面对不断演变的网络安全形势和业务需求,零信任市场在多重因素的共同作用下,呈现出蓬勃发展的态势。
总的来说,2024年,中国的零信任将保持快速发展的态势,在政策的推动下、市场的引导下、厂商的探索下,不断拓宽应用的边界,释放出独有的价值,为数字经济的发展提供安全保障,为企业的数字化转型保驾护航。
国外:国家级零信任“军备竞赛”持续加速
美国一直以来都是零信任落地的急先锋。2023年,美国政府、军方不断加大对零信任的投入,推动零信任的全面落地。
2023年4月,美国网络安全和基础设施安全局(CISA)发布《零信任成熟度模型》第二版,更新了政府范围内采用零信任安全架构的关键定义和指标;
随后,CISA发布强制性指令,规定政府机构暴露在互联网上的网络或其他类型设备,如果无法禁止公网访问,必须采用零信任架构实施访问控制;
美国军方也紧锣密鼓的推进零信任战略,2023年2月,美国国防部发布了第五版《国防部网络安全参考架构(CSRA)》,制定了与零信任战略密切相关的新目标;
2023年5月,美国国防部宣布“雷霆穹顶”(Thunderdome)零信任试点计划已成功完成,将在2个月内全面投产;
2023年8月,美国陆军制定“零信任”计划三个阶段的实施方案,明确了零信任落地时间表;
为了加快零信任的落地,美国国防部在2023财年拨款20亿美元,再一次向全世界展现了推进零信任战略的决心。
同时,欧盟也在大力推进零信任战略。2023年1月13日,《关于在欧盟全境实现高度统一网络安全措施的指令》(NIS 2指令)正式生效。指令中明确提出所有关键基础设施运营商(CIIO)实施零信任安全模型,包括身份验证、授权和访问控制等措施,并制定了执法和制裁措施。
相比于美国的全面铺开和欧盟的硬性要求,英国推进零信任落地的方式相对柔和。2023年10月,英国国家网络安全中心(NCSC)发布了《零信任:构建混合资产指南1.0》,为解决零信任不兼容问题提出了新的解决视角与方法。
澳大利亚是网络攻击的重灾区,对零信任的需求也更为迫切。2023年7月,澳大利亚政府发布《国家身份弹性战略》,提出了身份和访问管理(IAM)愿景;2023年10月,澳大利亚政府发布《2023-2030年网络安全战略》,将零信任作为网络安全的核心战略。
国外主要零信任相关标准汇总
| 发布日期/ 发布单位 | 标准名称 | 简要内容 |
| 2014年4月 云安全联盟(CSA) | 国际标准: 《SDP标准规范1.0》 | 2013年,国际云安全联盟CSA率先提出基于零信任理念的新一代网络安全模型—软件定义边界SDP,并于2014年发布了SDP首个标准规范。 |
| 2020年8月 美国国家标准技术研究所(NIST) | 美国标准: 《零信任架构》(SP 800-207) | 2019年9月,美国国家标准技术研究所(NIST)发布了《零信任架构》草案《NIST.SP.800-207-draft -Zero Trust Architecture》;2020年2月,NIST对《零信任架构》的草案进行修订;2020年8月,标准正式发布。 |
| 2021年2月 美国国家安全局(NSA) | 指南: 《拥抱零信任安全模型》(Embracing a Zero Trust Security Model) | 2021年2月25日,美国国家安全局(NSA)发布关于零信任安全模型的指南《拥抱零信任安全模型》(Embracing a Zero Trust Security Model),强烈建议国家安全系统(NSS)内的所有关键网络和系统都考虑采用零信任安全模型。 |
| 2021年5月 美国国防信息 系统局(DISA) | 指南: 《国防部零信任参考架构》1.0 | 2021年5月13日,美国国防信息系统局(DISA)在其官网上公布了《国防部零信任参考架构(DoD ZT RA)》1.0版(以下简称DoD ZT RA)。该参考体系结构由DISA和国家安全局(NSA)零信任联合工程小组编写,在2021年2月份就已完成,直到5月才公开。 |
| 2022年1月 美国管理和预算办公室(OMB) | 政策: 《联邦零信任战略》 | 2022年1月26日,美国管理和预算办公室(OMB)以备忘录M-22-09的形式发布“移动美国。政府迈向零信任网络安全原则”。即《联邦零信任战略》。 |
| 2022年2月 总统国家安全电信咨询委员会(NSTAC) | 报告: 致总统的零信任报告 《零信任和可信身份管理》 | 2022年2月23日,总统国家安全电信咨询委员会(NSTAC)投票通过了一份致拜登总统的零信任报告《零信任和可信身份管理》。CISA(网络安全和基础设施安全局)在其官网上发布了该报告。 |
| 2022年4月 云安全联盟(CSA) | 国际标准: 《软件定义边界(SDP) 标准规范2.0》 | 2022年4月,CSA重磅发布《软件定义边界(SDP)标准规范2.0》。相较于SDP1.0 标准规范,2.0版本更安全、更易扩展。 |
| 2022年7月 美国国防信息 系统局(DISA) | 指南: 《国防部零信任参考架构》2.0 | 2021 年 2 月,美国国防信息系统局(Defense Information Systems Agency,DISA)发布了《 国防部零信任参考架构》1.0 版本,随后于 2022 年 7 月发布了《国防部零信任参考架构》2.0 版本。这两个版本不仅更新速度快,而且内容有大幅修改。 |
| 2022年6月-8月 国家网络安全卓越中心(NCCoE) | 指南: 《实施零信任架构》 (SP1800-35) | 2022年6月3日,NIST 旗下的国家网络安全卓越中心 (NCCoE) 的零信任架构 (ZTA) 团队发布了《实施零信任架构》的初步实践指南草案 A 卷,并面向公众征集意见。2022 年8月9日,零信任架构 (ZTA) 团队发布了题为《实施零信任架构》的初步实践指南草案 C 卷和 D 卷,并正在征求公众对其内容的意见。 |
| 2022年11月 美国国防部(DoD) | 政策: 《国防部零信任战略》 | 2022年11月22日,美国防部发布《国防部零信任战略》及《国防部零信任能力实施路线图》,明确全面实施覆盖国防部各部门的零信任网络安全框架,以保护信息体系,并提出4项战略目标。 |
| 2023年4月 美国网络安全和基础设施安全局(CISA) | 指南: 《零信任成熟度模型(ZTMM)》2.0 | 2021年5月,拜登签署E.O. 14028“提高国家网络安全防御能力”,要求政府所有部门必须在60天内给出实现零信任架构的计划。为此,网络安全和基础设施安全局(CISA)在2021年9月发布了零信任成熟度模型(ZTMM)1.0预览草案; 2023 年 4 月,CISA再次发布了新版ZTMM 2.0草案。 |
尽管国外零信任概念提出得很早,但演进周期较长。以 Google BeyondCorp 为代表的探索和实践有力推动了行业零信任理念的落地、标准化和产业化。产业的真正快速发展是在 2019 年NIST 标准化组织发布《零信任架构》草案之后,该标准的发布同时也助推了美国国防部下一代安全架构的演进。
国内:从立项到落地,零信任“有标可依”
作为网络大国,我国高度重视零信任的发展和应用。2023年,一系列针对不同应用场景的零信任相关国标、行标、团标有序的编写、审批,有望在2024年上半年发布,为我国零信任产业发展提供指导和参考。芯盾时代作为领先的零信任业务安全产品方案提供商,也参与了多项国标、行标、团标的编写,用自身的技术优势和丰富经验助力零信任生态的高质量发展。
国内主要零信任相关标准汇总
| 发布日期/ 发布单位 | 标准名称 | 简介 |
| 2021年 6月 中国电子工业标准化技术协会 | 团体标准: T/CESA 1165-2021《零信任系统 技术规范》 | 2021年6月30日,中国电子工业标准化技术协会正式发布T/CESA 1165-2021《零信任系统技术规范》团体标准。这是零信任技术架构落地国内以来,业内发布的首个零信任技术实现标准,于2021年7月1日起实施。 |
| 2021年10月 国际电信联盟电信标准部门(ITU-T) | 国际标准: 《服务访问过程的持续保护指南》《Guidelines for continuous protection of the service access process》 | 2019年8月,腾讯与国家互联网应急中心(CNCERT)、中国移动通信集团设计院等机构的零信任专家一起,代表中国在国际电信标准组织ITU-T立项零信任国际标准《Guidelines for continuous protection of the service access process》(《服务访问过程持续保护指南》),并于2021年底正式发布,成为国际三大标准化组织中首个零信任技术标准。 |
| 2021年10月 智慧城市产业生态圈 | 行业标准: 《智慧城市零信任技术规范》 | 2021年10月,华为联合长春市政数局、讯盟科技和竹云科技在智慧城市产业生态圈发布《智慧城市零信任技术规范》标准。 |
| 2022年1月 中国信息产业商会 | 团体标准: T/CIITA 117-2021 《信息安全技术 零信任参考架构》 | 奇安信牵头编制的T/CIITA 117-2021《信息安全技术 零信任参考架构》作为PKS体系团体标准已正式发布,并于2022年2月1日起正式实施。 |
| 2022年6月 全国信息安全标准化技术委员会 | 国家标准: 《信息安全技术 零信任参考 体系架构》 | 2020年,奇安信牵头提出的《信息安全技术 零信任参考体系架构》在全国信息安全标准化技术委员会WG4(认证与鉴别组)工作组成功立项,成为零信任首个国家标准,2022年6月1日,全国信息安全标准化技术委员会正式发布了国标《信息安全技术 零信任参考体系架构》的征求意见稿。 |
| 2022年7月 中国通信协会算网融合标准工作组 | 团体标准: T/ZGTXXH 034—2022 《零信任能力成熟度模型》 | 2023年12月6日,工业和信息化部公布“2023年团体标准应用示范项目”名单(工信部科函〔2023〕 333号),由中国通信学会算网融合标准工作组提出,中国通信学会发布的T/ZGTXXH 034—2022《零信任能力成熟度模型》团体标准入选。 |
| 2023年12月 中华人民共和国工业和信息化部 | 行业标准: YD/T 4574-2023 《零信任安全技术参考框架》 | 2023年12月,腾讯牵头提案的《零信任安全技术参考框架》发布,这是首个国家部委批准发布的行业标准。 |
| 2023年12月 中华人民共和国工业和信息化部 | 行业标准: YD/T 4598.2-2023 《面向云计算的零信任体系 第2部分:关键能力要求》 | |
| 行业标准: YD/T 4598.3-2023 《面向云计算的零信任体系 第3部分:安全访问服务边缘 能力要求》 |
根据国内厂家、联盟组织、标准化方面的进展情况,可以看出零信任已经引起了国家相关部门和业界的高度重视,行业涌现出的新兴厂家也较多。 网络安全是国家空间安全战略的重要组成部分,政策、标准化是企业安全构架部署的重要依据。国内零信任的标准化已在路上,行业监管要求、产品能力的第三方验证评估、行业互通还有待产业生态的驱动和完善。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
