0 引言

隨著網絡環境日益復雜，基于固定邊界的網絡安全防護策略面臨越來越嚴峻的挑戰，例如，難以防御內部網絡攻擊、對數據泄露風險缺少有效防護措施等[1]。為應對日益復雜的網絡安全挑戰，美國國防部和聯邦政府制定了一系列政策標準，推進相關領域信息系統零信任架構改造。

零信任作為一種安全理念，通過對訪問發起方進行認證授權、持續監測和評估，動態調整訪問控制策略，以實現對訪問發起方的動態細粒度訪問控制，有效管控安全風險。2010年，咨詢公司Forrester推出零信任(Zero Trust)概念，首次提出通過對每次訪問過程進行評估建立信任關系的安全理念[2]。基于零信任理念，一批企業開展了落地實踐工作，其中Forrester提出了零信任擴展(Zero Trust eXtended，ZTX)和零信任邊緣(Zero Trust Edge，ZTE)[3]；Gartner設計了零信任網絡(Zero Trust Network Access，ZTNA)[4]；谷歌推動了BeyondCorp零信任項目[5]；微軟開發了Azure零信任架構；云安全聯盟(Cloud Security Alliance，CSA)提出了軟件定義邊界(Software Defined Perimeter，SDP)協議等[6]。據Forrester統計，2020年全球范圍內零信任業務年營收超過1億美元的廠商有10家，零信任架構主要應用于政府、金融、制造業、醫療、教育等領域[7]。

本文梳理了美國零信任相關政策標準情況，并基于零信任在我國發展現狀，提出了推動零信任發展相關建議。

本文詳細內容請下載：http://www.rjjo.cn/resource/share/2000004856

作者信息：

姚相振，李彥峰，孫  彥，羨喻杰

（中國電子技術標準化研究院，北京100007）