国内网络安全领域对零信任存争议，正确引导很重要

零信任是Forrester分析师提出的一种安全概念，核心是在默认情况下不信任网络内部和外部的任何人、设备和系统，需要基于认证和授权重构访问控制的信任基础。近几年，零信任被很多人熟知，并成为网络安全领域的热点话题。然而，在国内网络安全领域对零信任存在着一些争议，为了应对网络安全威胁形势新变化，正确引导零信任发展和应用很重要。

零信任在国内网络安全领域兴起

2019 年，工信部发布的《关于促进网络安全产业发展的指导意见（征求意见稿）》将“零信任安全”列入“着力突破网络安全关键技术”之一；2021 年7 月，工信部发布的《网络安全产业高质量发展三年行动计划（2021-2023 年）》提出要发展创新安全技术，加快开展零信任框架等安全体系研发。网络安全产业界则通过成立产业联盟零信任工作组、制定和发布行业标准、提出解决方案，以及加大投资力度等各种措施促进零信任的应用和发展。

关于美国零信任战略的介绍和理解分析

2021 年 5 月 12 日，美国总统拜登签署了14028 号行政令《改善国家网络安全》，首次在联邦政府的顶层政策文件中提出实施零信任的要求。该行政令要求，为跟上当今动态和日益复杂的网络威胁环境，联邦政府必须采取果断措施，使其网络安全方法现代化，包括提高联邦政府对威胁的能见度，同时保护隐私和公民自由，具体措施包括采取安全最佳实践、向零信任架构推进、加快云服务安全等；同时，要求各机构负责人应在行政令发布60 天内制定实施零信任架构的计划。

此后，美国发布了《联邦政府向零信任迁移的原则》和《零信任成熟度模型》，用以具体落实该行政令。以上文件被美国白宫宣传为“零信任战略”。14028 号行政令刚出台时，我国一些机构和媒体声称，这是“美国总统强推零信任”，这可能夸大其实，对零信任也是一种“捧杀”。

对于美国政府的这些举措，我们理解为：1、这是美国政府“信息技术现代化”改革的一部分，属于渐进过程中的一环，目的不是为了发展零信任。2、美国政府是在“上云”这一特定应用背景下推行零信任，零信任并非普适。3、这不是一次战略级的行动。

国内对零信任存在争议的主要原因

由于资本炒作和盲目跟风，国内对零信任存在一些争议。这些争议对于凝聚网络安全业界力量和加快自主创新步伐产生了不利影响。一些虚假宣传扰乱了人们的认知，对于国家而言，引导零信任向正确的方向前进很重要。据分析，导致零信任偏离科学发展轨道有以下5个原因。

1、过分夸大零信任的作用

部分人为了迎合资本炒作，过分夸大了零信任的作用，将零信任作为解决网络安全问题的灵丹妙药，脱离了其作为访问控制策略的技术实质。一些人甚至将其上升为一种颠覆性网络安全技术，人为制造了零信任与现有网络安全技术措施的对立。

2、资本炒作

网络安全产业的战略地位使资本趋之若鹜，但资本始终在寻找网络安全领域的亮点和爆发点。零信任的出现满足了资本的包装需求，零信任大热与此有直接关系。目前，很大程度上是资本在推着零信任走，而不是需求在主导零信任的发展。

3、定位错误

零信任本身不是技术，而是通过很多技术来实现的。在外界宣传中普遍将零信任定位为一种新技术，导致零信任技术和产品五花八门、差异极大，迄今仍未形成统一的标准，存在着随意解释的现象。

4、违背基本技术原理

零信任的翻译并不准确，“持续验证，永不信任”的口号让人误认为信任不再需要或不再存在。事实上，“信任”是社会运转和系统运行的基础，系统中永远必须存在信任根，且零信任也恰恰是为了建立信任。由于对零信任的误导性宣传，使零信任受到很多误解，甚至抵触。

5、存在浑水摸鱼的现象

零信任特指身份而言，但一些人有意将其引申为不信任，继而引申为不安全。在这样的逻辑下，很多企业为了迎合资本喜好，将网络安全方案冠名为“零信任解决方案”，但实际上和零信任没有关系。这种不良风气正侵蚀着网络安全产业界，助长了跟风炒作的行为。

正确引导零信任发展，发挥零信任的作用

不可否认，零信任是一种很有意义的网络安全思想和理念，适应了信息化应用和技术发展趋势，对降低云计算、大数据条件下的网络安全风险有效。为了推进我国网络安全技术发展，正确发挥零信任的作用，应对网络安全威胁形势新变化，建议从以下4个方面开展工作。

1、组织要正确宣传零信任

纠正当前存在的夸大、不当和错误宣传，防止防止网络安全技术发展被资本所牵引。

2、制定国家标准规范

借鉴国外的经验，以及根据我国国情，阻止定制零信任参考架构等标准，发挥零信任标准的指导性、规范性作用。

3、开展示范应用

以明确零信任实施环境、验证零信任实现方式和效果、剔除“伪”零信任方案为目标，遴选一批真正实现零信任目标的技术方案，在重点行业开展示范应用，带动相关技术和产业发展。

4、加快网络身份认证公共服务建设

将零信任部署与我国建设网络身份认证公共服务的总体目标与进度相融合，发挥网络身份认证公共服务的基础性作用，形成多种灵活的零信任实现方案，提升我国网络空间身份管理的效率。

随着云计算、大数据、物联网等新兴技术的不断发展，零信任进入人们的视野，成为解决新时代网络安全的新理念、新架构。而由于资本炒作和过分夸大了零信任的作用等，导致零信任存在一些争议。国家要正确引导零信任发展，开展示范应用，制定国家标准规范，进而有效发挥零信任的作用。