中國信通院發(fā)布《零信任發(fā)展研究報告(2023年)》

8月28日消息,8月25日,中國信息通信研究院(簡稱“中國信通院”)在“2023 SecGo云和軟件安全大會”上發(fā)布了《零信任發(fā)展研究報告(2023年)》。中國信通院云計算與大數據研究所開源和軟件安全部主任郭雪對報告進行了解讀。

報告首先介紹了數字化轉型深化后企業(yè)IT架構所面臨的安全挑戰(zhàn),零信任如何解決安全挑戰(zhàn)以及如何應對新的安全威脅。其次從零信任供應側和零信任應用側兩大視角對我國零信任產業(yè)的發(fā)展情況與應用痛點進行觀察和分析。

在零信任供應側方面,梳理了國內各零信任廠商安全水平概況,分析了重點行業(yè)零信任市場近3年發(fā)展態(tài)勢。在零信任應用側方面,基于對重點行業(yè)用戶的調研結果,從零信任建設前期、建設中期和使用運營期,分析了用戶零信任建設過程中的痛點、肯定與思考,為零信任供應側提升和優(yōu)化能力提供指引,同時增強應用側用戶的落地信心。最后總結了零信任技術發(fā)展趨勢,并對零信任產業(yè)發(fā)展提出建議。

報告核心觀點:1. 零信任為新的安全場景提供有力保障。一是零信任保障軟件供應鏈安全,零信任基于最小化權限原則限制上游供應商權限,通過安全左移助力研發(fā)運營關鍵環(huán)節(jié)的風險監(jiān)測與安全準入;二是零信任抵御勒索軟件攻擊,通過將身份驗證貫穿訪問始終,對訪問行為進行持續(xù)監(jiān)測,并精細化網絡分段流量管理,阻止威脅進一步滲透;三是零信任促進公共數據與服務安全開放,通過建立統(tǒng)一數字身份避免數字鴻溝,對數字公共基礎設施的每次訪問進行風險評估并授予最小權限,避免數據和服務的濫用。

2. 零信任能力供應不斷豐富,產品聯動能力正同步提升。一方面,國內廠商注重零信任解決方案研發(fā)與落地實施,零信任生態(tài)已小有規(guī)模,目前,國內有近50家企業(yè)提供零信任集成產品。

另一方面,零信任集成產品應與企業(yè)已有的安全防護能力相互融合,企業(yè)已有的安全工具不應因零信任的使用而失效。一是超七成零信任供應側企業(yè)支持與第三方身份安全產品對接,其中,46.4%企業(yè)可提供自研身份安全產品,同時其零信任產品支持與第三方身份安全產品進行對接。

二是超半數企業(yè)的零信任產品支持與客戶已有的安全運營中心、態(tài)勢感知、威脅情報等安全分析系統(tǒng)聯動,占比53.6%,有35.7%的企業(yè)僅支持與自家的安全分析系統(tǒng)進行聯動。

三是零信任供應側企業(yè)在終端安全展開投入的較多,與自家產品聯動率更高。尤為明顯的是支持與自家終端安全產品聯動的企業(yè)占比39.3%,這一數據在身份安全領域為25%,側面反映終端安全領域尚面臨標準協議接口無法統(tǒng)一困境,有待通過生態(tài)間接口互認解決。

3. 用戶對零信任建設尚存顧慮,同時肯定零信任核心價值。一方面,零信任從零到一,落地部署面臨多重阻礙。一是,零信任的概念產品居多,投入產出比是企業(yè)核心考量點。

二是,零信任部署跨企業(yè)多部門,邁出建設第一步前需明確責任邊界。三是,基于零信任的統(tǒng)一身份管理體系在接管組織內老舊系統(tǒng)時面臨技術與規(guī)劃設計雙重阻礙。

另一方面,微隔離市場向好,零信任應用價值受到肯定。一是,微隔離人力成本耗費隨使用時間增長持續(xù)下降。二是,企業(yè)通過使用零信任降低代碼流失率、資產管理精確到人以及實現個人效能監(jiān)測,肯定了零信任的使用價值。

極客網企業(yè)會員

免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。

2023-08-28
中國信通院發(fā)布《零信任發(fā)展研究報告(2023年)》
避免數據和服務的濫用。

長按掃碼 閱讀全文