摘　要：零信任是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的熱門話題，強(qiáng)調(diào)“永不信任和始終驗(yàn)證”，零信任已被認(rèn)為是當(dāng)前抵御不斷變化的網(wǎng)絡(luò)和數(shù)據(jù)安全威脅的最佳理念之一。首先，梳理了零信任相關(guān)概念的定義及其發(fā)展進(jìn)程；其次，剖析了零信任安全的基本原則、組件構(gòu)成和相關(guān)技術(shù)；然后，闡述了零信任安全的重要性、機(jī)遇和優(yōu)勢(shì)；最后，就零信任安全最佳實(shí)踐應(yīng)用和關(guān)注重點(diǎn)進(jìn)行了探索和思考。

內(nèi)容目錄：

1 ZT 相關(guān)概念及定義
1.1 ZT 的概念及定義
1.2 ZTA 的概念及定義
2 ZT 發(fā)展進(jìn)程
2.1　探索啟蒙階段（2004—2013 年）
2.2　發(fā)展推進(jìn)階段（2014—2019 年）
2.3　深化落地階段（2020 年至今）
3 ZT 安全原則、組件和相關(guān)技術(shù)
3.1 ZT 安全的原則
3.2 ZT 安全的組件
3.3 ZT 安全的相關(guān)技術(shù)
4 ZT 重要性、機(jī)遇和優(yōu)勢(shì)
4.1 ZT 的重要性
4.2 ZT 的機(jī)遇
4.3 ZT 的優(yōu)勢(shì)
5 ZT 安全最佳實(shí)踐應(yīng)用及思考
5.1 ZT 安全最佳實(shí)踐應(yīng)用需要關(guān)注的重點(diǎn)
5.2　構(gòu)建 ZT 安全的幾點(diǎn)思考建議
6　結(jié)　語

零信任（Zero Trust，ZT）安全并非無邊界網(wǎng)絡(luò)，而是指將邊界收縮到端。隨著數(shù)字化轉(zhuǎn)型不斷加速，新興技術(shù)與創(chuàng)新業(yè)務(wù)不斷打破企業(yè)原有安全邊界，企業(yè)信息安全面臨著前所未有的挑戰(zhàn) 。ZT 是一種框架，它假定一個(gè)復(fù)雜網(wǎng)絡(luò)的安全性始終面臨外部威脅和內(nèi)部威脅的風(fēng)險(xiǎn)。它有助于組織一種徹底的方法，應(yīng)對(duì)這些威脅，并相應(yīng)制定策略，抵御不斷變化的網(wǎng)絡(luò)和數(shù)據(jù)安全威脅。

目前，美國(guó)聯(lián)邦政府、軍隊(duì)和企業(yè)均在積極開展 ZT 相關(guān)理論研究、技術(shù)探索和產(chǎn)業(yè)布局，更多機(jī)構(gòu)和部門開始采用零信任架構(gòu)（Zero Trust Architecture，ZTA）實(shí)施網(wǎng)絡(luò)安全，標(biāo)榜ZT 安全的網(wǎng)絡(luò)產(chǎn)品從概念走向落地。我國(guó)工業(yè)和信息化部也早在 2019 年 9 月發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》中強(qiáng)調(diào)，要積極探索擬態(tài)防御、可信計(jì)算、ZT安全等網(wǎng)絡(luò)安全新理念、新架構(gòu)，推動(dòng)網(wǎng)絡(luò)安全理論和技術(shù)創(chuàng)新 。

以 5G、工業(yè)互聯(lián)網(wǎng)為代表的新一代信息基礎(chǔ)設(shè)施建設(shè)的不斷推進(jìn)，進(jìn)一步加速了網(wǎng)絡(luò)“無邊界”的進(jìn)化過程。特別是外部網(wǎng)絡(luò)攻擊頻率的加快及攻擊結(jié)果嚴(yán)重性的增加，ZT 安全成為解決新時(shí)代網(wǎng)絡(luò)安全問題的新理念、新架構(gòu)。為此，本文在研究國(guó)外 ZT 安全發(fā)展進(jìn)程及其基本原則、組件構(gòu)成和相關(guān)技術(shù)的基礎(chǔ)上，就我國(guó)企業(yè) ZT 安全最佳實(shí)踐應(yīng)用和需要關(guān)注的重點(diǎn)問題，以及如何構(gòu)建 ZT 安全路徑進(jìn)行實(shí)踐探索研究。

1 ZT 相關(guān)概念及定義

截至目前，ZT 尚未有明確的定義，各大機(jī)構(gòu)根據(jù)自己的理念對(duì)其進(jìn)行了歸納總結(jié)。如果按照權(quán)威性而言，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)表的《零信任架構(gòu)標(biāo)準(zhǔn)》、美國(guó)國(guó)家安全局（National Security Agency，NSA）發(fā)表的《擁抱零信任安全模型》、美國(guó)國(guó)防信息系統(tǒng)局（Defense Information Systems Agency，DISA）發(fā)表的《國(guó)防部零信任參考架構(gòu)》，以及美國(guó)總統(tǒng)拜登簽署的名為《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令》，都從各自視角對(duì) ZT 及其相關(guān)概念進(jìn)行了定義。

1.1 ZT 的概念及定義

ZT 概念最早是由約翰·金德瓦格提出的以下觀點(diǎn)：它是一個(gè)安全概念，能夠?yàn)橛脩籼峁娜魏蔚胤?、以任何方式、訪問任何地方的數(shù)據(jù)，且保持?jǐn)?shù)據(jù)具有一致性的安全策略；在訪問服務(wù)和 / 或數(shù)據(jù)時(shí)，采取從不信任并始終驗(yàn)證的立場(chǎng)；無論發(fā)起請(qǐng)求的位置如何，都需要持續(xù)授權(quán)；能夠增強(qiáng)整個(gè)網(wǎng)絡(luò)的可視性和分析性。該開創(chuàng)性觀點(diǎn)具有以下 5 種假定：網(wǎng)絡(luò)總被認(rèn)為是懷有敵意的；網(wǎng)絡(luò)外部和內(nèi)部威脅始終存在；網(wǎng)絡(luò)的局部安全不足以確立網(wǎng)絡(luò)中的信任；每個(gè)設(shè)備、用戶和網(wǎng)絡(luò)端都應(yīng)經(jīng)過認(rèn)證和授權(quán)；策略必須是動(dòng)態(tài)的，并根據(jù)盡可能多的數(shù)據(jù)來源進(jìn)行計(jì)算。當(dāng)前，業(yè)內(nèi)廣泛認(rèn)可的是 NIST 對(duì)ZT 的定義：ZT 提供了一系列概念和思想，旨在面對(duì)失陷網(wǎng)絡(luò)時(shí)，減少在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確的、按請(qǐng)求訪問決策時(shí)的不確定性。

1.2 ZTA 的概念及定義

ZTA 是 一 種 安 全 模 式， 一 套 系 統(tǒng) 設(shè) 計(jì) 原則，同時(shí)也是協(xié)調(diào)網(wǎng)絡(luò)安全和系統(tǒng)管理的策略，其基礎(chǔ)是承認(rèn)威脅存在于傳統(tǒng)網(wǎng)絡(luò)邊界內(nèi)外。ZT 安全模型能夠消除對(duì)任何一個(gè)元素、節(jié)點(diǎn)或服務(wù)的隱性信任，要求通過全域?qū)崟r(shí)信息對(duì)運(yùn)行情況進(jìn)行持續(xù)驗(yàn)證，以確定訪問和其他系統(tǒng) 反 應(yīng)。從 本 質(zhì) 上 講，ZTA 允 許 用 戶 完 全 訪問，但只允許其執(zhí)行工作所需的最低限度的訪問。如果一個(gè)設(shè)備被破壞，ZT 可以確保損害被控制。ZTA 的安全模型假定漏洞是不可避免的，或者很可能已經(jīng)發(fā)生，所以其不斷地限制訪問，只訪問需要的東西，并尋找異?；驉阂獾幕顒?dòng)。ZTA 將全面的安全監(jiān)控、基于風(fēng)險(xiǎn)的細(xì)化訪問控制和系統(tǒng)安全自動(dòng)化以一種協(xié)調(diào)的方式嵌入到基礎(chǔ)設(shè)施的所有方面，以便在動(dòng)態(tài)的威脅環(huán)境中實(shí)時(shí)保護(hù)數(shù)據(jù)。這種以數(shù)據(jù)為中心的安全模型允許將最小權(quán)限訪問的概念應(yīng)用于每一個(gè)訪問決策過程中，例如，對(duì)何人、何事、何時(shí)、何地和如何等問題的回答。因此，根據(jù)實(shí)際情況允許或拒絕資源訪問顯得至關(guān)重要。

2 ZT 發(fā)展進(jìn)程

ZT 是一種網(wǎng)絡(luò)安全策略，歷經(jīng)時(shí)間演變和分析師的代言、供應(yīng)商的炒作，以及谷歌等早期采用者的成功案例，再次成為人們當(dāng)前關(guān)注的焦點(diǎn)。ZT 安全由最初的聚焦關(guān)注網(wǎng)絡(luò)分割和最小特權(quán)（完成任務(wù)所需的最小特權(quán)）等部分內(nèi)容，轉(zhuǎn)變發(fā)展成為一個(gè)較完整的理論框架，為企業(yè)提供系統(tǒng)的實(shí)踐指導(dǎo)。

2.1　探索啟蒙階段（2004—2013 年）

ZT 雛形源于 2004 年成立的耶利哥論壇，其成立的使命是為了定義無邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題并尋求解決方案。2010 年，弗雷斯特咨詢公司和 NIST 聯(lián)合，首次提出 ZT 模型的概念，以新的原則推翻基于邊界的安全模型，強(qiáng)調(diào)“永遠(yuǎn)不要信任，永遠(yuǎn)需要驗(yàn)證”。2011 年，谷歌公司對(duì) ZT 方法的采用和實(shí)施表現(xiàn)出濃厚興趣，啟 動(dòng) 名 為 BeyondCorp 的 內(nèi) 部 項(xiàng) 目， 將 ZTA 應(yīng)用于客戶分布式訪問業(yè)務(wù)，并于 2013 年開始向ZTA 轉(zhuǎn)型。通過構(gòu)建 ZTA，谷歌公司成功摒棄對(duì)傳統(tǒng)的虛擬專用網(wǎng)（Virtual Private Network，VPN）的采用，通過全新架構(gòu)體系確保所有來自不安全的網(wǎng)絡(luò)用戶能夠安全地訪問企業(yè)業(yè)務(wù)，并在全球范圍內(nèi)帶動(dòng)了 ZT 安全架構(gòu)的流行。

2.2　發(fā)展推進(jìn)階段（2014—2019 年）

隨著云服務(wù)的快速采用和員工隊(duì)伍移動(dòng)性辦公的日益增強(qiáng)，圍繞 ZT 安全的對(duì)話不斷演變 并 逐 漸 深 化。2014 年， 云 安 全 聯(lián) 盟（Cloud Security Alliance，CSA）發(fā)布基于 ZT 理念的軟件定義邊界（Software Defined Perimeter，SDP），進(jìn)一步推動(dòng)了 ZT 相關(guān)安全技術(shù)的發(fā)展。在隨后幾年時(shí)間里，由 20 多個(gè)身份和安全供應(yīng)商構(gòu)成的行業(yè)聯(lián)盟——身份定義安全聯(lián)盟（Identity Defined Security Alliance，IDSA），通過Adobe和 LogRhythm 的成功案例，加強(qiáng)了 ZT 的定義，使其符合以身份為中心的安全原則。2019 年 1 月，美國(guó)國(guó)防創(chuàng)新委員會(huì)（Defense Innovation Board，DIB）提交了《零信任架構(gòu)建議》，建議美國(guó)國(guó)防部（United States Department of Defense，DoD）將 ZT 實(shí)施列為最高優(yōu)先事項(xiàng)，并在 DoD 內(nèi)部迅速采取行動(dòng)。隨后于 7 月 9 日向 DoD 提交 ZT白皮書《零信任安全之路》報(bào)告，強(qiáng)調(diào) ZTA 能夠從根本上改變 DoD 網(wǎng)絡(luò)安全和數(shù)據(jù)共享的有效性，通過為網(wǎng)絡(luò)內(nèi)的特定應(yīng)用和服務(wù)創(chuàng)建獨(dú)立、精細(xì)的訪問規(guī)則，抵消 DoD 網(wǎng)絡(luò)中的漏洞和威脅。

2.3　深化落地階段（2020 年至今）

2020 年 8 月，NIST 發(fā)布《零信任架構(gòu)指南》，不僅給出 ZTA 的抽象定義，還給出 ZT 改善企業(yè)整體信息技術(shù)安全態(tài)勢(shì)的普遍部署模型及應(yīng)用案例，以及政府機(jī)構(gòu)可以采取的關(guān)鍵步驟，明確了工業(yè)和運(yùn)營(yíng)技術(shù)組織、物聯(lián)網(wǎng)供應(yīng)商和消費(fèi)者應(yīng)遵循指南的原則，上述內(nèi)容無疑是 ZT 最好的名片和廣告。2021 年 2 月 25 日，NSA 發(fā)布ZT 參考指南——《擁抱零信任安全模型》，旨在促進(jìn) NSA 的網(wǎng)絡(luò)安全任務(wù)，即識(shí)別和控制對(duì)國(guó)家安全系統(tǒng)（National Security System，NSS）、DoD 信息系統(tǒng)和國(guó)防工業(yè)基礎(chǔ)信息系統(tǒng)的威脅傳播，以及制定和發(fā)布網(wǎng)絡(luò)安全規(guī)范和緩解措施。這份 ZT 安全模型指南是 DISA、NSA、美國(guó)網(wǎng)絡(luò)司令部和私營(yíng)部門之間持續(xù)合作的成果，展示了如何遵循 ZT 安全原則，以便更好地指導(dǎo)網(wǎng)絡(luò)安全專業(yè)人員保護(hù)企業(yè)網(wǎng)絡(luò)和敏感數(shù)據(jù)。NSA 強(qiáng)烈要求 NSS 內(nèi)的所有關(guān)鍵網(wǎng)絡(luò)、DoD 的關(guān)鍵網(wǎng)絡(luò)、國(guó)防工業(yè)基礎(chǔ)的關(guān)鍵網(wǎng)絡(luò)和系統(tǒng)考慮 ZT 安全模型，此舉可視為 NSA 對(duì) ZT 的明確表態(tài)。同年 5 月 12 日，拜登簽署了名為《加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政命令》，明確指示聯(lián)邦政府各機(jī)構(gòu)實(shí)施 ZT 方法。同年 5 月 13 日，DISA發(fā)布《國(guó)防部零信任參考架構(gòu)》，為 DoD 大規(guī)模采用 ZT 設(shè)定了戰(zhàn)略目的、原則、相關(guān)標(biāo)準(zhǔn)和其他技術(shù)細(xì)節(jié)，利用這套新的網(wǎng)絡(luò)安全體系預(yù)防、檢測(cè)、響應(yīng)并恢復(fù)針對(duì)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)攻擊，為 DoD 增強(qiáng)網(wǎng)絡(luò)安全并在數(shù)字戰(zhàn)場(chǎng)上保持信息優(yōu)勢(shì)奠定了基礎(chǔ)。

在“太陽風(fēng)（Solar Winds）”供應(yīng)鏈攻擊事件、Microsoft Exchange 攻擊事件及 Log4j 漏洞事件等一系列重大網(wǎng)絡(luò)安全事件的影響下，ZT 已成為美國(guó)政府及 DoD 公認(rèn)的國(guó)家級(jí)安全架構(gòu)。2022 年 2 月，美國(guó)國(guó)家安全電信咨詢委員會(huì)發(fā)布《零信任和可信身份管理》，配合聯(lián)邦政府1 月份發(fā)布的《零信任戰(zhàn)略》，共同營(yíng)造美國(guó)政府當(dāng)前和未來的 ZT 過渡政策。聯(lián)邦政府《零信任戰(zhàn)略》發(fā)布任務(wù)矩陣，要求各機(jī)構(gòu)在 2024 年底前實(shí)現(xiàn)特定的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和目標(biāo)，以增強(qiáng)政府應(yīng)對(duì)日益復(fù)雜和持續(xù)的網(wǎng)絡(luò)威脅能力；《零信任和可信身份管理》提出 24 條實(shí)施建議，以期在未來十年維持政府對(duì) ZT 的整體承諾 。同時(shí)，DoD 信息環(huán)境也逐漸向 ZT 安全架構(gòu)遷移，并通過啟動(dòng)“雷霆穹頂”項(xiàng)目構(gòu)建安全訪問服務(wù)邊緣架構(gòu)，以便更好地實(shí)施網(wǎng)絡(luò)防御。

目前，ZT 網(wǎng)絡(luò)安全越來越受到業(yè)界的廣泛認(rèn)可，亞馬遜、谷歌和微軟等大規(guī)模企業(yè)及思科、Verizon 等網(wǎng)絡(luò)和電信巨頭已經(jīng)宣布了一系列 ZT產(chǎn)品，例如云和網(wǎng)絡(luò)平臺(tái)的 ZTA 等，這種演變是云、大數(shù)據(jù)、容器、微服務(wù)等技術(shù)進(jìn)步的結(jié)果。2020 年 FedScoop 和 Illumio 發(fā)布的調(diào)查報(bào)告顯示，48% 的美國(guó)聯(lián)邦機(jī)構(gòu)決策者和 49% 的大中型企業(yè)管理者高度認(rèn)同 ZT 的價(jià)值 ，足見 ZT 對(duì)美國(guó)聯(lián)邦政府和大中型企業(yè)的影響力。

3 ZT 安全原則、組件和相關(guān)技術(shù)

3.1 ZT 安全的原則

3.1.1 ZT 原則

（1）明確驗(yàn)證。始終根據(jù)所有可用的數(shù)據(jù)點(diǎn)（包括用戶身份、位置、設(shè)備狀況、服務(wù)或工作負(fù)載、數(shù)據(jù)分類和異常）進(jìn)行身份驗(yàn)證和授權(quán)。假設(shè)網(wǎng)絡(luò)內(nèi)外都存在攻擊者，那么就不應(yīng)該自動(dòng)信任任何用戶或計(jì)算機(jī)。

（2）使用最小特權(quán)訪問權(quán)限。通過及時(shí)和足夠的訪問權(quán)限、基于風(fēng)險(xiǎn)的自適應(yīng)策略及數(shù)據(jù)保護(hù)來限制用戶的訪問，以幫助保護(hù)數(shù)據(jù)并保障生產(chǎn)力。也就是說，僅向用戶授予必要的訪問權(quán)限，這樣能最大限度地減少各個(gè)用戶接觸網(wǎng)絡(luò)敏感部分的機(jī)會(huì)。

（3）假設(shè)違規(guī)。通過按網(wǎng)絡(luò)、用戶、設(shè)備和應(yīng)用感知細(xì)分訪問，最大限度地降低違規(guī)的半徑，防止橫向移動(dòng)。

（4）加密。在運(yùn)行 ZT 環(huán)境時(shí)，將敏感數(shù)據(jù)轉(zhuǎn)換為代碼以防止未經(jīng)授權(quán)使用。因?yàn)槊總€(gè)人都是潛在威脅，使用過程中密碼極有可能落入具有潛在威脅的人手中，通過密鑰訪問竊取加密數(shù)據(jù)，必須驗(yàn)證所有會(huì)話都是端到端加密的，有效的密碼管理對(duì)維持信任態(tài)勢(shì)至關(guān)重要。

（5）分析。使用分析獲取可見性、驅(qū)動(dòng)威脅檢測(cè)并改善防御 。成功實(shí)施 ZT 安全態(tài)勢(shì)需要大量數(shù)據(jù)，將分析應(yīng)用于用戶和設(shè)備數(shù)據(jù)會(huì)生成風(fēng)險(xiǎn)評(píng)分，這些分?jǐn)?shù)可允許訪問警報(bào)器或發(fā)出警報(bào)聲，觸發(fā)警報(bào)以請(qǐng)求進(jìn)一步驗(yàn)證。

3.1.2 ZTA 原則

（1）所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源。

（2）無論網(wǎng)絡(luò)位置如何，所有通信都是安全的，網(wǎng)絡(luò)位置并不意味著信任。

（3）按照連接情況授予對(duì)單個(gè)企業(yè)資源的訪問權(quán)限，在授予訪問權(quán)限之前，對(duì)請(qǐng)求者的信任進(jìn)行評(píng)估。

（4）對(duì)資源的訪問由策略決定，包括用戶身份的可觀察狀態(tài)和請(qǐng)求系統(tǒng)，此外還有可能包括其他行為屬性。

（5）企業(yè)確保所有擁有和關(guān)聯(lián)的系統(tǒng)都處于盡可能安全的狀態(tài)，監(jiān)控系統(tǒng)以確保其保持在盡可能安全的狀態(tài)。

（6）在允許訪問前，用戶身份驗(yàn)證是動(dòng)態(tài)且嚴(yán)格強(qiáng)制的。這是一個(gè)不斷訪問、掃描和評(píng)估威脅、調(diào)整，以及不斷驗(yàn)證的循環(huán)過程。

3.2 ZT 安全的組件

3.2.1 ZT 組件

（1）身份。在整個(gè)數(shù)字區(qū)塊中以身份驗(yàn)證來保護(hù)每個(gè)身份。

（2）設(shè)備。獲取訪問網(wǎng)絡(luò)設(shè)備的可見性。在授予訪問權(quán)限之前，確保遵守情況和健康狀況。

（3）應(yīng)用。應(yīng)用控制和技術(shù)手段發(fā)現(xiàn)隱形信 息 技 術(shù)（Information Technology，IT）， 確保適當(dāng)?shù)膽?yīng)用內(nèi)權(quán)限、基于實(shí)時(shí)分析的窗口訪問，以及監(jiān)控和控制用戶操作。

（4）數(shù)據(jù)。從基于周邊的數(shù)據(jù)保護(hù)轉(zhuǎn)向數(shù)據(jù)驅(qū)動(dòng)的保護(hù)。使用人工智能對(duì)數(shù)據(jù)進(jìn)行分類和標(biāo)記，并根據(jù)組織策略加密和限制訪問。

（5）基礎(chǔ)設(shè)施。使用遙測(cè)來檢測(cè)攻擊和異常，自動(dòng)阻止和標(biāo)記危險(xiǎn)行為，并采用最小特權(quán)訪問原則。

（6）網(wǎng)絡(luò)。確保設(shè)備和用戶不會(huì)僅僅因?yàn)樵趦?nèi)部網(wǎng)絡(luò)上就受到信任。加密所有內(nèi)部通信，按策略限制訪問。對(duì)網(wǎng)絡(luò)進(jìn)行分段，執(zhí)行更深入的網(wǎng)絡(luò)微分段（Micro-Segmentation，MSG），部署實(shí)時(shí)威脅防護(hù)、端到端加密、監(jiān)視和分析。

3.2.2 ZTA 組件

ZTA 核心組件包括策略引擎（Policy Engine，PE）、策略管理器（Policy Administrator，PA）和策略執(zhí)行點(diǎn)（Policy Enforcement Point，PEP）。這些核心組件負(fù)責(zé)從收集、處理相關(guān)信息到?jīng)Q定是否授予權(quán)限的全過程，其在決策過程中由以下 4 個(gè)功能組件提供相關(guān)支撐。

（1）數(shù)據(jù)安全組件。該組件包括企業(yè)為保護(hù)其信息而開發(fā)的所有數(shù)據(jù)訪問策略和規(guī)則，以及保護(hù)靜態(tài)和傳輸中的數(shù)據(jù)安全的方法，常被用于識(shí)別、監(jiān)視和防止未經(jīng)授權(quán)的敏感數(shù)據(jù)泄露或丟失的安全技術(shù)和策略。

（2）端點(diǎn)安全組件。該組件包括保護(hù)端點(diǎn)（例如服務(wù)器、臺(tái)式機(jī)、移動(dòng)電話、物聯(lián)網(wǎng)設(shè)備），即終端用戶設(shè)備免受其他的威脅和攻擊，保護(hù)企業(yè)免受來自托管和非托管設(shè)備威脅的安全技術(shù)和策略 。企業(yè)必須保護(hù)這些設(shè)備，以防止第三方在未經(jīng)授權(quán)的情況下訪問網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)存儲(chǔ)。

（3）身份和訪問管理組件。該組件包括用于創(chuàng)建、存儲(chǔ)、管理和控制企業(yè)用戶（即主體）賬戶和身份記錄，以及保證企業(yè)內(nèi)部資源系統(tǒng)、應(yīng)用程序和數(shù)據(jù)訪問的安全技術(shù)和策略。

（4）安全分析組件。該組件包含 IT 企業(yè)的所有威脅情報(bào)源和流量 / 活動(dòng)監(jiān)控。它收集有關(guān)企業(yè)資產(chǎn)當(dāng)前狀態(tài)的安全性和行為分析數(shù)據(jù)，并持續(xù)監(jiān)控這些資產(chǎn)，以積極應(yīng)對(duì)威脅或惡意活動(dòng)。這些信息可以為策略引擎提供相關(guān)支撐，以幫助做出動(dòng)態(tài)訪問決策。

3.3 ZT 安全的相關(guān)技術(shù)

近幾年，與 ZT 相關(guān)的技術(shù)發(fā)展迅速，使得ZT 投入現(xiàn)實(shí)應(yīng)用成為可能。對(duì)于構(gòu)建 ZT 網(wǎng)絡(luò)安全框架而言，沒有任何一種單一的方法或技術(shù)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全目的。ZT 涉及多種安全技術(shù)，這些技術(shù)在不同方面為網(wǎng)絡(luò)安全提供支撐和保護(hù)。

3.3.1 SDP

SDP 是一種基于 ZT 理念構(gòu)建的資源訪問管理的安全框架 。SDP 要求訪問端必須通過多因子的身份驗(yàn)證后，才能獲得所請(qǐng)求的資源信息并在二者之間建立起安全通信隧道，實(shí)現(xiàn)資源安全訪問控制。SDP 是通過軟件定義方式以動(dòng)態(tài)虛擬形式構(gòu)建起一種邏輯隔離邊界，將服務(wù)隱藏起來，服務(wù)對(duì)外并不直接暴露域名或 IP 地址，攻擊者在網(wǎng)絡(luò)空間中無法直接看到攻擊目標(biāo)。SDP 通過這種隱藏服務(wù)的方式來提高服務(wù)系統(tǒng)的安全性。

3.3.2 MSG

MSG 是一種精細(xì)分組的安全隔離技術(shù)，通過將數(shù)據(jù)中心業(yè)務(wù)單元按照一定規(guī)則進(jìn)行分組，然后在分組間部署策略來實(shí)現(xiàn)流量控制。即將網(wǎng)絡(luò)分成單獨(dú)的區(qū)域，以在發(fā)生破壞時(shí)將損害隔離，就像消防員鎖定建筑物的各個(gè)部分以便于控制火勢(shì)一樣。MSG 減少了直接攻擊面，使安全團(tuán)隊(duì)可以更好地控制橫向移動(dòng)。例如，將文件存放在單個(gè)數(shù)據(jù)中心，使用 MSG 將網(wǎng)絡(luò)劃分為數(shù)十個(gè)單獨(dú)的安全區(qū)域，未經(jīng)單獨(dú)授權(quán)，有權(quán)訪問這些區(qū)域之一的個(gè)人或程序?qū)o法訪問任何其他區(qū)域。

3.3.3　多重身份驗(yàn)證

多重身份驗(yàn)證（Multi-Factor Authentication，MFA）是一種需要多個(gè)證據(jù)對(duì)用戶進(jìn)行身份驗(yàn)證的做法，僅輸入密碼不足以獲得訪問權(quán)限。該做法被認(rèn)為是對(duì)維護(hù) ZT 環(huán)境至關(guān)重要的，甚至許多人認(rèn)為這還不夠嚴(yán)格，無法阻止惡意入侵者。該做法是根據(jù)用戶所知道的密碼、所擁有的物理物品（如令牌或手機(jī)）或生物屬性（指紋或視網(wǎng)膜）等兩種或多種形式進(jìn)行身份驗(yàn)證的，通過驗(yàn)證即為用戶授予網(wǎng)絡(luò)訪問權(quán)限。

3.3.4　基于角色的訪問控制

基 于 角 色 的 訪 問 控 制（Role-Based AccessControl，RBAC），即權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到這些角色的權(quán)限 。也就是說，在用戶和訪問權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起來，通過對(duì)角色的授權(quán)來控制用戶對(duì)系統(tǒng)資源的訪問。這種方法可根據(jù)用戶的工作職責(zé)設(shè)置若干角色，不同用戶可以具有相同角色，在系統(tǒng)中享有相同權(quán)力，同一個(gè)用戶又可以同時(shí)具有多個(gè)不同的角色，在系統(tǒng)中行使多個(gè)角色的權(quán)力。

3.3.5　網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問控制（Network Admission Control，NAC），是根據(jù)信息系統(tǒng)部門制定的規(guī)則限制用戶和設(shè)備的資源訪問權(quán)限的技術(shù)。正如門鎖和安全標(biāo)識(shí)可以阻止入侵者訪問辦公樓和辦公室等實(shí)體資源一樣，NAC 也可以保護(hù)聯(lián)網(wǎng)數(shù)字資源免遭未經(jīng)授權(quán)的訪問。提供對(duì)資源的最低權(quán)限訪問是 ZT 安全策略的基礎(chǔ)，ZT 要求嚴(yán)格控制設(shè)備訪問。ZT 系統(tǒng)需要監(jiān)控多個(gè)不同設(shè)備，嘗試訪問其網(wǎng)絡(luò)蹤跡，確保每一個(gè)設(shè)備都得到授權(quán)，以進(jìn)一步縮小網(wǎng)絡(luò)攻擊面，NAC 在其中發(fā)揮著重要作用。

4 ZT 重要性、機(jī)遇和優(yōu)勢(shì)

Research and Markets的研究報(bào)告顯示，2020年全球 ZT 安全市場(chǎng)規(guī)模約為 183 億美元，預(yù)計(jì)在2020—2027 年間將以 19.7% 的年復(fù)合增長(zhǎng)率增長(zhǎng)，2027 年市場(chǎng)規(guī)?？蛇_(dá) 644 億美元。另外，Gartner 的數(shù)據(jù)顯示，全球最終用戶在 ZT 網(wǎng)絡(luò)訪問的系統(tǒng)和解決方案上的支出，預(yù)計(jì)將從 2022 年的8.191 億美元增長(zhǎng)到 2026 年的 20.1 億美元，復(fù)合年增長(zhǎng)率高達(dá) 19.6%。全球 ZT 安全軟件和解決方案的支出，預(yù)計(jì)將從 2022 年的 274 億美元增長(zhǎng)到 2027 年的 607 億美元，復(fù)合年增長(zhǎng)率高達(dá) 17.3%。ZT 市場(chǎng)的主要增長(zhǎng)動(dòng)力包括對(duì)網(wǎng)絡(luò)、用戶設(shè)備和未經(jīng)授權(quán)訪問的數(shù)據(jù)合規(guī)性需求的不斷增長(zhǎng)，以及對(duì)威脅的總體判斷。隨著復(fù)雜網(wǎng)絡(luò)攻擊的增加，ZT 網(wǎng)絡(luò)安全將引領(lǐng)整個(gè)網(wǎng)絡(luò)安全市場(chǎng)，推動(dòng)政府、國(guó)防、銀行、金融和醫(yī)療等多個(gè)行業(yè)實(shí)施 ZT 安全方案。

4.1 ZT 的重要性

ZT 對(duì)網(wǎng)絡(luò)安全而言至關(guān)重要，ZT 是組織控制對(duì)其網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)訪問的最有效方法之一。它結(jié)合了廣泛的預(yù)防技術(shù)，包括身份驗(yàn)證、微分化、端點(diǎn)安全和最小特權(quán)控制，以阻止可能的攻擊者，并在發(fā)生違規(guī)時(shí)限制其訪問。ZT不僅僅是一個(gè)添加到分析師工具箱的新工具，更是一種協(xié)調(diào)的戰(zhàn)略方法，旨在了解網(wǎng)絡(luò)內(nèi)外的人員和信息，以及相關(guān)威脅。實(shí)施 ZT 可以為網(wǎng)絡(luò)防御者提供更多機(jī)會(huì)識(shí)別威脅，以便于為防御者提供更多的補(bǔ)救時(shí)間。DoD 于 2022 年發(fā)布的《零信任戰(zhàn)略》明確指出，當(dāng)前和未來的網(wǎng)絡(luò)威脅和攻擊推動(dòng)了對(duì)超越傳統(tǒng)邊界防御方法的 ZT 方法的需求，打算在 2027 財(cái)年之前實(shí)施戰(zhàn)略和相關(guān)路線圖中概述的獨(dú)特的 ZT 能力和活動(dòng) 。

4.2 ZT 的機(jī)遇

隨著信息技術(shù)的快速發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)、人工智能等新興技術(shù)為政府部門、各類企業(yè)的信息化發(fā)展及現(xiàn)代化建設(shè)帶來了新的生產(chǎn)力，但同時(shí)也給信息安全帶來了新挑戰(zhàn)。一方面，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)導(dǎo)致的企業(yè)邊界瓦解，尤其在 COVID-19 疫情暴發(fā)后，難以繼續(xù)基于邊界構(gòu)筑企業(yè)的安全防線；另一方面，外部攻擊和內(nèi)部攻擊愈演愈烈，各種高級(jí)持續(xù)攻擊仍然能找到各種漏洞突破企業(yè)的邊界，同時(shí)，內(nèi)部業(yè)務(wù)的非授權(quán)訪問、雇員犯錯(cuò)、有意的數(shù)據(jù)竊取等內(nèi)部威脅層出不窮。美國(guó)發(fā)生“太陽風(fēng)”事件后，政府和軍界將 ZT 安全理念提升到前所未有的高度。傳統(tǒng)的網(wǎng)絡(luò)安全模型基于邊界防護(hù)的思想，已經(jīng)無法適應(yīng)當(dāng)前的需求，在此前提下，ZT 網(wǎng)絡(luò)安全技術(shù)應(yīng)運(yùn)而生。ZT 的不做任何假設(shè)、不相信任何人或事物、任何事物都要驗(yàn)證等理念逐步被認(rèn)可和接受，迅速成為當(dāng)前網(wǎng)絡(luò)空間安全技術(shù)研究的熱點(diǎn)。

4.3 ZT 的優(yōu)勢(shì)

ZT 具有以下 4 個(gè)方面的優(yōu)勢(shì)：一是能夠降低組織所部署的云和容器的安全風(fēng)險(xiǎn)，同時(shí)改善治理和合規(guī)性；二是組織可以深入了解用戶和設(shè)備，同時(shí)識(shí)別威脅并保持對(duì)整個(gè)網(wǎng)絡(luò)的控制；三是使用 ZT 方法可以幫助組織識(shí)別各環(huán)節(jié)的數(shù)據(jù)安全風(fēng)險(xiǎn)；四是通過 ZT 模型有助于設(shè)置政策規(guī)則，并根據(jù)已識(shí)別的相關(guān)風(fēng)險(xiǎn)自動(dòng)更新。實(shí)施 ZT 策略可以發(fā)揮 3 個(gè)方面的作用：一是為敏感數(shù)據(jù)提供更好的保護(hù)。實(shí)施 ZT 安全解決方案，可確保只有經(jīng)過授權(quán)和身份驗(yàn)證的設(shè)備、用戶才能訪問指定網(wǎng)絡(luò)，從而減少敏感數(shù)據(jù)的泄露。二是獲得網(wǎng)絡(luò)可見性?？梢娦允球?yàn)證的基石。使用 ZT 策略使安全團(tuán)隊(duì)能夠準(zhǔn)確查看誰和為什么正在訪問網(wǎng)絡(luò)，從什么位置及在什么時(shí)間訪問網(wǎng)絡(luò)。三是簡(jiǎn)化安全解決方案。ZT 是保護(hù)現(xiàn)代商業(yè)環(huán)境的理想之選，它結(jié)合了公共和私人云、軟件即服務(wù)（Software as a Service，SaaS）應(yīng)用程序和 DevOps（過程、方法與系統(tǒng)的統(tǒng)稱）管道，保護(hù)其所有數(shù)據(jù)、設(shè)備、應(yīng)用程序和用戶的安全。

5 ZT 安全最佳實(shí)踐應(yīng)用及思考

ZTA 重新評(píng)估和審視了傳統(tǒng)的邊界安全架構(gòu)，并給出了新思路。信任不是一個(gè)有形的產(chǎn)品或服務(wù)，而是網(wǎng)絡(luò)安全范式和概念不斷發(fā)展的集合，是一種架構(gòu)。ZTA 的核心原則包括持續(xù)驗(yàn)證、身份驗(yàn)證及簡(jiǎn)化的訪問控制措施。2019 年9 月，我國(guó)工信部在發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》中，將ZT 安全列入網(wǎng)絡(luò)安全需要重點(diǎn)突破的關(guān)鍵技術(shù)之一。在《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021—2023 年）》中，明確提出支持發(fā)展 ZT 安全，將多個(gè) ZT 項(xiàng)目列入試點(diǎn)示范項(xiàng)目。信安標(biāo)委、通標(biāo)協(xié)、信通院等機(jī)構(gòu)已經(jīng)從多層級(jí)啟動(dòng) ZT 標(biāo)準(zhǔn)的研究，推動(dòng)產(chǎn)業(yè)規(guī)范化發(fā)展。ZT 安全理念符合網(wǎng)絡(luò)安全發(fā)展的大方向，保持信息系統(tǒng)、網(wǎng)絡(luò)安全性和合規(guī)性比以往任何時(shí)候都更具挑戰(zhàn)性。隨著外部網(wǎng)絡(luò)攻擊頻率的加快及攻擊結(jié)果嚴(yán)重性的增加，國(guó)家、組織和企業(yè)都需要一種新的策略保護(hù)組織網(wǎng)絡(luò)和數(shù)據(jù)安全。ZT 策略通過對(duì)何人和何時(shí)被授予網(wǎng)絡(luò)訪問權(quán)限格外謹(jǐn)慎，超越了傳統(tǒng)的網(wǎng)絡(luò)安全框架，“永不信任、始終驗(yàn)證”的 ZT 網(wǎng)絡(luò)安全模式，已經(jīng)成為當(dāng)今時(shí)代的最佳選擇。ZTA 和安全模型可以通過利用新功能的機(jī)會(huì)縮小差距，克服傳統(tǒng)網(wǎng)絡(luò)安全方法的常見挑戰(zhàn)。

5.1 ZT 安全最佳實(shí)踐應(yīng)用需要關(guān)注的重點(diǎn)

ZT 的基礎(chǔ)是任何人和任何設(shè)備都不能被信任，直到它被徹底驗(yàn)證為有權(quán)訪問資源。因此，在實(shí)踐應(yīng)用過程中，尋求實(shí)施 ZT 安全的組織需要關(guān)注解決以下問題。

5.1.1　確立保護(hù)重點(diǎn)，強(qiáng)化風(fēng)險(xiǎn)評(píng)估

ZT 關(guān)注的重點(diǎn)不僅是攻擊面，更是保護(hù)面，并對(duì)保護(hù)面進(jìn)行風(fēng)險(xiǎn)評(píng)估。在 ZT 中，可以確定一個(gè)“保護(hù)面”。保護(hù)面由網(wǎng)絡(luò)中最關(guān)鍵、最有價(jià)值的數(shù)據(jù)、資產(chǎn)、應(yīng)用和服務(wù)組成。保護(hù)面對(duì)于每個(gè)企業(yè)是獨(dú)一無二的。因?yàn)樗话瑢?duì)企業(yè)運(yùn)作最關(guān)鍵的東西，所以保護(hù)面比攻擊面小幾個(gè)數(shù)量級(jí)，而且總是可知的。這是開始ZT 安全的第一步，從資產(chǎn)清單開始，哪些數(shù)據(jù)最有價(jià)值需要保護(hù)，需要什么程度的保護(hù)，哪些系統(tǒng)處理什么數(shù)據(jù)，數(shù)據(jù)如何在不同系統(tǒng)之間流通等。

5.1.2　識(shí)別敏感數(shù)據(jù)，進(jìn)行分類管理

ZT 以數(shù)據(jù)為中心，因此考慮這些數(shù)據(jù)的位置、誰需要訪問這些數(shù)據(jù)，以及使用何種方法來保護(hù)數(shù)據(jù)非常重要。根據(jù)數(shù)據(jù)的重要性和敏感性，可以將數(shù)據(jù)分為公開數(shù)據(jù)、內(nèi)部數(shù)據(jù)和機(jī)密數(shù)據(jù) 3 類，依次進(jìn)行分類管理，確定可用信用級(jí)別，然后根據(jù)特定級(jí)別確定相應(yīng)訪問權(quán)限。

5.1.3　建立網(wǎng)絡(luò)隔離，確保網(wǎng)絡(luò)安全

要完全實(shí)現(xiàn) ZT，首先需要建立網(wǎng)絡(luò)隔離，確保網(wǎng)絡(luò)安全。所有組織單位的通信設(shè)備和網(wǎng)絡(luò)位置，都需要在實(shí)際網(wǎng)絡(luò)中進(jìn)行隔離，為所有用戶設(shè)置并部署所有子網(wǎng)和活動(dòng)目錄組。

5.1.4　關(guān)聯(lián)用戶、設(shè)備和狀態(tài)數(shù)據(jù)，限制和控制訪問權(quán)限

ZT 安全模型將對(duì)尋求訪問已識(shí)別數(shù)據(jù)的用戶、設(shè)備、應(yīng)用程序和流程進(jìn)行限制。強(qiáng)制執(zhí)行最小訪問權(quán)限，對(duì)最寶貴的資源進(jìn)行最小特權(quán)和最低功能訪問，旨在準(zhǔn)確限制數(shù)據(jù)訪問，以提供更高效的用戶體驗(yàn)并創(chuàng)建完美的安全流程。

5.1.5　時(shí)刻檢測(cè)威脅，監(jiān)視異常網(wǎng)絡(luò)活動(dòng)

使用分析維護(hù)和監(jiān)視生態(tài)系統(tǒng)，不斷測(cè)試網(wǎng)絡(luò)系統(tǒng)中存在的風(fēng)險(xiǎn)。ZT 需要持續(xù)監(jiān)控與數(shù)據(jù)訪問和共享相關(guān)的所有活動(dòng)，將當(dāng)前活動(dòng)與先前行為和分析數(shù)據(jù)進(jìn)行比較，綜合利用各種有效手段來提高企業(yè)檢測(cè)內(nèi)部威脅和外部威脅的能力。

5.1.6　檢查維護(hù)網(wǎng)絡(luò)，了解高風(fēng)險(xiǎn)網(wǎng)絡(luò)訪問并采取行動(dòng)

與其他網(wǎng)絡(luò)安全框架一樣，ZT 需要經(jīng)過不斷地分析，以發(fā)現(xiàn)所存在的弱點(diǎn)，并確定在哪里加強(qiáng)其功能。尤其是檢查內(nèi)部和外部的所有網(wǎng)絡(luò)流量日志，因此要加強(qiáng)對(duì) ZT 的運(yùn)維。由于ZT 是一個(gè)迭代過程，因此需檢查和記錄所有流量，獲得寶貴經(jīng)驗(yàn)，從而進(jìn)一步改進(jìn) ZT 網(wǎng)絡(luò)。

5.1.7　增強(qiáng)安全意識(shí)，強(qiáng)化人員教育培訓(xùn)

人員教育培訓(xùn)和增強(qiáng)團(tuán)隊(duì)安全意識(shí)，可以使“ZT”計(jì)劃取得成功。強(qiáng)化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)，使用密碼管理系統(tǒng)，可以有效識(shí)別網(wǎng)絡(luò)釣魚和電子郵件欺騙等網(wǎng)絡(luò)犯罪活動(dòng)。

5.2　構(gòu)建 ZT 安全的幾點(diǎn)思考建議

5.2.1 ZT 是一種安全架構(gòu)理念

圍繞著用戶安全、設(shè)備安全，采用持續(xù)評(píng)估風(fēng)險(xiǎn)和信任的手段，進(jìn)行動(dòng)態(tài)自適應(yīng)訪問控制。ZT 安全建設(shè)是一個(gè)系統(tǒng)工程，需要頂層設(shè)計(jì)、逐步建設(shè)，不能一蹴而就。ZT 體系的建設(shè)，涉及用戶身份、終端安全、網(wǎng)絡(luò)安全、應(yīng)用和數(shù)據(jù)安全，兼顧網(wǎng)絡(luò)安全和訪問體驗(yàn)，最終實(shí)現(xiàn)安全防護(hù)與 ZT 體系相結(jié)合，最大限度地提升企業(yè)的網(wǎng)絡(luò)安全，降低安全風(fēng)險(xiǎn)。

5.2.2 ZT 關(guān)鍵任務(wù)是做好安全合規(guī)

ZT 安全理念代表了新一代的安全思路，其在落地過程中，與等級(jí)保護(hù)測(cè)評(píng)中要求的邊界防護(hù)、身份認(rèn)證、訪問控制、個(gè)人信息安全保護(hù)等方面關(guān)系密切。例如，在邊界防護(hù)中，要保證這種跨越邊界的訪問和數(shù)據(jù)流通，需要通過邊界設(shè)備提供的接口進(jìn)行通信。在這種基于ZT 的系統(tǒng)中，數(shù)據(jù)流通只有經(jīng)過安全認(rèn)證和合法授權(quán)后才可以接入目標(biāo)資源和系統(tǒng)中。

5.2.3 ZT 網(wǎng)絡(luò)安全應(yīng)用落地要用標(biāo)準(zhǔn)規(guī)范推進(jìn)

與傳統(tǒng)安全防護(hù)機(jī)制相比，ZT 安全的新理念更有優(yōu)勢(shì)，也促進(jìn)了行業(yè)內(nèi)越來越多的 ZT 概念安全產(chǎn)品的不斷涌現(xiàn)。如何能真正有效地推進(jìn) ZT 網(wǎng)絡(luò)安全的應(yīng)用落地，各類產(chǎn)品和解決方案到底要達(dá)到哪些核心的安全技術(shù)要求，這些問題必須通過標(biāo)準(zhǔn)進(jìn)行探索和規(guī)范。ZT 產(chǎn)業(yè)的發(fā)展需要由具有先進(jìn)性、前瞻性的標(biāo)準(zhǔn)去牽引，才能真正成為網(wǎng)絡(luò)安全發(fā)展的驅(qū)動(dòng)力。從技術(shù)維度上看，ZT 在真正落地時(shí)，需要適配更多終端和通信協(xié)議。

5.2.4　實(shí)現(xiàn) ZT 需要長(zhǎng)時(shí)間、資源和團(tuán)隊(duì)的支持

ZT 的概念實(shí)際上是要確定可用信任級(jí)別，然后根據(jù)特定級(jí)別確定相應(yīng)訪問權(quán)限。IBM 首席信息安全官認(rèn)為，“ZT 不是可以購買或?qū)崿F(xiàn)的東西，這是一種理念和策略”。實(shí)施 ZT 安全需要長(zhǎng)時(shí)間、資源和團(tuán)隊(duì)的支持，只有人、工作流程、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)等的 ZT，供應(yīng)鏈?zhǔn)褂?ZT 制造，讓團(tuán)隊(duì) ZT 參與，向上級(jí)提出 ZT 解決方案，向?qū)＜耀@取更多 ZT 建議等，才能制定出更具凝聚力和可靠性的戰(zhàn)略。

6 結(jié)　語

本文通過對(duì) ZT 安全的基本原則、組件構(gòu)成和相關(guān)技術(shù)的剖析，在對(duì) ZT 安全的重要性、機(jī)遇和優(yōu)勢(shì)作用的認(rèn)識(shí)基礎(chǔ)上，對(duì) ZT 安全最佳實(shí)踐應(yīng)用和關(guān)注重點(diǎn)進(jìn)行了探索和思考。從而深刻認(rèn)識(shí)到，ZT 是長(zhǎng)期存在的安全原則，是一種動(dòng)態(tài)的網(wǎng)絡(luò)安全策略，從外圍安全轉(zhuǎn)向強(qiáng)調(diào)身份驗(yàn)證和持續(xù)監(jiān)控。在我們的數(shù)字時(shí)代，它增強(qiáng)了網(wǎng)絡(luò)彈性，使企業(yè)能夠自信和敏捷地應(yīng)對(duì)風(fēng)險(xiǎn)；以不同的方式適應(yīng)我們今天的工作和生活，適應(yīng)新的威脅和技術(shù)進(jìn)步。網(wǎng)絡(luò)安全的目標(biāo)不應(yīng)只是接受 ZT，而是要獲得建立真正信任所需的可見性，在 ZT 世界中建立真正的信任“是人而非物”。

引用格式：嵇紹國(guó) , 張芝軍 , 王宏 , 等 . 零信任安全剖析及實(shí)踐應(yīng)用思考 [J]. 信息安全與通信保密 ,2024(3):91-102.
作者簡(jiǎn)介 >>>
嵇紹國(guó)，男，學(xué)士，高級(jí)工程師，主要研究方向?yàn)樾畔?br /> 技術(shù)安全管理和政策法規(guī)；
張芝軍，男，學(xué)士，高級(jí)工程師，主要研究方向?yàn)楣I(yè)領(lǐng)域網(wǎng)絡(luò)安全和標(biāo)準(zhǔn)政策研究；
王　宏，男，博士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全技術(shù)研究；
梁　利，女，學(xué)士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全技術(shù)與研究。
選自《信息安全與通信保密》2024年第3期（為便于排版，已省去原文參考文獻(xiàn)）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識(shí)和信息。