中國信通院發(fā)布《零信任發(fā)展研究報告（2023年）》

8月28日消息，8月25日，中國信息通信研究院（簡稱“中國信通院”）在“2023 SecGo云和軟件安全大會”上發(fā)布了《零信任發(fā)展研究報告（2023年）》。中國信通院云計算與大數(shù)據(jù)研究所開源和軟件安全部主任郭雪對報告進行了解讀。

報告首先介紹了數(shù)字化轉型深化后企業(yè)IT架構所面臨的安全挑戰(zhàn)，零信任如何解決安全挑戰(zhàn)以及如何應對新的安全威脅。其次從零信任供應側和零信任應用側兩大視角對我國零信任產(chǎn)業(yè)的發(fā)展情況與應用痛點進行觀察和分析。

在零信任供應側方面，梳理了國內各零信任廠商安全水平概況，分析了重點行業(yè)零信任市場近3年發(fā)展態(tài)勢。在零信任應用側方面，基于對重點行業(yè)用戶的調研結果，從零信任建設前期、建設中期和使用運營期，分析了用戶零信任建設過程中的痛點、肯定與思考，為零信任供應側提升和優(yōu)化能力提供指引，同時增強應用側用戶的落地信心。最后總結了零信任技術發(fā)展趨勢，并對零信任產(chǎn)業(yè)發(fā)展提出建議。

報告核心觀點：1. 零信任為新的安全場景提供有力保障。一是零信任保障軟件供應鏈安全，零信任基于最小化權限原則限制上游供應商權限，通過安全左移助力研發(fā)運營關鍵環(huán)節(jié)的風險監(jiān)測與安全準入；二是零信任抵御勒索軟件攻擊，通過將身份驗證貫穿訪問始終，對訪問行為進行持續(xù)監(jiān)測，并精細化網(wǎng)絡分段流量管理，阻止威脅進一步滲透；三是零信任促進公共數(shù)據(jù)與服務安全開放，通過建立統(tǒng)一數(shù)字身份避免數(shù)字鴻溝，對數(shù)字公共基礎設施的每次訪問進行風險評估并授予最小權限，避免數(shù)據(jù)和服務的濫用。

2. 零信任能力供應不斷豐富，產(chǎn)品聯(lián)動能力正同步提升。一方面，國內廠商注重零信任解決方案研發(fā)與落地實施，零信任生態(tài)已小有規(guī)模，目前，國內有近50家企業(yè)提供零信任集成產(chǎn)品。

另一方面，零信任集成產(chǎn)品應與企業(yè)已有的安全防護能力相互融合，企業(yè)已有的安全工具不應因零信任的使用而失效。一是超七成零信任供應側企業(yè)支持與第三方身份安全產(chǎn)品對接，其中，46.4%企業(yè)可提供自研身份安全產(chǎn)品，同時其零信任產(chǎn)品支持與第三方身份安全產(chǎn)品進行對接。

二是超半數(shù)企業(yè)的零信任產(chǎn)品支持與客戶已有的安全運營中心、態(tài)勢感知、威脅情報等安全分析系統(tǒng)聯(lián)動，占比53.6%，有35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進行聯(lián)動。

三是零信任供應側企業(yè)在終端安全展開投入的較多，與自家產(chǎn)品聯(lián)動率更高。尤為明顯的是支持與自家終端安全產(chǎn)品聯(lián)動的企業(yè)占比39.3%，這一數(shù)據(jù)在身份安全領域為25%，側面反映終端安全領域尚面臨標準協(xié)議接口無法統(tǒng)一困境，有待通過生態(tài)間接口互認解決。

3. 用戶對零信任建設尚存顧慮，同時肯定零信任核心價值。一方面，零信任從零到一，落地部署面臨多重阻礙。一是，零信任的概念產(chǎn)品居多，投入產(chǎn)出比是企業(yè)核心考量點。

二是，零信任部署跨企業(yè)多部門，邁出建設第一步前需明確責任邊界。三是，基于零信任的統(tǒng)一身份管理體系在接管組織內老舊系統(tǒng)時面臨技術與規(guī)劃設計雙重阻礙。

另一方面，微隔離市場向好，零信任應用價值受到肯定。一是，微隔離人力成本耗費隨使用時間增長持續(xù)下降。二是，企業(yè)通過使用零信任降低代碼流失率、資產(chǎn)管理精確到人以及實現(xiàn)個人效能監(jiān)測，肯定了零信任的使用價值。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。