零信任架构已成网络空间安全新赛道:需分步骤、分场景建设

网络安全是产业数字化升级中的关键保障。近十年来层数不穷的网络安全问题不仅阻碍了各行业发展，更是减缓了产业革新的速率。零信任以“持续验证，永不信任”作为破解当前困境的强有力手段，重塑现有网络安全架构和网络安全设施。

当前，零信任架构已经成为网络空间安全的新赛道，美国、加拿大等将零信任作为网络安全战略布局的重点方向。如何加速我国零信任安全新架构的总体布局、加快关键信息基础设施行业和领域试点示范已成为零信任产业发展关键。

零信任规模和部署实践不断加快

当前，从全球发展趋势来看，欧美发达国家已经对零信任开展了重点布局，比如美国行政管理和预算办公室在今年发布零信任安全原则迁移的联邦战略，要求相关机构在2024财年之前满足特定的网络安全标准和目标，以增强政府应对日益复杂和持续的网络威胁的能力；新加坡的网络安全战略里也明确提出以积极态度在全国范围内推行零信任，加拿大政府也提出采用零信任技术构建身份和访问控制支柱能力。

有82%欧洲企业增加其零信任的安全预算，我国也在逐步推进零信任相关研究与试点项目。在2021年7月工信部出台了《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》，里面明确做出加快开展零信任网络安全体系研发和推动零信任技术应用部署安排。相关政府部门以及企业也都在尽力加快我们国家在零信任的建设，希望可以在这个领域至少在标准方面能够发出我们中国的声音。

“从战略层面来看，零信任发展政策布局已经逐步形成，零信任规模和部署实践不断加快。从产业层面来看，在电信、金融、能源等行业中形成了零信任应用示范，不断优化网络安全产品升级。从技术层面将重塑现有网络安全架构和网络安全设施，深刻改变关键基础设施的部署应用模式，零信任是机遇。”北京邮电大学网络空间安全学院执行院长李小勇讲到。

据李小勇介绍，零信任跟原来信任相比最大的不同是得到了学术界、产业界、政府高度重视，可操作性更强，在标准化方向推进，这样会对产业界形成巨大的推动作用。主导思想引导网安体系架构从网络中心化走向数字化身份，主要还是基于身份认证这个核心点，其本质诉求是以升维中心进行访问控制，默认情况下不应该基于网络内部和外部任何人、设备、系统，需要基于认证和授权重构访问控制的信任基础。

零信任需要分步骤、分场景建设

李小勇表示，新发布的零信任能力成熟度模型，主要涵盖实施网络、安全、管理、应用等多个方式，涉及包括能源、医疗、金融等多个重点行业关键信息基础的建设与运营，确实满足了数字化转型下网络防御需求。“当前，零信任在起始阶段，并不是一蹴而就，需要分步骤、分场景进行建设，能力成熟度模型里面，对零信任发展分为五个阶段。”

第一个阶段无零信任阶段，这阶段特点是不具备零信任安全基础能力的原始阶段；第二个阶段传统阶段，具备基本网络安全技术能力以及概念级零信任系统能力；第三个阶段初级阶段，具备基础零信任安全技术能力和部分零信任功能模块的安全技术能力；第四个阶段优化阶段，具备系统级别的零信任安全技术能力，支持主动防御能力；第五个阶段持续安全阶段，具备标准级别、可持续提升零信任安全技术能力。

从实践者方法论角度来看，围绕零信任架构安全、产品安全、用户安全等多视角综合考虑，零信任能力成熟度被分为五个阶段。赋能者的量度来看，把握各企业产品的零信任成熟度情况，同时精准定级，详细诊断当前零信任关键能力中的短板，并指明企业后续改进方向，在后面可以根据零信任五个阶段可以给一个分类评价。

零信任能力成熟度模型参考架构遵循的是零信任的定义和原则，针对特定的业务场景和工作流，对构成的8个核心模块的各功能子组件，技术交互方式上提供指导和约束，这八个关键能力特征主要包括身份安全、基础设施、网络安全、数据安全、应用负载安全、网络可持续安全检测与评估、网络安全可视化、综合安全管理。

“我们的愿景是统筹布局零信任体系建设，多方共推产业高质量发展，主要从加快自主体系建设，鼓励试点示范应用，构建良性产业生态三个方向，有一系列的举措，关键我们要全面推动零信任能力成熟度模型的评估实施，打造一批有影响力可推广的零信任行业应用标杆，依托CCSATC621产业平台实现供需双方的协作联动。” 李小勇坦言。

延伸阅读：

• 零信任公开课 | 居家办公，企业如何解决远程办公带来的安全隐患？