中國信通院發(fā)布《零信任發(fā)展研究報(bào)告（2023年）》

8月28日消息，8月25日，中國信息通信研究院（簡稱“中國信通院”）在“2023 SecGo云和軟件安全大會(huì)”上發(fā)布了《零信任發(fā)展研究報(bào)告（2023年）》。中國信通院云計(jì)算與大數(shù)據(jù)研究所開源和軟件安全部主任郭雪對(duì)報(bào)告進(jìn)行了解讀。

報(bào)告首先介紹了數(shù)字化轉(zhuǎn)型深化后企業(yè)IT架構(gòu)所面臨的安全挑戰(zhàn)，零信任如何解決安全挑戰(zhàn)以及如何應(yīng)對(duì)新的安全威脅。其次從零信任供應(yīng)側(cè)和零信任應(yīng)用側(cè)兩大視角對(duì)我國零信任產(chǎn)業(yè)的發(fā)展情況與應(yīng)用痛點(diǎn)進(jìn)行觀察和分析。

在零信任供應(yīng)側(cè)方面，梳理了國內(nèi)各零信任廠商安全水平概況，分析了重點(diǎn)行業(yè)零信任市場(chǎng)近3年發(fā)展態(tài)勢(shì)。在零信任應(yīng)用側(cè)方面，基于對(duì)重點(diǎn)行業(yè)用戶的調(diào)研結(jié)果，從零信任建設(shè)前期、建設(shè)中期和使用運(yùn)營期，分析了用戶零信任建設(shè)過程中的痛點(diǎn)、肯定與思考，為零信任供應(yīng)側(cè)提升和優(yōu)化能力提供指引，同時(shí)增強(qiáng)應(yīng)用側(cè)用戶的落地信心。最后總結(jié)了零信任技術(shù)發(fā)展趨勢(shì)，并對(duì)零信任產(chǎn)業(yè)發(fā)展提出建議。

報(bào)告核心觀點(diǎn)：1. 零信任為新的安全場(chǎng)景提供有力保障。一是零信任保障軟件供應(yīng)鏈安全，零信任基于最小化權(quán)限原則限制上游供應(yīng)商權(quán)限，通過安全左移助力研發(fā)運(yùn)營關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)監(jiān)測(cè)與安全準(zhǔn)入；二是零信任抵御勒索軟件攻擊，通過將身份驗(yàn)證貫穿訪問始終，對(duì)訪問行為進(jìn)行持續(xù)監(jiān)測(cè)，并精細(xì)化網(wǎng)絡(luò)分段流量管理，阻止威脅進(jìn)一步滲透；三是零信任促進(jìn)公共數(shù)據(jù)與服務(wù)安全開放，通過建立統(tǒng)一數(shù)字身份避免數(shù)字鴻溝，對(duì)數(shù)字公共基礎(chǔ)設(shè)施的每次訪問進(jìn)行風(fēng)險(xiǎn)評(píng)估并授予最小權(quán)限，避免數(shù)據(jù)和服務(wù)的濫用。

2. 零信任能力供應(yīng)不斷豐富，產(chǎn)品聯(lián)動(dòng)能力正同步提升。一方面，國內(nèi)廠商注重零信任解決方案研發(fā)與落地實(shí)施，零信任生態(tài)已小有規(guī)模，目前，國內(nèi)有近50家企業(yè)提供零信任集成產(chǎn)品。

另一方面，零信任集成產(chǎn)品應(yīng)與企業(yè)已有的安全防護(hù)能力相互融合，企業(yè)已有的安全工具不應(yīng)因零信任的使用而失效。一是超七成零信任供應(yīng)側(cè)企業(yè)支持與第三方身份安全產(chǎn)品對(duì)接，其中，46.4%企業(yè)可提供自研身份安全產(chǎn)品，同時(shí)其零信任產(chǎn)品支持與第三方身份安全產(chǎn)品進(jìn)行對(duì)接。

二是超半數(shù)企業(yè)的零信任產(chǎn)品支持與客戶已有的安全運(yùn)營中心、態(tài)勢(shì)感知、威脅情報(bào)等安全分析系統(tǒng)聯(lián)動(dòng)，占比53.6%，有35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進(jìn)行聯(lián)動(dòng)。

三是零信任供應(yīng)側(cè)企業(yè)在終端安全展開投入的較多，與自家產(chǎn)品聯(lián)動(dòng)率更高。尤為明顯的是支持與自家終端安全產(chǎn)品聯(lián)動(dòng)的企業(yè)占比39.3%，這一數(shù)據(jù)在身份安全領(lǐng)域?yàn)?5%，側(cè)面反映終端安全領(lǐng)域尚面臨標(biāo)準(zhǔn)協(xié)議接口無法統(tǒng)一困境，有待通過生態(tài)間接口互認(rèn)解決。

3. 用戶對(duì)零信任建設(shè)尚存顧慮，同時(shí)肯定零信任核心價(jià)值。一方面，零信任從零到一，落地部署面臨多重阻礙。一是，零信任的概念產(chǎn)品居多，投入產(chǎn)出比是企業(yè)核心考量點(diǎn)。

二是，零信任部署跨企業(yè)多部門，邁出建設(shè)第一步前需明確責(zé)任邊界。三是，基于零信任的統(tǒng)一身份管理體系在接管組織內(nèi)老舊系統(tǒng)時(shí)面臨技術(shù)與規(guī)劃設(shè)計(jì)雙重阻礙。

另一方面，微隔離市場(chǎng)向好，零信任應(yīng)用價(jià)值受到肯定。一是，微隔離人力成本耗費(fèi)隨使用時(shí)間增長持續(xù)下降。二是，企業(yè)通過使用零信任降低代碼流失率、資產(chǎn)管理精確到人以及實(shí)現(xiàn)個(gè)人效能監(jiān)測(cè)，肯定了零信任的使用價(jià)值。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。