安全牛-现代企业零信任安全落地实践应用指南-2023.11

现代企业零信任安全落地实践应用指南版权声明本报告为安全牛撰写，报告中所有文字、图片、表格均受有关商据采集于公开信息，所有权为原著者所有。未经本公司书面许可，任何组织和个人不得以任何形式复制或传递本报告的全部或部分内容，不得将本报告内容作为诉讼、仲裁、传媒所引用之证明或依据，不得用于营利或用于未经允许的其它用途。任何未经授权使用本报告的相关商业行为都将违反《中华人民共和国著作权法》和其他法律法规以及有关国际公约的规定。未经授权或违法使用本报告内容者应承担其行为引起的一切后果及法律责任，我司将保留追究其法律责任的权利。标和著作权的法律保护，部分文字和数现代企业零信任安全落地实践应用指南免责声明本报告仅供我司的客户使用。我司不会因接收人收到本报告而视其为我司的当然客户。本报告中的行业数据主要法及样本、调查资料收集范围等的限制，本报告中的数据仅服务于当前报告。我司以勤勉的态度、专业的研究方法，使用合法合规的信息，独立、客观地出具本报告，但不保证数据的准确性和完整性，我司不对本报告的数据和观点承担任何法律责任。同时，我司不保证本报告中的观点或陈述不会发生任何变更。在不同为分析师市场调研、行业访谈及其他研究方法估算得来，仅供参考。因调研方时期，我司可发出与本报告所载资料、意见及推测不一致的报告。在任何情况下，本报告中的信息或所表述的意见并不构成对任何人的行为建议，也没有考虑到个别客户特殊的目的或需求。任何出现在本报告中的包括但不限于评论、预测、图表、指标、指标、理论、陈述均为市场和客户提供基本参考，您须对您自主决定的行为负责。我司不对因本报告资料全部或部分内容产生的，或因依赖本报告而引致的任何损失承担任何责任，不对任何因本报告提供的资料不充分、不完整或未能提供定资料产生的任何损失承担任何责任。特现代企业零信任安全落地实践应用指南目

录第一章国外零信任安全实践..................................

71.1DISA

与

NSA

的零信任实践

...........................................................

71.2

CISA

的零信任模型.......................................................................

81.3OMB

的零信任计划

.......................................................................

91.4国外代表性的零信任安全厂商.......................................................10第二章我国零信任的发展....................................

112.1

行业标准化进展

............................................................................112.2

产业发展状况................................................................................12第三章技术应用发展状况....................................

173.1关键技术的成熟度.........................................................................173.2SPA

单包验证................................................................................183.3MFA

用户体验

...............................................................................193.4

信任评估和最小化授权..................................................................223.5

身份管理架构持续演进..................................................................24第四章零信任安全架构实践.................................

264.1C-ZTNA

模型.................................................................................264.2S-ZTNA

模型.................................................................................274.3基于

SASE

架构的零信任访问........................................................294.4基于

CSMA

架构的零信任访问.......................................................304.5

微隔离技术的应用.........................................................................31现代企业零信任安全落地实践应用指南第五章零信任安全落地应用指南...........................

335.1

落地挑战.......................................................................................335.2

应用建议.......................................................................................345.3

零信任安全建设成熟度模型...........................................................36第六章十大典型应用案例....................................

386.1

政务大数据平台零信任访问管理解决方案......................................386.2

特大央企零信任实践案例

..............................................................416.3

大型央企零信任安全体系建设

.......................................................446.4

央企一体化零信任安全办公解决方案.............................................476.5

互联网科技企业数字化转型的零信任实践案例...............................496.6

大型互联网企业零信任云网安全解决方案......................................526.7

能源6.8

金融用户远程办公零信任改造方案

................................................596.9

银行数据安全访问与流通的零信任应用案例

..................................626.10

移动通信运营商的零信任应用实践案例

.......................................64行业的零信任实践案例...........................................................56第七章演进趋势及未来展望.................................

68第八章国内零信任技术代表性厂商介绍..................

69附参考资料

......................................................

76现代企业零信任安全落地实践应用指南引言云网融合技术的广泛应用使企业边界不断延伸和扩展，混合办公模式已经出现，随时随地的云连接成为常态，特别在疫情之后，云上生活也逐渐变成了人们的生活常态。为了应对新的网络架构和业务模式面临的安全挑战，许多机构都在寻找构建零信任安全网络的解决方案，以有效支撑广域网互联及远程访问的需求。国内的实践者们也加快了零信任能力成熟度及组件开发的进程并逐渐将该理念与云网应用进行融合，相关解决方案在行业中也有了越来越多的实践和运用。但零信任安全并非一款产品通信网络和设施在耦合性方面也更密切，这使得零信任安全的落地实施难度比传统安全解决方案更复杂。作为一种新的网络安全架构，在面对数字化转型的安全建设中还存在更多挑战。本报告继

2021

年《现代企业零信任安全构建应用指南》后，进一步洞见国内零信任安全发展中的新型解决方案，分享其在行业应用，探索落地实践中的经验及问题挑战。级的解决方案，相比传统的边界防护和流量检测，其覆盖

范围更大，与基础现代企业零信任安全落地实践应用指南报告关键发现■ 

48%

的用户反馈目前远程办公的主要方式是WebVPN，23%

的用户使用的是虚拟桌（VDI），20%的用户已经采用了

SDP

方案，还有

10%

的用户则使用的是SD-WAN。■ 

64%

的用户认为零信任已经过了技术验证阶段，但

36%

用户仍然认为还处于零信任架构及基础能力研究阶段，这部分用户主要源自医疗、政企、交通等领域。■ 

零信任落地的过程中，除了安全架构，更重要的是要解决好终端安全问题，端侧的安全能力越丰富对零信任评估越有力。■ 

多因素认证在零信任落地中非常重要，但多数应用中多因子组合的方式体验还不够友好。用隐式的、无感的认证方式作为认证因子，对改善零信任用户认证体验很重要。■ 

没有单一的产品能够完整适配零信任的理念或架构，零信任与企业现有的安全架构（如纵身防御体安全架构）并不互斥。落地规划中要体系化思考，要与企业已有的安全能力构成互补或增强的网络系统。■ 

零信任要发挥它的价值，要把原来烟囱式的多个安全系统整合起来。但是因为目前还缺乏安全能力共享的机制，所以在整个零信任实践过程还有比较大的挑战。■ 

SIM（SDP,IAM,MSG）作为零信任最有影响力的三大关键技术决定了零信任走的多快，

但零信任未来能走多远，还需依靠相关技术能力在理念前沿性或应用实践上有进一步的突破。现代企业零信任安全落地实践应用指南国外零信任安全实践第一章国外零信任安全实践网络经济在各个国家发展极不平衡，网络安全的重要性也存在很大的地域性差异。零信任作为一种新的网络安全理念，在国际上有影响力的推动者主要有美国、中国、以色列。其中，美国是零信任安全实践最积极的推动者，目前已将零信任作为国家网络安全战略，在国防部、国土部、联邦政府等国家机构和部门中推行。图1美国零信任安全战略1.1

DISA与NSA

的零信任实践DISA（Defense

Information

Systems

Agency）是与信息系统的主管部门。2021

年

2

月，美国国防信息系统局（DISA）为了进一步改善国防部的网络安全，与NSA

联合起草发布了零信任参考体系架构

1.0，旨在用零信任替代纵深防御网络架构中的区域联合防控安全栈(JointRegionalSecurityStacks，JRSS

)。草案中明确了零信任架构的七大“支柱”能力，分别是：用户、设备、网络环境、应用程序和工作负载、数据、可见性和分析、自动化和编排。该项目在2022

年

1

月份正式启动实施。美国国防部

DOD（Department

of

Defense’s）通信2021

年

5

月，美国国家安全局（NSA）发布了零信任参考架构（RA）草非常相似，作为无法利用国防部零信任草案中所述能力的非国防部利益相关者的参考。国防部风险评估面向的国防部及其任务的合作伙伴，而

NSA草案主要覆盖

自身、国家安全系统和国防工业基地。案，与国防部的零信任参考架构是7现代企业零信任安全落地实践应用指南国外零信任安全实践图片来源：《ApplyingZero

Trust

Principlesto

EnterpriseMobility》图2NSAZTA

的

7要素的相互关系1.2

CISA

的零信任模型2021

年

6

月，美国网络安全与基NSA

的支柱能力概念，定义了

5

大应用能力和

3

大基础能力，如图

3

所示。在

CISA

的模型中，前

5

个能力与国防部和

NSA

一致，可见性和分析、自动化和编排作为底座横向贯穿了

5

大能力。在此基础上，CISA

成熟度模型增加了治理，并将治理层作为整个零信任的根基，治理的范畴包括：础设施安全局（CISA）发布零信任成熟度模型草案，借鉴了国防部和•

审计身份和权限的设置；•

身份、设备和网络策略的技术实施；•

通过测试和评估过程实施应用程序开发的策略；•

数据保护的实施；•

数据分类和访问授权；8现代企业零信任安全落地实践应用指南国外零信任安全实践图片来源：《ApplyingZero

Trust

Principlesto

EnterpriseMobility》图3CISA

零信任模型2022

年

3

月，CISA

发布了《Applying

Zero

Trust

Principles

to

Enterprise

Mobility》草案，将

CISA

的

5大能力支柱与企业移动的安全能力（主要是企业移动性管理

(EMM)

和操作系统的安全功能）进行了映射。1.3

OMB

的零信任计划2021

年

5

月

21

日，美国总统办公厅下发了《改善国家网络安全的行政命令》，呼吁联邦民事执行局（FCEB）机构制订采用零信任架构和安全云服务计划。2021

年

9

月，美国管理和预算在实现其零信任的过程中实现政府范围内的共享服务。要求联邦机构按照

CISA

的五大支柱能力进行详细说明，其中数据支柱需要可见性和分析及

SOAR，该草案于

2022

年

1

月

26

日正式发布。办公室（OMB）发布了《联邦政府零信任战略》草案，旨在促进联邦机构2022

年

1

月，OMB

正式发布《向零信任安全方法迁移的联邦战略》，要制定网络安全标准，实现具体的零信任的安全目标，以增强政府应对日益复杂的网络环境和持续的网络威胁能力。求联邦相关机构在

2024

年之前9userid:139428,docid:143610,date:2023-10-30,现代企业零信任安全落地实践应用指南国外零信任安全实践1.4国外代表性的零信任安全厂商在

2020

年的《Market

Guide

for

Zero

Trust

Network

Access》中，零信任的代表性厂商为云服务模式和独立交付模式。2022

年的市场指南中，新增推荐供应商50%，共计

45

家。其中

70%

的厂商以

SaaS

化解决方案为数据和应用提供零信任专用访问，30%

的厂商以提供私有化部署的

ZTNA

方案为主。按交付方式被分随着ZTNA1.0

访问控制粒度过粗及持续评估的实现问题。其基本思想是将

ZTNA

作为

SASE

平台的一部分进行合并或采用

CASB、SWG

等技术与

ZTNA

统一起来构建一个安全交换平台，使

ZTNA

从统一风险管理中受益，来减少其落地的复杂性。主张该方案的代表性厂商主要有：

Zscaler、Palo

Alto

Networks、Check

point、CATONetworks、Forcepoint

等。混合办公的深入，国外越来越多的安全厂商正在提出以

ZTNA2.0

来支持

ZTNA

战略，目的是解决•

Zscaler，是ZTNA

重

点是支持最大范围连接能力，保证随时随地的接入和最小化攻击面；下一代

ZTNA

应注重

扩展细分段的访问控制和应用保护能力，消除横向移动。代表方案是于云的零信任安全交换平台，核心组件是ZIA（ZscalerInternet

Access）和

ZPA（Zscaler

Private

Access）,ZIA是对外提供安全服务边缘（SSE）的能力，ZPA

是内部程序和服务提供安全访问和保护。美国一家提供云安全解决方案的集成商，也是零信任解决方案的积极推动者。认为第一代基对•

Palo

Alto

Networks，美国的网络安全公司，作为全球网络安全的领导者今年早期提出网络基三

-

七层都应增强零信任保护，代表产品Prisma

Access

ZTNA2.0，引用了

SASE

的策略并以云的方式进行交付。础架构的是•

Check

point，以色列具有传奇色彩的安全厂商Connect，集成了

ZTNA,SWG,CASB,FWaaS

网络安全产品能力，为用户提供预防为首的安全服务边缘（SSE）能力，支持与

SD-WAN

深度集成。，零信任的代表性方案是基于

SASE

架构的Harmony•

CATO

Networks，以色列一家专注于云连接的安全厂商的实施者。它将

SD-WAN

和网络安全融合为覆盖

全球的云原生服务，为企业优化全球分支机构的连接，同将数据和移动用户无缝地集成到了零信任架构的高速网络中。，2018

年成立，据称是全球第一个

SASE

框架时•

Forcepoint，是Websense

在

2016

年进行业务重

组后更名的一家新公司。零信任的代表性方案是Private

Access，并将其作为

SASE

实践的

Forcepoint

ONE

平台的一部分，为企业提供

WEB、云、私有应用程序的保护。10现代企业零信任安全落地实践应用指南我国零信任的发展第二章我国零信任的发展2.1

行业标准化进展在远程办公及混合办公的市场需求下，为加快零信任在行业的落地应用，行业协会、标准协会与厂商推进了行业零信任安全相关的标准化工作，在过去一年取得了明显进展。这也标志零信任在行业的落地应用即将进入快速发展阶段。联合■ 

2019

年

6

月，公安部发布了《GADSJ350-2019公安大数据零信任体系设计要求》，作为公安机关大数据智能化访问控制体系建设的规范性技术文件；■ 

2021

年

4

月，信通院牵头启动了基任安全能力要求、SASE

能力成熟度和数据保护工具要求

4

部分，总体架构目前处于征求意见稿状态，其他处于二次讨论阶段；于云计算的安全信任体系系列标准的研究，包括总体架构、零信■ 

2021

年

6

月，中国电子工业标准化技术协会正式发布团体标准

T/CESA

1165-2021《零信任系统技术规范》，是零信任技术架构落地国内以来，业内发布的首个零信任技术实现标准；■ 

2021

年

10

月，国际电信标准组织

ITU-T

对外发布了由腾讯牵头提报的《Guidelines

for

continuousprotection

of

the

service

access

process》（服务访问过程持续保护指南），正式成为

ITU

推荐标准。该标准重

点分析服务访问过程中的安全威胁，规定了检测异常访问活动的安全保护措施以及服务接入流程的安全要求规范等，是全球范围内首个零信任领域的国际标准；■ 

2021年12月，中国信息产业商会团体标准专业委员会发布团体标准《信息安全技术零信任参考架构》（T/CIITA

117—2021），于

2022

年

2

月

1

日正式实施；■ 

2022

年

6

月，零信任的国家标准《信息安全技术

零信任参考体系架构》征求意见稿发布，从立项进入征求意见稿阶段。11现代企业零信任安全落地实践应用指南我国零信任的发展图4

零信任安全行业标准2.2

产业发展状况根据

2022

年安全牛全景图调研，零信任作为相对新兴的理念，在能力图谱中排第

3

位。入围比去年新增了37%，是除数据安全外增长最多的细分领域之一。调研中也发现，零信任与传统安全能力及行业安全解决方案融合也越来越密切，在多个细分领域对传统安全产品进行了赋能，特别是网络安全、数据安全、终端安全、云计算安全领域。厂商数量相数据来源：安全牛调研图5

安全细分领域能力趋势图12现代企业零信任安全落地实践应用指南我国零信任的发展在本次报告公开调研的参与者中，来自互联网企业的占

27%，教育

/

科研机构、金融/

投18%，通信技术行业占

14%，互联网零售/

服务业占

9%、工程制造和交通各占

5%，政府占

4%。其中，48%

的用户反馈目前远程办公的主要方式是WebVPN，23%

的用户则使用的是虚拟桌（VDI），20%

的用户已经采用了

SDP

方案，还有

10%

的用户使用的是SD-WAN。资企业各占数据来源：安全牛调研图6参与调研用户的行业分布面向用户的调研数据显示，64%

的用户认为零信任已经过了技术验证阶段，其中

14%

的用户对零信任成熟度的观点更为乐观，认为处于了产品标准化甚至更成熟阶段；但

36%

的用户仍然会认为还处于零信任架构及基础能力研究阶段，技术还不太成熟，这部分用户主要自医疗、政企、交通等领域。源数据来源：安全牛调研图7

落地应用成熟度13现代企业零信任安全落地实践应用指南我国零信任的发展在厂商调研中，对目前零信任发展看法主要有以下三种观点：■ 

近

8

成的受访者认为零信任的关键技术及核心组件都已经得到了充分研发，并且基如何将技术应用到产品中取得了很多实践经验，产品的系统化及环境适配方面也在实践中获得了有效解决方案。其中，公安、金融、运营商、能源等对网络安全重

视度较高的企业，对零信任理念的理解都比较好，并且能够接受零信任用于生产环境中，这部分人认为零信任的理念和技术在国内都比较成熟，未来更多是需要在不场景的应用中去做校正和适配。于

ZTNA

的架构在间同■ 

对于零信任技术的高阶追求者，大多聚焦基于身份构建来实现可编排的零信任管理架构，自适应的风险管理以及更精细粒度的访问控制，他们认为对访问行为管理的方式和理念还需要创新和改变。■ 

为了在零信任的架构上更好的实现上下文的安全评估，目前阶段，国内更多厂商入集中在终端的安全管理上，致力使终端的基线配置、行为管理、数据安全、应用隔离打造的像中心一样足够安全可控。在将零信任的研发投零信任理念覆盖

网络空间供商提供了均等发展的机会，可以从不同的技术方向开启零信任安全的演进之路，产业也出现了“不同技术流派”的零信任代表者，如图8

所示。的端、边、云等多个领域，应用的技术类别也非常多样，这给不同安全能力的提图8

国内零信任厂商能力图谱实践中的主流技术路线主要有

SASE、网络安全网格（CSMA）、客户端访问的

ZTNA

模型（C-ZTNA）、服务端代理的

ZTNA

模型（S-ZTNA）四种。其中，身份安全的代表性厂商借助身份管理平台开发的优势，在14现代企业零信任安全落地实践应用指南我国零信任的发展零信任演进中多主张一体化的零信任解决方案。但由于零信任技术路线的多样化，其它技术路线的厂商份管理、访问控制网关等组件的成熟度较高，实践中也常通过打造独立的

SDP

控制中心补充策略管理和信任评估计算的能力。基于身本次报告调研中，厂商们在零信任落地实践中的代表性观点，主要包括：零信任落地，要基于场景解决问题，结合业务在网络空间分布的现状，用一体化的零信任解决方案，使每一个业务都实现闭环的安全访问是非常必要的。零信任是伴随企业网络结构升级的需求出现的。因此，零信任对于企业来说，最核心的变革是让网络底层身份化，使企业从受限于物理位置的

IP

网络升级为与物理位置无关的身份网络。零信任落地的关键是做好持续信任评估和授权策略，相关产品不仅要有第三方权威机构背书，还要有实战化的能力，因此在满足合规的基础上还要做更多的事情，包括：全面身份化、与周

边系统对接、异常行为分析等。零信任落地中，除了安全架构，更重全评估越有利。要的是要解决好终端安全问题，端侧的安全能力越丰富对零信任的安动态多因素认证是零信任落地的核心要素。基于用户访问行为构建每个用户的行为画

像，千人千面，异常时自动触发认证，是整个零信任成败的关键。没有单一的产品能够完整的适配零信任的理念或架构，零信任与企业现有的安全架构（如纵身防御体安全架构）也不互斥。落地规划中要体系化思考，要与企业已有的安全能力构成互补或增强的网络系统。零信任理念可以通过多种技术路径落地，组织单位可以根据自身改造难度，选择最适配的技术。实践证明，零信任落地是一个长期且持续的过程，用户应找具备强大服务能力以及端点能力支撑的厂商。15现代企业零信任安全落地实践应用指南我国零信任的发展SASE在国内落地需要根据行业政策进行变通，每行业的方案也会不一样，有的侧重

于终端防泄露，有的则侧重

于高性能的边云连接，需要根据各自的特点去增强在行业的应用。零信任最初是在身份鉴别方面可以满足等保建设要求，但也对通信传输和计算中心做了扩展，同时等保作为引导政策，也给零信任推广提供了一定支持，在等保建设中可以推出零信任的方案。零信任的本质是基于身份，建立策略驱动的自适应动态访问控制体系。零信任的落地一定要结合客户业务场景及安全体系现状，分阶段分步骤实施，同时还需要满足等保、密评的要求。16现代企业零信任安全落地实践应用指南技术应用发展状况第三章技术应用发展状况SIM（SDP,IAM,MSG）作为零信任最有影响力的三大关键技术决定了零信任发展的速度，

但零信任要长期稳定发展，支撑性技术也必须在先进性或应用鲁棒性方面有一定突破。3.1

关键技术的成熟度国内零信任的追随者们，在过去一年中基于不同的技术路线，结合

NIST

定义的SDP、IAM

和

MSG

三大关键技术进行了实践，相关技术、架构成熟度都进入了快速发展阶段。根据Gartner

发布的最新的《HypeCycleforWorkloadandNetworkSecurity,2022》报告显示：零信任网络访问

ZTNA（Zero

Trust

Network

Access）

已经跨过了拐点，从泡沫谷低期迈向了准成熟期，相比

2020

年向前跨了一大步，是过去一年我们关注的安全技术类型中演进最快的。这也表明

ZTNA

得到了市场的支撑和认可，并在演进中取得了新阶段性的胜利。安全访问服务边缘

SASE（Security

Access

Service

Edge）

作为连接广域网络接入层的安全理念，在国内还不够成熟，并且发展受到一些阻碍因素泡沫正在快速破裂。微隔离MSG（Microsegmentation）

在发展中几经易名，先后被称为软件定义微隔离、微隔离、身份定义微隔离，最近又回到微隔离，但成熟度从

2020

年至今几乎没再有大的变化，已处于准成熟阶段。图9Gartner2022

年网络安全技术成熟度曲线17现代企业零信任安全落地实践应用指南技术应用发展状况该

曲

线

中

没

有

提

及

NIST

定

义

的

零

信

任

的

其

它

两

个

关

键

技

术

增

强

身

份

治

理（Enhanced

IdentityGovernance，EIG）和软件定义边界（Software-DeĀnedPerimeter，SDP）。增强身份治理IAM

作为身份治理的代表性技术从

3A

演进到

4A，在传统安全应用场景中已经非常成熟。但新兴互联网场景的扩展及零信任理念的广泛应用促使

IAM

在核心能力和部署方式上进一步迭代，以满足其在新应用场景中的可用性。SDP

是但在Gartner

的

ZTNA

架构中，将

SDP

作为控制或代理的一项增补功能，称为SDP

Control

或

SDP

Proxy。在混合办公的市场驱动下，SDP

的标准和应用实践都得到较快的推进，CSA

也于今年

4

月再度推出了

SDP

标准规范

2.0，这进一步增强了厂商们在实践中设计参考的依据。CSA

联盟在

2014

年贡献的实现零信任访问的一种具体方式，并被

NIST

定义于的关键技术之一。以上技术的演进及发展过程我们可以看到，零信任架构落地的相关技术基本都要经历过相当长一段时间的验证，部分关键技术的成熟度在零信任实践下正在突破性的快速发展。3.2

SPA

单包验证单包授权SPA（Single

Packet

Authorization）是证或约定的序列碰撞来动态创建端口访问规则，在首包验证通过后会立即将访问连接转移到其它端口，以收缩设备端口暴露面，规避传统业务端口长期开放的安全风险。一项预认证操作，其本质是一种端口变换技术，通过认SPA

来源SDP

实现的一项关键技术，并在最新发布的SDP2.0

中对其进行了优化，将

SPA

访问请求的首包协议由

TCP协议修改为

UDP

协议。但我们发现，从安全的角度讨论通信问题时，每种方式都会存在短板：于端口碰撞

Port

Knocking，开源实现方式方案有

fwknop。CSA

联盟在

2014

年将

SPA

作为（1）采用

TCP

协议进行单包验证，需要控制器开放

TCP

端口并与响应客户端的三次握手来建立长连接。这会致使控制器非常容易遭受

TCP

SYN

的攻击而无法维持正常工作。（2）理论上，UDP

端口不需要TCP

SYN

的攻击影响。即使受到攻击，也只会影响

SPA

包的接收，不会增加业务暴露面。但由于

UDP是一种不可靠连接方式，会存在诸多与网络环境相关的可靠性问题需要在具体实践中解决。响应请求，并且除

SPA

包验证外也没有其它业务，可规避TCP

端口受SPA是客户端架构必要的功能组件，其安全性和成熟度也是架构应用能被行业广泛授受的重要因素。为了解决单包验证难题，对于

SPA

单包验证的设计，国内的实践者有的采用

TCP+UDP

双重

敲门方式缓解连接的复18现代企业零信任安全落地实践应用指南技术应用发展状况杂度，有的试图通过模拟

DNS

解释包的方式来避免敲门包被丢弃。因此，理论上动态端口策略能有效收缩暴露面，但其实现的可用性、可靠性仍需要充分的工程验证，因为安全并不总是你能想到的安全，有些时候也仅是一道虚掩的门。此外，在

SPA

首包验证后，业务端口仍然要证仅能解决首包信任问题，不能替代业务或资源访问连接的认证。因此，有效的解决业务端口暴露面问题，在实践中也需要认真的对待。外化并接收客户端的连接请求。SPA

作为会话连接前的预认图片来源：CSA

软件定义边界（SDP）标准规范图10对比

SPA

1.0

和

SPA

2.03.3

MFA

用户体验单点登录（SSO）和多因素认证（MFA）是减少了人员

WEB

登录和访问的复杂度，已经在各类规模的企业中被普及和应用，目前国内多数政府官网、学校的

WEB

网站都陆续做了单点登录的改造。但在使用

MFA

验证方面，并不像

SSO

那样积极。零信任在身份鉴别过程中常用到的两个功能。其中，单点登录调研中，60%

的用户反馈远程办公中采用了单点登录的方式。但在认证方式上，仅

45%

的用户表示使用的是多因素认证，其中，9%

的用户使用的是SSO+OTP，有

4%

的用户在多因素认证中用了生物特征。这与国外《TheState

ofZero

Trust

Security2021》报告中披露的

80%+

有很大的差距。19现代企业零信任安全落地实践应用指南技术应用发展状况数据来源：安全牛公开调研图11

认证方式MFA

通常指采用实体所知、实体所有、实体特通过提高验证复杂度和降低使用体验，提高身份验证的准确度。但这一理念与人类努力通过提高易用性和便捷性让网络体验更美好的愿景相悖，所有企业都需要在可用性和安全性之间进行权衡。一份关于身份和访问管理成熟度的调研报告显示，在

MFA

的应用中，用户总是倾向使用体验更多一些，而不是更安全。因此，提高MFA

的易用性将成为未来身份和访问管理发展的重

趋势之一。征中的任意两种组合验证的方式来确保身份的正确性，本质是要图片来源：《TheState

ofZero

Trust

Security2021》图12安全与可用性的权重为了提高

MFA

应用的效率和体验，行业逐渐提出了无密码验证的概念。无密码验证

旨在将显式密码用隐式密码的登录验证方式进行替换。相对显式密码在网络空间中被窃取的20现代企业零信任安全落地实践应用指南技术应用发展状况概率低，被认为是验证（One-Time

Password，OTP）、用户行为分析验证（User

and

Entity

Behavior

Analytics，UEBA）、线上快速身份验证（FastIdentityOnline，FIDO）。一种安全的验证方式。但访问发起方需要随身携带验证实体，典型的有生物特征、动态口令■ 

生物特征验证生物特征具有唯一性、终身不变以及较好的“携带”体验等优势，该技术先后发展了指纹、脸像、虹膜、行为特征等多种不同类型的生物特征标识方式，在金融、移动支付领域得到广泛应用。但生物特征的私密性低、采集相对容易，不适于单独作为验证依据。■ 

OTP

验证OTP

验证也称一次性密码验证，采用了共享本，而是将密码管理替换成可以产生动态口令的生成器，通过定期轮换或“一次一密”的方式动态生成授权访问的令牌给访问主体。这可以确保没有人掌握远程访问的登录密码，能更好的实现无密码化。随着携终端的及，OTP

在应用中的被接受程度正在变得越来越高。密钥的原理，但与静态密钥的区别是不需要存储或管理密钥样便普■ 

UEBA验证UEBA

在身份认证中常被作为是知正确的行为建模。当用户发起访问请求时，系统将实时采集的登录特征值与预置的正常行为模型比对，同采用多维度关联分析、异常行为分析等技术确保访问请求主体身份的正确性和操作的安全性，对提高账户安全和访问过程安全起着的作用。MFA

中第二验证因子验证访问请求是否可信。使用中，需要提前对用户已时重要行为建模是符合用户真实行为的画

像，并能确保这些画

像在采集过程中的隐私安全是UEBA

应用的重

前提。本次调研中，厂商在应用实践中结合了

AI

学习技术：根据用户一段时间段内（一般三十天内或以上）常用的访问时段、IP

地址、设备信息、登录位置、操作内容等建立用户行为画

像，典型代表性厂商有九州云腾、深信服。目前

UEBA

应用的挑战之一。由于用户与设备数量众多，行为画

像更是千人千面，如何采集到要■ 

FIDO验证FIDO

是通过生物识别来获得私钥授权。由

FIDO

联盟推动技术标准化和应用推广工作，在国内、国际的第三方支付公司、银行、证券等金融机构中应用非常广泛，目前处于

FIDO2.0

阶段。一项拥有国际标准的多因素认证技术。基本原理是通过公私钥签名

/

验签方式进行身份鉴别，但21现代企业零信任安全落地实践应用指南技术应用发展状况3.4

信任评估和最小化授权持续信任评估和权限最小化是适度的访问权限。分别对应零信任架构中的信任评估引擎和访问控制引擎，也是实现零信任细粒度访问控制的两个重

单元。零信任的基本原则，其目标是使主体的信任等级和访问资源之间能持续保持要应用中，持续评估和权限最小化都应遵循适度的原全运营的效率。因此，“持续评估和最小化授权”的关键点在于如何确定与企业安全战略相匹配的信任评估模型，而不必去度量持续评估的密度和授权最小化的粒度。则，过渡或不足的细粒度追求都不能有效提升零信任安■ 

信任评估能力建设的成熟度模型信任评估是假设在ACL

规则不可信的情况下，通过建立一种全向量的动态风险评估的系统来提升访问策略执行的安全性，策略关系上更靠近访问主体。通用表达式：∑访问实体*扩展信任因子其中，访问主体的实体类型有：人、设备、应用、系统、接口等；扩展信任因子主要有：行为、时间/地点、网络空间。为实现细粒度授权，信任评估引擎的计算关系。为保证可信计算的可扩展性，每个因子的信任计算模型和授权策略应该考虑独立设计。实际应用中，不场景主体身份验证所用的实体不同，有的甚至需要进行组合乘法计算，相同实体不同场景采用的验证方式很多时候也会有所不同。因此，信任评估的计算模型不具备场景通用性，要根据行业或应用场景制定。结果要数字化并按级别与所有可识别的权限之间建立

mesh

映射同根据调研，我们通过信任评估成熟度模型的方式，将信任评估系统分成了

4

个级别，希望能帮助企业更好的定义符合自身环境和需求匹配的信任评估模型。如图13

所示。22现代企业零信任安全落地实践应用指南技术应用发展状况图13

信任评估成熟度模型■ 

最小化的授权机制访问控制引擎是进行权限授权、权限最小化的工作单元，与工作负载靠近更多些，如图14

所示。与传统授权方式的区别在于：（一）访问的权限范围及数据敏感级别和信任级别要保持动态一致；（二）授权策略的粒度要覆盖

到网络、设备、应用、业务、数据、接口；（三）要基于多因素的授权策略自动计算出最小权限。原则上，零信任的授权机制，在业务场景不变的情况下，访问控制引擎的计算机制不应受企访问主体和客体增减变化的影响；业务场景变化时，需要为新场景重

新构建与之匹配的授权计算模型。图14

零信任的授权模型23现代企业零信任安全落地实践应用指南技术应用发展状况3.5

身份管理架构持续演进零信任访问控制要业务关联与变化的复杂度，已经不是单一业务认证和权限管理可以支撑的，也不是相互割裂的多个认证

-

权限管理系统的简

单堆叠，而是用统一身份视图构建满足企业多业务、全量身份的管理平台，这目前已经成为零信任建设的重

命题。以身份管理为基石。在企业综合业务访问控制前提下，身份的类型、应用范围、广泛性、要认证和授权管理是验证方式、协同机制等不同维度在纵深方向都得到了很好发展，形成了比较庞大且相对成熟的技术体系，如图15

所示。访问控制中两个非常重要的技术，在过去30

多年的持续演进中，其权限管理、鉴权机制、图15

传统身份认证和访问管理的架构但随着实体范围、样本管理、授权策略、认证机制、应用环境等多个方面都提出了新的要求，特别是认证方式和授权机制。为了区别传统的身份管理，我们对传统身份管理和增强身份管理的主要功能向量进行了对比，如表1

所示。数字空间、网络安全空间对“信任”需求的增长，对身份认证及访问管理的技术体系从身份管理的表1

传统身份管理与增强身份管理对比24现代企业零信任安全落地实践应用指南技术应用发展状况关于零信任身份管理系统的演进，本期报告参考了

OKTA

身份与访问管理的调研报告中给出的身份与访问控制成熟度的演进的路线图，如图16

所示。目前身份和访问管理应用的整体水平基管传统

IAM

框架在多数场景中仍可以一定程度的满足零信任能力建设的需求，但长远看，不管是技术的覆盖力还是场景的适配性都有待进一步向前演进和迭代。本处于

Stage1

的阶段，尽能图16身份和访问控制的演进路线25现代企业零信任安全落地实践应用指南零信任安全架构实践第四章零信任安全架构实践国内零信任领域的践行者在国际参考框架的基础上，基于不同技术和架构进行了积极的实践，目前应用覆盖的场景主要聚焦于远程访问、终端安全、数据安全、应用安全

4

个方向。图17零信任实践的主要应用场景由于业务云化转型和疫情影响，远程访问的安全需求相对其它三个方向更迫切，在行业的实践也最为充分。根据选用技术路线的不同，典型分为：客户端请求的ZTNA

模型（C-ZTNA）、服务端代理的ZTNA

模型（S-ZTNA）、安全访问服务边缘（SASE）和网络安全网格（CSMA）4

种。■ 

C-ZTNA

模型是以中心防护为主的零信任模型，适用于典型的

Client-Server

访问模式，以该架构落地的实践也最多，典型场景是远程办公。■ 

S-ZTNA模型客户端和服务端分别与

ZTNA

平台建立连接通道，相互之间没有直连通道和暴露面，典型场景是消费服务代理。■ 

SASE是以

SaaS

化的方式提供边缘连接的安全访问服务，代表性厂商多为具备安全基因的广域网连接服务能力的提供商。■ 

CSMA

旨在通过身份标识管理来重

构传统的通信网络。4.1

C-ZTNA模型C-ZTNA

模型

是求，为其提供安全认证并以桥接的方式在访问请求的主体和客体间建立链路连接的一种访问模型。它由完全独立的控制面和数据面构成，如图

18

所，控制中负责身份认证，数据面负责业务连接。SDP是客户端请求ZTNA

典型的一种技术实现方式。一种为客户端提供访问控制功能为主的

ZTNA

模型。ZTNA

平台接收客户端发起的访问请26现代企业零信任安全落地实践应用指南零信任安全架构实践访问请求总是行身份认证和验证，认证成功后会向请求的客户端返回准入标识符，用于建立数据面连接。数据面采用SDP网关作为请求主体与资源连接的门户，在收到携带准入标识符的客户端发来的连接请求后，以透传或代理访问的方式帮助访问主体和客体建立访问连接。SDP

控制器会在整个访问过程中对访问风险进行识别，并能根据风险变化弹性调整被访问资源的可见范围和连通性。由完全独立的客户端发起，

SDP

控制器接收访问主体的访问请求，对客户端的访问主体进在该架构中，细粒度授权和访问控制分别由

SDP

控制器和

SDP/API

网关负责，能力提供者以网络访问控制厂商居多。客户端请求的ZTNA模型的特点主要表现为：•

客户端须安装

Agent

收集并提供客户端的验证信息，并代理主体发起私密请求；•

访问主体与客体会直接建立网络连接，需要做好暴露端口生命周

期的管理；•

适用于业务中心化企业，客户端和服务资源可以由企业统筹运营、维护的远程办公场景；•

网络拓扑与传统

VPN

网关连接的拓扑相似，这对于有计划从传统边界防护向零信任架构演进的企业，改动少，改造周

期和成本也较小。图18C-ZTNA

架构4.2

S-ZTNA

模型S-ZTNA

模型

是先在

ZTNA

平台进行注册，ZTNA

平台以“代理”的角色为企业对外发布或共享的资源代理访问服务的远程访问模式。原理框图如图

19

所示，客户端和服务端分别与

Proxy

和

Connector

建立连接通道，相互之间没有直一种为应用

/

服务提供代理功能为主的

ZTNA

模型。指企业对外共享的应用、服务需要预27现代企业零信任安全落地实践应用指南零信任安全架构实践连通道和暴露面，也不再区分控制面和数据面。•

Proxy

一方面接收服务端的请求，实现企业对外共享或发布资源的注册；另一方面，接收客户端发起的请求，对客户端进行身份验证，理解服务请求并响应客户端的请求资源；•Connecter连接企业内部的资源服务器，对

Proxy

代理请求资源进行细粒度的访问控制。该模式下，身份管理不仅要管理与风险评估。因此，对身份管理的覆盖

能力和细粒度要求会更强。由于该访问模型对复杂身份管理功能的依赖，提供商大多以在身份安全领域更具有优势能力的厂商为主。支撑客户端的身份验证，还要统筹服务端的应用、服务程序等注册资源的身份与C-ZTNA

模型的主要区别：•

访问主体不需安装

agent，可以很好的支持非可控终端、客户端的远程访问需求；•

访问主体和服务之间不建立直接访问链路，所有资源都不需对外暴露端口，架构设计中不需考虑端口隐藏；•

ZTNA

平台要担负统筹全域的、全周

期的端

-

端业务安全访问的重要职责，对身份和访问控制的管理从覆盖范围、风险管理等方面提出了更高要求，相对客户端访问的

ZTNA

需要更强大的身份和访问管理能力；•

适用于开放型业务访问的场景，如电商平台、多中心或企业并购要进行网络重

组互联网企业，对

ZTNA平台扩容能力、鲁棒性和风险管理能力的要求也更高。图19S-ZTNA

模型目前企业内部

B/S,C/S

架构服务混合应用已是加剧，并且从未来看这种状态应该会持续存在。因此，多数企业在远程访问中需要时具备客户端型和服务端型

ZTNA

的访问能力。调研中，目前国内主流的

ZTNA

方案提供商的产品可以同时支持两种访问模式。常态，同时企业外部可控、非可控人员

/

设备混合办工日益同28现代企业零信任安全落地实践应用指南零信任安全架构实践4.3

基于

SASE

架构的零信任访问企业服务云化、去中心化是数字化转型发展的重要趋势之一。这种环境下企业安全的重

心需要转移到云计算中心及中心外所拥有的数据资产。安全访问服务边缘

SASE（Secure

Access

Service

Edge）是云交付的

SaaS

化的安全访问服务。目标是为分布且混合办公环境下的用户

/

设备安全的访问互联网或云端服务提供一种安全解决方案，而不侧重

于保护企业网络边界内的资产。将端

-

端互连和安全能力融合在一起的，可以实现这一目标的关键是心功能

:（一）对跨地区跨平台的终端进行识别；（二）对客户端应用程序及运行环境的风险识别；（三）统筹业务之间端

-

端的连接。因此，SASE

的本质是一个以身份及风险管理为中心来提供广域网业务连接服务的管理平台。架构如图20

所示。为提供更高质量的业务连接服务，SASE

平台还需要引入网络优化、终端安全以及一定比重

的安全管理和可视化能力。但所有安全能力都是为更好支撑业务连接服务，而不是提供独立的安全服务。能够对分布部署的服务进行有效的、细粒度的管理和访问控制。它需要具备三个核目前SASE应用主要（二）结合

SD-WAN

技术为企业构建安全可靠的链路传输。典型的行业用户以数字银行、智能制造、医疗等数字终端广泛分布的行业为主。体现在：（一）结合终端沙盒、安全域技术为企业广域网的客户端提供数据泄露防护；图20SASE

架构29现代企业零信任安全落地实践应用指南零信任安全架构实践4.4

基于CSMA

架构的零信任访问网络安全网格

CSMA（Cybersecurity

Mesh

Architecture）

Gartner

将

CSMA

定义为一种在超越传统边界的环境中构建的具备自协作效应的安全生态系统，其目标是为企业安全运营提供一套完整的可自定义的、自适应的可视化管理平台或服务。CSMA

的本质是现点

-

点业务连接和安全管理的目的。企业通过

CSMA

平台可以自定义一个适应业务发展需求，并且具备自适应安全能力的逻辑网络，以简

化复杂数据资源、终端、用户在分布的无边界网络环境中的安全策略的管理问题。通过数据包自带的身份标识的方式对物理网络中的数据流转进行集中编排和管理，从而实CSMA

实现的基础是数据标识和网络编排。Gartner

对

CSMA

系统架构的定义如图

21

所示，包括安全分析和情报、标识系统、中心化策略管理、安全看板

4

个各自独立又紧密协同的核心能力。•

安全分析和情报

收集安全告警、日志、情报并进行安全风险分析；•

标识系统

对流转的数据包进行身份标识的分配和管理，并对原数据包进行重

新封装；•

中心化策略管理

结合风险分析对标识的数据包进行动态编排以保障数据安全流转；•

安全看板

实现企业所有安全设备的统一视图。图21CSMA

架构30现代企业零信任安全落地实践应用指南零信任安全架构实践CSMA

在

2021、2022

年

Gartner

的趋势报告中被提及，概念比较新，目前在技术曲线中还处于非常早期的位置。但CSMA

的这种思想对网络运营中如何应用零信任理念起着非常重要的影响。4.5

微隔离技术的应用微隔离是网络访问规则隔离的资源做进一步细粒度划分，使主、客体之间能按更细粒度的访问规则进行访问控制。但微隔离方案在应用中不是单纯的访问控制，还要包括访问策略的管理。实现零信任细粒度访问控制的关键技术之一。其目标是使访问策略与

IP

解耦，将一组无法应用应用安全、终端安全、数据安全是微隔离技术的三种典型应用场景，具体体现在南北向和东西向访问控制、移动端点计算环境安全和数据防护、敏感数据防泄露。图22

微隔离技术应用（1）南北向和东西向访问控制对云计算、IDC

数据中心的应用、微服务进行东西向隔离是微隔离最初的定义。但实践中，微隔离技术在企业中心、云计算中心的东西向和南北向访问控制中都有应用。由于细粒度远程访问的需求，南北向访问流控中也越来越多采用微隔离技术，典型的如

API

网关，所有服务资源按

API

网关设定的调用规则进行分组或组合，避免远程访问范围超出适当的权限。东西向访问控制中的微隔离应用，主要具体体现在

API

调用、数据流控等特殊的控制规则。由于微服务之间也常采用

IP

通信，所以，实践中的东西向访问控制方案网络访问控制规则与微隔离技术常常同时应用。是对微服务之间、微服务与容器编排系统之间流量的精细化管理。31现代企业零信任安全落地实践应用指南零信任安全架构实践（2）移动端点的计算环境安全及数据防护移动通信技术的广泛应用，使企业的网络安全建设逐渐从中心转移到终端设备。原信任安全架构，也将安全从中心延伸到了边缘，结合终端设备基线检测、入侵检测

/

防护、审计的应用，提升终端检测

-

响应的能力，这对终端大量、分散部署的场景进行统一终端安全管理助力很大。来以中心防护为主的零随着。这促使微隔离技术在终端上得到了广泛应用，有的称虚拟安全域，有的称安全工作空间。其原理都是通过沙盒的方式为端点上运行的程序、数据提供隔离的计算环境，使应用和数据受到更严格的保护，避免重的应用程序遭受非安全环境的攻击，隔离域内的敏感数据被泄露或污染。技术上与中心的东西向微隔离技术有相似之处，但沙盒运行的载体、操作系统、接口结构完全不同，具体实现上完全不能复用中心端的微隔离方案。终端算力的提升，去中心化的网络结构逐渐显现，终端上数据、应用等“软资产”的安全对企业越来越重要要典型应用场景包括端点采集、端点计算、流动数据管控，用户主要集中于数字银行、金融券商、军队、医疗医药等垂直行业。（3）敏感数据泄露防护敏感数据是零信任安全保护的核心目的，但零信任理念直接用于保护敏感数据的方案却相对较少。调研中，我们看到有两种典型的数据安全的零信任应用方案：防数据泄露和数据安全管控。移动端和远程终端上的敏感数据的保护，通过安全工作空间技术得到了很好的覆盖

。对云计算了传统数据防泄露、脱敏甚至隐私计算等数据安全能力，对网络中流转的敏感数据进行泄露防护。这与远程办公的零信任方案有异曲同工之处，可以更好地对数据中心进行统一安全管理，是数据中心远程访问安全的重改进。中心的敏感数据，有新兴数据安全厂商提出了数据安全管控平台的方案。它借助零信任理念整合要32现代企业零信任安全落地实践应用指南零信任安全落地应用指南第五章零信任安全落地应用指南有人说“用户想要领先的东西。”，零信任应该就是具备这种潜力的一种理念。相关技术及架构的实践让我们看到了零信任建设的挑战，同时也使我们总结了一套零信任建设的可行建议。的安全并不是他告诉你他今天想要的东西，而是期望得到一个能够帮助他持续保持行业5.1

落地挑战关于零信任的落地挑战，本次报告分别从用户侧和厂商侧进行了调研。在用户侧调研中，认为落地挑战在

3

个及以上的用户占到

64%，最大的痛

点集中于：业务流程

/

数据资产梳理、授权

/

策略管理，如图

23

所示。其中

52%

的用户更愿意以商化采购和自建为主，43%

的用户表示正在试用或已经采购了

SaaS

化服务。品图23

用户落地的挑战在厂商的调研中，认为挑战主要表现如在图

24

所示的八个方面，其中前

4

个挑战占八大挑战的

70%，分别是：与现有安全系统整合、与业务系统对接、信任评估和产品标准化。图24

厂商侧的八大挑战33现代企业零信任安全落地实践应用指南零信任安全落地应用指南5.2

应用建议尽管目前阶段，零信任在进一步追求精细化能力上、标准化产品存在一定程度的挑战，但技术架构上，替代传统

VPN、解决从无到有实现零信任

1.0、做好向未来能力演进方还是具有较高的可操作性。根据国内外的实践经验，我们总结了建设零信任安全从技术实践到转型需要历经5

个阶段，如图25

所示。构建以及未来安全能力的无缝衔接上面还面图25

零信任转型的

5

个阶段零信任的落地建设要指导后续的架构规划和方案实施。从产业调研和技术发展成熟度中，除了部分高阶的细粒度访问控制能力，零信任实践已经过了技术验证阶段，产业对落地零信任各类架构的实践，使我们进一步了解了不同架构的优势特点以及应用中的区别，但互操作性验证目前还非常不充分。建立在遵循零信任基本原则的基础上，但也要考虑充分的技术实践、互操作性验证以现阶段企业零信任落地建设的建议主要包括以下几个方面：(一)

架构规划前，寻找可以借鉴的行业实践目前阶段零信任的互操作性验证还不足，解决方案多处于快速迭代期，无论是隔离控制、传统业务的零信任改造还是全新零信任应用，建设过程中都或多或少要引入一定程度的定制化开发工作。这导致大多数用户还不能完全通过

DIY

组装的方式实现零信任能力的构建。因此，不管是全面的零信任转型还是小规模的改造，规划前，找到与企业的行业类型和规模相当的实践案例能有效规避架构选择和建设实员工远程办公、内网业务的施阶段的“坑”，起到事半功倍的效果。(二)架构规划时，根据企业运营模式选择适合的安全架构安全是速发展做好支撑和保障。因此，对于计划向零信任转型的企业，架构选择至关重

。架构规划时，架构设计师或

CSO

需要充分了解企业的组织结构和运营模式，包括企业未来五年的扩展及并购计划，这可以帮助企业更好匹配中长期发展的零信任架构。企业未来数字化发展的基石。安全架构要具备一定的安全扩容和持续演进的能力，才能为企业的快要34现代企业零信任安全落地实践应用指南零信任安全落地应用指南•

对于中心防护需求为主的中心化运营企业，未来业务规模变化不会太快的企业，选择

C-ZTNA

模型改造会比较简

单，工作量小，架构应用成熟度高，实施成本也较小。•对多中心、上下游供应商密切合作或企业未来五年会有较多并购、拆分计划的企业，选择

S-ZTNA模型，在业务变化、机构扩容时安全适配起来会更快捷，能更符合企业长期的发展计划。•

对边缘设备和数据分布较重

的互联网访问企业，或对远程数据传输质量要求较高需要选择

SD-WAN

的网连办公的企业，选择

SASE

可以给企业提供更优质的安全连接服务。•

而对轻资产的、初创的跨广域网办公的企业，SaaS

化的零信任安全运营服务可以有效的帮助企业节减安全预算，使企业专心于业务规划。(三)

实施前，落实5个要素的技术要求选择合适的安全架构后，需要应用和数据

5

个方面的技术要求。通过技术明细表（如表

2

所示）细化每个要素，并由相关责任人或责任部门对每个要素的技术要求提出需求说明，越详细越好。进一步指定相关责任人或责任部门为安全架构实施落实身份、网络、终端、表2

技术需求明细表(四)

建设中，不能忽略业务部门或提供方的支撑和配合中心防护需求为主的零信任方案，多通过自建或委托安全供应商提供能力建设，企业自行运营。建设过程中业务系统的对接是企业和建设方双方共同的痛

点。业务资产由于其形态、部署位置、权属分散等方面的特殊35现代企业零信任安全落地实践应用指南零信任安全落地应用指南性，梳理起来不像硬件资产那样清素对接更加复杂的。即使在有业务明细表的前提下，也可能会存在诸多变化，甚至要修改业务对接接口。因此，业务部门的支持对推动零信任建设起着非常重

的作用。晰，甚至企业自己的管理员也无法给出全息的业务资产数据，使零信任建设要要在业务应用访问策略时，原对业务负责人明确的访问要求应用访问策略，避免访问权限过大；最后，策略应用完成后，要让业务人员确认访问权限的正确性以及是否在业务变化时对权限进行了及时收回或变更。则上要保证所有业务在接入零信任平台前都不能拥有对外访问权限；其次，仅(五)

正式上线前，务必为零信任系统预留充分的试运行时间在访问控制系统中流量不能旁路，一旦出现故障就会引起业务中断。因此，相比传统网络安全产品访问控制系统的高可靠性、鲁棒性也是企业用户非常普遍和现实的需求，甚至在落地中要求有一些可靠性的建设方案来保障。所以，不管是旧系统迁移还是新系统重

建，正式上线前，都需要给系统预留足够的时间确定系统运行的稳定性、行为分析模型的可用性，同时识别和修复不符业务访问期望的策略。零信任根据本次调研，可参考试运行周

期在

3-6

个月。(六)

上线后，重

视零信任系统的安全运营上线后，零信任系统的安全策略都需要因此，零信任安全系统必须要纳入企业整体的安全运营