0 引言

随着网络环境日益复杂，基于固定边界的网络安全防护策略面临越来越严峻的挑战，例如，难以防御内部网络攻击、对数据泄露风险缺少有效防护措施等[1]。为应对日益复杂的网络安全挑战，美国国防部和联邦政府制定了一系列政策标准，推进相关领域信息系统零信任架构改造。

零信任作为一种安全理念，通过对访问发起方进行认证授权、持续监测和评估，动态调整访问控制策略，以实现对访问发起方的动态细粒度访问控制，有效管控安全风险。2010年，咨询公司Forrester推出零信任(Zero Trust)概念，首次提出通过对每次访问过程进行评估建立信任关系的安全理念[2]。基于零信任理念，一批企业开展了落地实践工作，其中Forrester提出了零信任扩展(Zero Trust eXtended，ZTX)和零信任边缘(Zero Trust Edge，ZTE)[3]；Gartner设计了零信任网络(Zero Trust Network Access，ZTNA)[4]；谷歌推动了BeyondCorp零信任项目[5]；微软开发了Azure零信任架构；云安全联盟(Cloud Security Alliance，CSA)提出了软件定义边界(Software Defined Perimeter，SDP)协议等[6]。据Forrester统计，2020年全球范围内零信任业务年营收超过1亿美元的厂商有10家，零信任架构主要应用于政府、金融、制造业、医疗、教育等领域[7]。

本文梳理了美国零信任相关政策标准情况，并基于零信任在我国发展现状，提出了推动零信任发展相关建议。

本文详细内容请下载：https://www.chinaaet.com/resource/share/2000004856

作者信息：

姚相振，李彦峰，孙  彦，羡喻杰

（中国电子技术标准化研究院，北京100007）