中国信通院发布《零信任发展研究报告（2023年）》

报告首先介绍零信任如何解决安全挑战以及如何应对新的安全威胁，其次从零信任供应侧和零信任应用侧两大视角对我国零信任产业的发展情况与应用痛点进行观察和分析。

近年来，云计算、大数据等新一代信息技术与实体经济加速融合，产业数字化转型迎来发展新浪潮。企业IT架构从建设到运营发生极大变革，防护机制从以网络边界为核心向以身份为核心的零信任转变，零信任产业已形成蓬勃发展的良好态势，愈发得到行业关注。

2023年8月25日，中国信息通信研究院（简称“中国信通院”）在“2023 SecGo云和软件安全大会”上发布了《零信任发展研究报告（2023年）》。中国信通院云计算与大数据研究所开源和软件安全部主任郭雪对报告进行了解读。

报告首先介绍了数字化转型深化后企业IT架构所面临的安全挑战，零信任如何解决安全挑战以及如何应对新的安全威胁。其次从零信任供应侧和零信任应用侧两大视角对我国零信任产业的发展情况与应用痛点进行观察和分析。在零信任供应侧方面，梳理了国内各零信任厂商安全水平概况，分析了重点行业零信任市场近3年发展态势。在零信任应用侧方面，基于对重点行业用户的调研结果，从零信任建设前期、建设中期和使用运营期，分析了用户零信任建设过程中的痛点、肯定与思考，为零信任供应侧提升和优化能力提供指引，同时增强应用侧用户的落地信心。最后总结了零信任技术发展趋势，并对零信任产业发展提出建议。

1. 报告核心观点

1) 零信任为新的安全场景提供有力保障。一是零信任保障软件供应链安全，零信任基于最小化权限原则限制上游供应商权限，通过安全左移助力研发运营关键环节的风险监测与安全准入；二是零信任抵御勒索软件攻击，通过将身份验证贯穿访问始终，对访问行为进行持续监测，并精细化网络分段流量管理，阻止威胁进一步渗透；三是零信任促进公共数据与服务安全开放，通过建立统一数字身份避免数字鸿沟，对数字公共基础设施的每次访问进行风险评估并授予最小权限，避免数据和服务的滥用。

2) 零信任能力供应不断丰富，产品联动能力正同步提升。一方面，国内厂商注重零信任解决方案研发与落地实施，零信任生态已小有规模，目前，国内有近50家企业提供零信任集成产品。另一方面，零信任集成产品应与企业已有的安全防护能力相互融合，企业已有的安全工具不应因零信任的使用而失效。一是超七成零信任供应侧企业支持与第三方身份安全产品对接，其中，46.4%企业可提供自研身份安全产品，同时其零信任产品支持与第三方身份安全产品进行对接。二是超半数企业的零信任产品支持与客户已有的安全运营中心、态势感知、威胁情报等安全分析系统联动，占比53.6%，有35.7%的企业仅支持与自家的安全分析系统进行联动。三是零信任供应侧企业在终端安全展开投入的较多，与自家产品联动率更高。尤为明显的是支持与自家终端安全产品联动的企业占比39.3%，这一数据在身份安全领域为25%，侧面反映终端安全领域尚面临标准协议接口无法统一困境，有待通过生态间接口互认解决。

3) 用户对零信任建设尚存顾虑，同时肯定零信任核心价值。一方面，零信任从零到一，落地部署面临多重阻碍。一是，零信任的概念产品居多，投入产出比是企业核心考量点。二是，零信任部署跨企业多部门，迈出建设第一步前需明确责任边界。三是，基于零信任的统一身份管理体系在接管组织内老旧系统时面临技术与规划设计双重阻碍。另一方面，微隔离市场向好，零信任应用价值受到肯定。一是，微隔离人力成本耗费随使用时间增长持续下降。二是，企业通过使用零信任降低代码流失率、资产管理精确到人以及实现个人效能监测，肯定了零信任的使用价值。