零信任發(fā)展研究報告（2023年）

零信任發(fā)展研究報告

（2023年）

中國信息通信研究院云計算與大數(shù)據(jù)研究所

2023年8月

前言

近年來，云計算、大數(shù)據(jù)等新一代信息技術(shù)與實體經(jīng)濟加速融合，

產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型迎來發(fā)展新浪潮。企業(yè)IT架構(gòu)從建設(shè)到運營發(fā)生極

大變革，防護機制從以網(wǎng)絡(luò)邊界為核心向以身份為核心的零信任轉(zhuǎn)變，

零信任產(chǎn)業(yè)已形成蓬勃發(fā)展的良好態(tài)勢，愈發(fā)得到行業(yè)關(guān)注。

中國信通院持續(xù)跟蹤零信任發(fā)展歷程，曾在2020年8月、2021

年5月發(fā)布《網(wǎng)絡(luò)安全先進技術(shù)與應(yīng)用發(fā)展系列報告——零信任技術(shù)

（ZeroTrust）》1、《數(shù)字化時代零信任安全藍皮報告》2等研究報告，

對零信任基本原則、邏輯架構(gòu)組成、通用應(yīng)用場景等進行了闡述。2023

年發(fā)布《零信任發(fā)展研究報告》，報告聚焦過去兩年多零信任產(chǎn)業(yè)的

新發(fā)展新變化。報告首先介紹了數(shù)字化轉(zhuǎn)型深化后企業(yè)IT架構(gòu)所面

臨的安全挑戰(zhàn)，零信任如何解決安全挑戰(zhàn)以及如何應(yīng)對新的安全威脅。

其次從零信任供應(yīng)側(cè)和零信任應(yīng)用側(cè)兩大視角對我國零信任產(chǎn)業(yè)的

發(fā)展情況與應(yīng)用痛點進行觀察和分析。在零信任供應(yīng)側(cè)方面，梳理了

國內(nèi)各零信任廠商安全水平概況，分析了重點行業(yè)零信任市場近三年

發(fā)展態(tài)勢。在零信任應(yīng)用側(cè)方面，基于對重點行業(yè)用戶的調(diào)研結(jié)果，

從零信任建設(shè)前期、建設(shè)中期和使用運營期，分析了用戶零信任建設(shè)

過程中的痛點、肯定與思考，為零信任供應(yīng)側(cè)提升和優(yōu)化能力提供指

引，同時增強應(yīng)用側(cè)用戶的落地信心。最后總結(jié)了零信任技術(shù)發(fā)展趨

勢，并對零信任產(chǎn)業(yè)發(fā)展提出建議。

1/kxyj/qwfb/ztbg/202008/t20200812_302242.htm

2/kxyj/qwfb/ztbg/202105/t20210521_377790.htm

目錄

一、零信任保障資源可信訪問，應(yīng)用價值日益凸顯..............................................1

（一）零信任彌補傳統(tǒng)安全防護機制缺陷.........................................................1

（二）零信任為新的安全場景提供有力保障.....................................................4

（三）零信任相關(guān)政策與標準涌現(xiàn)，驅(qū)動產(chǎn)業(yè)規(guī)范發(fā)展.................................7

二、產(chǎn)業(yè)供應(yīng)側(cè)調(diào)研洞察：零信任能力生態(tài)逐漸成熟........................................10

（一）圍繞六大領(lǐng)域能力，建立產(chǎn)品體系.......................................................10

（二）行業(yè)應(yīng)用不斷深化，零信任市場步入成長期.......................................20

三、產(chǎn)業(yè)應(yīng)用側(cè)調(diào)研洞察：用戶對零信任建設(shè)尚存顧慮，同時肯定零信任核心

價值25

（一）零信任從零到一，落地部署面臨多重阻礙...........................................25

（二）微隔離市場向好，用戶看重網(wǎng)絡(luò)分段能力...........................................27

（三）應(yīng)用價值受肯定，仍需避免重建設(shè)輕運營...........................................28

四、我國零信任發(fā)展趨勢及建議............................................................................30

（一）零信任技術(shù)發(fā)展呈三點趨勢...................................................................30

（二）零信任產(chǎn)業(yè)發(fā)展的四點建議...................................................................32

圖目錄

圖1基于零信任理念的邏輯架構(gòu)..............................................................................1

圖2我國零信任供應(yīng)側(cè)發(fā)展路徑............................................................................14

圖3供應(yīng)側(cè)SaaS化情況..........................................................................................16

圖4供應(yīng)側(cè)零信任能力分布....................................................................................17

圖5身份安全產(chǎn)品聯(lián)動情況....................................................................................17

圖6安全管理產(chǎn)品聯(lián)動情況....................................................................................18

圖7終端安全產(chǎn)品聯(lián)動情況....................................................................................19

圖8供應(yīng)側(cè)企業(yè)落地零信任客戶數(shù)量區(qū)間............................................................21

圖9微隔離類產(chǎn)品納管工作負載總數(shù)....................................................................22

圖10軟件定義邊界類產(chǎn)品納管員工總數(shù)..............................................................23

圖11零信任應(yīng)用環(huán)境情況......................................................................................24

圖12落地零信任使用場景情況..............................................................................25

圖13統(tǒng)一整個基礎(chǔ)設(shè)施的策略管理......................................................................31

圖14身份信息穿透業(yè)務(wù)訪問全程..........................................................................32

表目錄

表1國外零信任相關(guān)政策...........................................................................................7

表2零信任安全能力與子能力.................................................................................12

零信任發(fā)展研究報告（2023年）

一、零信任保障資源可信訪問，應(yīng)用價值日益凸顯

零信任秉持“永不信任，持續(xù)驗證”的理念受到業(yè)內(nèi)廣泛關(guān)注，其

打破了網(wǎng)絡(luò)位置和信任間的潛在默認關(guān)系，致力于降低企業(yè)資源訪問

過程中的安全風(fēng)險。基于零信任理念的邏輯架構(gòu)如圖1所示，由零信

任核心邏輯組件和內(nèi)部或外部數(shù)據(jù)源組成，零信任核心部分分為控制

平面和數(shù)據(jù)平面。

來源：NIST

圖1基于零信任理念的邏輯架構(gòu)

位于數(shù)據(jù)平面的訪問主體發(fā)起訪問請求，由控制平面的策略引擎

進行身份認證與多源評估計算，由控制引擎對計算結(jié)果進行判定，決

定授權(quán)策略，一旦授權(quán)訪問，控制引擎將通知數(shù)據(jù)平面的安全代理，

為該次訪問建立安全連接。策略引擎仍持續(xù)對訪問進行評估，一旦參

與因素或其行為發(fā)生變化，策略引擎將依據(jù)新的評估源重新評估，控

制引擎將依據(jù)評估結(jié)果判定授權(quán)策略是否需要改變，隨時通知安全代

理執(zhí)行相應(yīng)操作，最大限度保障資源安全。

（一）零信任彌補傳統(tǒng)安全防護機制缺陷

1.IT架構(gòu)從封閉走向開放，傳統(tǒng)安全防護架構(gòu)面臨

挑戰(zhàn)

1

零信任發(fā)展研究報告（2023年）

近年來，國家高度重視和支持數(shù)字經(jīng)濟發(fā)展，大力支持產(chǎn)業(yè)數(shù)字

化，同時，用戶需求不斷升級，驅(qū)動企業(yè)加速數(shù)字化轉(zhuǎn)型進程。傳統(tǒng)

企業(yè)安全架構(gòu)基于網(wǎng)絡(luò)邊界構(gòu)建信任域，隨著數(shù)字化不斷深入，邊界

逐漸消失，企業(yè)IT架構(gòu)面臨更多安全挑戰(zhàn)：一是數(shù)據(jù)中心內(nèi)部東西

向流量安全防護薄弱。隨著應(yīng)用云化，構(gòu)建方式微服務(wù)化，服務(wù)間需

進行頻繁的通信和交互，數(shù)據(jù)中心內(nèi)部互訪力量增多。傳統(tǒng)安全防護

側(cè)重南北向，若有東西向流動的惡意流量，無法提供防護。二是安全

策略仍待細化。隨著虛擬化、容器等云計算技術(shù)的廣泛使用，企業(yè)納

管資源粒度不斷細化，安全防護策略也需隨資源粒度的細化而細化，

以承載不同類型、不同級別的業(yè)務(wù)。三是跨云的連接、數(shù)據(jù)傳輸使得

資源暴露面增大。隨著5G與分布式云的融合，用戶得以在任意時間

使用任意設(shè)備從任意位置快速獲取資源，然而云間的連接點尤為脆弱，

攻擊者可以通過攻擊進入云中，并在云間實現(xiàn)威脅滲透。四是防火墻

與VPN無法保證用戶操作合法性。無界辦公需求增多，用戶接入方

式復(fù)雜多樣，傳統(tǒng)的網(wǎng)關(guān)安全防護設(shè)備無法判斷擁有賬號、密碼的用

戶身份是否合法、操作行為是否符合其身份。

隨著遠程辦公常態(tài)化，數(shù)字化工作空間規(guī)?；褂?，終端和身份

面臨更多不可信問題：一是網(wǎng)絡(luò)接入位置和時間多變，用戶不可控性

增加。外網(wǎng)連接占比增多，時間從集中變得分散，大量外網(wǎng)訪問行為

中可能混雜著黑客行為，僅依靠傳統(tǒng)VPN（VirtualPrivateNetwork，

虛擬專用網(wǎng)絡(luò)）技術(shù)難以對用戶身份是否合法進行有效判斷。二是使

用未受管控設(shè)備辦公，致使風(fēng)險要素增多。過去員工主要使用企業(yè)派

2

零信任發(fā)展研究報告（2023年）

發(fā)的固定設(shè)備辦公，由于默認內(nèi)網(wǎng)安全，終端管控手段較為簡單。隨

著使用BYOD（BringYourOwnDevice，自帶設(shè)備）與移動設(shè)備辦公

的員工逐漸增多，企業(yè)數(shù)據(jù)將與未知下載路徑的私人應(yīng)用共享同一空

間，關(guān)鍵數(shù)據(jù)所有權(quán)模糊，且與企業(yè)派發(fā)設(shè)備相比，BYOD軟硬件環(huán)

境的安全狀態(tài)更加難以預(yù)測，傳統(tǒng)終端管控手段難以應(yīng)對。三是供應(yīng)

鏈協(xié)作觸發(fā)業(yè)務(wù)流轉(zhuǎn)，數(shù)據(jù)保護難度增大。隨著數(shù)字化業(yè)務(wù)的開展，

數(shù)據(jù)由靜止轉(zhuǎn)向流動，保護對象時刻更迭，其所應(yīng)授予權(quán)限也處于變

化狀態(tài)，傳統(tǒng)數(shù)據(jù)安全防護手段無法依據(jù)數(shù)據(jù)重要等級進行差異化防

護，且各企業(yè)安全管理機制有差異，防御能力參差不齊，難以有效保

護。

隨著數(shù)字經(jīng)濟走深向?qū)?，企業(yè)不斷開展產(chǎn)品服務(wù)創(chuàng)新實現(xiàn)業(yè)務(wù)轉(zhuǎn)

型，企業(yè)將面臨新的特性威脅：一是業(yè)務(wù)面臨更多欺詐威脅。數(shù)字化

轉(zhuǎn)型賦能業(yè)務(wù)模式創(chuàng)新，新零售等新業(yè)務(wù)形式涌現(xiàn)，優(yōu)化整合線上線

下資源，數(shù)字化零售業(yè)務(wù)從線下轉(zhuǎn)向線上，新零售面臨大量欺詐、羊

毛、作弊、盜用、虛假信息、刷單等業(yè)務(wù)安全威脅，傳統(tǒng)安全防護手

段無法有效解決。二是物聯(lián)網(wǎng)終端安全防護能力差異大，終端設(shè)備易

被入侵。物聯(lián)網(wǎng)具備獨特的組網(wǎng)模式，通信傳輸體系復(fù)雜，通信協(xié)議

安全性差，且智能產(chǎn)品多處于網(wǎng)絡(luò)邊緣，終端安全防護能力差異較大，

大量傳統(tǒng)安全防護手段主要解決以太網(wǎng)安全問題，物聯(lián)網(wǎng)終端設(shè)備易

受入侵和劫持，邊界安全防護無法覆蓋到位。

2.零信任規(guī)避傳統(tǒng)安全機制中過度信任問題

傳統(tǒng)安全機制失效背后的根本原因是過度信任，零信任不為任何

3

零信任發(fā)展研究報告（2023年）

參與因素預(yù)置信任條件，其根本也是為了解決信任問題，通過動態(tài)的、

持續(xù)的驗證，判斷訪問主客體之間是否存在信任關(guān)系，以對主體到客

體間的資源訪問進行實時防護，具體表現(xiàn)在：一是面向資源管理而非

網(wǎng)絡(luò)。零信任將一切視為資源，任意粒度、任意位置的訪問主體對資

源的訪問都需要進行認證和授權(quán)，企業(yè)內(nèi)部資源間的互相訪問也需要

進行身份驗證和權(quán)限判定，能夠有效抵御威脅橫向移動帶來的安全風(fēng)

險。二是屏蔽安全策略預(yù)分配帶來的威脅。零信任能夠?qū)ξ锢碓O(shè)備、

云服務(wù)、接口等所有層級的資源進行防護，在訪問主體身份驗證和權(quán)

限判定成功后，僅為其提供滿足需要的最小粒度的資源，細化安全策

略至資源層面。三是資源對外隱身。利用端口隱藏等技術(shù)手段，在訪

問主體通過驗證之前，受訪資源對其隱身，大大降低了資源的可見性

和攻擊暴露面，減少不可控、不可見的安全威脅所帶來的攻擊。四是

以身份為核心執(zhí)行動態(tài)安全防護。零信任強調(diào)通過身份信息與多源數(shù)

據(jù)對每一個訪問行為進行信任評估，動態(tài)授予相應(yīng)權(quán)限，能夠?qū)?nèi)部

訪問、遠程訪問和數(shù)據(jù)交互的人員、設(shè)備、環(huán)境等進行有效的安全把

控，緩解憑據(jù)盜用、高風(fēng)險誤操作等帶來的安全威脅。

（二）零信任為新的安全場景提供有力保障

1.零信任保障軟件供應(yīng)鏈安全

近年來，軟件供應(yīng)鏈攻擊規(guī)模持續(xù)增長，調(diào)查顯示3，過去三年

全球軟件供應(yīng)鏈攻擊的平均年增長率高達742%。零信任的應(yīng)用能夠

抵御上游供應(yīng)商、軟件開發(fā)流程和工具的安全風(fēng)險，是企業(yè)軟件供應(yīng)

3Sonatype《8thStateofthesoftwaresupplychain》

4

零信任發(fā)展研究報告（2023年）

鏈安全建設(shè)的有效舉措。一是限制上游供應(yīng)商權(quán)限，零信任基于最小

化權(quán)限原則對供應(yīng)商的訪問過程進行動態(tài)授權(quán)，防止攻擊者以供應(yīng)商

為跳板侵入企業(yè)網(wǎng)絡(luò)環(huán)境后進行橫向移動，收斂軟件供應(yīng)鏈攻擊的風(fēng)

險范圍；二是助力研發(fā)運營關(guān)鍵環(huán)節(jié)的風(fēng)險監(jiān)測與安全準入，零信任

與安全左移相融合，默認第三方組件、容器鏡像、代碼倉庫等實體不

可信任，在研發(fā)運營流程中通過多層次的自動化安全檢查，發(fā)現(xiàn)各實

體的漏洞、運行時攻擊等風(fēng)險，保障軟件供應(yīng)鏈交界面的安全研發(fā)與

交付。

2.零信任抵御勒索軟件攻擊

當前，勒索軟件攻擊形勢嚴峻，對關(guān)鍵信息基礎(chǔ)設(shè)施等領(lǐng)域造成

嚴重影響，據(jù)預(yù)測4，勒索軟件損失到2031年將達到2650億美元。

基于零信任理念的安全防護架構(gòu)可幫助企業(yè)降低勒索軟件攻擊風(fēng)險，

提升威脅進入壁壘，主要表現(xiàn)在以下幾個方面：一是身份驗證貫穿訪

問始終，零信任默認安全風(fēng)險無處不在，不為訪問主體預(yù)置信任，在

訪問過程中持續(xù)驗證身份，加大攻擊者滲透整個網(wǎng)絡(luò)的難度；二是訪

問行為的持續(xù)監(jiān)測，勒索軟件在攻入企業(yè)內(nèi)網(wǎng)后，會對關(guān)鍵數(shù)據(jù)的位

置進行掃描，零信任通過對訪問主體各行為進行監(jiān)測，識別高危動作，

及時執(zhí)行訪問降級或阻斷；三是網(wǎng)絡(luò)微分段精細化流量管理，攻擊者

可能控制某些脆弱的單點，當其通過已攻擊的終端向網(wǎng)絡(luò)內(nèi)部更重要

系統(tǒng)橫向滲透，通過網(wǎng)絡(luò)微分段將網(wǎng)絡(luò)劃分成細小的分段，阻止勒索

軟件在網(wǎng)絡(luò)中進行橫向移動，從而將勒索軟件的影響從企業(yè)內(nèi)網(wǎng)多臺

4世界經(jīng)濟論壇《2022年全球網(wǎng)絡(luò)安全展望報告》

5

零信任發(fā)展研究報告（2023年）

業(yè)務(wù)服務(wù)器和數(shù)據(jù)存儲服務(wù)器降低至單一用戶的電腦，將風(fēng)險控制在

最小限度。如Akamai通過收購Guardicore及其一流的網(wǎng)絡(luò)微分段解

決方案，以應(yīng)對Conti的勒索威脅；四是多因子認證強度可動態(tài)變化，

當訪問認證通過率較高時，可以降低多因子認證強度以提升用戶體驗，

當訪問主體信譽度較低時，可提升多因子認證強度，降低組織中最主

要攻擊類型的脆弱性并增加潛在威脅者接管賬戶難度。

3.零信任促進公共數(shù)據(jù)與服務(wù)安全開放

抗擊新冠疫情的過程充分彰顯了公共數(shù)據(jù)和服務(wù)的價值意義。為

了有效應(yīng)對突發(fā)事件、提升經(jīng)濟和社會公平性，全球多國積極推進數(shù)

字公共基礎(chǔ)設(shè)施的建設(shè)，促進公共數(shù)據(jù)和服務(wù)的開放。零信任理念能

夠提升數(shù)字公共基礎(chǔ)設(shè)施的安全訪問，保障公共數(shù)據(jù)和服務(wù)的價值釋

放。一是建立統(tǒng)一數(shù)字身份避免數(shù)字鴻溝，零信任為人、企業(yè)組織等

實體建立唯一數(shù)字身份標識，避免實體通過多個身份賬號獲取額外的

公共福利，如印度多個福利項目基于數(shù)字身份系統(tǒng)Aadhaar清理受益

名單；同時，數(shù)字身份的發(fā)放能夠打破地區(qū)局限，任何地方的任何人

都可以方便獲得唯一的數(shù)字身份，有效促進發(fā)展援助、國際合作等方

面的發(fā)展。二是最小化動態(tài)授權(quán)避免數(shù)據(jù)和服務(wù)的濫用，零信任能夠

對數(shù)字公共基礎(chǔ)設(shè)施的每一個訪問進行風(fēng)險評估并授予最小權(quán)限，驗

證訪問主體是數(shù)字身份的真實持有人，同時確保數(shù)字身份的真實持有

人僅能獲取權(quán)益內(nèi)的公共數(shù)據(jù)和服務(wù)。

6

零信任發(fā)展研究報告（2023年）

（三）零信任相關(guān)政策與標準涌現(xiàn)，驅(qū)動產(chǎn)業(yè)規(guī)范發(fā)

展

零信任已經(jīng)從一個新興安全理念發(fā)展成為全球網(wǎng)絡(luò)安全的關(guān)鍵

技術(shù)，商業(yè)模式走向成熟，市場逐步規(guī)?；?，已成為了政企數(shù)字化轉(zhuǎn)

型的首選安全戰(zhàn)略。

以美國為首的發(fā)達國家高度重視零信任能力建設(shè)。如表1所示，

自2019年起，美國陸續(xù)發(fā)布零信任指導(dǎo)建議、計劃等推動零信任在

美落地，其他發(fā)達國家也紛紛在零信任領(lǐng)域展開布局，以強化網(wǎng)絡(luò)空

間話語權(quán)。2022年11月22日，美國國防部發(fā)布了《國防部零信任

戰(zhàn)略》和《國防部零信任能力執(zhí)行路線圖》，計劃在2027年之前實施

戰(zhàn)略和相關(guān)路線圖中概述的獨特的零信任能力和活動。2023年4月

11日，CISA（美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）發(fā)布第二版零信任

成熟度模型，旨在降低美國機構(gòu)實施零信任的壁壘。種種舉措顯示美

國正加速在零信任領(lǐng)域的研究與應(yīng)用。

表1國外零信任相關(guān)政策

時間政策發(fā)布組織名稱側(cè)重點

美國

ACT-IAC

（美國技術(shù)委員《零信任網(wǎng)絡(luò)安全當前對政府機構(gòu)采用零信

2019.04

會-工業(yè)咨詢委趨勢》任進行評估

員會）

DIB（美國國防指導(dǎo)國防部實施零信

2019.07《零信任安全之路》

創(chuàng)新委員會）任架構(gòu)

2019.07DISA（美國國《DISA戰(zhàn)略計劃2019-明確DISA網(wǎng)絡(luò)防御

7

零信任發(fā)展研究報告（2023年）

防信息系統(tǒng)局）2022》戰(zhàn)略重點為零信任

《零信任架構(gòu)（ZTA）建建議將零信任實施列

2019.10DIB

議》為最高優(yōu)先事項

建議DoD下一代網(wǎng)絡(luò)

《國防部零信任參考結(jié)

2021.02DISA安全架構(gòu)基于零信任

構(gòu)》1.0

建設(shè)

NSA（美國國家《擁抱零信任安全模提出漸進式部署零信

2021.02

安全局）型》任方式

發(fā)動聯(lián)邦政府遷移上

2021.05美國總統(tǒng)拜登14028號行政令

云使用零信任架構(gòu)

OMB（聯(lián)邦政《美國政府向零信任網(wǎng)要求各機構(gòu)在2024年

2021.09府管理和預(yù)算辦絡(luò)安全原則的遷移》（征前實現(xiàn)具體的零信任

公室）求意見稿）安全目標

CISA（網(wǎng)絡(luò)安

《零信任成熟度模型》細化五個“具體的零信

2021.09全和基礎(chǔ)設(shè)施安

（征求意見稿）任安全目標”

全局）

《云安全技術(shù)參考架推薦采用零信任輔助

2021.09CISA

構(gòu)》（征求意見稿）遷移上云

概述國防部計劃如何

《國防部零信任戰(zhàn)略》、

在2027年前在國防部

2022.11DoD（國防部）《國防部零信任能力執(zhí)

范圍全面實施零信任

行路線圖》

網(wǎng)絡(luò)安全框架

為機密網(wǎng)絡(luò)開發(fā)零信

2023.2DISA雷霆穹頂?shù)诙A段任安全和網(wǎng)絡(luò)架構(gòu)計

劃原型

《零信任成熟度模型》降低美國機構(gòu)實施零

2023.4CISA

（第二版）信任的壁壘

英國

2020.10NCSC（英國國《零信任架構(gòu)設(shè)計原積極響應(yīng)美國零信任

8

零信任發(fā)展研究報告（2023年）

家網(wǎng)絡(luò)安全中則》戰(zhàn)略，為政企機構(gòu)實

心）施零信任提供參考

加拿大

加拿大政府部門

采用零信任等新方法

2021.03機構(gòu)-共享服務(wù)《網(wǎng)絡(luò)與安全戰(zhàn)略》

支撐未來網(wǎng)絡(luò)服務(wù)

部

新加坡

要求相關(guān)機構(gòu)實現(xiàn)從

2021.10新加坡政府《網(wǎng)絡(luò)安全戰(zhàn)略2021》邊界防護向零信任安

全模式轉(zhuǎn)變

來源：公開材料整理

我國加大政策保障，推動零信任落地。目前我國正在從政策、行

業(yè)實踐、產(chǎn)業(yè)發(fā)展等多個層面對零信任進行積極探索，工業(yè)和信息化

部通過多種舉措引導(dǎo)零信任發(fā)展，前期以推動零信任理論研究和技術(shù)

創(chuàng)新為主，后期加強零信任技術(shù)應(yīng)用，推動項目落地，具體表現(xiàn)為：

一是，發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）》，

重點圍繞“加快開展基于開發(fā)安全運營、主動免疫、零信任等框架，推

動創(chuàng)新技術(shù)發(fā)展與網(wǎng)絡(luò)安全體系研發(fā)。加快發(fā)展動態(tài)邊界防護技術(shù)，

鼓勵企業(yè)深化微隔離、軟件定義邊界、安全訪問服務(wù)邊緣框架等技術(shù)

產(chǎn)品應(yīng)用”等內(nèi)容展開。二是，多個零信任項目入選重點領(lǐng)域試點示

范項目名單，包括“2022年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點示范項目名單”、

“2021年大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點示范項目名單”等。

我國已從多層級啟動零信任標準研究，協(xié)助建立產(chǎn)業(yè)規(guī)范。為落

實國家網(wǎng)絡(luò)信息安全相關(guān)要求，我國已從多層級開展零信任標準研究。

國際標準方面，由中國企業(yè)主導(dǎo)的ITU-T（國際電信聯(lián)盟電信標準分

9

零信任發(fā)展研究報告（2023年）

局）零信任國際標準《服務(wù)訪問過程持續(xù)保護指南》正式發(fā)布；國家

標準方面，全國信息安全標準化技術(shù)委員會正在開展《信息安全技術(shù)

零信任參考體系架構(gòu)》的編制；行業(yè)標準方面，中國通信標準化協(xié)會

正在開展《面向云計算的零信任體系第2部分：關(guān)鍵能力要求》、《面

向云計算的零信任體系第6部分：數(shù)字身份安全能力要求》、《面向

云計算的零信任成熟度評價模型》、《零信任安全技術(shù)參考框架》與《網(wǎng)

絡(luò)安全產(chǎn)品能力評價體系第11部分：基于零信任架構(gòu)的業(yè)務(wù)安全平

臺評價方法》等標準的研究工作。

二、產(chǎn)業(yè)供應(yīng)側(cè)調(diào)研洞察：零信任能力生態(tài)逐漸成熟

零信任供應(yīng)側(cè)方面，本報告調(diào)研了近五十家國內(nèi)零信任廠商，梳

理零信任所涵蓋的六大領(lǐng)域，洞察各廠商零信任安全水平概況，分析

其在重點行業(yè)零信任市場近三年向好發(fā)展態(tài)勢，以增強零信任產(chǎn)業(yè)蓬

勃向好發(fā)展的信心。

（一）圍繞六大領(lǐng)域能力，建立產(chǎn)品體系

1.零信任能力涵蓋六大領(lǐng)域

對于網(wǎng)絡(luò)攻擊者，只需要找到整個網(wǎng)絡(luò)防護的一個脆弱點即可攻

破網(wǎng)絡(luò)，而作為網(wǎng)絡(luò)安全防護者，需要進行整體的防御。因此，基于

零信任理念展開的安全防護不單獨強調(diào)技術(shù)，而是強調(diào)解決了哪個領(lǐng)

域的安全問題。

本報告中，零信任能力涵蓋六大領(lǐng)域，如表2所示：數(shù)字身份是

基礎(chǔ)組件、是核心，聯(lián)合網(wǎng)絡(luò)環(huán)境安全、終端安全、數(shù)據(jù)安全、應(yīng)用

工作負載安全和安全管理五個關(guān)鍵能力，共同賦能企業(yè)整體安全防御。

10

零信任發(fā)展研究報告（2023年）

數(shù)字身份主要解決用戶身份不統(tǒng)一，以及IT架構(gòu)中所有對象數(shù)

字身份缺失、不合法等問題。一是，對接入用戶、組織架構(gòu)、設(shè)備、

應(yīng)用賦予唯一身份標識，并對其數(shù)字身份進行全生命周期管理，完成

身份的自動化管控；二是，通過持續(xù)的身份認證，確保訪問主體在整

個資源訪問過程中身份的合法性。

網(wǎng)絡(luò)環(huán)境安全主要解決威脅的橫向移動，以及傳輸數(shù)據(jù)被竊取等

問題。一是，將資源劃分到一個個微小的網(wǎng)絡(luò)分段中，分段間通過策

略隔離，阻止威脅的擴散；二是，對網(wǎng)絡(luò)傳輸鏈路進行加密，以保證

數(shù)據(jù)傳輸過程中的安全性。

終端安全主要解決使用移動終端辦公難以對設(shè)備進行管控，以及

不同終端的安全基礎(chǔ)不同易引入威脅等問題。一是，加強終端威脅檢

測，實現(xiàn)終端安全狀況可感；二是，對所有連入企業(yè)網(wǎng)絡(luò)的移動終端

進行納管，實現(xiàn)BYOD可控；三是，建立終端基線，對于不符合基線

要求的終端可修復(fù)。

數(shù)據(jù)安全主要解決數(shù)據(jù)資產(chǎn)安全防護無法差異化，以及數(shù)據(jù)在使

用、傳輸和存儲過程中意外泄露等問題。一是，通過數(shù)據(jù)分類規(guī)范化

關(guān)聯(lián)關(guān)系，再通過數(shù)據(jù)分級實現(xiàn)數(shù)據(jù)防護策略的差異化；二是，通過

數(shù)據(jù)脫敏、加密、審計等技術(shù)手段降低數(shù)據(jù)泄露的可能性。

應(yīng)用工作負載安全主要解決兩類被訪問資源的安全問題，包括容

器、虛擬機等基礎(chǔ)設(shè)施資源，以及應(yīng)用系統(tǒng)、API等應(yīng)用資源。一是，

通過安全基線掃描、漏洞管理、入侵檢測等技術(shù)手段，輔以計算資源

納管清單、供應(yīng)商名錄等管理手段對基礎(chǔ)設(shè)施資源進行防護；二是，

11

零信任發(fā)展研究報告（2023年）

在應(yīng)用研發(fā)階段引入安全檢測流程、為已發(fā)布應(yīng)用提供各類惡意攻擊

防護手段，以及持續(xù)驗證應(yīng)用執(zhí)行的動作是否符合其權(quán)限。

安全管理主要解決各安全組件無法聯(lián)動處置威脅、流量不透明等

問題。一是，通過編排將各安全工具的能力以某種邏輯組合在一起，

聯(lián)動進行威脅的檢測與響應(yīng)；二是，聯(lián)動各安全組件并以可視化形式

展示監(jiān)測指標，以便快速定位威脅。

表2零信任安全能力與子能力

能力子能力能力描述

對人、設(shè)備、應(yīng)用、資源等所有對象賦予數(shù)字

數(shù)字身份管理身份標識，并對數(shù)字身份信息和用戶憑據(jù)進行

身份安全集中管理

提供統(tǒng)一集中認證、單點登錄、會話管理和訪

訪問管理

問控制等能力

網(wǎng)絡(luò)安全對C/S架構(gòu)、B/S架構(gòu)等多種場景下的訪問接

入進行認證，并基于信任評估和權(quán)限判定結(jié)

安全網(wǎng)關(guān)

果，對認證成功的訪問主體建立相應(yīng)安全訪問

通道

通過SSL（安全套接字層）、TLS（安全傳輸層

網(wǎng)絡(luò)傳輸安全

協(xié)議）等方式實現(xiàn)網(wǎng)絡(luò)傳輸保密性

應(yīng)用工作保障數(shù)據(jù)中心、公有云、私有云等跨云環(huán)境中

負載安全云工作負載安全的工作負載安全，覆蓋物理機、虛擬機、容器、

Serverless（無服務(wù)器）等不同粒度資源

提供工作負載及應(yīng)用間的流量隔離與可視化

微隔離

能力，實現(xiàn)細粒度安全策略管理

提供應(yīng)用系統(tǒng)、API（應(yīng)用程序接口）、SaaS（軟

應(yīng)用安全件即服務(wù)）等應(yīng)用資源的安全防護能力，包括

發(fā)現(xiàn)、修復(fù)應(yīng)用安全漏洞等

12

零信任發(fā)展研究報告（2023年）

數(shù)據(jù)安全基于合規(guī)要求與用戶業(yè)務(wù)場景，對數(shù)據(jù)進行分

數(shù)據(jù)分類分級

類分級管理

數(shù)據(jù)防泄漏檢測和防止?jié)撛诘臄?shù)據(jù)泄露能力

數(shù)據(jù)完整性指數(shù)據(jù)在其生命周期內(nèi)的準確性和一致性

數(shù)據(jù)加密提供數(shù)據(jù)在存儲、傳輸、使用時的加解密能力

數(shù)據(jù)隔離提供安全使用數(shù)據(jù)的空間的能力

終端安全提供終端威脅檢測能力，包括漏洞掃描、病毒

終端安全管理

查殺、基線檢查等

終端應(yīng)用安全通過沙箱等技術(shù)實現(xiàn)終端APP安全防護

提供移動內(nèi)容、移動設(shè)備、移動身份和移動應(yīng)

移動化管理

用安全防護能力

獲取網(wǎng)絡(luò)、身份、設(shè)備、應(yīng)用等的運行上下文，

運行上下文管理

并建立用于策略評估的基線。

通過規(guī)則、機器學(xué)習(xí)建模等方式，輸出智能化

策略分析與建模

的控制策略。

安全管理

收集和分析網(wǎng)絡(luò)、環(huán)境、設(shè)備和應(yīng)用等的安全

安全事件分析

事件，以支持威脅檢測、合規(guī)性和事件管理

自動化編排與事通過自動化編排等功能，對安全事件進行自動

件響應(yīng)處置和響應(yīng)

來源：中國信通院

2.零信任能力供應(yīng)不斷豐富

國內(nèi)零信任生態(tài)蓬勃發(fā)展，零信任供應(yīng)能力不斷豐富，為用戶在

不同場景、不同需求下零信任建設(shè)提供支撐。圍繞零信任能力六大方

面，國內(nèi)零信任產(chǎn)品供應(yīng)呈如下特點：

用戶訪問和工作負載訪問是產(chǎn)品發(fā)展的兩條關(guān)鍵路徑。用戶訪問

需要對數(shù)據(jù)中心內(nèi)外的南北向流量進行訪問控制，工作負載訪問需要

對數(shù)據(jù)中心內(nèi)部的東西向流量進行訪問控制，兩者安全防護位置不同，

13

零信任發(fā)展研究報告（2023年）

逐漸形成不同零信任產(chǎn)品。在本報告的調(diào)查統(tǒng)計中，如圖2所示，提

供用戶訪問（南北向流量）安全防護能力的廠商仍占多數(shù)，有89%的

零信任供應(yīng)側(cè)企業(yè)可提供ZTNA（ZeroTrustNetworkAccess，零信任

網(wǎng)絡(luò)接入），對四層流量進行防護；在這些企業(yè)中，又有84%的企業(yè)

可提供ZTAA（ZeroTrustApplicationAccess，零信任應(yīng)用接入），可

對七層流量進行防護；提供工作負載訪問（東西向流量）安全防護能

力的廠商較少，僅有25%的企業(yè)可提供微隔離能力；但是這些企業(yè)中，

又有95%和91%的企業(yè)支持以ZTNA和ZTAA形式提供南北向流量

的安全防護。

來源：中國信息通信研究院2022年12月

圖2我國零信任供應(yīng)側(cè)發(fā)展路徑

零信任SaaS在國內(nèi)普及仍面臨企業(yè)上云比例低等諸多挑戰(zhàn)，但

已有超七成零信任供應(yīng)側(cè)企業(yè)具備相應(yīng)服務(wù)能力。與本地化部署相比，

SaaS化的零信任有四大優(yōu)勢：一是標準化交付，交付更加便捷，普及

14

零信任發(fā)展研究報告（2023年）

性更強，適合中小型企業(yè)部署，降低用戶使用門檻；二是自身維護成

本低，用戶無需部署、維護系統(tǒng)；三是可利用云網(wǎng)自身優(yōu)勢，提供安

全以外的增值特性，如出海訪問加速等；四是連通性強，通過云的方

式提供接入點，便于對云上業(yè)務(wù)進行訪問。然而，對于國內(nèi)用戶而言，

尤其是中小企業(yè)，安全需求的剛性尚且不足，“零信任”乃至“安全”都

不一定構(gòu)成“買點”，零信任SaaS的推廣更是面臨了諸多挑戰(zhàn)：一是

國內(nèi)大部分企業(yè)的業(yè)務(wù)部署在內(nèi)網(wǎng)，云接入的優(yōu)勢變?yōu)榱觿?，用戶?/p>

POP點接入再訪問數(shù)據(jù)中心內(nèi)部業(yè)務(wù)，存在流量繞圈問題；二是SaaS

化產(chǎn)品很難提供業(yè)務(wù)側(cè)的安全能力，SaaS化產(chǎn)品雖然解決了云上業(yè)

務(wù)的網(wǎng)絡(luò)接入便利性問題，在網(wǎng)絡(luò)方面提供了安全性，但實際上在安

全攻防領(lǐng)域，安全威脅多發(fā)生在近業(yè)務(wù)側(cè)，SaaS化產(chǎn)品鞭長莫及；三

是無法定制化需求，企業(yè)內(nèi)部業(yè)務(wù)環(huán)境存在差異性，而SaaS化產(chǎn)品

提供的標準化產(chǎn)品，在功能適配上難以滿足用戶個性化需求，尤其在

國內(nèi)頭部企業(yè)的定制化需求較高。四是對云上數(shù)據(jù)安全性有顧慮，國

內(nèi)多數(shù)企業(yè)認為公有云上數(shù)據(jù)不受控難以開展安全保障。本報告對國

內(nèi)零信任供應(yīng)側(cè)企業(yè)的SaaS化供應(yīng)能力進行調(diào)查，結(jié)果如圖3所示，

有96.4%的零信任供應(yīng)側(cè)企業(yè)支持本地化部署，有71.4%的企業(yè)支持

提供零信任SaaS服務(wù)，即便零信任SaaS在國內(nèi)的普及面臨諸多挑

戰(zhàn)，但國內(nèi)零信任廠商已有超七成在SaaS化上進行了投入。

15

零信任發(fā)展研究報告（2023年）

來源：中國信息通信研究院2022年12月

圖3供應(yīng)側(cè)SaaS化情況

本報告基于選定的六大安全能力，對國內(nèi)云廠商和安全廠商供應(yīng)

的零信任解決方案展開調(diào)研。一方面，國內(nèi)廠商注重零信任解決方案

研發(fā)與落地實施，零信任生態(tài)已小有規(guī)模。目前，國內(nèi)有近50家企

業(yè)提供零信任集成產(chǎn)品。其中，安全廠商從自身安全專項產(chǎn)品優(yōu)勢出

發(fā)，推出有技術(shù)側(cè)重的零信任解決方案。云廠商則利用自身基礎(chǔ)設(shè)施

供應(yīng)能力強且用戶體量大的優(yōu)勢，率先進入較全面的零信任解決方案

市場。其中，如圖4所示，身份和網(wǎng)絡(luò)環(huán)境安全能力供應(yīng)能力更為成

熟，70.8%的產(chǎn)品以身份安全作為核心能力，75%的產(chǎn)品以網(wǎng)絡(luò)環(huán)境

安全作為核心能力，僅有18.7%的產(chǎn)品以云工作負載安全作為核心能

力。另一方面，國內(nèi)零信任賽道競爭激烈，各廠商都在不同領(lǐng)域?qū)で?/p>

新的突破。一是在端上實現(xiàn)更多安全功能。越來越多的客戶希望通過

一個客戶端解決PC終端安全的問題，端上安全檢測能力、防泄漏、

漏洞修復(fù)等備受重視。二是在端上建立可信安全環(huán)境以保護數(shù)據(jù)安全。

疫情之后，遠程辦公需求增多，移動終端上訪問企業(yè)業(yè)務(wù)數(shù)據(jù)成為剛

16

零信任發(fā)展研究報告（2023年）

需，通過軟件定義邊界與終端沙箱相結(jié)合的方式，將零信任的能力延

伸至端上成為一種新的解決方案。

來源：中國信息通信研究院2023年7月

圖4供應(yīng)側(cè)零信任能力分布

3.持續(xù)提升產(chǎn)品聯(lián)動能力，向與現(xiàn)有架構(gòu)融合前進

零信任與企業(yè)已有的安全防護能力應(yīng)該能相互融合，企業(yè)已有的

安全工具不應(yīng)因零信任的使用而失效，而應(yīng)該得到能力的提升。零信

任控制引擎為了更精準地下發(fā)策略，應(yīng)與企業(yè)環(huán)境中的身份安全類、

安全分析類、終端安全類產(chǎn)品進行聯(lián)動：

來源：中國信息通信研究院2022年12月

圖5身份安全產(chǎn)品聯(lián)動情況

17

零信任發(fā)展研究報告（2023年）

身份安全類包含身份管理與身份認證能力，一方面，零信任從身

份源同步用戶身份，建立用戶身份與訪問過程中使用的設(shè)備、訪問的

資源、訪問行為等之間的聯(lián)系，形成用戶畫像；另一方面，零信任可

以將身份認證與多源評估結(jié)合實現(xiàn)動態(tài)地認證。本報告調(diào)研了零信任

供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的身份安全產(chǎn)品聯(lián)動能力，結(jié)果如圖

5所示。超七成零信任供應(yīng)側(cè)企業(yè)支持與第三方身份安全產(chǎn)品對接。

46.4%企業(yè)可提供自研身份安全產(chǎn)品，同時其零信任產(chǎn)品支持與第三

方身份安全產(chǎn)品如竹云、派拉、亞信、芯盾、格爾等進行對接；有21.4%

企業(yè)不具備自研身份安全產(chǎn)品，但支持與第三方身份安全產(chǎn)品對接；

有25%企業(yè)僅支持客戶使用自家提供的身份安全產(chǎn)品，還有7.1%企

業(yè)無法與客戶環(huán)境中已有的身份安全產(chǎn)品進行聯(lián)動。在身份安全產(chǎn)品

展開投入的零信任供應(yīng)側(cè)企業(yè)占比超過70%，反向說明同質(zhì)化競爭激

烈，并非每家都能將零信任領(lǐng)域做全，各家應(yīng)避免同質(zhì)化競爭建立技

術(shù)壁壘以實現(xiàn)合作共贏。

來源：中國信息通信研究院2022年12月

圖6安全管理產(chǎn)品聯(lián)動情況

18

零信任發(fā)展研究報告（2023年）

安全管理類包含安全事件和信息的匯聚、實體行為分析、威脅檢

測與響應(yīng)等能力，一方面，通過與實體行為分析工具結(jié)合可獲取更多

安全風(fēng)險信息，對訪問主體的評估將更加準確；另一方面，零信任和

威脅檢測與響應(yīng)工具的結(jié)合為策略執(zhí)行提供了更豐富的管控手段。本

報告調(diào)研了零信任供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的安全分析產(chǎn)品

聯(lián)動能力，結(jié)果如圖6所示。超半數(shù)企業(yè)的零信任產(chǎn)品支持與客戶已

有的安全運營中心、態(tài)勢感知、威脅情報等安全分析系統(tǒng)聯(lián)動，占比

53.6%，也有35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進行聯(lián)動，

有10.7%的企業(yè)尚不支持與安全分析系統(tǒng)聯(lián)動。

來源：中國信息通信研究院2022年12月

圖7終端安全產(chǎn)品聯(lián)動情況

終端安全類包括終端安全檢測與修復(fù)、以及數(shù)據(jù)安全等能力，一

方面，收集終端環(huán)境信息，并根據(jù)檢測結(jié)果對終端進行管控；另一方

面，通過技術(shù)手段實現(xiàn)數(shù)據(jù)不落地，以保護數(shù)據(jù)安全。本報告調(diào)研了

零信任供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的終端產(chǎn)品聯(lián)動能力，結(jié)果如

19

零信任發(fā)展研究報告（2023年）

圖7所示。零信任供應(yīng)側(cè)企業(yè)在終端安全展開投入的較多，與自家產(chǎn)

品聯(lián)動率更高。尤為明顯的是支持與自家終端安全產(chǎn)品聯(lián)動的企業(yè)占

比39.3%，這一數(shù)據(jù)在身份安全領(lǐng)域為25%，一方面說明終端安全的

重要性，供應(yīng)側(cè)企業(yè)紛紛展開投入，另一方面說明與第三方終端安全

產(chǎn)品的對接仍面臨接口協(xié)議無法統(tǒng)一的困境；支持自家與第三方如騰

訊、北信源、安天、奇安信、深信服、啟明星辰、青藤等企業(yè)的終端

安全產(chǎn)品進行對接的僅占比32.1%；此外也有超七成零信任供應(yīng)側(cè)企

業(yè)支持提供終端安全產(chǎn)品，零信任供應(yīng)側(cè)企業(yè)在終端安全的投入超過

安全管理類產(chǎn)品與身份安全類產(chǎn)品，主要原因是身份認證與身份管理

所使用協(xié)議具有國際、國家標準，然而終端安全領(lǐng)域存在標準協(xié)議缺

口，有待通過生態(tài)間接口互認解決。

（二）行業(yè)應(yīng)用不斷深化，零信任市場步入成長期

1.零信任在重點行業(yè)市場近三年呈持續(xù)增長態(tài)勢

經(jīng)過多年發(fā)展，零信任商業(yè)模式走向成熟，市場逐步規(guī)模化，已

經(jīng)在各個行業(yè)進入落地階段。據(jù)中國信通院調(diào)研顯示，電信行業(yè)和金

融行業(yè)是被調(diào)研的11行業(yè)中探索零信任落地實施排名靠前的行業(yè)，

其零信任實施應(yīng)用相對成熟，且對其他行業(yè)的通用參考性較高。因此

本報告選擇金融與電信行業(yè)的零信任市場情況進行分析，相信在未來，

會有更多行業(yè)客戶選擇零信任作為其安全防護架構(gòu)。

金融與電信行業(yè)在近三年落地零信任的客戶逐年增長。本報告調(diào)

研了2019年至2022年三年間，零信任供應(yīng)側(cè)企業(yè)服務(wù)過的金融客戶

數(shù)量區(qū)間，結(jié)果如圖8所示。一方面，在金融行業(yè)，2019-2020年間

20

零信任發(fā)展研究報告（2023年）

僅有39.2%零信任供應(yīng)側(cè)企業(yè)為金融客戶落地過零信任，這一數(shù)據(jù)在

2020-2021年間與2021-2022年間分別達到了60.7%與82.1%，越來越

多的金融機構(gòu)認可零信任架構(gòu)所提供的安全防護能力。另一方面，在

電信行業(yè)，2019-2020年間僅有32.1%零信任供應(yīng)側(cè)企業(yè)為電信客戶

落地過零信任，與金融行業(yè)相比低7.1%，這一數(shù)據(jù)在2020-2021年間

與2021-2022年間分別為67.9%與85.7%，電信行業(yè)在近兩年落地勢

頭較猛，超過金融行業(yè)。

落地10家以內(nèi)的零信任供應(yīng)側(cè)企業(yè)占據(jù)主流，多數(shù)行業(yè)用戶仍

處于應(yīng)用研究探索階段。據(jù)調(diào)研，三年間落地用戶數(shù)量區(qū)間1-10的

企業(yè)分別占比金融行業(yè)為25%、35.7%和50%，電信行業(yè)為35%、42.8%

和50%。也有一些行業(yè)專精型的企業(yè)存在客戶量超過200的情況，三

年間在金融行業(yè)的占比分別為3.5%、3.5%和3.5%，電信行業(yè)占比分

別為0%、3.57%和7.14%?？梢钥闯?，2020年零信任才開始在國內(nèi)安

全圈中得以普及，產(chǎn)品經(jīng)過兩年的打磨，用戶對這個理念有了初步了

解，開始積極的在此領(lǐng)域展開采購。

來源：中國信息通信研究院2022年12月

圖8供應(yīng)側(cè)企業(yè)落地零信任客戶數(shù)量區(qū)間

21

零信任發(fā)展研究報告（2023年）

微隔離類產(chǎn)品應(yīng)用情況呈兩極分化，與行業(yè)相關(guān)性較低。本報告

調(diào)研了2021-2022年間，提供微隔離類產(chǎn)品的零信任供應(yīng)側(cè)企業(yè)所納

管用戶的工作負載總數(shù)，結(jié)果如圖9所示。在支持提供微隔離能力的

企業(yè)中，金融行業(yè)納管工作負載總數(shù)低于500的占比42.8%，高于

10000的占比42.8%，電信行業(yè)表現(xiàn)類似，納管工作負載總數(shù)低于500

的占比62.5%，高于10000的占比37.5%。將近半數(shù)供應(yīng)側(cè)企業(yè)的微

隔離在行業(yè)內(nèi)僅開展試點工作或未曾開展，同時也有近半數(shù)企業(yè)在行

業(yè)內(nèi)進行了規(guī)?；穆涞貙嵺`。

來源：中國信息通信研究院2022年12月

圖9微隔離類產(chǎn)品納管工作負載總數(shù)

軟件定義邊界類產(chǎn)品應(yīng)用潛力大，頭部客戶已進入探索階段。本

報告調(diào)研了2021-2022年間，提供軟件定義邊界類產(chǎn)品的零信任供應(yīng)

側(cè)企業(yè)所納管用戶的員工總數(shù)，結(jié)果如圖10所示。在金融與電信行

業(yè)中，納管低于5000人占比最高，分別為52.2%和61.9%，剩余半數(shù)

涵蓋5000-100000不等，再結(jié)合對零信任落地客戶數(shù)量的統(tǒng)計結(jié)果，

22

零信任發(fā)展研究報告（2023年）

即在2021-2022年間金融與電信行業(yè)均有50%零信任供應(yīng)側(cè)企業(yè)落地

客戶數(shù)區(qū)間為1-10家，推算每個客戶使用基于軟件定義邊界納管員

工數(shù)量低于500人，甚至更低。500人已屬于中型企業(yè)，因此各行業(yè)

內(nèi)的中型企業(yè)應(yīng)是落地軟件定義邊界類產(chǎn)品的中流砥柱。此外，在電

信行業(yè)納管員工20000人以上的占比33.3%，金融行業(yè)僅有17.4%，

電信行業(yè)在零信任領(lǐng)域的投入與落地勢頭相較金融行業(yè)略高一籌。

來源：中國信息通信研究院2022年12月

圖10軟件定義邊界類產(chǎn)品納管員工總數(shù)

2.不同應(yīng)用場景逐步實現(xiàn)零信任落地

隨著零信任的不斷發(fā)展和成熟，企業(yè)用戶基于自身業(yè)務(wù)特性和安

全需求，選擇在不同場景下落地實施零信任。

將零信任應(yīng)用于辦公環(huán)境是用戶主流選擇。本報告調(diào)研了零信任

供應(yīng)側(cè)企業(yè)服務(wù)的金融與電信行業(yè)客戶應(yīng)用零信任時的環(huán)境選擇情

況，如圖11所示。金融行業(yè)51%應(yīng)用于辦公環(huán)境，18.7%應(yīng)用于開發(fā)

測試環(huán)境，僅有11.8%應(yīng)用于生產(chǎn)環(huán)境。電信行業(yè)48.1%應(yīng)用于辦公

23

零信任發(fā)展研究報告（2023年）

環(huán)境，17.6%應(yīng)用于生產(chǎn)環(huán)境，16.8%應(yīng)用于開發(fā)測試環(huán)境。金融行業(yè)

生產(chǎn)環(huán)境承擔(dān)了核心賬務(wù)系統(tǒng)的運營，數(shù)據(jù)資產(chǎn)安全穩(wěn)定性尤為重要，

在生產(chǎn)環(huán)境的應(yīng)用更顯謹慎。

來源：中國信息通信研究院2022年12月

圖11零信任應(yīng)用環(huán)境情況

遠程辦公、遠程運維、多分支機構(gòu)互連為用戶主要使用的場景，

總占比超過半數(shù)。本報告調(diào)研了金融與電信用戶落地零信任時使用的

場景，分布如圖12所示。一方面，遠程辦公場景是當前企業(yè)實施零

信任的主要驅(qū)動和優(yōu)先選擇，在金融與電信行業(yè)占比分別達到32.5%

和35%，其次是遠程運維和多分支互連，金融行業(yè)遠程運維場景占比

14%，較多分支互連場景的13.2%略多一些，電信行業(yè)遠程運維場景

占比10.5%，較多分支互連場景的12.5%略少，電信行業(yè)在多分支互

連的需求上較金融行業(yè)更高一些。另一方面，多云、混合云戰(zhàn)略是當

前企業(yè)實施零信任最少場景，金融行業(yè)使用多云、混合云場景占比僅

3%和4.5%，電信行業(yè)分別為3.6%和4.7%，大多數(shù)企業(yè)不具備在云

原生環(huán)境中的治理能力和安全能力可能是企業(yè)遲遲難以大規(guī)模上云

的主要原因，零信任可以提供此場景下的安全訪問，未來多云、混合

24

零信任發(fā)展研究報告（2023年）

云場景蘊含較多發(fā)展機會。

來源：中國信息通信研究院2022年12月

圖12落地零信任使用場景情況

三、產(chǎn)業(yè)應(yīng)用側(cè)調(diào)研洞察：用戶對零信任建設(shè)尚

存顧慮，同時肯定零信任核心價值

零信任應(yīng)用側(cè)方面，通過對重點行業(yè)的客戶調(diào)研與訪談，本報告

總結(jié)了在安全防護架構(gòu)建設(shè)的各個時期，企業(yè)管理人員的建設(shè)痛點以

及考慮，幫助零信任供應(yīng)側(cè)廠商了解用戶側(cè)的實際訴求。

（一）零信任從零到一，落地部署面臨多重阻礙

零信任的概念產(chǎn)品居多，投入產(chǎn)出比是企業(yè)核心考量點。金融、

制造等行業(yè)屬于嚴謹型行業(yè)，對新概念產(chǎn)品的引入非常謹慎，為提升

企業(yè)效益，企業(yè)在落地零信任時通常會有多重考量。一方面，利舊以

節(jié)約建設(shè)成本。零信任概念興起之前，企業(yè)在當前安全防護架構(gòu)中已

經(jīng)購買并部署了身份、終端和網(wǎng)絡(luò)等安全領(lǐng)域的相關(guān)產(chǎn)品，因此零信

25

零信任發(fā)展研究報告（2023年）

任的建設(shè)需要考慮如何與企業(yè)已有系統(tǒng)或產(chǎn)品兼容，實現(xiàn)安全聯(lián)動的

同時降低開銷。另一方面，實際成效是否可量化。一個新的安全領(lǐng)域

概念誕生后，通常會伴隨著三個經(jīng)典問題，零信任也不例外：一是，

零信任的產(chǎn)出到底是什么。二是，零信任做與不做的區(qū)別是什么。三

是，零信任簡單做和復(fù)雜做的區(qū)別又是什么?？闪炕牧阈湃畏雷o效

果更具有事實意義，勝于萬千落于紙面的優(yōu)勢與意義。

零信任部署跨企業(yè)多部門，明確責(zé)任邊界是建設(shè)第一步。零信任

作為安全理念，其落地將涉及身份、終端、網(wǎng)絡(luò)等多安全領(lǐng)域，在傳

統(tǒng)安全防護建設(shè)模式下，企業(yè)在上述領(lǐng)域內(nèi)各有獨立部門負責(zé)安全建

設(shè)并承擔(dān)安全事件責(zé)任。然而，基于零信任理念的安全防護建設(shè)模式

需要多領(lǐng)域聯(lián)結(jié)共同完成威脅防御和響應(yīng)，出現(xiàn)安全事件無法落實責(zé)

任至單領(lǐng)域部門。即便企業(yè)在部署零信任之初成立一個總體部門負責(zé)

推進零信任建設(shè)事項，但由于零信任涵蓋領(lǐng)域之廣會使得該部門責(zé)任

無限大，因此其不敢包攬全部建設(shè)后的安全責(zé)任，故此企業(yè)在部署零

信任之前需明確責(zé)任劃分，否則難以協(xié)同多部門推進落地。

基于零信任的統(tǒng)一身份管理體系在接管組織內(nèi)老舊系統(tǒng)時面臨

雙重阻礙。組織內(nèi)的老舊系統(tǒng)自身通常具備身份認證體系，然而此類

系統(tǒng)安全合規(guī)性差，如接口和用戶身份信息均未經(jīng)加密，極易引發(fā)安

全問題。組織若想落地零信任，需要梳理清楚組織內(nèi)的身份體系，過

程中面臨兩方面困難。一是技術(shù)層面。組織內(nèi)使用的老舊系統(tǒng)復(fù)雜多

樣，PMS、OA、CRM和HR等系統(tǒng)來自不同供應(yīng)商，使用的SaaS服

務(wù)受license限制無法改造，即便是自研系統(tǒng)也會受到?jīng)]有統(tǒng)一標準

26

零信任發(fā)展研究報告（2023年）

的影響，身份權(quán)限規(guī)則不一致，不同系統(tǒng)中人員權(quán)限不一致，統(tǒng)一身

份體系難以接管。二是規(guī)劃設(shè)計層面。身份作為敏感信息，受體制規(guī)

則和組織職能等因素限制，在垂直領(lǐng)域難以打通，因此需要從頂層設(shè)

計角度出發(fā)，解決身份在行政級別線條與業(yè)務(wù)級別線條的連貫性。

企業(yè)內(nèi)驅(qū)力不足，落地方案難推動。業(yè)內(nèi)一句較為經(jīng)典的話“沒

有生產(chǎn)標準化零信任產(chǎn)品的廠商，只有完成零信任建設(shè)的企業(yè)”值得

深思，其含義是指沒有一家應(yīng)用側(cè)企業(yè)所建設(shè)的零信任是相同的，企

業(yè)需要結(jié)合自身需求部署零信任，其所需要的是一系列理論、規(guī)劃、

架構(gòu)以及產(chǎn)品交付，單靠供應(yīng)側(cè)廠商無法實現(xiàn)，需要依靠企業(yè)強大內(nèi)

驅(qū)推動。一是需要數(shù)字化轉(zhuǎn)型中的企業(yè)在網(wǎng)絡(luò)安全建設(shè)主動求變。據(jù)

公開數(shù)據(jù)整理統(tǒng)計，92%的管理者認為由企業(yè)內(nèi)部需求驅(qū)動向零信任

落地效果往往高于政策性驅(qū)動的落地效果，因此主動求變才能以更積

極的心態(tài)面臨變化。二是零信任的建設(shè)不會一蹴而就，需要接受挑戰(zhàn)

與成效并存。零信任的落地是一個漫長過程，企業(yè)需要全方面梳理自

身脈絡(luò)，梳理的越清晰，效果會越好。三是需要企業(yè)長時間的支持。

企業(yè)人員的安全認知和配合是關(guān)鍵因素，尤其是領(lǐng)導(dǎo)層面是否意識到，

當前企業(yè)面臨的安全威脅已經(jīng)發(fā)生變化，以及領(lǐng)導(dǎo)推動零信任的決心

是否堅定。

（二）微隔離市場向好，用戶看重網(wǎng)絡(luò)分段能力

企業(yè)購入微隔離本質(zhì)是對核心功能的考慮，更理性看待零信任。

企業(yè)上云前，通過物理防火墻劃分物理分區(qū)，實現(xiàn)物理分區(qū)間的訪問

控制。企業(yè)上云后，由于云資源的分布式特性，其無法按物理資源進

27

零信任發(fā)展研究報告（2023年）

行分區(qū)，若仍使用物理防火墻進行訪問控制，流量需要繞行物理防火

墻，