近年來,以5G、人工智能為代表的新基建不斷推進建設致使傳統(tǒng)網(wǎng)絡邊界愈發(fā)模糊,依賴“縱深防御+邊界防御”的網(wǎng)絡安全防御模式岌岌可危,零信任的全面發(fā)展正當其時。自2019年至今,我國陸續(xù)在《關于促進網(wǎng)絡安全產業(yè)發(fā)展的指導意見(征求意見稿)》、《網(wǎng)絡安全產業(yè)高質量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》等一系列政策文件中明確要加快“零信任”的框架研發(fā)和技術應用,加快發(fā)展創(chuàng)新的網(wǎng)絡安全技術。
一、中國信通院發(fā)布“2022年度 零信任產業(yè)圖譜”
為梳理國內零信任生態(tài)伙伴在供需兩側的分布情況,摸底零信任設備/方案的技術成熟度,研判國內零信任產業(yè)的總體發(fā)展態(tài)勢,中國信息通信研究院(以下簡稱“中國信通院”)聯(lián)合中國通信標準化協(xié)會算網(wǎng)融合產業(yè)及標準推進委員會(CCSA TC621)從2022年11月到2023年1月,組織開展了《零信任產業(yè)圖譜》(以下簡稱“圖譜”)征集工作(如圖1所示)。
數(shù)據(jù)來源:中國信息通信研究院
圖1 零信任產業(yè)圖譜
本次圖譜工作得到了各方的極大關注。經(jīng)過層層篩選,圖譜最終選錄了300+份相關材料,涵蓋了來自供給側的51家零信任廠商的275份設備/方案案例,以及來自需求方的44個行業(yè)應用客戶的部署案例。
數(shù)據(jù)來源:中國信息通信研究院
圖2零信任設備/方案概覽
二、我國零信任技術創(chuàng)新初步收斂,行業(yè)應用部署廣泛
2.1 供給側:技術核心能力形成初步的行業(yè)共識
圖譜統(tǒng)計了三大技術路線(SDP、IAM、MSG)的能力共性和差異性,計算了主要技術能力的共性和差異性占比(如圖3所示)。比對T/ZGTXXH 050—2023《零信任 軟件定義邊界技術規(guī)范》等零信任系列標準定義的能力要求,國內主流設備/方案的技術實現(xiàn)已形成初步的行業(yè)共識。
--SDP:技術要求基本收斂。SDP的基本能力要求,如傳輸加密(100%)、綜合可信認證(95.35%)、動態(tài)訪問控制(93.02%)、網(wǎng)絡隱身(93.02%)等方面已經(jīng)覆蓋了市場中90%以上的設備/方案實現(xiàn)。
--IAM:關鍵能力相對聚焦。IAM的主要能力聚焦于動態(tài)授權(90%)、多因子身份認證(80.4%)、單點登錄管理(80.4%)、身份全生命周期管理(75%)、細粒度行為審計(73.2%)等方面,達成超過60%的行業(yè)共識。
--MSG:核心功能初步成型。MSG在安全策略管理(89.47%)、異常行為檢測(89.47%)、統(tǒng)一管理(84.21%)、可視化運維(73.68%)等方面表現(xiàn)突出,核心功能已基本穩(wěn)定。
圖3 零信任 SDP、IAM、MSG 設備/方案共性與差異性功能圖
注:圖3中每個功能特征百分比指技術功能在零信任產業(yè)圖譜涵蓋的廠商設備/方案中的占比
2.2 需求方:行業(yè)應用部署廣泛
圖譜收集到金融、教育、能源、政務等11個垂直行業(yè)(如圖4所示)的應用部署案例,應用范圍已深入遠程接入、數(shù)據(jù)管理、辦公系統(tǒng)等多種場景,全面應對垂直行業(yè)在網(wǎng)絡邊界模糊化、訪問需求復雜化和資產暴露面擴大化等一系列挑戰(zhàn)。
圖4 零信任行業(yè)應用分布圖
三、零信任的技術與產業(yè)仍需要進一步發(fā)展
3.1 供給側:MSG的行業(yè)接受度整體最低,融合式解決方案定制化現(xiàn)象嚴重
圖譜統(tǒng)計了三大技術路線(SDP、IAM、MSG)以及融合式解決方案的案例占比(如圖5所示)。其中,SDP以33.63%的數(shù)值成為行業(yè)接受度最高的技術解決方案,強調能力融合的零信任整體解決方案以31.86%的占比排在第二。
--MSG有待行業(yè)高度重視。MSG的設備實現(xiàn)的占比為4.94%,解決方案的占比為9.73%,均為倒數(shù)第一,與其他技術路線差距明細。這主要是MSG的解決方案需要對原有網(wǎng)絡進行規(guī)?;墸髽I(yè)需要投入海量的資源以實現(xiàn)全面整改,形成自適應和虛擬化的動態(tài)管理機制,因此,MSG設備/方案的市場認可度較低。
--零信任整體解決方案亟需行業(yè)規(guī)范。強調融合SDP、IAM和MSG多項技術優(yōu)勢于一體的零信任整體解決方案得到了行業(yè)的歡迎,占比達到31.86%,但是由于缺少統(tǒng)一化的參考模型以及行業(yè)規(guī)范,這樣的解決方案存在定制化現(xiàn)象嚴重,跨廠商、跨應用、跨地域繼承與交互困難等問題,亟需形成具有行業(yè)屬性的技術標準來規(guī)范行業(yè)發(fā)展。
數(shù)據(jù)來源:中國信息通信研究院
圖5 零信任設備與解決方案分布圖
3.2 需求方:需加快關鍵基礎設施的應用部署
圖譜統(tǒng)計了11個垂直行業(yè)的應用部署案例(如圖4所示)并計算了每一個行業(yè)的案例占比,其中,金融(20.63%)、教育(15.87%)、能源(14.29%)和政務(10.32%)成為部署最快的四個行業(yè)??紤]到這些行業(yè)的信息資產價值頗高,業(yè)務數(shù)據(jù)敏感性通常被放在首位,零信任的技術理念得到了更多的重視。然而,在交通(3.97%)、通信(7.14%)等其他關鍵基礎設施方面,零信任的應用部署仍然處于較低水平。面向愈演愈烈的各類網(wǎng)絡泄密事件,國家關鍵基礎設施需要全面升級安全防護體制,加快部署零信任技術以構建新型網(wǎng)絡安全參考體系。
四、零信任產業(yè)發(fā)展建議
4.1 加強技術研究與產品研發(fā)
凝聚零信任產業(yè)界多方共識,針對零信任SDP、IAM、MSG三大技術進行深度研究探索,形成技術標準規(guī)范文件指導產品核心功能建設。開展零信任產品能力測試與技術人員培訓,助力廠商完善零信任產品能力研發(fā)。
4.2 推動行業(yè)試點試驗落地
面向各行業(yè)的差異化部署需求,鼓勵企業(yè)加快制定帶有行業(yè)屬性的零信任發(fā)展規(guī)劃,助力企業(yè)分階段、分步驟落地實施零信任整體架構。以零信任優(yōu)秀案例遴選為契機,打造標桿案例并在行業(yè)進行推廣應用,引導零信任產業(yè)高質量發(fā)展。
4.3 強化產業(yè)協(xié)同發(fā)展
依托CCSA TC621 等第三方合作平臺,積極開展零信任產業(yè)論壇、技術沙龍、專題研討會等活動,為行業(yè)需求方與供應商搭建長期穩(wěn)定交流協(xié)作平臺,賦能中小企業(yè)進行零信任部署,形成零信任產業(yè)生態(tài)閉環(huán)。