零信任發(fā)展研究報(bào)告（2023年）

零信任發(fā)展研究報(bào)告

（2023年）

中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所

2023年8月

前言

近年來(lái)，云計(jì)算、大數(shù)據(jù)等新一代信息技術(shù)與實(shí)體經(jīng)濟(jì)加速融合，

產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型迎來(lái)發(fā)展新浪潮。企業(yè)IT架構(gòu)從建設(shè)到運(yùn)營(yíng)發(fā)生極

大變革，防護(hù)機(jī)制從以網(wǎng)絡(luò)邊界為核心向以身份為核心的零信任轉(zhuǎn)變，

零信任產(chǎn)業(yè)已形成蓬勃發(fā)展的良好態(tài)勢(shì)，愈發(fā)得到行業(yè)關(guān)注。

中國(guó)信通院持續(xù)跟蹤零信任發(fā)展歷程，曾在2020年8月、2021

年5月發(fā)布《網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列報(bào)告——零信任技術(shù)

（ZeroTrust）》1、《數(shù)字化時(shí)代零信任安全藍(lán)皮報(bào)告》2等研究報(bào)告，

對(duì)零信任基本原則、邏輯架構(gòu)組成、通用應(yīng)用場(chǎng)景等進(jìn)行了闡述。2023

年發(fā)布《零信任發(fā)展研究報(bào)告》，報(bào)告聚焦過(guò)去兩年多零信任產(chǎn)業(yè)的

新發(fā)展新變化。報(bào)告首先介紹了數(shù)字化轉(zhuǎn)型深化后企業(yè)IT架構(gòu)所面

臨的安全挑戰(zhàn)，零信任如何解決安全挑戰(zhàn)以及如何應(yīng)對(duì)新的安全威脅。

其次從零信任供應(yīng)側(cè)和零信任應(yīng)用側(cè)兩大視角對(duì)我國(guó)零信任產(chǎn)業(yè)的

發(fā)展情況與應(yīng)用痛點(diǎn)進(jìn)行觀察和分析。在零信任供應(yīng)側(cè)方面，梳理了

國(guó)內(nèi)各零信任廠商安全水平概況，分析了重點(diǎn)行業(yè)零信任市場(chǎng)近三年

發(fā)展態(tài)勢(shì)。在零信任應(yīng)用側(cè)方面，基于對(duì)重點(diǎn)行業(yè)用戶的調(diào)研結(jié)果，

從零信任建設(shè)前期、建設(shè)中期和使用運(yùn)營(yíng)期，分析了用戶零信任建設(shè)

過(guò)程中的痛點(diǎn)、肯定與思考，為零信任供應(yīng)側(cè)提升和優(yōu)化能力提供指

引，同時(shí)增強(qiáng)應(yīng)用側(cè)用戶的落地信心。最后總結(jié)了零信任技術(shù)發(fā)展趨

勢(shì)，并對(duì)零信任產(chǎn)業(yè)發(fā)展提出建議。

1/kxyj/qwfb/ztbg/202008/t20200812_302242.htm

2/kxyj/qwfb/ztbg/202105/t20210521_377790.htm

目錄

一、零信任保障資源可信訪問(wèn)，應(yīng)用價(jià)值日益凸顯..............................................1

（一）零信任彌補(bǔ)傳統(tǒng)安全防護(hù)機(jī)制缺陷.........................................................1

（二）零信任為新的安全場(chǎng)景提供有力保障.....................................................4

（三）零信任相關(guān)政策與標(biāo)準(zhǔn)涌現(xiàn)，驅(qū)動(dòng)產(chǎn)業(yè)規(guī)范發(fā)展.................................7

二、產(chǎn)業(yè)供應(yīng)側(cè)調(diào)研洞察：零信任能力生態(tài)逐漸成熟........................................10

（一）圍繞六大領(lǐng)域能力，建立產(chǎn)品體系.......................................................10

（二）行業(yè)應(yīng)用不斷深化，零信任市場(chǎng)步入成長(zhǎng)期.......................................20

三、產(chǎn)業(yè)應(yīng)用側(cè)調(diào)研洞察：用戶對(duì)零信任建設(shè)尚存顧慮，同時(shí)肯定零信任核心

價(jià)值25

（一）零信任從零到一，落地部署面臨多重阻礙...........................................25

（二）微隔離市場(chǎng)向好，用戶看重網(wǎng)絡(luò)分段能力...........................................27

（三）應(yīng)用價(jià)值受肯定，仍需避免重建設(shè)輕運(yùn)營(yíng)...........................................28

四、我國(guó)零信任發(fā)展趨勢(shì)及建議............................................................................30

（一）零信任技術(shù)發(fā)展呈三點(diǎn)趨勢(shì)...................................................................30

（二）零信任產(chǎn)業(yè)發(fā)展的四點(diǎn)建議...................................................................32

圖目錄

圖1基于零信任理念的邏輯架構(gòu)..............................................................................1

圖2我國(guó)零信任供應(yīng)側(cè)發(fā)展路徑............................................................................14

圖3供應(yīng)側(cè)SaaS化情況..........................................................................................16

圖4供應(yīng)側(cè)零信任能力分布....................................................................................17

圖5身份安全產(chǎn)品聯(lián)動(dòng)情況....................................................................................17

圖6安全管理產(chǎn)品聯(lián)動(dòng)情況....................................................................................18

圖7終端安全產(chǎn)品聯(lián)動(dòng)情況....................................................................................19

圖8供應(yīng)側(cè)企業(yè)落地零信任客戶數(shù)量區(qū)間............................................................21

圖9微隔離類產(chǎn)品納管工作負(fù)載總數(shù)....................................................................22

圖10軟件定義邊界類產(chǎn)品納管員工總數(shù)..............................................................23

圖11零信任應(yīng)用環(huán)境情況......................................................................................24

圖12落地零信任使用場(chǎng)景情況..............................................................................25

圖13統(tǒng)一整個(gè)基礎(chǔ)設(shè)施的策略管理......................................................................31

圖14身份信息穿透業(yè)務(wù)訪問(wèn)全程..........................................................................32

表目錄

表1國(guó)外零信任相關(guān)政策...........................................................................................7

表2零信任安全能力與子能力.................................................................................12

零信任發(fā)展研究報(bào)告（2023年）

一、零信任保障資源可信訪問(wèn)，應(yīng)用價(jià)值日益凸顯

零信任秉持“永不信任，持續(xù)驗(yàn)證”的理念受到業(yè)內(nèi)廣泛關(guān)注，其

打破了網(wǎng)絡(luò)位置和信任間的潛在默認(rèn)關(guān)系，致力于降低企業(yè)資源訪問(wèn)

過(guò)程中的安全風(fēng)險(xiǎn)?；诹阈湃卫砟畹倪壿嫾軜?gòu)如圖1所示，由零信

任核心邏輯組件和內(nèi)部或外部數(shù)據(jù)源組成，零信任核心部分分為控制

平面和數(shù)據(jù)平面。

來(lái)源：NIST

圖1基于零信任理念的邏輯架構(gòu)

位于數(shù)據(jù)平面的訪問(wèn)主體發(fā)起訪問(wèn)請(qǐng)求，由控制平面的策略引擎

進(jìn)行身份認(rèn)證與多源評(píng)估計(jì)算，由控制引擎對(duì)計(jì)算結(jié)果進(jìn)行判定，決

定授權(quán)策略，一旦授權(quán)訪問(wèn)，控制引擎將通知數(shù)據(jù)平面的安全代理，

為該次訪問(wèn)建立安全連接。策略引擎仍持續(xù)對(duì)訪問(wèn)進(jìn)行評(píng)估，一旦參

與因素或其行為發(fā)生變化，策略引擎將依據(jù)新的評(píng)估源重新評(píng)估，控

制引擎將依據(jù)評(píng)估結(jié)果判定授權(quán)策略是否需要改變，隨時(shí)通知安全代

理執(zhí)行相應(yīng)操作，最大限度保障資源安全。

（一）零信任彌補(bǔ)傳統(tǒng)安全防護(hù)機(jī)制缺陷

1.IT架構(gòu)從封閉走向開(kāi)放，傳統(tǒng)安全防護(hù)架構(gòu)面臨

挑戰(zhàn)

1

零信任發(fā)展研究報(bào)告（2023年）

近年來(lái)，國(guó)家高度重視和支持?jǐn)?shù)字經(jīng)濟(jì)發(fā)展，大力支持產(chǎn)業(yè)數(shù)字

化，同時(shí)，用戶需求不斷升級(jí)，驅(qū)動(dòng)企業(yè)加速數(shù)字化轉(zhuǎn)型進(jìn)程。傳統(tǒng)

企業(yè)安全架構(gòu)基于網(wǎng)絡(luò)邊界構(gòu)建信任域，隨著數(shù)字化不斷深入，邊界

逐漸消失，企業(yè)IT架構(gòu)面臨更多安全挑戰(zhàn)：一是數(shù)據(jù)中心內(nèi)部東西

向流量安全防護(hù)薄弱。隨著應(yīng)用云化，構(gòu)建方式微服務(wù)化，服務(wù)間需

進(jìn)行頻繁的通信和交互，數(shù)據(jù)中心內(nèi)部互訪力量增多。傳統(tǒng)安全防護(hù)

側(cè)重南北向，若有東西向流動(dòng)的惡意流量，無(wú)法提供防護(hù)。二是安全

策略仍待細(xì)化。隨著虛擬化、容器等云計(jì)算技術(shù)的廣泛使用，企業(yè)納

管資源粒度不斷細(xì)化，安全防護(hù)策略也需隨資源粒度的細(xì)化而細(xì)化，

以承載不同類型、不同級(jí)別的業(yè)務(wù)。三是跨云的連接、數(shù)據(jù)傳輸使得

資源暴露面增大。隨著5G與分布式云的融合，用戶得以在任意時(shí)間

使用任意設(shè)備從任意位置快速獲取資源，然而云間的連接點(diǎn)尤為脆弱，

攻擊者可以通過(guò)攻擊進(jìn)入云中，并在云間實(shí)現(xiàn)威脅滲透。四是防火墻

與VPN無(wú)法保證用戶操作合法性。無(wú)界辦公需求增多，用戶接入方

式復(fù)雜多樣，傳統(tǒng)的網(wǎng)關(guān)安全防護(hù)設(shè)備無(wú)法判斷擁有賬號(hào)、密碼的用

戶身份是否合法、操作行為是否符合其身份。

隨著遠(yuǎn)程辦公常態(tài)化，數(shù)字化工作空間規(guī)?；褂茫K端和身份

面臨更多不可信問(wèn)題：一是網(wǎng)絡(luò)接入位置和時(shí)間多變，用戶不可控性

增加。外網(wǎng)連接占比增多，時(shí)間從集中變得分散，大量外網(wǎng)訪問(wèn)行為

中可能混雜著黑客行為，僅依靠傳統(tǒng)VPN（VirtualPrivateNetwork，

虛擬專用網(wǎng)絡(luò)）技術(shù)難以對(duì)用戶身份是否合法進(jìn)行有效判斷。二是使

用未受管控設(shè)備辦公，致使風(fēng)險(xiǎn)要素增多。過(guò)去員工主要使用企業(yè)派

2

零信任發(fā)展研究報(bào)告（2023年）

發(fā)的固定設(shè)備辦公，由于默認(rèn)內(nèi)網(wǎng)安全，終端管控手段較為簡(jiǎn)單。隨

著使用BYOD（BringYourOwnDevice，自帶設(shè)備）與移動(dòng)設(shè)備辦公

的員工逐漸增多，企業(yè)數(shù)據(jù)將與未知下載路徑的私人應(yīng)用共享同一空

間，關(guān)鍵數(shù)據(jù)所有權(quán)模糊，且與企業(yè)派發(fā)設(shè)備相比，BYOD軟硬件環(huán)

境的安全狀態(tài)更加難以預(yù)測(cè)，傳統(tǒng)終端管控手段難以應(yīng)對(duì)。三是供應(yīng)

鏈協(xié)作觸發(fā)業(yè)務(wù)流轉(zhuǎn)，數(shù)據(jù)保護(hù)難度增大。隨著數(shù)字化業(yè)務(wù)的開(kāi)展，

數(shù)據(jù)由靜止轉(zhuǎn)向流動(dòng)，保護(hù)對(duì)象時(shí)刻更迭，其所應(yīng)授予權(quán)限也處于變

化狀態(tài)，傳統(tǒng)數(shù)據(jù)安全防護(hù)手段無(wú)法依據(jù)數(shù)據(jù)重要等級(jí)進(jìn)行差異化防

護(hù)，且各企業(yè)安全管理機(jī)制有差異，防御能力參差不齊，難以有效保

護(hù)。

隨著數(shù)字經(jīng)濟(jì)走深向?qū)?，企業(yè)不斷開(kāi)展產(chǎn)品服務(wù)創(chuàng)新實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)

型，企業(yè)將面臨新的特性威脅：一是業(yè)務(wù)面臨更多欺詐威脅。數(shù)字化

轉(zhuǎn)型賦能業(yè)務(wù)模式創(chuàng)新，新零售等新業(yè)務(wù)形式涌現(xiàn)，優(yōu)化整合線上線

下資源，數(shù)字化零售業(yè)務(wù)從線下轉(zhuǎn)向線上，新零售面臨大量欺詐、羊

毛、作弊、盜用、虛假信息、刷單等業(yè)務(wù)安全威脅，傳統(tǒng)安全防護(hù)手

段無(wú)法有效解決。二是物聯(lián)網(wǎng)終端安全防護(hù)能力差異大，終端設(shè)備易

被入侵。物聯(lián)網(wǎng)具備獨(dú)特的組網(wǎng)模式，通信傳輸體系復(fù)雜，通信協(xié)議

安全性差，且智能產(chǎn)品多處于網(wǎng)絡(luò)邊緣，終端安全防護(hù)能力差異較大，

大量傳統(tǒng)安全防護(hù)手段主要解決以太網(wǎng)安全問(wèn)題，物聯(lián)網(wǎng)終端設(shè)備易

受入侵和劫持，邊界安全防護(hù)無(wú)法覆蓋到位。

2.零信任規(guī)避傳統(tǒng)安全機(jī)制中過(guò)度信任問(wèn)題

傳統(tǒng)安全機(jī)制失效背后的根本原因是過(guò)度信任，零信任不為任何

3

零信任發(fā)展研究報(bào)告（2023年）

參與因素預(yù)置信任條件，其根本也是為了解決信任問(wèn)題，通過(guò)動(dòng)態(tài)的、

持續(xù)的驗(yàn)證，判斷訪問(wèn)主客體之間是否存在信任關(guān)系，以對(duì)主體到客

體間的資源訪問(wèn)進(jìn)行實(shí)時(shí)防護(hù)，具體表現(xiàn)在：一是面向資源管理而非

網(wǎng)絡(luò)。零信任將一切視為資源，任意粒度、任意位置的訪問(wèn)主體對(duì)資

源的訪問(wèn)都需要進(jìn)行認(rèn)證和授權(quán)，企業(yè)內(nèi)部資源間的互相訪問(wèn)也需要

進(jìn)行身份驗(yàn)證和權(quán)限判定，能夠有效抵御威脅橫向移動(dòng)帶來(lái)的安全風(fēng)

險(xiǎn)。二是屏蔽安全策略預(yù)分配帶來(lái)的威脅。零信任能夠?qū)ξ锢碓O(shè)備、

云服務(wù)、接口等所有層級(jí)的資源進(jìn)行防護(hù)，在訪問(wèn)主體身份驗(yàn)證和權(quán)

限判定成功后，僅為其提供滿足需要的最小粒度的資源，細(xì)化安全策

略至資源層面。三是資源對(duì)外隱身。利用端口隱藏等技術(shù)手段，在訪

問(wèn)主體通過(guò)驗(yàn)證之前，受訪資源對(duì)其隱身，大大降低了資源的可見(jiàn)性

和攻擊暴露面，減少不可控、不可見(jiàn)的安全威脅所帶來(lái)的攻擊。四是

以身份為核心執(zhí)行動(dòng)態(tài)安全防護(hù)。零信任強(qiáng)調(diào)通過(guò)身份信息與多源數(shù)

據(jù)對(duì)每一個(gè)訪問(wèn)行為進(jìn)行信任評(píng)估，動(dòng)態(tài)授予相應(yīng)權(quán)限，能夠?qū)?nèi)部

訪問(wèn)、遠(yuǎn)程訪問(wèn)和數(shù)據(jù)交互的人員、設(shè)備、環(huán)境等進(jìn)行有效的安全把

控，緩解憑據(jù)盜用、高風(fēng)險(xiǎn)誤操作等帶來(lái)的安全威脅。

（二）零信任為新的安全場(chǎng)景提供有力保障

1.零信任保障軟件供應(yīng)鏈安全

近年來(lái)，軟件供應(yīng)鏈攻擊規(guī)模持續(xù)增長(zhǎng)，調(diào)查顯示3，過(guò)去三年

全球軟件供應(yīng)鏈攻擊的平均年增長(zhǎng)率高達(dá)742%。零信任的應(yīng)用能夠

抵御上游供應(yīng)商、軟件開(kāi)發(fā)流程和工具的安全風(fēng)險(xiǎn)，是企業(yè)軟件供應(yīng)

3Sonatype《8thStateofthesoftwaresupplychain》

4

零信任發(fā)展研究報(bào)告（2023年）

鏈安全建設(shè)的有效舉措。一是限制上游供應(yīng)商權(quán)限，零信任基于最小

化權(quán)限原則對(duì)供應(yīng)商的訪問(wèn)過(guò)程進(jìn)行動(dòng)態(tài)授權(quán)，防止攻擊者以供應(yīng)商

為跳板侵入企業(yè)網(wǎng)絡(luò)環(huán)境后進(jìn)行橫向移動(dòng)，收斂軟件供應(yīng)鏈攻擊的風(fēng)

險(xiǎn)范圍；二是助力研發(fā)運(yùn)營(yíng)關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)監(jiān)測(cè)與安全準(zhǔn)入，零信任

與安全左移相融合，默認(rèn)第三方組件、容器鏡像、代碼倉(cāng)庫(kù)等實(shí)體不

可信任，在研發(fā)運(yùn)營(yíng)流程中通過(guò)多層次的自動(dòng)化安全檢查，發(fā)現(xiàn)各實(shí)

體的漏洞、運(yùn)行時(shí)攻擊等風(fēng)險(xiǎn)，保障軟件供應(yīng)鏈交界面的安全研發(fā)與

交付。

2.零信任抵御勒索軟件攻擊

當(dāng)前，勒索軟件攻擊形勢(shì)嚴(yán)峻，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施等領(lǐng)域造成

嚴(yán)重影響，據(jù)預(yù)測(cè)4，勒索軟件損失到2031年將達(dá)到2650億美元。

基于零信任理念的安全防護(hù)架構(gòu)可幫助企業(yè)降低勒索軟件攻擊風(fēng)險(xiǎn)，

提升威脅進(jìn)入壁壘，主要表現(xiàn)在以下幾個(gè)方面：一是身份驗(yàn)證貫穿訪

問(wèn)始終，零信任默認(rèn)安全風(fēng)險(xiǎn)無(wú)處不在，不為訪問(wèn)主體預(yù)置信任，在

訪問(wèn)過(guò)程中持續(xù)驗(yàn)證身份，加大攻擊者滲透整個(gè)網(wǎng)絡(luò)的難度；二是訪

問(wèn)行為的持續(xù)監(jiān)測(cè)，勒索軟件在攻入企業(yè)內(nèi)網(wǎng)后，會(huì)對(duì)關(guān)鍵數(shù)據(jù)的位

置進(jìn)行掃描，零信任通過(guò)對(duì)訪問(wèn)主體各行為進(jìn)行監(jiān)測(cè)，識(shí)別高危動(dòng)作，

及時(shí)執(zhí)行訪問(wèn)降級(jí)或阻斷；三是網(wǎng)絡(luò)微分段精細(xì)化流量管理，攻擊者

可能控制某些脆弱的單點(diǎn)，當(dāng)其通過(guò)已攻擊的終端向網(wǎng)絡(luò)內(nèi)部更重要

系統(tǒng)橫向滲透，通過(guò)網(wǎng)絡(luò)微分段將網(wǎng)絡(luò)劃分成細(xì)小的分段，阻止勒索

軟件在網(wǎng)絡(luò)中進(jìn)行橫向移動(dòng)，從而將勒索軟件的影響從企業(yè)內(nèi)網(wǎng)多臺(tái)

4世界經(jīng)濟(jì)論壇《2022年全球網(wǎng)絡(luò)安全展望報(bào)告》

5

零信任發(fā)展研究報(bào)告（2023年）

業(yè)務(wù)服務(wù)器和數(shù)據(jù)存儲(chǔ)服務(wù)器降低至單一用戶的電腦，將風(fēng)險(xiǎn)控制在

最小限度。如Akamai通過(guò)收購(gòu)Guardicore及其一流的網(wǎng)絡(luò)微分段解

決方案，以應(yīng)對(duì)Conti的勒索威脅；四是多因子認(rèn)證強(qiáng)度可動(dòng)態(tài)變化，

當(dāng)訪問(wèn)認(rèn)證通過(guò)率較高時(shí)，可以降低多因子認(rèn)證強(qiáng)度以提升用戶體驗(yàn)，

當(dāng)訪問(wèn)主體信譽(yù)度較低時(shí)，可提升多因子認(rèn)證強(qiáng)度，降低組織中最主

要攻擊類型的脆弱性并增加潛在威脅者接管賬戶難度。

3.零信任促進(jìn)公共數(shù)據(jù)與服務(wù)安全開(kāi)放

抗擊新冠疫情的過(guò)程充分彰顯了公共數(shù)據(jù)和服務(wù)的價(jià)值意義。為

了有效應(yīng)對(duì)突發(fā)事件、提升經(jīng)濟(jì)和社會(huì)公平性，全球多國(guó)積極推進(jìn)數(shù)

字公共基礎(chǔ)設(shè)施的建設(shè)，促進(jìn)公共數(shù)據(jù)和服務(wù)的開(kāi)放。零信任理念能

夠提升數(shù)字公共基礎(chǔ)設(shè)施的安全訪問(wèn)，保障公共數(shù)據(jù)和服務(wù)的價(jià)值釋

放。一是建立統(tǒng)一數(shù)字身份避免數(shù)字鴻溝，零信任為人、企業(yè)組織等

實(shí)體建立唯一數(shù)字身份標(biāo)識(shí)，避免實(shí)體通過(guò)多個(gè)身份賬號(hào)獲取額外的

公共福利，如印度多個(gè)福利項(xiàng)目基于數(shù)字身份系統(tǒng)Aadhaar清理受益

名單；同時(shí)，數(shù)字身份的發(fā)放能夠打破地區(qū)局限，任何地方的任何人

都可以方便獲得唯一的數(shù)字身份，有效促進(jìn)發(fā)展援助、國(guó)際合作等方

面的發(fā)展。二是最小化動(dòng)態(tài)授權(quán)避免數(shù)據(jù)和服務(wù)的濫用，零信任能夠

對(duì)數(shù)字公共基礎(chǔ)設(shè)施的每一個(gè)訪問(wèn)進(jìn)行風(fēng)險(xiǎn)評(píng)估并授予最小權(quán)限，驗(yàn)

證訪問(wèn)主體是數(shù)字身份的真實(shí)持有人，同時(shí)確保數(shù)字身份的真實(shí)持有

人僅能獲取權(quán)益內(nèi)的公共數(shù)據(jù)和服務(wù)。

6

零信任發(fā)展研究報(bào)告（2023年）

（三）零信任相關(guān)政策與標(biāo)準(zhǔn)涌現(xiàn)，驅(qū)動(dòng)產(chǎn)業(yè)規(guī)范發(fā)

展

零信任已經(jīng)從一個(gè)新興安全理念發(fā)展成為全球網(wǎng)絡(luò)安全的關(guān)鍵

技術(shù)，商業(yè)模式走向成熟，市場(chǎng)逐步規(guī)?；?，已成為了政企數(shù)字化轉(zhuǎn)

型的首選安全戰(zhàn)略。

以美國(guó)為首的發(fā)達(dá)國(guó)家高度重視零信任能力建設(shè)。如表1所示，

自2019年起，美國(guó)陸續(xù)發(fā)布零信任指導(dǎo)建議、計(jì)劃等推動(dòng)零信任在

美落地，其他發(fā)達(dá)國(guó)家也紛紛在零信任領(lǐng)域展開(kāi)布局，以強(qiáng)化網(wǎng)絡(luò)空

間話語(yǔ)權(quán)。2022年11月22日，美國(guó)國(guó)防部發(fā)布了《國(guó)防部零信任

戰(zhàn)略》和《國(guó)防部零信任能力執(zhí)行路線圖》，計(jì)劃在2027年之前實(shí)施

戰(zhàn)略和相關(guān)路線圖中概述的獨(dú)特的零信任能力和活動(dòng)。2023年4月

11日，CISA（美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局）發(fā)布第二版零信任

成熟度模型，旨在降低美國(guó)機(jī)構(gòu)實(shí)施零信任的壁壘。種種舉措顯示美

國(guó)正加速在零信任領(lǐng)域的研究與應(yīng)用。

表1國(guó)外零信任相關(guān)政策

時(shí)間政策發(fā)布組織名稱側(cè)重點(diǎn)

美國(guó)

ACT-IAC

（美國(guó)技術(shù)委員《零信任網(wǎng)絡(luò)安全當(dāng)前對(duì)政府機(jī)構(gòu)采用零信

2019.04

會(huì)-工業(yè)咨詢委趨勢(shì)》任進(jìn)行評(píng)估

員會(huì)）

DIB（美國(guó)國(guó)防指導(dǎo)國(guó)防部實(shí)施零信

2019.07《零信任安全之路》

創(chuàng)新委員會(huì)）任架構(gòu)

2019.07DISA（美國(guó)國(guó)《DISA戰(zhàn)略計(jì)劃2019-明確DISA網(wǎng)絡(luò)防御

7

零信任發(fā)展研究報(bào)告（2023年）

防信息系統(tǒng)局）2022》戰(zhàn)略重點(diǎn)為零信任

《零信任架構(gòu)（ZTA）建建議將零信任實(shí)施列

2019.10DIB

議》為最高優(yōu)先事項(xiàng)

建議DoD下一代網(wǎng)絡(luò)

《國(guó)防部零信任參考結(jié)

2021.02DISA安全架構(gòu)基于零信任

構(gòu)》1.0

建設(shè)

NSA（美國(guó)國(guó)家《擁抱零信任安全模提出漸進(jìn)式部署零信

2021.02

安全局）型》任方式

發(fā)動(dòng)聯(lián)邦政府遷移上

2021.05美國(guó)總統(tǒng)拜登14028號(hào)行政令

云使用零信任架構(gòu)

OMB（聯(lián)邦政《美國(guó)政府向零信任網(wǎng)要求各機(jī)構(gòu)在2024年

2021.09府管理和預(yù)算辦絡(luò)安全原則的遷移》（征前實(shí)現(xiàn)具體的零信任

公室）求意見(jiàn)稿）安全目標(biāo)

CISA（網(wǎng)絡(luò)安

《零信任成熟度模型》細(xì)化五個(gè)“具體的零信

2021.09全和基礎(chǔ)設(shè)施安

（征求意見(jiàn)稿）任安全目標(biāo)”

全局）

《云安全技術(shù)參考架推薦采用零信任輔助

2021.09CISA

構(gòu)》（征求意見(jiàn)稿）遷移上云

概述國(guó)防部計(jì)劃如何

《國(guó)防部零信任戰(zhàn)略》、

在2027年前在國(guó)防部

2022.11DoD（國(guó)防部）《國(guó)防部零信任能力執(zhí)

范圍全面實(shí)施零信任

行路線圖》

網(wǎng)絡(luò)安全框架

為機(jī)密網(wǎng)絡(luò)開(kāi)發(fā)零信

2023.2DISA雷霆穹頂?shù)诙A段任安全和網(wǎng)絡(luò)架構(gòu)計(jì)

劃原型

《零信任成熟度模型》降低美國(guó)機(jī)構(gòu)實(shí)施零

2023.4CISA

（第二版）信任的壁壘

英國(guó)

2020.10NCSC（英國(guó)國(guó)《零信任架構(gòu)設(shè)計(jì)原積極響應(yīng)美國(guó)零信任

8

零信任發(fā)展研究報(bào)告（2023年）

家網(wǎng)絡(luò)安全中則》戰(zhàn)略，為政企機(jī)構(gòu)實(shí)

心）施零信任提供參考

加拿大

加拿大政府部門

采用零信任等新方法

2021.03機(jī)構(gòu)-共享服務(wù)《網(wǎng)絡(luò)與安全戰(zhàn)略》

支撐未來(lái)網(wǎng)絡(luò)服務(wù)

部

新加坡

要求相關(guān)機(jī)構(gòu)實(shí)現(xiàn)從

2021.10新加坡政府《網(wǎng)絡(luò)安全戰(zhàn)略2021》邊界防護(hù)向零信任安

全模式轉(zhuǎn)變

來(lái)源：公開(kāi)材料整理

我國(guó)加大政策保障，推動(dòng)零信任落地。目前我國(guó)正在從政策、行

業(yè)實(shí)踐、產(chǎn)業(yè)發(fā)展等多個(gè)層面對(duì)零信任進(jìn)行積極探索，工業(yè)和信息化

部通過(guò)多種舉措引導(dǎo)零信任發(fā)展，前期以推動(dòng)零信任理論研究和技術(shù)

創(chuàng)新為主，后期加強(qiáng)零信任技術(shù)應(yīng)用，推動(dòng)項(xiàng)目落地，具體表現(xiàn)為：

一是，發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）》，

重點(diǎn)圍繞“加快開(kāi)展基于開(kāi)發(fā)安全運(yùn)營(yíng)、主動(dòng)免疫、零信任等框架，推

動(dòng)創(chuàng)新技術(shù)發(fā)展與網(wǎng)絡(luò)安全體系研發(fā)。加快發(fā)展動(dòng)態(tài)邊界防護(hù)技術(shù)，

鼓勵(lì)企業(yè)深化微隔離、軟件定義邊界、安全訪問(wèn)服務(wù)邊緣框架等技術(shù)

產(chǎn)品應(yīng)用”等內(nèi)容展開(kāi)。二是，多個(gè)零信任項(xiàng)目入選重點(diǎn)領(lǐng)域試點(diǎn)示

范項(xiàng)目名單，包括“2022年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目名單”、

“2021年大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點(diǎn)示范項(xiàng)目名單”等。

我國(guó)已從多層級(jí)啟動(dòng)零信任標(biāo)準(zhǔn)研究，協(xié)助建立產(chǎn)業(yè)規(guī)范。為落

實(shí)國(guó)家網(wǎng)絡(luò)信息安全相關(guān)要求，我國(guó)已從多層級(jí)開(kāi)展零信任標(biāo)準(zhǔn)研究。

國(guó)際標(biāo)準(zhǔn)方面，由中國(guó)企業(yè)主導(dǎo)的ITU-T（國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)分

9

零信任發(fā)展研究報(bào)告（2023年）

局）零信任國(guó)際標(biāo)準(zhǔn)《服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)指南》正式發(fā)布；國(guó)家

標(biāo)準(zhǔn)方面，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在開(kāi)展《信息安全技術(shù)

零信任參考體系架構(gòu)》的編制；行業(yè)標(biāo)準(zhǔn)方面，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)

正在開(kāi)展《面向云計(jì)算的零信任體系第2部分：關(guān)鍵能力要求》、《面

向云計(jì)算的零信任體系第6部分：數(shù)字身份安全能力要求》、《面向

云計(jì)算的零信任成熟度評(píng)價(jià)模型》、《零信任安全技術(shù)參考框架》與《網(wǎng)

絡(luò)安全產(chǎn)品能力評(píng)價(jià)體系第11部分：基于零信任架構(gòu)的業(yè)務(wù)安全平

臺(tái)評(píng)價(jià)方法》等標(biāo)準(zhǔn)的研究工作。

二、產(chǎn)業(yè)供應(yīng)側(cè)調(diào)研洞察：零信任能力生態(tài)逐漸成熟

零信任供應(yīng)側(cè)方面，本報(bào)告調(diào)研了近五十家國(guó)內(nèi)零信任廠商，梳

理零信任所涵蓋的六大領(lǐng)域，洞察各廠商零信任安全水平概況，分析

其在重點(diǎn)行業(yè)零信任市場(chǎng)近三年向好發(fā)展態(tài)勢(shì)，以增強(qiáng)零信任產(chǎn)業(yè)蓬

勃向好發(fā)展的信心。

（一）圍繞六大領(lǐng)域能力，建立產(chǎn)品體系

1.零信任能力涵蓋六大領(lǐng)域

對(duì)于網(wǎng)絡(luò)攻擊者，只需要找到整個(gè)網(wǎng)絡(luò)防護(hù)的一個(gè)脆弱點(diǎn)即可攻

破網(wǎng)絡(luò)，而作為網(wǎng)絡(luò)安全防護(hù)者，需要進(jìn)行整體的防御。因此，基于

零信任理念展開(kāi)的安全防護(hù)不單獨(dú)強(qiáng)調(diào)技術(shù)，而是強(qiáng)調(diào)解決了哪個(gè)領(lǐng)

域的安全問(wèn)題。

本報(bào)告中，零信任能力涵蓋六大領(lǐng)域，如表2所示：數(shù)字身份是

基礎(chǔ)組件、是核心，聯(lián)合網(wǎng)絡(luò)環(huán)境安全、終端安全、數(shù)據(jù)安全、應(yīng)用

工作負(fù)載安全和安全管理五個(gè)關(guān)鍵能力，共同賦能企業(yè)整體安全防御。

10

零信任發(fā)展研究報(bào)告（2023年）

數(shù)字身份主要解決用戶身份不統(tǒng)一，以及IT架構(gòu)中所有對(duì)象數(shù)

字身份缺失、不合法等問(wèn)題。一是，對(duì)接入用戶、組織架構(gòu)、設(shè)備、

應(yīng)用賦予唯一身份標(biāo)識(shí)，并對(duì)其數(shù)字身份進(jìn)行全生命周期管理，完成

身份的自動(dòng)化管控；二是，通過(guò)持續(xù)的身份認(rèn)證，確保訪問(wèn)主體在整

個(gè)資源訪問(wèn)過(guò)程中身份的合法性。

網(wǎng)絡(luò)環(huán)境安全主要解決威脅的橫向移動(dòng)，以及傳輸數(shù)據(jù)被竊取等

問(wèn)題。一是，將資源劃分到一個(gè)個(gè)微小的網(wǎng)絡(luò)分段中，分段間通過(guò)策

略隔離，阻止威脅的擴(kuò)散；二是，對(duì)網(wǎng)絡(luò)傳輸鏈路進(jìn)行加密，以保證

數(shù)據(jù)傳輸過(guò)程中的安全性。

終端安全主要解決使用移動(dòng)終端辦公難以對(duì)設(shè)備進(jìn)行管控，以及

不同終端的安全基礎(chǔ)不同易引入威脅等問(wèn)題。一是，加強(qiáng)終端威脅檢

測(cè)，實(shí)現(xiàn)終端安全狀況可感；二是，對(duì)所有連入企業(yè)網(wǎng)絡(luò)的移動(dòng)終端

進(jìn)行納管，實(shí)現(xiàn)BYOD可控；三是，建立終端基線，對(duì)于不符合基線

要求的終端可修復(fù)。

數(shù)據(jù)安全主要解決數(shù)據(jù)資產(chǎn)安全防護(hù)無(wú)法差異化，以及數(shù)據(jù)在使

用、傳輸和存儲(chǔ)過(guò)程中意外泄露等問(wèn)題。一是，通過(guò)數(shù)據(jù)分類規(guī)范化

關(guān)聯(lián)關(guān)系，再通過(guò)數(shù)據(jù)分級(jí)實(shí)現(xiàn)數(shù)據(jù)防護(hù)策略的差異化；二是，通過(guò)

數(shù)據(jù)脫敏、加密、審計(jì)等技術(shù)手段降低數(shù)據(jù)泄露的可能性。

應(yīng)用工作負(fù)載安全主要解決兩類被訪問(wèn)資源的安全問(wèn)題，包括容

器、虛擬機(jī)等基礎(chǔ)設(shè)施資源，以及應(yīng)用系統(tǒng)、API等應(yīng)用資源。一是，

通過(guò)安全基線掃描、漏洞管理、入侵檢測(cè)等技術(shù)手段，輔以計(jì)算資源

納管清單、供應(yīng)商名錄等管理手段對(duì)基礎(chǔ)設(shè)施資源進(jìn)行防護(hù)；二是，

11

零信任發(fā)展研究報(bào)告（2023年）

在應(yīng)用研發(fā)階段引入安全檢測(cè)流程、為已發(fā)布應(yīng)用提供各類惡意攻擊

防護(hù)手段，以及持續(xù)驗(yàn)證應(yīng)用執(zhí)行的動(dòng)作是否符合其權(quán)限。

安全管理主要解決各安全組件無(wú)法聯(lián)動(dòng)處置威脅、流量不透明等

問(wèn)題。一是，通過(guò)編排將各安全工具的能力以某種邏輯組合在一起，

聯(lián)動(dòng)進(jìn)行威脅的檢測(cè)與響應(yīng)；二是，聯(lián)動(dòng)各安全組件并以可視化形式

展示監(jiān)測(cè)指標(biāo)，以便快速定位威脅。

表2零信任安全能力與子能力

能力子能力能力描述

對(duì)人、設(shè)備、應(yīng)用、資源等所有對(duì)象賦予數(shù)字

數(shù)字身份管理身份標(biāo)識(shí)，并對(duì)數(shù)字身份信息和用戶憑據(jù)進(jìn)行

身份安全集中管理

提供統(tǒng)一集中認(rèn)證、單點(diǎn)登錄、會(huì)話管理和訪

訪問(wèn)管理

問(wèn)控制等能力

網(wǎng)絡(luò)安全對(duì)C/S架構(gòu)、B/S架構(gòu)等多種場(chǎng)景下的訪問(wèn)接

入進(jìn)行認(rèn)證，并基于信任評(píng)估和權(quán)限判定結(jié)

安全網(wǎng)關(guān)

果，對(duì)認(rèn)證成功的訪問(wèn)主體建立相應(yīng)安全訪問(wèn)

通道

通過(guò)SSL（安全套接字層）、TLS（安全傳輸層

網(wǎng)絡(luò)傳輸安全

協(xié)議）等方式實(shí)現(xiàn)網(wǎng)絡(luò)傳輸保密性

應(yīng)用工作保障數(shù)據(jù)中心、公有云、私有云等跨云環(huán)境中

負(fù)載安全云工作負(fù)載安全的工作負(fù)載安全，覆蓋物理機(jī)、虛擬機(jī)、容器、

Serverless（無(wú)服務(wù)器）等不同粒度資源

提供工作負(fù)載及應(yīng)用間的流量隔離與可視化

微隔離

能力，實(shí)現(xiàn)細(xì)粒度安全策略管理

提供應(yīng)用系統(tǒng)、API（應(yīng)用程序接口）、SaaS（軟

應(yīng)用安全件即服務(wù)）等應(yīng)用資源的安全防護(hù)能力，包括

發(fā)現(xiàn)、修復(fù)應(yīng)用安全漏洞等

12

零信任發(fā)展研究報(bào)告（2023年）

數(shù)據(jù)安全基于合規(guī)要求與用戶業(yè)務(wù)場(chǎng)景，對(duì)數(shù)據(jù)進(jìn)行分

數(shù)據(jù)分類分級(jí)

類分級(jí)管理

數(shù)據(jù)防泄漏檢測(cè)和防止?jié)撛诘臄?shù)據(jù)泄露能力

數(shù)據(jù)完整性指數(shù)據(jù)在其生命周期內(nèi)的準(zhǔn)確性和一致性

數(shù)據(jù)加密提供數(shù)據(jù)在存儲(chǔ)、傳輸、使用時(shí)的加解密能力

數(shù)據(jù)隔離提供安全使用數(shù)據(jù)的空間的能力

終端安全提供終端威脅檢測(cè)能力，包括漏洞掃描、病毒

終端安全管理

查殺、基線檢查等

終端應(yīng)用安全通過(guò)沙箱等技術(shù)實(shí)現(xiàn)終端APP安全防護(hù)

提供移動(dòng)內(nèi)容、移動(dòng)設(shè)備、移動(dòng)身份和移動(dòng)應(yīng)

移動(dòng)化管理

用安全防護(hù)能力

獲取網(wǎng)絡(luò)、身份、設(shè)備、應(yīng)用等的運(yùn)行上下文，

運(yùn)行上下文管理

并建立用于策略評(píng)估的基線。

通過(guò)規(guī)則、機(jī)器學(xué)習(xí)建模等方式，輸出智能化

策略分析與建模

的控制策略。

安全管理

收集和分析網(wǎng)絡(luò)、環(huán)境、設(shè)備和應(yīng)用等的安全

安全事件分析

事件，以支持威脅檢測(cè)、合規(guī)性和事件管理

自動(dòng)化編排與事通過(guò)自動(dòng)化編排等功能，對(duì)安全事件進(jìn)行自動(dòng)

件響應(yīng)處置和響應(yīng)

來(lái)源：中國(guó)信通院

2.零信任能力供應(yīng)不斷豐富

國(guó)內(nèi)零信任生態(tài)蓬勃發(fā)展，零信任供應(yīng)能力不斷豐富，為用戶在

不同場(chǎng)景、不同需求下零信任建設(shè)提供支撐。圍繞零信任能力六大方

面，國(guó)內(nèi)零信任產(chǎn)品供應(yīng)呈如下特點(diǎn)：

用戶訪問(wèn)和工作負(fù)載訪問(wèn)是產(chǎn)品發(fā)展的兩條關(guān)鍵路徑。用戶訪問(wèn)

需要對(duì)數(shù)據(jù)中心內(nèi)外的南北向流量進(jìn)行訪問(wèn)控制，工作負(fù)載訪問(wèn)需要

對(duì)數(shù)據(jù)中心內(nèi)部的東西向流量進(jìn)行訪問(wèn)控制，兩者安全防護(hù)位置不同，

13

零信任發(fā)展研究報(bào)告（2023年）

逐漸形成不同零信任產(chǎn)品。在本報(bào)告的調(diào)查統(tǒng)計(jì)中，如圖2所示，提

供用戶訪問(wèn)（南北向流量）安全防護(hù)能力的廠商仍占多數(shù)，有89%的

零信任供應(yīng)側(cè)企業(yè)可提供ZTNA（ZeroTrustNetworkAccess，零信任

網(wǎng)絡(luò)接入），對(duì)四層流量進(jìn)行防護(hù)；在這些企業(yè)中，又有84%的企業(yè)

可提供ZTAA（ZeroTrustApplicationAccess，零信任應(yīng)用接入），可

對(duì)七層流量進(jìn)行防護(hù)；提供工作負(fù)載訪問(wèn)（東西向流量）安全防護(hù)能

力的廠商較少，僅有25%的企業(yè)可提供微隔離能力；但是這些企業(yè)中，

又有95%和91%的企業(yè)支持以ZTNA和ZTAA形式提供南北向流量

的安全防護(hù)。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖2我國(guó)零信任供應(yīng)側(cè)發(fā)展路徑

零信任SaaS在國(guó)內(nèi)普及仍面臨企業(yè)上云比例低等諸多挑戰(zhàn)，但

已有超七成零信任供應(yīng)側(cè)企業(yè)具備相應(yīng)服務(wù)能力。與本地化部署相比，

SaaS化的零信任有四大優(yōu)勢(shì)：一是標(biāo)準(zhǔn)化交付，交付更加便捷，普及

14

零信任發(fā)展研究報(bào)告（2023年）

性更強(qiáng)，適合中小型企業(yè)部署，降低用戶使用門檻；二是自身維護(hù)成

本低，用戶無(wú)需部署、維護(hù)系統(tǒng)；三是可利用云網(wǎng)自身優(yōu)勢(shì)，提供安

全以外的增值特性，如出海訪問(wèn)加速等；四是連通性強(qiáng)，通過(guò)云的方

式提供接入點(diǎn)，便于對(duì)云上業(yè)務(wù)進(jìn)行訪問(wèn)。然而，對(duì)于國(guó)內(nèi)用戶而言，

尤其是中小企業(yè)，安全需求的剛性尚且不足，“零信任”乃至“安全”都

不一定構(gòu)成“買點(diǎn)”，零信任SaaS的推廣更是面臨了諸多挑戰(zhàn)：一是

國(guó)內(nèi)大部分企業(yè)的業(yè)務(wù)部署在內(nèi)網(wǎng)，云接入的優(yōu)勢(shì)變?yōu)榱觿?shì)，用戶從

POP點(diǎn)接入再訪問(wèn)數(shù)據(jù)中心內(nèi)部業(yè)務(wù)，存在流量繞圈問(wèn)題；二是SaaS

化產(chǎn)品很難提供業(yè)務(wù)側(cè)的安全能力，SaaS化產(chǎn)品雖然解決了云上業(yè)

務(wù)的網(wǎng)絡(luò)接入便利性問(wèn)題，在網(wǎng)絡(luò)方面提供了安全性，但實(shí)際上在安

全攻防領(lǐng)域，安全威脅多發(fā)生在近業(yè)務(wù)側(cè)，SaaS化產(chǎn)品鞭長(zhǎng)莫及；三

是無(wú)法定制化需求，企業(yè)內(nèi)部業(yè)務(wù)環(huán)境存在差異性，而SaaS化產(chǎn)品

提供的標(biāo)準(zhǔn)化產(chǎn)品，在功能適配上難以滿足用戶個(gè)性化需求，尤其在

國(guó)內(nèi)頭部企業(yè)的定制化需求較高。四是對(duì)云上數(shù)據(jù)安全性有顧慮，國(guó)

內(nèi)多數(shù)企業(yè)認(rèn)為公有云上數(shù)據(jù)不受控難以開(kāi)展安全保障。本報(bào)告對(duì)國(guó)

內(nèi)零信任供應(yīng)側(cè)企業(yè)的SaaS化供應(yīng)能力進(jìn)行調(diào)查，結(jié)果如圖3所示，

有96.4%的零信任供應(yīng)側(cè)企業(yè)支持本地化部署，有71.4%的企業(yè)支持

提供零信任SaaS服務(wù)，即便零信任SaaS在國(guó)內(nèi)的普及面臨諸多挑

戰(zhàn)，但國(guó)內(nèi)零信任廠商已有超七成在SaaS化上進(jìn)行了投入。

15

零信任發(fā)展研究報(bào)告（2023年）

來(lái)源：中國(guó)信息通信研究院2022年12月

圖3供應(yīng)側(cè)SaaS化情況

本報(bào)告基于選定的六大安全能力，對(duì)國(guó)內(nèi)云廠商和安全廠商供應(yīng)

的零信任解決方案展開(kāi)調(diào)研。一方面，國(guó)內(nèi)廠商注重零信任解決方案

研發(fā)與落地實(shí)施，零信任生態(tài)已小有規(guī)模。目前，國(guó)內(nèi)有近50家企

業(yè)提供零信任集成產(chǎn)品。其中，安全廠商從自身安全專項(xiàng)產(chǎn)品優(yōu)勢(shì)出

發(fā)，推出有技術(shù)側(cè)重的零信任解決方案。云廠商則利用自身基礎(chǔ)設(shè)施

供應(yīng)能力強(qiáng)且用戶體量大的優(yōu)勢(shì)，率先進(jìn)入較全面的零信任解決方案

市場(chǎng)。其中，如圖4所示，身份和網(wǎng)絡(luò)環(huán)境安全能力供應(yīng)能力更為成

熟，70.8%的產(chǎn)品以身份安全作為核心能力，75%的產(chǎn)品以網(wǎng)絡(luò)環(huán)境

安全作為核心能力，僅有18.7%的產(chǎn)品以云工作負(fù)載安全作為核心能

力。另一方面，國(guó)內(nèi)零信任賽道競(jìng)爭(zhēng)激烈，各廠商都在不同領(lǐng)域?qū)で?/p>

新的突破。一是在端上實(shí)現(xiàn)更多安全功能。越來(lái)越多的客戶希望通過(guò)

一個(gè)客戶端解決PC終端安全的問(wèn)題，端上安全檢測(cè)能力、防泄漏、

漏洞修復(fù)等備受重視。二是在端上建立可信安全環(huán)境以保護(hù)數(shù)據(jù)安全。

疫情之后，遠(yuǎn)程辦公需求增多，移動(dòng)終端上訪問(wèn)企業(yè)業(yè)務(wù)數(shù)據(jù)成為剛

16

零信任發(fā)展研究報(bào)告（2023年）

需，通過(guò)軟件定義邊界與終端沙箱相結(jié)合的方式，將零信任的能力延

伸至端上成為一種新的解決方案。

來(lái)源：中國(guó)信息通信研究院2023年7月

圖4供應(yīng)側(cè)零信任能力分布

3.持續(xù)提升產(chǎn)品聯(lián)動(dòng)能力，向與現(xiàn)有架構(gòu)融合前進(jìn)

零信任與企業(yè)已有的安全防護(hù)能力應(yīng)該能相互融合，企業(yè)已有的

安全工具不應(yīng)因零信任的使用而失效，而應(yīng)該得到能力的提升。零信

任控制引擎為了更精準(zhǔn)地下發(fā)策略，應(yīng)與企業(yè)環(huán)境中的身份安全類、

安全分析類、終端安全類產(chǎn)品進(jìn)行聯(lián)動(dòng)：

來(lái)源：中國(guó)信息通信研究院2022年12月

圖5身份安全產(chǎn)品聯(lián)動(dòng)情況

17

零信任發(fā)展研究報(bào)告（2023年）

身份安全類包含身份管理與身份認(rèn)證能力，一方面，零信任從身

份源同步用戶身份，建立用戶身份與訪問(wèn)過(guò)程中使用的設(shè)備、訪問(wèn)的

資源、訪問(wèn)行為等之間的聯(lián)系，形成用戶畫(huà)像；另一方面，零信任可

以將身份認(rèn)證與多源評(píng)估結(jié)合實(shí)現(xiàn)動(dòng)態(tài)地認(rèn)證。本報(bào)告調(diào)研了零信任

供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的身份安全產(chǎn)品聯(lián)動(dòng)能力，結(jié)果如圖

5所示。超七成零信任供應(yīng)側(cè)企業(yè)支持與第三方身份安全產(chǎn)品對(duì)接。

46.4%企業(yè)可提供自研身份安全產(chǎn)品，同時(shí)其零信任產(chǎn)品支持與第三

方身份安全產(chǎn)品如竹云、派拉、亞信、芯盾、格爾等進(jìn)行對(duì)接；有21.4%

企業(yè)不具備自研身份安全產(chǎn)品，但支持與第三方身份安全產(chǎn)品對(duì)接；

有25%企業(yè)僅支持客戶使用自家提供的身份安全產(chǎn)品，還有7.1%企

業(yè)無(wú)法與客戶環(huán)境中已有的身份安全產(chǎn)品進(jìn)行聯(lián)動(dòng)。在身份安全產(chǎn)品

展開(kāi)投入的零信任供應(yīng)側(cè)企業(yè)占比超過(guò)70%，反向說(shuō)明同質(zhì)化競(jìng)爭(zhēng)激

烈，并非每家都能將零信任領(lǐng)域做全，各家應(yīng)避免同質(zhì)化競(jìng)爭(zhēng)建立技

術(shù)壁壘以實(shí)現(xiàn)合作共贏。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖6安全管理產(chǎn)品聯(lián)動(dòng)情況

18

零信任發(fā)展研究報(bào)告（2023年）

安全管理類包含安全事件和信息的匯聚、實(shí)體行為分析、威脅檢

測(cè)與響應(yīng)等能力，一方面，通過(guò)與實(shí)體行為分析工具結(jié)合可獲取更多

安全風(fēng)險(xiǎn)信息，對(duì)訪問(wèn)主體的評(píng)估將更加準(zhǔn)確；另一方面，零信任和

威脅檢測(cè)與響應(yīng)工具的結(jié)合為策略執(zhí)行提供了更豐富的管控手段。本

報(bào)告調(diào)研了零信任供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的安全分析產(chǎn)品

聯(lián)動(dòng)能力，結(jié)果如圖6所示。超半數(shù)企業(yè)的零信任產(chǎn)品支持與客戶已

有的安全運(yùn)營(yíng)中心、態(tài)勢(shì)感知、威脅情報(bào)等安全分析系統(tǒng)聯(lián)動(dòng)，占比

53.6%，也有35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進(jìn)行聯(lián)動(dòng)，

有10.7%的企業(yè)尚不支持與安全分析系統(tǒng)聯(lián)動(dòng)。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖7終端安全產(chǎn)品聯(lián)動(dòng)情況

終端安全類包括終端安全檢測(cè)與修復(fù)、以及數(shù)據(jù)安全等能力，一

方面，收集終端環(huán)境信息，并根據(jù)檢測(cè)結(jié)果對(duì)終端進(jìn)行管控；另一方

面，通過(guò)技術(shù)手段實(shí)現(xiàn)數(shù)據(jù)不落地，以保護(hù)數(shù)據(jù)安全。本報(bào)告調(diào)研了

零信任供應(yīng)側(cè)企業(yè)的產(chǎn)品與用戶環(huán)境中的終端產(chǎn)品聯(lián)動(dòng)能力，結(jié)果如

19

零信任發(fā)展研究報(bào)告（2023年）

圖7所示。零信任供應(yīng)側(cè)企業(yè)在終端安全展開(kāi)投入的較多，與自家產(chǎn)

品聯(lián)動(dòng)率更高。尤為明顯的是支持與自家終端安全產(chǎn)品聯(lián)動(dòng)的企業(yè)占

比39.3%，這一數(shù)據(jù)在身份安全領(lǐng)域?yàn)?5%，一方面說(shuō)明終端安全的

重要性，供應(yīng)側(cè)企業(yè)紛紛展開(kāi)投入，另一方面說(shuō)明與第三方終端安全

產(chǎn)品的對(duì)接仍面臨接口協(xié)議無(wú)法統(tǒng)一的困境；支持自家與第三方如騰

訊、北信源、安天、奇安信、深信服、啟明星辰、青藤等企業(yè)的終端

安全產(chǎn)品進(jìn)行對(duì)接的僅占比32.1%；此外也有超七成零信任供應(yīng)側(cè)企

業(yè)支持提供終端安全產(chǎn)品，零信任供應(yīng)側(cè)企業(yè)在終端安全的投入超過(guò)

安全管理類產(chǎn)品與身份安全類產(chǎn)品，主要原因是身份認(rèn)證與身份管理

所使用協(xié)議具有國(guó)際、國(guó)家標(biāo)準(zhǔn)，然而終端安全領(lǐng)域存在標(biāo)準(zhǔn)協(xié)議缺

口，有待通過(guò)生態(tài)間接口互認(rèn)解決。

（二）行業(yè)應(yīng)用不斷深化，零信任市場(chǎng)步入成長(zhǎng)期

1.零信任在重點(diǎn)行業(yè)市場(chǎng)近三年呈持續(xù)增長(zhǎng)態(tài)勢(shì)

經(jīng)過(guò)多年發(fā)展，零信任商業(yè)模式走向成熟，市場(chǎng)逐步規(guī)?；?，已

經(jīng)在各個(gè)行業(yè)進(jìn)入落地階段。據(jù)中國(guó)信通院調(diào)研顯示，電信行業(yè)和金

融行業(yè)是被調(diào)研的11行業(yè)中探索零信任落地實(shí)施排名靠前的行業(yè)，

其零信任實(shí)施應(yīng)用相對(duì)成熟，且對(duì)其他行業(yè)的通用參考性較高。因此

本報(bào)告選擇金融與電信行業(yè)的零信任市場(chǎng)情況進(jìn)行分析，相信在未來(lái)，

會(huì)有更多行業(yè)客戶選擇零信任作為其安全防護(hù)架構(gòu)。

金融與電信行業(yè)在近三年落地零信任的客戶逐年增長(zhǎng)。本報(bào)告調(diào)

研了2019年至2022年三年間，零信任供應(yīng)側(cè)企業(yè)服務(wù)過(guò)的金融客戶

數(shù)量區(qū)間，結(jié)果如圖8所示。一方面，在金融行業(yè)，2019-2020年間

20

零信任發(fā)展研究報(bào)告（2023年）

僅有39.2%零信任供應(yīng)側(cè)企業(yè)為金融客戶落地過(guò)零信任，這一數(shù)據(jù)在

2020-2021年間與2021-2022年間分別達(dá)到了60.7%與82.1%，越來(lái)越

多的金融機(jī)構(gòu)認(rèn)可零信任架構(gòu)所提供的安全防護(hù)能力。另一方面，在

電信行業(yè)，2019-2020年間僅有32.1%零信任供應(yīng)側(cè)企業(yè)為電信客戶

落地過(guò)零信任，與金融行業(yè)相比低7.1%，這一數(shù)據(jù)在2020-2021年間

與2021-2022年間分別為67.9%與85.7%，電信行業(yè)在近兩年落地勢(shì)

頭較猛，超過(guò)金融行業(yè)。

落地10家以內(nèi)的零信任供應(yīng)側(cè)企業(yè)占據(jù)主流，多數(shù)行業(yè)用戶仍

處于應(yīng)用研究探索階段。據(jù)調(diào)研，三年間落地用戶數(shù)量區(qū)間1-10的

企業(yè)分別占比金融行業(yè)為25%、35.7%和50%，電信行業(yè)為35%、42.8%

和50%。也有一些行業(yè)專精型的企業(yè)存在客戶量超過(guò)200的情況，三

年間在金融行業(yè)的占比分別為3.5%、3.5%和3.5%，電信行業(yè)占比分

別為0%、3.57%和7.14%?？梢钥闯?，2020年零信任才開(kāi)始在國(guó)內(nèi)安

全圈中得以普及，產(chǎn)品經(jīng)過(guò)兩年的打磨，用戶對(duì)這個(gè)理念有了初步了

解，開(kāi)始積極的在此領(lǐng)域展開(kāi)采購(gòu)。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖8供應(yīng)側(cè)企業(yè)落地零信任客戶數(shù)量區(qū)間

21

零信任發(fā)展研究報(bào)告（2023年）

微隔離類產(chǎn)品應(yīng)用情況呈兩極分化，與行業(yè)相關(guān)性較低。本報(bào)告

調(diào)研了2021-2022年間，提供微隔離類產(chǎn)品的零信任供應(yīng)側(cè)企業(yè)所納

管用戶的工作負(fù)載總數(shù)，結(jié)果如圖9所示。在支持提供微隔離能力的

企業(yè)中，金融行業(yè)納管工作負(fù)載總數(shù)低于500的占比42.8%，高于

10000的占比42.8%，電信行業(yè)表現(xiàn)類似，納管工作負(fù)載總數(shù)低于500

的占比62.5%，高于10000的占比37.5%。將近半數(shù)供應(yīng)側(cè)企業(yè)的微

隔離在行業(yè)內(nèi)僅開(kāi)展試點(diǎn)工作或未曾開(kāi)展，同時(shí)也有近半數(shù)企業(yè)在行

業(yè)內(nèi)進(jìn)行了規(guī)?；穆涞貙?shí)踐。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖9微隔離類產(chǎn)品納管工作負(fù)載總數(shù)

軟件定義邊界類產(chǎn)品應(yīng)用潛力大，頭部客戶已進(jìn)入探索階段。本

報(bào)告調(diào)研了2021-2022年間，提供軟件定義邊界類產(chǎn)品的零信任供應(yīng)

側(cè)企業(yè)所納管用戶的員工總數(shù)，結(jié)果如圖10所示。在金融與電信行

業(yè)中，納管低于5000人占比最高，分別為52.2%和61.9%，剩余半數(shù)

涵蓋5000-100000不等，再結(jié)合對(duì)零信任落地客戶數(shù)量的統(tǒng)計(jì)結(jié)果，

22

零信任發(fā)展研究報(bào)告（2023年）

即在2021-2022年間金融與電信行業(yè)均有50%零信任供應(yīng)側(cè)企業(yè)落地

客戶數(shù)區(qū)間為1-10家，推算每個(gè)客戶使用基于軟件定義邊界納管員

工數(shù)量低于500人，甚至更低。500人已屬于中型企業(yè)，因此各行業(yè)

內(nèi)的中型企業(yè)應(yīng)是落地軟件定義邊界類產(chǎn)品的中流砥柱。此外，在電

信行業(yè)納管員工20000人以上的占比33.3%，金融行業(yè)僅有17.4%，

電信行業(yè)在零信任領(lǐng)域的投入與落地勢(shì)頭相較金融行業(yè)略高一籌。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖10軟件定義邊界類產(chǎn)品納管員工總數(shù)

2.不同應(yīng)用場(chǎng)景逐步實(shí)現(xiàn)零信任落地

隨著零信任的不斷發(fā)展和成熟，企業(yè)用戶基于自身業(yè)務(wù)特性和安

全需求，選擇在不同場(chǎng)景下落地實(shí)施零信任。

將零信任應(yīng)用于辦公環(huán)境是用戶主流選擇。本報(bào)告調(diào)研了零信任

供應(yīng)側(cè)企業(yè)服務(wù)的金融與電信行業(yè)客戶應(yīng)用零信任時(shí)的環(huán)境選擇情

況，如圖11所示。金融行業(yè)51%應(yīng)用于辦公環(huán)境，18.7%應(yīng)用于開(kāi)發(fā)

測(cè)試環(huán)境，僅有11.8%應(yīng)用于生產(chǎn)環(huán)境。電信行業(yè)48.1%應(yīng)用于辦公

23

零信任發(fā)展研究報(bào)告（2023年）

環(huán)境，17.6%應(yīng)用于生產(chǎn)環(huán)境，16.8%應(yīng)用于開(kāi)發(fā)測(cè)試環(huán)境。金融行業(yè)

生產(chǎn)環(huán)境承擔(dān)了核心賬務(wù)系統(tǒng)的運(yùn)營(yíng)，數(shù)據(jù)資產(chǎn)安全穩(wěn)定性尤為重要，

在生產(chǎn)環(huán)境的應(yīng)用更顯謹(jǐn)慎。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖11零信任應(yīng)用環(huán)境情況

遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維、多分支機(jī)構(gòu)互連為用戶主要使用的場(chǎng)景，

總占比超過(guò)半數(shù)。本報(bào)告調(diào)研了金融與電信用戶落地零信任時(shí)使用的

場(chǎng)景，分布如圖12所示。一方面，遠(yuǎn)程辦公場(chǎng)景是當(dāng)前企業(yè)實(shí)施零

信任的主要驅(qū)動(dòng)和優(yōu)先選擇，在金融與電信行業(yè)占比分別達(dá)到32.5%

和35%，其次是遠(yuǎn)程運(yùn)維和多分支互連，金融行業(yè)遠(yuǎn)程運(yùn)維場(chǎng)景占比

14%，較多分支互連場(chǎng)景的13.2%略多一些，電信行業(yè)遠(yuǎn)程運(yùn)維場(chǎng)景

占比10.5%，較多分支互連場(chǎng)景的12.5%略少，電信行業(yè)在多分支互

連的需求上較金融行業(yè)更高一些。另一方面，多云、混合云戰(zhàn)略是當(dāng)

前企業(yè)實(shí)施零信任最少場(chǎng)景，金融行業(yè)使用多云、混合云場(chǎng)景占比僅

3%和4.5%，電信行業(yè)分別為3.6%和4.7%，大多數(shù)企業(yè)不具備在云

原生環(huán)境中的治理能力和安全能力可能是企業(yè)遲遲難以大規(guī)模上云

的主要原因，零信任可以提供此場(chǎng)景下的安全訪問(wèn)，未來(lái)多云、混合

24

零信任發(fā)展研究報(bào)告（2023年）

云場(chǎng)景蘊(yùn)含較多發(fā)展機(jī)會(huì)。

來(lái)源：中國(guó)信息通信研究院2022年12月

圖12落地零信任使用場(chǎng)景情況

三、產(chǎn)業(yè)應(yīng)用側(cè)調(diào)研洞察：用戶對(duì)零信任建設(shè)尚

存顧慮，同時(shí)肯定零信任核心價(jià)值

零信任應(yīng)用側(cè)方面，通過(guò)對(duì)重點(diǎn)行業(yè)的客戶調(diào)研與訪談，本報(bào)告

總結(jié)了在安全防護(hù)架構(gòu)建設(shè)的各個(gè)時(shí)期，企業(yè)管理人員的建設(shè)痛點(diǎn)以

及考慮，幫助零信任供應(yīng)側(cè)廠商了解用戶側(cè)的實(shí)際訴求。

（一）零信任從零到一，落地部署面臨多重阻礙

零信任的概念產(chǎn)品居多，投入產(chǎn)出比是企業(yè)核心考量點(diǎn)。金融、

制造等行業(yè)屬于嚴(yán)謹(jǐn)型行業(yè)，對(duì)新概念產(chǎn)品的引入非常謹(jǐn)慎，為提升

企業(yè)效益，企業(yè)在落地零信任時(shí)通常會(huì)有多重考量。一方面，利舊以

節(jié)約建設(shè)成本。零信任概念興起之前，企業(yè)在當(dāng)前安全防護(hù)架構(gòu)中已

經(jīng)購(gòu)買并部署了身份、終端和網(wǎng)絡(luò)等安全領(lǐng)域的相關(guān)產(chǎn)品，因此零信

25

零信任發(fā)展研究報(bào)告（2023年）

任的建設(shè)需要考慮如何與企業(yè)已有系統(tǒng)或產(chǎn)品兼容，實(shí)現(xiàn)安全聯(lián)動(dòng)的

同時(shí)降低開(kāi)銷。另一方面，實(shí)際成效是否可量化。一個(gè)新的安全領(lǐng)域

概念誕生后，通常會(huì)伴隨著三個(gè)經(jīng)典問(wèn)題，零信任也不例外：一是，

零信任的產(chǎn)出到底是什么。二是，零信任做與不做的區(qū)別是什么。三

是，零信任簡(jiǎn)單做和復(fù)雜做的區(qū)別又是什么。可量化的零信任防護(hù)效

果更具有事實(shí)意義，勝于萬(wàn)千落于紙面的優(yōu)勢(shì)與意義。

零信任部署跨企業(yè)多部門，明確責(zé)任邊界是建設(shè)第一步。零信任

作為安全理念，其落地將涉及身份、終端、網(wǎng)絡(luò)等多安全領(lǐng)域，在傳

統(tǒng)安全防護(hù)建設(shè)模式下，企業(yè)在上述領(lǐng)域內(nèi)各有獨(dú)立部門負(fù)責(zé)安全建

設(shè)并承擔(dān)安全事件責(zé)任。然而，基于零信任理念的安全防護(hù)建設(shè)模式

需要多領(lǐng)域聯(lián)結(jié)共同完成威脅防御和響應(yīng)，出現(xiàn)安全事件無(wú)法落實(shí)責(zé)

任至單領(lǐng)域部門。即便企業(yè)在部署零信任之初成立一個(gè)總體部門負(fù)責(zé)

推進(jìn)零信任建設(shè)事項(xiàng)，但由于零信任涵蓋領(lǐng)域之廣會(huì)使得該部門責(zé)任

無(wú)限大，因此其不敢包攬全部建設(shè)后的安全責(zé)任，故此企業(yè)在部署零

信任之前需明確責(zé)任劃分，否則難以協(xié)同多部門推進(jìn)落地。

基于零信任的統(tǒng)一身份管理體系在接管組織內(nèi)老舊系統(tǒng)時(shí)面臨

雙重阻礙。組織內(nèi)的老舊系統(tǒng)自身通常具備身份認(rèn)證體系，然而此類

系統(tǒng)安全合規(guī)性差，如接口和用戶身份信息均未經(jīng)加密，極易引發(fā)安

全問(wèn)題。組織若想落地零信任，需要梳理清楚組織內(nèi)的身份體系，過(guò)

程中面臨兩方面困難。一是技術(shù)層面。組織內(nèi)使用的老舊系統(tǒng)復(fù)雜多

樣，PMS、OA、CRM和HR等系統(tǒng)來(lái)自不同供應(yīng)商，使用的SaaS服

務(wù)受license限制無(wú)法改造，即便是自研系統(tǒng)也會(huì)受到?jīng)]有統(tǒng)一標(biāo)準(zhǔn)

26

零信任發(fā)展研究報(bào)告（2023年）

的影響，身份權(quán)限規(guī)則不一致，不同系統(tǒng)中人員權(quán)限不一致，統(tǒng)一身

份體系難以接管。二是規(guī)劃設(shè)計(jì)層面。身份作為敏感信息，受體制規(guī)

則和組織職能等因素限制，在垂直領(lǐng)域難以打通，因此需要從頂層設(shè)

計(jì)角度出發(fā)，解決身份在行政級(jí)別線條與業(yè)務(wù)級(jí)別線條的連貫性。

企業(yè)內(nèi)驅(qū)力不足，落地方案難推動(dòng)。業(yè)內(nèi)一句較為經(jīng)典的話“沒(méi)

有生產(chǎn)標(biāo)準(zhǔn)化零信任產(chǎn)品的廠商，只有完成零信任建設(shè)的企業(yè)”值得

深思，其含義是指沒(méi)有一家應(yīng)用側(cè)企業(yè)所建設(shè)的零信任是相同的，企

業(yè)需要結(jié)合自身需求部署零信任，其所需要的是一系列理論、規(guī)劃、

架構(gòu)以及產(chǎn)品交付，單靠供應(yīng)側(cè)廠商無(wú)法實(shí)現(xiàn)，需要依靠企業(yè)強(qiáng)大內(nèi)

驅(qū)推動(dòng)。一是需要數(shù)字化轉(zhuǎn)型中的企業(yè)在網(wǎng)絡(luò)安全建設(shè)主動(dòng)求變。據(jù)

公開(kāi)數(shù)據(jù)整理統(tǒng)計(jì)，92%的管理者認(rèn)為由企業(yè)內(nèi)部需求驅(qū)動(dòng)向零信任

落地效果往往高于政策性驅(qū)動(dòng)的落地效果，因此主動(dòng)求變才能以更積

極的心態(tài)面臨變化。二是零信任的建設(shè)不會(huì)一蹴而就，需要接受挑戰(zhàn)

與成效并存。零信任的落地是一個(gè)漫長(zhǎng)過(guò)程，企業(yè)需要全方面梳理自

身脈絡(luò)，梳理的越清晰，效果會(huì)越好。三是需要企業(yè)長(zhǎng)時(shí)間的支持。

企業(yè)人員的安全認(rèn)知和配合是關(guān)鍵因素，尤其是領(lǐng)導(dǎo)層面是否意識(shí)到，

當(dāng)前企業(yè)面臨的安全威脅已經(jīng)發(fā)生變化，以及領(lǐng)導(dǎo)推動(dòng)零信任的決心

是否堅(jiān)定。

（二）微隔離市場(chǎng)向好，用戶看重網(wǎng)絡(luò)分段能力

企業(yè)購(gòu)入微隔離本質(zhì)是對(duì)核心功能的考慮，更理性看待零信任。

企業(yè)上云前，通過(guò)物理防火墻劃分物理分區(qū)，實(shí)現(xiàn)物理分區(qū)間的訪問(wèn)

控制。企業(yè)上云后，由于云資源的分布式特性，其無(wú)法按物理資源進(jìn)

27

零信任發(fā)展研究報(bào)告（2023年）

行分區(qū)，若仍使用物理防火墻進(jìn)行訪問(wèn)控制，流量需要繞行物理防火

墻，