8月28日消息，8月25日，中國(guó)信息通信研究院(簡(jiǎn)稱“中國(guó)信通院”)在“2023 SecGo云和軟件安全大會(huì)”上發(fā)布了《零信任發(fā)展研究報(bào)告(2023年)》。中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所開(kāi)源和軟件安全部主任郭雪對(duì)報(bào)告進(jìn)行了解讀。

　　報(bào)告首先介紹了數(shù)字化轉(zhuǎn)型深化后企業(yè)IT架構(gòu)所面臨的安全挑戰(zhàn)，零信任如何解決安全挑戰(zhàn)以及如何應(yīng)對(duì)新的安全威脅。其次從零信任供應(yīng)側(cè)和零信任應(yīng)用側(cè)兩大視角對(duì)我國(guó)零信任產(chǎn)業(yè)的發(fā)展情況與應(yīng)用痛點(diǎn)進(jìn)行觀察和分析。

　　在零信任供應(yīng)側(cè)方面，梳理了國(guó)內(nèi)各零信任廠商安全水平概況，分析了重點(diǎn)行業(yè)零信任市場(chǎng)近3年發(fā)展態(tài)勢(shì)。在零信任應(yīng)用側(cè)方面，基于對(duì)重點(diǎn)行業(yè)用戶的調(diào)研結(jié)果，從零信任建設(shè)前期、建設(shè)中期和使用運(yùn)營(yíng)期，分析了用戶零信任建設(shè)過(guò)程中的痛點(diǎn)、肯定與思考，為零信任供應(yīng)側(cè)提升和優(yōu)化能力提供指引，同時(shí)增強(qiáng)應(yīng)用側(cè)用戶的落地信心。最后總結(jié)了零信任技術(shù)發(fā)展趨勢(shì)，并對(duì)零信任產(chǎn)業(yè)發(fā)展提出建議。

　　報(bào)告核心觀點(diǎn)：1. 零信任為新的安全場(chǎng)景提供有力保障。一是零信任保障軟件供應(yīng)鏈安全，零信任基于最小化權(quán)限原則限制上游供應(yīng)商權(quán)限，通過(guò)安全左移助力研發(fā)運(yùn)營(yíng)關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)監(jiān)測(cè)與安全準(zhǔn)入;二是零信任抵御勒索軟件攻擊，通過(guò)將身份驗(yàn)證貫穿訪問(wèn)始終，對(duì)訪問(wèn)行為進(jìn)行持續(xù)監(jiān)測(cè)，并精細(xì)化網(wǎng)絡(luò)分段流量管理，阻止威脅進(jìn)一步滲透;三是零信任促進(jìn)公共數(shù)據(jù)與服務(wù)安全開(kāi)放，通過(guò)建立統(tǒng)一數(shù)字身份避免數(shù)字鴻溝，對(duì)數(shù)字公共基礎(chǔ)設(shè)施的每次訪問(wèn)進(jìn)行風(fēng)險(xiǎn)評(píng)估并授予最小權(quán)限，避免數(shù)據(jù)和服務(wù)的濫用。

　　2. 零信任能力供應(yīng)不斷豐富，產(chǎn)品聯(lián)動(dòng)能力正同步提升。一方面，國(guó)內(nèi)廠商注重零信任解決方案研發(fā)與落地實(shí)施，零信任生態(tài)已小有規(guī)模，目前，國(guó)內(nèi)有近50家企業(yè)提供零信任集成產(chǎn)品。

　　另一方面，零信任集成產(chǎn)品應(yīng)與企業(yè)已有的安全防護(hù)能力相互融合，企業(yè)已有的安全工具不應(yīng)因零信任的使用而失效。一是超七成零信任供應(yīng)側(cè)企業(yè)支持與第三方身份安全產(chǎn)品對(duì)接，其中，46.4%企業(yè)可提供自研身份安全產(chǎn)品，同時(shí)其零信任產(chǎn)品支持與第三方身份安全產(chǎn)品進(jìn)行對(duì)接。

　　二是超半數(shù)企業(yè)的零信任產(chǎn)品支持與客戶已有的安全運(yùn)營(yíng)中心、態(tài)勢(shì)感知、威脅情報(bào)等安全分析系統(tǒng)聯(lián)動(dòng)，占比53.6%，有35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進(jìn)行聯(lián)動(dòng)。

　　三是零信任供應(yīng)側(cè)企業(yè)在終端安全展開(kāi)投入的較多，與自家產(chǎn)品聯(lián)動(dòng)率更高。尤為明顯的是支持與自家終端安全產(chǎn)品聯(lián)動(dòng)的企業(yè)占比39.3%，這一數(shù)據(jù)在身份安全領(lǐng)域?yàn)?5%，側(cè)面反映終端安全領(lǐng)域尚面臨標(biāo)準(zhǔn)協(xié)議接口無(wú)法統(tǒng)一困境，有待通過(guò)生態(tài)間接口互認(rèn)解決。

　　3. 用戶對(duì)零信任建設(shè)尚存顧慮，同時(shí)肯定零信任核心價(jià)值。一方面，零信任從零到一，落地部署面臨多重阻礙。一是，零信任的概念產(chǎn)品居多，投入產(chǎn)出比是企業(yè)核心考量點(diǎn)。

　　二是，零信任部署跨企業(yè)多部門(mén)，邁出建設(shè)第一步前需明確責(zé)任邊界。三是，基于零信任的統(tǒng)一身份管理體系在接管組織內(nèi)老舊系統(tǒng)時(shí)面臨技術(shù)與規(guī)劃設(shè)計(jì)雙重阻礙。

　　另一方面，微隔離市場(chǎng)向好，零信任應(yīng)用價(jià)值受到肯定。一是，微隔離人力成本耗費(fèi)隨使用時(shí)間增長(zhǎng)持續(xù)下降。二是，企業(yè)通過(guò)使用零信任降低代碼流失率、資產(chǎn)管理精確到人以及實(shí)現(xiàn)個(gè)人效能監(jiān)測(cè)，肯定了零信任的使用價(jià)值。