪問請求進行不限于終端環境、用戶操作風險、網絡風險、外部威脅等因素的實時風險評估，根據評估結果進行動態訪問控制，實現對工業互聯網安全保障能力的提升。采用零信任的安全原則

143、應對工業互聯網發展中網絡安全新風險、新挑戰，有助于加快我國制造強國和網絡強國的戰略目標早日實現。2、零信任在工業互聯網應用中面臨的挑戰 在工業互聯網發展中采用零信任安全架構面臨的安全挑戰主要有以下3點：1)Internet 和 OT 網絡可能無法徹底隔離，無法應用零信任的微隔離方法，需要進行更強的身份認證和持續的安全監控，將會增加方案的復雜度。2)OT 網絡上的傳統制造生產和控制系統/工作站無法安裝端點安全軟件，只能依靠網絡訪問控制和安全監控，但因為高可用的要求，在工控網絡只能夠在線部署安全監控設備仍然會倍受質疑，如何在保證高可用和低延遲的前提下實現零信任安全需要創新的解決方案。零信任技術和產

144、業發展白皮書 75 3)未來 OT 裝置的 IoT 化，新的 OT 裝置不再遵循普渡（Purdue）模型接受人機接口 HMI 工作站的控制，而是更加智能，通過互聯網與云端控制中心互連，將對零信任安全架構和實踐提出新要求。(五)算力網絡場景 數字經濟已成為繼農業和工業經濟之后的主導經濟形態和拉動GDP增長的主要引擎，而數字經濟的發展離不開新基建的強有力支撐。從政策導向看，新基建的投資重點已經轉向算力網絡、綠色能源基礎設施等領域，特別是“東數西算”工程規劃在京津冀、長三角、內蒙古、甘肅等8地啟動建設“4+4”國家算力樞紐節點，并規劃了10個國家數據中心集群。算力網絡并非簡單地將分布式計算的節點用網

145、絡進行簡單的互連，而是要構建一個多要素有機融合、共生發展、一體服務的基礎設施新范式。例如，中國移動在2021 年發布了算網大腦白皮書，提出了算力網絡是以算為中心、網為根基，網、云、數、智、安、邊、端、鏈（ABCDNETS）等多要素深度融合，提供一體化服務的新型信息基礎設施。1、零信任在算力網絡的發展機遇 從零信任安全的角度看，算力網絡體系架構涉及網絡安全、云安全、數據安全、應用安全以及安全運維管理等諸多方面，面臨多種安全挑戰，例如：零信任技術和產業發展白皮書 76 l 數據在算力網絡中被存儲，傳送和處理，是否能夠保證數據的安全存儲、傳送，以及按照零信任的最小權限原則實現授權訪問和處理。l 對數

146、據的處理是否遵從網絡安全法、數據安全法以及個人信息保護法以及如何進行合規審計。l 網絡和云平臺本身作為基礎架構是否做到了安全可控。l 作為新的算力和網絡業務模式，如何保證算力交易各方可以安全、可信地完成交易。l 對整個算力網絡的運維是否有相應的管理權限管控、配置變更審計以及異常行為發現。所有以上安全挑戰都為零信任在算力網絡的應用提供了機遇?！皬牟恍湃?、始終驗證”的零信任安全理念可以幫助應對算力網絡發展中的安全挑戰，確保算力網絡服務的安全可靠運行。l 第二章中給出的零信任安全架構適用于算力網絡的整體安全體系建設 l 零信任的關鍵技術，例如，強身份治理、網絡微隔離、零信任網絡接入（ZTNA），持續

147、的安全監控和應用的動態授權等可以保證算力網絡本身及之上算力應用和業務的持續、可靠及安全運行。l 零信任的安全理念能夠顯著提高算力網絡安全運維人員的安全風險管理意識，消除安全運維的隱患。2、零信任在算力網絡應用中面臨的挑戰 1)零信任的實踐挑戰，算力網絡從架構上可以分為業務運營層、編排管理層和基礎架構層。例如，在業務運營層面應用零信任零信任技術和產業發展白皮書 77 安全，現有的零信任安全技術是否可以應對復雜的交易挑戰，即保證交易安全，又不影響交易效率；是否可以保證計費和結算系統安全。在編排管理層，現有零信任安全機制可能無法應對算法投毒等新型服務安全威脅。在基礎架構層面，算力網絡的開放性，導致泛

148、在算力節點的安全問題不可控，可能無法應用端到端的零信任安全。2)跨多個算力網絡的零信任安全應用挑戰，現有的零信任安全體系主要針對單個企業、組織系統設計的，但算力網絡的發展會形成類似多個公有云的發展格局，算力網絡的用戶跨多個算力網絡實現零信任安全存在不確定性和成本挑戰。3)算力網絡是網、云、數、智、安、邊、端、鏈有機融合，目前大多數零信任安全方案還是分立的安全功能模塊簡單集成的，面對算力網絡的有機融合體系，零信任安全方案自身需要轉型及融合，以 SaaS 方式方便算力網絡的運營方和業務用戶采用或者說消費零信任安全仍然面臨諸多挑戰。(六)元宇宙場景 元宇宙、數字孿生、平行虛擬世界目前熱度非常高的話題

149、。因為疫情無法進行線下大型活動，以往的一些大型年會已經探索用云宇宙來構建平行虛擬活動。參會嘉賓可以創建自己的虛擬形象，主辦方借助數字孿生技術模擬真實會場，與會者的虛擬人物可以會場中自由移動，根據自己需要選擇感興趣分會場觀看并參與互動，還可以想真實線下活動一樣與其他嘉賓結識和交流，獲得了全新的數字化體驗。同時，活動主辦方也收到了意想不到的宣傳效果，提升了收視率，增強零信任技術和產業發展白皮書 78 了客戶粘性。但和現實世界包括我們的今天的數字化生活一樣，未來在元宇宙中也不可避免地存在著信任問題，例如，虛擬身份管理（標識，鑒別，認證，注銷及自動化管理），零信任安全在元宇宙中的應用將幫助平行虛擬世界

150、建立起可信關系，在保障虛擬化生活安全方面具有指導意義。應該說，元宇宙將是一種非常復雜的應用場景，我們今天還不能構建一個完全適用的安全體系，但可以嘗試用零信任的安全理念來解決我們可預見到一些安全挑戰。1、零信任在云宇宙發展中的機遇 傳統的認證與訪問控制通?；诳尚胖行姆?，其易于部署，便于統一管理，但可信中心服務面臨單點故障、惡意篡改等問題，對所有用戶、設備等實體的零信任訪問控制來說具有極大影響。此外，可信中心服務可能只對一個管理域是可信的，這將加大跨域的零信任訪問控制實現難度。區塊鏈具有去中心化，防篡改、可審查等特性，可有效避免基于可信中心服務的訪問控制所面臨的諸多問題。目前國內外已有多個將區

151、塊鏈與委托授權技術相結合的去中心化訪問控制方法被提出，這將保證權限信息的可信性，使得資源管理員可將訪問權限分發到其他管理域的訪問控制節點，各個管理域的訪問控制節點可自主可控的決定將權限以怎樣的方式分發到域內的用戶和設備處，從而解決基于零信任的跨域訪問控制的問題。同時，用戶所在域的訪問控制節點需要將用戶提供的數據與存儲于數據庫中的數據比對以驗證用戶的可信性，基于區塊鏈的認證與訪問控制技術能極大的提高用戶數據與驗證用數據的可信性，從而避免用戶數據和驗證用數據的惡意篡改。2、零信任在元宇宙應用中面臨的挑戰 零信任技術和產業發展白皮書 79 零信任在元宇宙中的應用還有很多不確定性：1)各種身份認證和安

152、全檢查是否會影響用戶體驗，這就如同在真實物理世界中繁瑣的安全檢查會影響效率一樣。2)對平行虛擬世界的大量安全監控可能導致對個人信息的過度收集，如何在保護個人隱私的同時保證信息安全監控是零信任在元宇宙應用中必須解決的問題。3)采用區塊鏈技術需要非常多的算力，雖零信任安全有高適用度的場景，其帶來的業務收益也應該可以覆蓋其運維成本，但該部分仍是應用過程中需要考慮的問題之一。附件一：縮略語 下列縮略語適用于本文件。ACL Access Control List 訪問控制列表 API Application Programming Interface 應用程序接口 CSP Cloud Service P

153、rovider 云服務提供商 DLP Data Loss Prevention 數據泄密防護 DNS Domain Name Server 域名服務器 ID Identity document 身份標識號 IAM Identity and Access Management 身份與訪問管理 MSG Micro-Segmentation 微隔離 mTLS Mutual Transport Layer Security 雙向傳輸層安全性協議 PA Policy Administration 策略管理器 PE Policy Engine 策略引擎 SaaS Software as a Service

154、 軟件即服務 SDP Software Defined Perimeter 軟件定義邊界 SD-WAN Software Defined Wide Area Network 軟件定義廣域網 SECaaS Security as a service 安全即服務 SIEM Security Information and Event Management 安全信息和事件管理 SPA Single Packet Authorization 單包授權 URL Uniform Resoure Locator 統一資源定位符 ZTA Zero Trust Architecture 零信任架構 算網融合產業及標準推進委員會（TC621）地址：北京市海淀區花園北路 52 號 郵編：100191 電話：15011247065 傳真：010-62304980 網址：?ID?rId82?ID?rId82?