零信任发展研究报告（2023年）

零信任发展研究报告

（2023年）

中国信息通信研究院云计算与大数据研究所

2023年8月

前言

近年来，云计算、大数据等新一代信息技术与实体经济加速融合，

产业数字化转型迎来发展新浪潮。企业IT架构从建设到运营发生极

大变革，防护机制从以网络边界为核心向以身份为核心的零信任转变，

零信任产业已形成蓬勃发展的良好态势，愈发得到行业关注。

中国信通院持续跟踪零信任发展历程，曾在2020年8月、2021

年5月发布《网络安全先进技术与应用发展系列报告——零信任技术

（ZeroTrust）》1、《数字化时代零信任安全蓝皮报告》2等研究报告，

对零信任基本原则、逻辑架构组成、通用应用场景等进行了阐述。2023

年发布《零信任发展研究报告》，报告聚焦过去两年多零信任产业的

新发展新变化。报告首先介绍了数字化转型深化后企业IT架构所面

临的安全挑战，零信任如何解决安全挑战以及如何应对新的安全威胁。

其次从零信任供应侧和零信任应用侧两大视角对我国零信任产业的

发展情况与应用痛点进行观察和分析。在零信任供应侧方面，梳理了

国内各零信任厂商安全水平概况，分析了重点行业零信任市场近三年

发展态势。在零信任应用侧方面，基于对重点行业用户的调研结果，

从零信任建设前期、建设中期和使用运营期，分析了用户零信任建设

过程中的痛点、肯定与思考，为零信任供应侧提升和优化能力提供指

引，同时增强应用侧用户的落地信心。最后总结了零信任技术发展趋

势，并对零信任产业发展提出建议。

1/kxyj/qwfb/ztbg/202008/t20200812_302242.htm

2/kxyj/qwfb/ztbg/202105/t20210521_377790.htm

目录

一、零信任保障资源可信访问，应用价值日益凸显..............................................1

（一）零信任弥补传统安全防护机制缺陷.........................................................1

（二）零信任为新的安全场景提供有力保障.....................................................4

（三）零信任相关政策与标准涌现，驱动产业规范发展.................................7

二、产业供应侧调研洞察：零信任能力生态逐渐成熟........................................10

（一）围绕六大领域能力，建立产品体系.......................................................10

（二）行业应用不断深化，零信任市场步入成长期.......................................20

三、产业应用侧调研洞察：用户对零信任建设尚存顾虑，同时肯定零信任核心

价值25

（一）零信任从零到一，落地部署面临多重阻碍...........................................25

（二）微隔离市场向好，用户看重网络分段能力...........................................27

（三）应用价值受肯定，仍需避免重建设轻运营...........................................28

四、我国零信任发展趋势及建议............................................................................30

（一）零信任技术发展呈三点趋势...................................................................30

（二）零信任产业发展的四点建议...................................................................32

图目录

图1基于零信任理念的逻辑架构..............................................................................1

图2我国零信任供应侧发展路径............................................................................14

图3供应侧SaaS化情况..........................................................................................16

图4供应侧零信任能力分布....................................................................................17

图5身份安全产品联动情况....................................................................................17

图6安全管理产品联动情况....................................................................................18

图7终端安全产品联动情况....................................................................................19

图8供应侧企业落地零信任客户数量区间............................................................21

图9微隔离类产品纳管工作负载总数....................................................................22

图10软件定义边界类产品纳管员工总数..............................................................23

图11零信任应用环境情况......................................................................................24

图12落地零信任使用场景情况..............................................................................25

图13统一整个基础设施的策略管理......................................................................31

图14身份信息穿透业务访问全程..........................................................................32

表目录

表1国外零信任相关政策...........................................................................................7

表2零信任安全能力与子能力.................................................................................12

零信任发展研究报告（2023年）

一、零信任保障资源可信访问，应用价值日益凸显

零信任秉持“永不信任，持续验证”的理念受到业内广泛关注，其

打破了网络位置和信任间的潜在默认关系，致力于降低企业资源访问

过程中的安全风险。基于零信任理念的逻辑架构如图1所示，由零信

任核心逻辑组件和内部或外部数据源组成，零信任核心部分分为控制

平面和数据平面。

来源：NIST

图1基于零信任理念的逻辑架构

位于数据平面的访问主体发起访问请求，由控制平面的策略引擎

进行身份认证与多源评估计算，由控制引擎对计算结果进行判定，决

定授权策略，一旦授权访问，控制引擎将通知数据平面的安全代理，

为该次访问建立安全连接。策略引擎仍持续对访问进行评估，一旦参

与因素或其行为发生变化，策略引擎将依据新的评估源重新评估，控

制引擎将依据评估结果判定授权策略是否需要改变，随时通知安全代

理执行相应操作，最大限度保障资源安全。

（一）零信任弥补传统安全防护机制缺陷

1.IT架构从封闭走向开放，传统安全防护架构面临

挑战

1

零信任发展研究报告（2023年）

近年来，国家高度重视和支持数字经济发展，大力支持产业数字

化，同时，用户需求不断升级，驱动企业加速数字化转型进程。传统

企业安全架构基于网络边界构建信任域，随着数字化不断深入，边界

逐渐消失，企业IT架构面临更多安全挑战：一是数据中心内部东西

向流量安全防护薄弱。随着应用云化，构建方式微服务化，服务间需

进行频繁的通信和交互，数据中心内部互访力量增多。传统安全防护

侧重南北向，若有东西向流动的恶意流量，无法提供防护。二是安全

策略仍待细化。随着虚拟化、容器等云计算技术的广泛使用，企业纳

管资源粒度不断细化，安全防护策略也需随资源粒度的细化而细化，

以承载不同类型、不同级别的业务。三是跨云的连接、数据传输使得

资源暴露面增大。随着5G与分布式云的融合，用户得以在任意时间

使用任意设备从任意位置快速获取资源，然而云间的连接点尤为脆弱，

攻击者可以通过攻击进入云中，并在云间实现威胁渗透。四是防火墙

与VPN无法保证用户操作合法性。无界办公需求增多，用户接入方

式复杂多样，传统的网关安全防护设备无法判断拥有账号、密码的用

户身份是否合法、操作行为是否符合其身份。

随着远程办公常态化，数字化工作空间规模化使用，终端和身份

面临更多不可信问题：一是网络接入位置和时间多变，用户不可控性

增加。外网连接占比增多，时间从集中变得分散，大量外网访问行为

中可能混杂着黑客行为，仅依靠传统VPN（VirtualPrivateNetwork，

虚拟专用网络）技术难以对用户身份是否合法进行有效判断。二是使

用未受管控设备办公，致使风险要素增多。过去员工主要使用企业派

2

零信任发展研究报告（2023年）

发的固定设备办公，由于默认内网安全，终端管控手段较为简单。随

着使用BYOD（BringYourOwnDevice，自带设备）与移动设备办公

的员工逐渐增多，企业数据将与未知下载路径的私人应用共享同一空

间，关键数据所有权模糊，且与企业派发设备相比，BYOD软硬件环

境的安全状态更加难以预测，传统终端管控手段难以应对。三是供应

链协作触发业务流转，数据保护难度增大。随着数字化业务的开展，

数据由静止转向流动，保护对象时刻更迭，其所应授予权限也处于变

化状态，传统数据安全防护手段无法依据数据重要等级进行差异化防

护，且各企业安全管理机制有差异，防御能力参差不齐，难以有效保

护。

随着数字经济走深向实，企业不断开展产品服务创新实现业务转

型，企业将面临新的特性威胁：一是业务面临更多欺诈威胁。数字化

转型赋能业务模式创新，新零售等新业务形式涌现，优化整合线上线

下资源，数字化零售业务从线下转向线上，新零售面临大量欺诈、羊

毛、作弊、盗用、虚假信息、刷单等业务安全威胁，传统安全防护手

段无法有效解决。二是物联网终端安全防护能力差异大，终端设备易

被入侵。物联网具备独特的组网模式，通信传输体系复杂，通信协议

安全性差，且智能产品多处于网络边缘，终端安全防护能力差异较大，

大量传统安全防护手段主要解决以太网安全问题，物联网终端设备易

受入侵和劫持，边界安全防护无法覆盖到位。

2.零信任规避传统安全机制中过度信任问题

传统安全机制失效背后的根本原因是过度信任，零信任不为任何

3

零信任发展研究报告（2023年）

参与因素预置信任条件，其根本也是为了解决信任问题，通过动态的、

持续的验证，判断访问主客体之间是否存在信任关系，以对主体到客

体间的资源访问进行实时防护，具体表现在：一是面向资源管理而非

网络。零信任将一切视为资源，任意粒度、任意位置的访问主体对资

源的访问都需要进行认证和授权，企业内部资源间的互相访问也需要

进行身份验证和权限判定，能够有效抵御威胁横向移动带来的安全风

险。二是屏蔽安全策略预分配带来的威胁。零信任能够对物理设备、

云服务、接口等所有层级的资源进行防护，在访问主体身份验证和权

限判定成功后，仅为其提供满足需要的最小粒度的资源，细化安全策

略至资源层面。三是资源对外隐身。利用端口隐藏等技术手段，在访

问主体通过验证之前，受访资源对其隐身，大大降低了资源的可见性

和攻击暴露面，减少不可控、不可见的安全威胁所带来的攻击。四是

以身份为核心执行动态安全防护。零信任强调通过身份信息与多源数

据对每一个访问行为进行信任评估，动态授予相应权限，能够对内部

访问、远程访问和数据交互的人员、设备、环境等进行有效的安全把

控，缓解凭据盗用、高风险误操作等带来的安全威胁。

（二）零信任为新的安全场景提供有力保障

1.零信任保障软件供应链安全

近年来，软件供应链攻击规模持续增长，调查显示3，过去三年

全球软件供应链攻击的平均年增长率高达742%。零信任的应用能够

抵御上游供应商、软件开发流程和工具的安全风险，是企业软件供应

3Sonatype《8thStateofthesoftwaresupplychain》

4

零信任发展研究报告（2023年）

链安全建设的有效举措。一是限制上游供应商权限，零信任基于最小

化权限原则对供应商的访问过程进行动态授权，防止攻击者以供应商

为跳板侵入企业网络环境后进行横向移动，收敛软件供应链攻击的风

险范围；二是助力研发运营关键环节的风险监测与安全准入，零信任

与安全左移相融合，默认第三方组件、容器镜像、代码仓库等实体不

可信任，在研发运营流程中通过多层次的自动化安全检查，发现各实

体的漏洞、运行时攻击等风险，保障软件供应链交界面的安全研发与

交付。

2.零信任抵御勒索软件攻击

当前，勒索软件攻击形势严峻，对关键信息基础设施等领域造成

严重影响，据预测4，勒索软件损失到2031年将达到2650亿美元。

基于零信任理念的安全防护架构可帮助企业降低勒索软件攻击风险，

提升威胁进入壁垒，主要表现在以下几个方面：一是身份验证贯穿访

问始终，零信任默认安全风险无处不在，不为访问主体预置信任，在

访问过程中持续验证身份，加大攻击者渗透整个网络的难度；二是访

问行为的持续监测，勒索软件在攻入企业内网后，会对关键数据的位

置进行扫描，零信任通过对访问主体各行为进行监测，识别高危动作，

及时执行访问降级或阻断；三是网络微分段精细化流量管理，攻击者

可能控制某些脆弱的单点，当其通过已攻击的终端向网络内部更重要

系统横向渗透，通过网络微分段将网络划分成细小的分段，阻止勒索

软件在网络中进行横向移动，从而将勒索软件的影响从企业内网多台

4世界经济论坛《2022年全球网络安全展望报告》

5

零信任发展研究报告（2023年）

业务服务器和数据存储服务器降低至单一用户的电脑，将风险控制在

最小限度。如Akamai通过收购Guardicore及其一流的网络微分段解

决方案，以应对Conti的勒索威胁；四是多因子认证强度可动态变化，

当访问认证通过率较高时，可以降低多因子认证强度以提升用户体验，

当访问主体信誉度较低时，可提升多因子认证强度，降低组织中最主

要攻击类型的脆弱性并增加潜在威胁者接管账户难度。

3.零信任促进公共数据与服务安全开放

抗击新冠疫情的过程充分彰显了公共数据和服务的价值意义。为

了有效应对突发事件、提升经济和社会公平性，全球多国积极推进数

字公共基础设施的建设，促进公共数据和服务的开放。零信任理念能

够提升数字公共基础设施的安全访问，保障公共数据和服务的价值释

放。一是建立统一数字身份避免数字鸿沟，零信任为人、企业组织等

实体建立唯一数字身份标识，避免实体通过多个身份账号获取额外的

公共福利，如印度多个福利项目基于数字身份系统Aadhaar清理受益

名单；同时，数字身份的发放能够打破地区局限，任何地方的任何人

都可以方便获得唯一的数字身份，有效促进发展援助、国际合作等方

面的发展。二是最小化动态授权避免数据和服务的滥用，零信任能够

对数字公共基础设施的每一个访问进行风险评估并授予最小权限，验

证访问主体是数字身份的真实持有人，同时确保数字身份的真实持有

人仅能获取权益内的公共数据和服务。

6

零信任发展研究报告（2023年）

（三）零信任相关政策与标准涌现，驱动产业规范发

展

零信任已经从一个新兴安全理念发展成为全球网络安全的关键

技术，商业模式走向成熟，市场逐步规模化，已成为了政企数字化转

型的首选安全战略。

以美国为首的发达国家高度重视零信任能力建设。如表1所示，

自2019年起，美国陆续发布零信任指导建议、计划等推动零信任在

美落地，其他发达国家也纷纷在零信任领域展开布局，以强化网络空

间话语权。2022年11月22日，美国国防部发布了《国防部零信任

战略》和《国防部零信任能力执行路线图》，计划在2027年之前实施

战略和相关路线图中概述的独特的零信任能力和活动。2023年4月

11日，CISA（美国网络安全和基础设施安全局）发布第二版零信任

成熟度模型，旨在降低美国机构实施零信任的壁垒。种种举措显示美

国正加速在零信任领域的研究与应用。

表1国外零信任相关政策

时间政策发布组织名称侧重点

美国

ACT-IAC

（美国技术委员《零信任网络安全当前对政府机构采用零信

2019.04

会-工业咨询委趋势》任进行评估

员会）

DIB（美国国防指导国防部实施零信

2019.07《零信任安全之路》

创新委员会）任架构

2019.07DISA（美国国《DISA战略计划2019-明确DISA网络防御

7

零信任发展研究报告（2023年）

防信息系统局）2022》战略重点为零信任

《零信任架构（ZTA）建建议将零信任实施列

2019.10DIB

议》为最高优先事项

建议DoD下一代网络

《国防部零信任参考结

2021.02DISA安全架构基于零信任

构》1.0

建设

NSA（美国国家《拥抱零信任安全模提出渐进式部署零信

2021.02

安全局）型》任方式

发动联邦政府迁移上

2021.05美国总统拜登14028号行政令

云使用零信任架构

OMB（联邦政《美国政府向零信任网要求各机构在2024年

2021.09府管理和预算办络安全原则的迁移》（征前实现具体的零信任

公室）求意见稿）安全目标

CISA（网络安

《零信任成熟度模型》细化五个“具体的零信

2021.09全和基础设施安

（征求意见稿）任安全目标”

全局）

《云安全技术参考架推荐采用零信任辅助

2021.09CISA

构》（征求意见稿）迁移上云

概述国防部计划如何

《国防部零信任战略》、

在2027年前在国防部

2022.11DoD（国防部）《国防部零信任能力执

范围全面实施零信任

行路线图》

网络安全框架

为机密网络开发零信

2023.2DISA雷霆穹顶第二阶段任安全和网络架构计

划原型

《零信任成熟度模型》降低美国机构实施零

2023.4CISA

（第二版）信任的壁垒

英国

2020.10NCSC（英国国《零信任架构设计原积极响应美国零信任

8

零信任发展研究报告（2023年）

家网络安全中则》战略，为政企机构实

心）施零信任提供参考

加拿大

加拿大政府部门

采用零信任等新方法

2021.03机构-共享服务《网络与安全战略》

支撑未来网络服务

部

新加坡

要求相关机构实现从

2021.10新加坡政府《网络安全战略2021》边界防护向零信任安

全模式转变

来源：公开材料整理

我国加大政策保障，推动零信任落地。目前我国正在从政策、行

业实践、产业发展等多个层面对零信任进行积极探索，工业和信息化

部通过多种举措引导零信任发展，前期以推动零信任理论研究和技术

创新为主，后期加强零信任技术应用，推动项目落地，具体表现为：

一是，发布《网络安全产业高质量发展三年行动计划（2021-2023年）》，

重点围绕“加快开展基于开发安全运营、主动免疫、零信任等框架，推

动创新技术发展与网络安全体系研发。加快发展动态边界防护技术，

鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术

产品应用”等内容展开。二是，多个零信任项目入选重点领域试点示

范项目名单，包括“2022年网络安全技术应用试点示范项目名单”、

“2021年大数据产业发展试点示范项目名单”等。

我国已从多层级启动零信任标准研究，协助建立产业规范。为落

实国家网络信息安全相关要求，我国已从多层级开展零信任标准研究。

国际标准方面，由中国企业主导的ITU-T（国际电信联盟电信标准分

9

零信任发展研究报告（2023年）

局）零信任国际标准《服务访问过程持续保护指南》正式发布；国家

标准方面，全国信息安全标准化技术委员会正在开展《信息安全技术

零信任参考体系架构》的编制；行业标准方面，中国通信标准化协会

正在开展《面向云计算的零信任体系第2部分：关键能力要求》、《面

向云计算的零信任体系第6部分：数字身份安全能力要求》、《面向

云计算的零信任成熟度评价模型》、《零信任安全技术参考框架》与《网

络安全产品能力评价体系第11部分：基于零信任架构的业务安全平

台评价方法》等标准的研究工作。

二、产业供应侧调研洞察：零信任能力生态逐渐成熟

零信任供应侧方面，本报告调研了近五十家国内零信任厂商，梳

理零信任所涵盖的六大领域，洞察各厂商零信任安全水平概况，分析

其在重点行业零信任市场近三年向好发展态势，以增强零信任产业蓬

勃向好发展的信心。

（一）围绕六大领域能力，建立产品体系

1.零信任能力涵盖六大领域

对于网络攻击者，只需要找到整个网络防护的一个脆弱点即可攻

破网络，而作为网络安全防护者，需要进行整体的防御。因此，基于

零信任理念展开的安全防护不单独强调技术，而是强调解决了哪个领

域的安全问题。

本报告中，零信任能力涵盖六大领域，如表2所示：数字身份是

基础组件、是核心，联合网络环境安全、终端安全、数据安全、应用

工作负载安全和安全管理五个关键能力，共同赋能企业整体安全防御。

10

零信任发展研究报告（2023年）

数字身份主要解决用户身份不统一，以及IT架构中所有对象数

字身份缺失、不合法等问题。一是，对接入用户、组织架构、设备、

应用赋予唯一身份标识，并对其数字身份进行全生命周期管理，完成

身份的自动化管控；二是，通过持续的身份认证，确保访问主体在整

个资源访问过程中身份的合法性。

网络环境安全主要解决威胁的横向移动，以及传输数据被窃取等

问题。一是，将资源划分到一个个微小的网络分段中，分段间通过策

略隔离，阻止威胁的扩散；二是，对网络传输链路进行加密，以保证

数据传输过程中的安全性。

终端安全主要解决使用移动终端办公难以对设备进行管控，以及

不同终端的安全基础不同易引入威胁等问题。一是，加强终端威胁检

测，实现终端安全状况可感；二是，对所有连入企业网络的移动终端

进行纳管，实现BYOD可控；三是，建立终端基线，对于不符合基线

要求的终端可修复。

数据安全主要解决数据资产安全防护无法差异化，以及数据在使

用、传输和存储过程中意外泄露等问题。一是，通过数据分类规范化

关联关系，再通过数据分级实现数据防护策略的差异化；二是，通过

数据脱敏、加密、审计等技术手段降低数据泄露的可能性。

应用工作负载安全主要解决两类被访问资源的安全问题，包括容

器、虚拟机等基础设施资源，以及应用系统、API等应用资源。一是，

通过安全基线扫描、漏洞管理、入侵检测等技术手段，辅以计算资源

纳管清单、供应商名录等管理手段对基础设施资源进行防护；二是，

11

零信任发展研究报告（2023年）

在应用研发阶段引入安全检测流程、为已发布应用提供各类恶意攻击

防护手段，以及持续验证应用执行的动作是否符合其权限。

安全管理主要解决各安全组件无法联动处置威胁、流量不透明等

问题。一是，通过编排将各安全工具的能力以某种逻辑组合在一起，

联动进行威胁的检测与响应；二是，联动各安全组件并以可视化形式

展示监测指标，以便快速定位威胁。

表2零信任安全能力与子能力

能力子能力能力描述

对人、设备、应用、资源等所有对象赋予数字

数字身份管理身份标识，并对数字身份信息和用户凭据进行

身份安全集中管理

提供统一集中认证、单点登录、会话管理和访

访问管理

问控制等能力

网络安全对C/S架构、B/S架构等多种场景下的访问接

入进行认证，并基于信任评估和权限判定结

安全网关

果，对认证成功的访问主体建立相应安全访问

通道

通过SSL（安全套接字层）、TLS（安全传输层

网络传输安全

协议）等方式实现网络传输保密性

应用工作保障数据中心、公有云、私有云等跨云环境中

负载安全云工作负载安全的工作负载安全，覆盖物理机、虚拟机、容器、

Serverless（无服务器）等不同粒度资源

提供工作负载及应用间的流量隔离与可视化

微隔离

能力，实现细粒度安全策略管理

提供应用系统、API（应用程序接口）、SaaS（软

应用安全件即服务）等应用资源的安全防护能力，包括

发现、修复应用安全漏洞等

12

零信任发展研究报告（2023年）

数据安全基于合规要求与用户业务场景，对数据进行分

数据分类分级

类分级管理

数据防泄漏检测和防止潜在的数据泄露能力

数据完整性指数据在其生命周期内的准确性和一致性

数据加密提供数据在存储、传输、使用时的加解密能力

数据隔离提供安全使用数据的空间的能力

终端安全提供终端威胁检测能力，包括漏洞扫描、病毒

终端安全管理

查杀、基线检查等

终端应用安全通过沙箱等技术实现终端APP安全防护

提供移动内容、移动设备、移动身份和移动应

移动化管理

用安全防护能力

获取网络、身份、设备、应用等的运行上下文，

运行上下文管理

并建立用于策略评估的基线。

通过规则、机器学习建模等方式，输出智能化

策略分析与建模

的控制策略。

安全管理

收集和分析网络、环境、设备和应用等的安全

安全事件分析

事件，以支持威胁检测、合规性和事件管理

自动化编排与事通过自动化编排等功能，对安全事件进行自动

件响应处置和响应

来源：中国信通院

2.零信任能力供应不断丰富

国内零信任生态蓬勃发展，零信任供应能力不断丰富，为用户在

不同场景、不同需求下零信任建设提供支撑。围绕零信任能力六大方

面，国内零信任产品供应呈如下特点：

用户访问和工作负载访问是产品发展的两条关键路径。用户访问

需要对数据中心内外的南北向流量进行访问控制，工作负载访问需要

对数据中心内部的东西向流量进行访问控制，两者安全防护位置不同，

13

零信任发展研究报告（2023年）

逐渐形成不同零信任产品。在本报告的调查统计中，如图2所示，提

供用户访问（南北向流量）安全防护能力的厂商仍占多数，有89%的

零信任供应侧企业可提供ZTNA（ZeroTrustNetworkAccess，零信任

网络接入），对四层流量进行防护；在这些企业中，又有84%的企业

可提供ZTAA（ZeroTrustApplicationAccess，零信任应用接入），可

对七层流量进行防护；提供工作负载访问（东西向流量）安全防护能

力的厂商较少，仅有25%的企业可提供微隔离能力；但是这些企业中，

又有95%和91%的企业支持以ZTNA和ZTAA形式提供南北向流量

的安全防护。

来源：中国信息通信研究院2022年12月

图2我国零信任供应侧发展路径

零信任SaaS在国内普及仍面临企业上云比例低等诸多挑战，但

已有超七成零信任供应侧企业具备相应服务能力。与本地化部署相比，

SaaS化的零信任有四大优势：一是标准化交付，交付更加便捷，普及

14

零信任发展研究报告（2023年）

性更强，适合中小型企业部署，降低用户使用门槛；二是自身维护成

本低，用户无需部署、维护系统；三是可利用云网自身优势，提供安

全以外的增值特性，如出海访问加速等；四是连通性强，通过云的方

式提供接入点，便于对云上业务进行访问。然而，对于国内用户而言，

尤其是中小企业，安全需求的刚性尚且不足，“零信任”乃至“安全”都

不一定构成“买点”，零信任SaaS的推广更是面临了诸多挑战：一是

国内大部分企业的业务部署在内网，云接入的优势变为劣势，用户从

POP点接入再访问数据中心内部业务，存在流量绕圈问题；二是SaaS

化产品很难提供业务侧的安全能力，SaaS化产品虽然解决了云上业

务的网络接入便利性问题，在网络方面提供了安全性，但实际上在安

全攻防领域，安全威胁多发生在近业务侧，SaaS化产品鞭长莫及；三

是无法定制化需求，企业内部业务环境存在差异性，而SaaS化产品

提供的标准化产品，在功能适配上难以满足用户个性化需求，尤其在

国内头部企业的定制化需求较高。四是对云上数据安全性有顾虑，国

内多数企业认为公有云上数据不受控难以开展安全保障。本报告对国

内零信任供应侧企业的SaaS化供应能力进行调查，结果如图3所示，

有96.4%的零信任供应侧企业支持本地化部署，有71.4%的企业支持

提供零信任SaaS服务，即便零信任SaaS在国内的普及面临诸多挑

战，但国内零信任厂商已有超七成在SaaS化上进行了投入。

15

零信任发展研究报告（2023年）

来源：中国信息通信研究院2022年12月

图3供应侧SaaS化情况

本报告基于选定的六大安全能力，对国内云厂商和安全厂商供应

的零信任解决方案展开调研。一方面，国内厂商注重零信任解决方案

研发与落地实施，零信任生态已小有规模。目前，国内有近50家企

业提供零信任集成产品。其中，安全厂商从自身安全专项产品优势出

发，推出有技术侧重的零信任解决方案。云厂商则利用自身基础设施

供应能力强且用户体量大的优势，率先进入较全面的零信任解决方案

市场。其中，如图4所示，身份和网络环境安全能力供应能力更为成

熟，70.8%的产品以身份安全作为核心能力，75%的产品以网络环境

安全作为核心能力，仅有18.7%的产品以云工作负载安全作为核心能

力。另一方面，国内零信任赛道竞争激烈，各厂商都在不同领域寻求

新的突破。一是在端上实现更多安全功能。越来越多的客户希望通过

一个客户端解决PC终端安全的问题，端上安全检测能力、防泄漏、

漏洞修复等备受重视。二是在端上建立可信安全环境以保护数据安全。

疫情之后，远程办公需求增多，移动终端上访问企业业务数据成为刚

16

零信任发展研究报告（2023年）

需，通过软件定义边界与终端沙箱相结合的方式，将零信任的能力延

伸至端上成为一种新的解决方案。

来源：中国信息通信研究院2023年7月

图4供应侧零信任能力分布

3.持续提升产品联动能力，向与现有架构融合前进

零信任与企业已有的安全防护能力应该能相互融合，企业已有的

安全工具不应因零信任的使用而失效，而应该得到能力的提升。零信

任控制引擎为了更精准地下发策略，应与企业环境中的身份安全类、

安全分析类、终端安全类产品进行联动：

来源：中国信息通信研究院2022年12月

图5身份安全产品联动情况

17

零信任发展研究报告（2023年）

身份安全类包含身份管理与身份认证能力，一方面，零信任从身

份源同步用户身份，建立用户身份与访问过程中使用的设备、访问的

资源、访问行为等之间的联系，形成用户画像；另一方面，零信任可

以将身份认证与多源评估结合实现动态地认证。本报告调研了零信任

供应侧企业的产品与用户环境中的身份安全产品联动能力，结果如图

5所示。超七成零信任供应侧企业支持与第三方身份安全产品对接。

46.4%企业可提供自研身份安全产品，同时其零信任产品支持与第三

方身份安全产品如竹云、派拉、亚信、芯盾、格尔等进行对接；有21.4%

企业不具备自研身份安全产品，但支持与第三方身份安全产品对接；

有25%企业仅支持客户使用自家提供的身份安全产品，还有7.1%企

业无法与客户环境中已有的身份安全产品进行联动。在身份安全产品

展开投入的零信任供应侧企业占比超过70%，反向说明同质化竞争激

烈，并非每家都能将零信任领域做全，各家应避免同质化竞争建立技

术壁垒以实现合作共赢。

来源：中国信息通信研究院2022年12月

图6安全管理产品联动情况

18

零信任发展研究报告（2023年）

安全管理类包含安全事件和信息的汇聚、实体行为分析、威胁检

测与响应等能力，一方面，通过与实体行为分析工具结合可获取更多

安全风险信息，对访问主体的评估将更加准确；另一方面，零信任和

威胁检测与响应工具的结合为策略执行提供了更丰富的管控手段。本

报告调研了零信任供应侧企业的产品与用户环境中的安全分析产品

联动能力，结果如图6所示。超半数企业的零信任产品支持与客户已

有的安全运营中心、态势感知、威胁情报等安全分析系统联动，占比

53.6%，也有35.7%的企业仅支持与自家的安全分析系统进行联动，

有10.7%的企业尚不支持与安全分析系统联动。

来源：中国信息通信研究院2022年12月

图7终端安全产品联动情况

终端安全类包括终端安全检测与修复、以及数据安全等能力，一

方面，收集终端环境信息，并根据检测结果对终端进行管控；另一方

面，通过技术手段实现数据不落地，以保护数据安全。本报告调研了

零信任供应侧企业的产品与用户环境中的终端产品联动能力，结果如

19

零信任发展研究报告（2023年）

图7所示。零信任供应侧企业在终端安全展开投入的较多，与自家产

品联动率更高。尤为明显的是支持与自家终端安全产品联动的企业占

比39.3%，这一数据在身份安全领域为25%，一方面说明终端安全的

重要性，供应侧企业纷纷展开投入，另一方面说明与第三方终端安全

产品的对接仍面临接口协议无法统一的困境；支持自家与第三方如腾

讯、北信源、安天、奇安信、深信服、启明星辰、青藤等企业的终端

安全产品进行对接的仅占比32.1%；此外也有超七成零信任供应侧企

业支持提供终端安全产品，零信任供应侧企业在终端安全的投入超过

安全管理类产品与身份安全类产品，主要原因是身份认证与身份管理

所使用协议具有国际、国家标准，然而终端安全领域存在标准协议缺

口，有待通过生态间接口互认解决。

（二）行业应用不断深化，零信任市场步入成长期

1.零信任在重点行业市场近三年呈持续增长态势

经过多年发展，零信任商业模式走向成熟，市场逐步规模化，已

经在各个行业进入落地阶段。据中国信通院调研显示，电信行业和金

融行业是被调研的11行业中探索零信任落地实施排名靠前的行业，

其零信任实施应用相对成熟，且对其他行业的通用参考性较高。因此

本报告选择金融与电信行业的零信任市场情况进行分析，相信在未来，

会有更多行业客户选择零信任作为其安全防护架构。

金融与电信行业在近三年落地零信任的客户逐年增长。本报告调

研了2019年至2022年三年间，零信任供应侧企业服务过的金融客户

数量区间，结果如图8所示。一方面，在金融行业，2019-2020年间

20

零信任发展研究报告（2023年）

仅有39.2%零信任供应侧企业为金融客户落地过零信任，这一数据在

2020-2021年间与2021-2022年间分别达到了60.7%与82.1%，越来越

多的金融机构认可零信任架构所提供的安全防护能力。另一方面，在

电信行业，2019-2020年间仅有32.1%零信任供应侧企业为电信客户

落地过零信任，与金融行业相比低7.1%，这一数据在2020-2021年间

与2021-2022年间分别为67.9%与85.7%，电信行业在近两年落地势

头较猛，超过金融行业。

落地10家以内的零信任供应侧企业占据主流，多数行业用户仍

处于应用研究探索阶段。据调研，三年间落地用户数量区间1-10的

企业分别占比金融行业为25%、35.7%和50%，电信行业为35%、42.8%

和50%。也有一些行业专精型的企业存在客户量超过200的情况，三

年间在金融行业的占比分别为3.5%、3.5%和3.5%，电信行业占比分

别为0%、3.57%和7.14%。可以看出，2020年零信任才开始在国内安

全圈中得以普及，产品经过两年的打磨，用户对这个理念有了初步了

解，开始积极的在此领域展开采购。

来源：中国信息通信研究院2022年12月

图8供应侧企业落地零信任客户数量区间

21

零信任发展研究报告（2023年）

微隔离类产品应用情况呈两极分化，与行业相关性较低。本报告

调研了2021-2022年间，提供微隔离类产品的零信任供应侧企业所纳

管用户的工作负载总数，结果如图9所示。在支持提供微隔离能力的

企业中，金融行业纳管工作负载总数低于500的占比42.8%，高于

10000的占比42.8%，电信行业表现类似，纳管工作负载总数低于500

的占比62.5%，高于10000的占比37.5%。将近半数供应侧企业的微

隔离在行业内仅开展试点工作或未曾开展，同时也有近半数企业在行

业内进行了规模化的落地实践。

来源：中国信息通信研究院2022年12月

图9微隔离类产品纳管工作负载总数

软件定义边界类产品应用潜力大，头部客户已进入探索阶段。本

报告调研了2021-2022年间，提供软件定义边界类产品的零信任供应

侧企业所纳管用户的员工总数，结果如图10所示。在金融与电信行

业中，纳管低于5000人占比最高，分别为52.2%和61.9%，剩余半数

涵盖5000-100000不等，再结合对零信任落地客户数量的统计结果，

22

零信任发展研究报告（2023年）

即在2021-2022年间金融与电信行业均有50%零信任供应侧企业落地

客户数区间为1-10家，推算每个客户使用基于软件定义边界纳管员

工数量低于500人，甚至更低。500人已属于中型企业，因此各行业

内的中型企业应是落地软件定义边界类产品的中流砥柱。此外，在电

信行业纳管员工20000人以上的占比33.3%，金融行业仅有17.4%，

电信行业在零信任领域的投入与落地势头相较金融行业略高一筹。

来源：中国信息通信研究院2022年12月

图10软件定义边界类产品纳管员工总数

2.不同应用场景逐步实现零信任落地

随着零信任的不断发展和成熟，企业用户基于自身业务特性和安

全需求，选择在不同场景下落地实施零信任。

将零信任应用于办公环境是用户主流选择。本报告调研了零信任

供应侧企业服务的金融与电信行业客户应用零信任时的环境选择情

况，如图11所示。金融行业51%应用于办公环境，18.7%应用于开发

测试环境，仅有11.8%应用于生产环境。电信行业48.1%应用于办公

23

零信任发展研究报告（2023年）

环境，17.6%应用于生产环境，16.8%应用于开发测试环境。金融行业

生产环境承担了核心账务系统的运营，数据资产安全稳定性尤为重要，

在生产环境的应用更显谨慎。

来源：中国信息通信研究院2022年12月

图11零信任应用环境情况

远程办公、远程运维、多分支机构互连为用户主要使用的场景，

总占比超过半数。本报告调研了金融与电信用户落地零信任时使用的

场景，分布如图12所示。一方面，远程办公场景是当前企业实施零

信任的主要驱动和优先选择，在金融与电信行业占比分别达到32.5%

和35%，其次是远程运维和多分支互连，金融行业远程运维场景占比

14%，较多分支互连场景的13.2%略多一些，电信行业远程运维场景

占比10.5%，较多分支互连场景的12.5%略少，电信行业在多分支互

连的需求上较金融行业更高一些。另一方面，多云、混合云战略是当

前企业实施零信任最少场景，金融行业使用多云、混合云场景占比仅

3%和4.5%，电信行业分别为3.6%和4.7%，大多数企业不具备在云

原生环境中的治理能力和安全能力可能是企业迟迟难以大规模上云

的主要原因，零信任可以提供此场景下的安全访问，未来多云、混合

24

零信任发展研究报告（2023年）

云场景蕴含较多发展机会。

来源：中国信息通信研究院2022年12月

图12落地零信任使用场景情况

三、产业应用侧调研洞察：用户对零信任建设尚

存顾虑，同时肯定零信任核心价值

零信任应用侧方面，通过对重点行业的客户调研与访谈，本报告

总结了在安全防护架构建设的各个时期，企业管理人员的建设痛点以

及考虑，帮助零信任供应侧厂商了解用户侧的实际诉求。

（一）零信任从零到一，落地部署面临多重阻碍

零信任的概念产品居多，投入产出比是企业核心考量点。金融、

制造等行业属于严谨型行业，对新概念产品的引入非常谨慎，为提升

企业效益，企业在落地零信任时通常会有多重考量。一方面，利旧以

节约建设成本。零信任概念兴起之前，企业在当前安全防护架构中已

经购买并部署了身份、终端和网络等安全领域的相关产品，因此零信

25

零信任发展研究报告（2023年）

任的建设需要考虑如何与企业已有系统或产品兼容，实现安全联动的

同时降低开销。另一方面，实际成效是否可量化。一个新的安全领域

概念诞生后，通常会伴随着三个经典问题，零信任也不例外：一是，

零信任的产出到底是什么。二是，零信任做与不做的区别是什么。三

是，零信任简单做和复杂做的区别又是什么。可量化的零信任防护效

果更具有事实意义，胜于万千落于纸面的优势与意义。

零信任部署跨企业多部门，明确责任边界是建设第一步。零信任

作为安全理念，其落地将涉及身份、终端、网络等多安全领域，在传

统安全防护建设模式下，企业在上述领域内各有独立部门负责安全建

设并承担安全事件责任。然而，基于零信任理念的安全防护建设模式

需要多领域联结共同完成威胁防御和响应，出现安全事件无法落实责

任至单领域部门。即便企业在部署零信任之初成立一个总体部门负责

推进零信任建设事项，但由于零信任涵盖领域之广会使得该部门责任

无限大，因此其不敢包揽全部建设后的安全责任，故此企业在部署零

信任之前需明确责任划分，否则难以协同多部门推进落地。

基于零信任的统一身份管理体系在接管组织内老旧系统时面临

双重阻碍。组织内的老旧系统自身通常具备身份认证体系，然而此类

系统安全合规性差，如接口和用户身份信息均未经加密，极易引发安

全问题。组织若想落地零信任，需要梳理清楚组织内的身份体系，过

程中面临两方面困难。一是技术层面。组织内使用的老旧系统复杂多

样，PMS、OA、CRM和HR等系统来自不同供应商，使用的SaaS服

务受license限制无法改造，即便是自研系统也会受到没有统一标准

26

零信任发展研究报告（2023年）

的影响，身份权限规则不一致，不同系统中人员权限不一致，统一身

份体系难以接管。二是规划设计层面。身份作为敏感信息，受体制规

则和组织职能等因素限制，在垂直领域难以打通，因此需要从顶层设

计角度出发，解决身份在行政级别线条与业务级别线条的连贯性。

企业内驱力不足，落地方案难推动。业内一句较为经典的话“没

有生产标准化零信任产品的厂商，只有完成零信任建设的企业”值得

深思，其含义是指没有一家应用侧企业所建设的零信任是相同的，企

业需要结合自身需求部署零信任，其所需要的是一系列理论、规划、

架构以及产品交付，单靠供应侧厂商无法实现，需要依靠企业强大内

驱推动。一是需要数字化转型中的企业在网络安全建设主动求变。据

公开数据整理统计，92%的管理者认为由企业内部需求驱动向零信任

落地效果往往高于政策性驱动的落地效果，因此主动求变才能以更积

极的心态面临变化。二是零信任的建设不会一蹴而就，需要接受挑战

与成效并存。零信任的落地是一个漫长过程，企业需要全方面梳理自

身脉络，梳理的越清晰，效果会越好。三是需要企业长时间的支持。

企业人员的安全认知和配合是关键因素，尤其是领导层面是否意识到，

当前企业面临的安全威胁已经发生变化，以及领导推动零信任的决心

是否坚定。

（二）微隔离市场向好，用户看重网络分段能力

企业购入微隔离本质是对核心功能的考虑，更理性看待零信任。

企业上云前，通过物理防火墙划分物理分区，实现物理分区间的访问

控制。企业上云后，由于云资源的分布式特性，其无法按物理资源进

27

零信任发展研究报告（2023年）

行分区，若仍使用物理防火墙进行访问控制，流量需要绕行物理防火

墙，