美國零信任制度研究及啟示

姚相振，李彥峰，孫 彥，羨喻杰

（中國電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007）

0 引言

隨著網(wǎng)絡(luò)環(huán)境日益復(fù)雜，基于固定邊界的網(wǎng)絡(luò)安全防護(hù)策略面臨越來越嚴(yán)峻的挑戰(zhàn)，例如，難以防御內(nèi)部網(wǎng)絡(luò)攻擊、對數(shù)據(jù)泄露風(fēng)險缺少有效防護(hù)措施等[1]。為應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)，美國國防部和聯(lián)邦政府制定了一系列政策標(biāo)準(zhǔn)，推進(jìn)相關(guān)領(lǐng)域信息系統(tǒng)零信任架構(gòu)改造。

零信任作為一種安全理念，通過對訪問發(fā)起方進(jìn)行認(rèn)證授權(quán)、持續(xù)監(jiān)測和評估，動態(tài)調(diào)整訪問控制策略，以實(shí)現(xiàn)對訪問發(fā)起方的動態(tài)細(xì)粒度訪問控制，有效管控安全風(fēng)險。2010年，咨詢公司Forrester推出零信任(Zero Trust)概念，首次提出通過對每次訪問過程進(jìn)行評估建立信任關(guān)系的安全理念[2]。基于零信任理念，一批企業(yè)開展了落地實(shí)踐工作，其中Forrester提出了零信任擴(kuò)展(Zero Trust eXtended，ZTX)和零信任邊緣(Zero Trust Edge，ZTE)[3]；Gartner設(shè)計(jì)了零信任網(wǎng)絡(luò)(Zero Trust Network Access，ZTNA)[4]；谷歌推動了BeyondCorp零信任項(xiàng)目[5]；微軟開發(fā)了Azure零信任架構(gòu)；云安全聯(lián)盟(Cloud Security Alliance，CSA)提出了軟件定義邊界(Software Defined Perimeter，SDP)協(xié)議等[6]。據(jù)Forrester統(tǒng)計(jì)，2020年全球范圍內(nèi)零信任業(yè)務(wù)年?duì)I收超過1億美元的廠商有10家，零信任架構(gòu)主要應(yīng)用于政府、金融、制造業(yè)、醫(yī)療、教育等領(lǐng)域[7]。

本文梳理了美國零信任相關(guān)政策標(biāo)準(zhǔn)情況，并基于零信任在我國發(fā)展現(xiàn)狀，提出了推動零信任發(fā)展相關(guān)建議。

1 美國零信任政策標(biāo)準(zhǔn)情況

為推動信息基礎(chǔ)設(shè)施現(xiàn)代化，自2019年起美國在國防信息化和聯(lián)邦政府信息化領(lǐng)域分別出臺一系列政策標(biāo)準(zhǔn)，推動零信任架構(gòu)落地應(yīng)用。美國零信任相關(guān)政策標(biāo)準(zhǔn)發(fā)展情況如圖1所示。

圖1 美國零信任相關(guān)政策標(biāo)準(zhǔn)發(fā)展情況

1.1 國防信息系統(tǒng)領(lǐng)域

2019年7月，為了在全球網(wǎng)絡(luò)安全威脅格局不斷演變的環(huán)境下保持競爭力，美國國防部(DoD)發(fā)布《國防部數(shù)字現(xiàn)代化戰(zhàn)略》[8]，希望通過提高技術(shù)能力增強(qiáng)數(shù)字領(lǐng)域的競爭力，推動美國國防領(lǐng)域信息化建設(shè)的頂層設(shè)計(jì)。該戰(zhàn)略提出通過創(chuàng)新獲得競爭優(yōu)勢、優(yōu)化效率和提升能力、發(fā)展網(wǎng)絡(luò)安全實(shí)現(xiàn)靈活彈性的網(wǎng)絡(luò)安全態(tài)勢、培養(yǎng)數(shù)字化人才四項(xiàng)戰(zhàn)略目標(biāo)。在云計(jì)算、人工智能、指揮控制和通信、網(wǎng)絡(luò)安全4個領(lǐng)域，提出了支持國防戰(zhàn)略實(shí)施的路線圖。在《國防部數(shù)字現(xiàn)代化戰(zhàn)略》中，零信任安全被認(rèn)為是15個重點(diǎn)發(fā)展技術(shù)之一。

落實(shí)《國防部數(shù)字現(xiàn)代化戰(zhàn)略》，國防部下屬國防創(chuàng)新委員會(Defense Innovation Board，DIB)和國防信息系統(tǒng)局(Defense Information Systems Agency，DISA)等機(jī)構(gòu)先后發(fā)布了文件指導(dǎo)零信任架構(gòu)在國防領(lǐng)域應(yīng)用。

在國防創(chuàng)新委員會方面，2019年7月發(fā)布了《零信任安全之路》白皮書[9]，用于指導(dǎo)國防部網(wǎng)絡(luò)零信任架構(gòu)的實(shí)施。該白皮書指出隨著國防部網(wǎng)絡(luò)規(guī)模和復(fù)雜性的快速增加，用戶和端點(diǎn)數(shù)量不斷增長，網(wǎng)絡(luò)攻擊面不斷擴(kuò)大，現(xiàn)有的基于固定邊界的防護(hù)策略難以有效應(yīng)對。零信任使用“角色”作為訪問權(quán)限設(shè)計(jì)的核心，通過最小訪問控制模型實(shí)現(xiàn)對特定資源的訪問控制，包括用戶驗(yàn)證、設(shè)備驗(yàn)證、權(quán)限驗(yàn)證三個基本驗(yàn)證步驟，可以有效提升國防信息系統(tǒng)安全性。

2019年10月，國防創(chuàng)新委員會發(fā)布了《零信任架構(gòu)建議》[10]，進(jìn)一步指出零信任架構(gòu)是美國國防部網(wǎng)絡(luò)安全架構(gòu)的演進(jìn)方向，要求非機(jī)密互聯(lián)網(wǎng)協(xié)議路由網(wǎng)絡(luò)(Non-classified Internet Protocol Router Network，NIPRNET)和機(jī)密互聯(lián)網(wǎng)協(xié)議路由網(wǎng)絡(luò)(Secret Internet Protocol Router Network，SIPRNET)均應(yīng)向零信任安全架構(gòu)遷移。為實(shí)現(xiàn)基于用戶屬性的多因子認(rèn)證、最小權(quán)限訪問模式和持續(xù)驗(yàn)證設(shè)備狀態(tài)等長期目標(biāo)，《零信任架構(gòu)建議》在《零信任安全之路》白皮書基礎(chǔ)上進(jìn)一步給出了同步實(shí)施零信任、用戶授權(quán)、設(shè)備授權(quán)、最小權(quán)限授權(quán)四個方面的實(shí)施建議。

在國防信息系統(tǒng)局方面，2020年11月，發(fā)布了《國防信息系統(tǒng)局戰(zhàn)略計(jì)劃》[11]，提出為抵御不斷演變的網(wǎng)絡(luò)安全威脅，將通過零信任架構(gòu)項(xiàng)目整合現(xiàn)有安全解決方案，增強(qiáng)安全防御體系，有效防御內(nèi)外部攻擊，實(shí)現(xiàn)橫向攻擊的檢測。國防信息系統(tǒng)局、國家安全局(National Security Agency，NSA)、網(wǎng)絡(luò)司令部(U.S.Cyber Command)和國防部首席信息官合作開發(fā)零信任實(shí)驗(yàn)室環(huán)境，并通過現(xiàn)有技術(shù)測試零信任安全能力。

2021年5月，國防信息系統(tǒng)局和美國國家安全局聯(lián)合發(fā)布了《國防部零信任參考架構(gòu)》[12]，提出國防部下一代網(wǎng)絡(luò)安全架構(gòu)應(yīng)以數(shù)據(jù)為中心并基于零信任架構(gòu)，提出了國防部網(wǎng)絡(luò)環(huán)境下的零信任原則、能力、成熟度、參照標(biāo)準(zhǔn)等，明確了零信任架構(gòu)在國防領(lǐng)域落地實(shí)施的具體要求。在原則方面，提出“環(huán)境敵對假設(shè)、失陷假設(shè)、永不信任和始終驗(yàn)證、顯式驗(yàn)證、應(yīng)用統(tǒng)一分析”等5項(xiàng)原則，用于指導(dǎo)零信任架構(gòu)設(shè)計(jì)。在能力方面，如圖2所示，提出用戶、設(shè)備、網(wǎng)絡(luò)/環(huán)境、應(yīng)用和工作負(fù)載、數(shù)據(jù)、可見性和分析以及自動化和編排7個方面能力，并給出了每個能力依托的關(guān)鍵技術(shù)和技術(shù)間的依賴關(guān)系，用以指導(dǎo)零信任部署。在成熟度方面，如圖3所示，梳理了從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)向零信任遷移所需的資產(chǎn)發(fā)現(xiàn)和現(xiàn)狀評估等準(zhǔn)備工作，提出了基線、中等、高級三個成熟度級別，用于指導(dǎo)零信任落地和評估。在參照標(biāo)準(zhǔn)方面，給出了零信任相關(guān)法律法規(guī)和政策標(biāo)準(zhǔn)，作為零信任實(shí)施部署的參考依據(jù)。

圖2 美國國防部參考架構(gòu)零信任能力

圖3 美國國防部零信任能力成熟度模型

2021年8月，國防信息系統(tǒng)局發(fā)布《征集關(guān)于雷霆穹頂(Thunderdome)零信任實(shí)施方案的白皮書》[13]，旨在通過該項(xiàng)目試點(diǎn)工作推動零信任架構(gòu)在軍方落地，標(biāo)志著零信任架構(gòu)已經(jīng)在美國軍方進(jìn)入試點(diǎn)應(yīng)用階段。

1.2 聯(lián)邦政府信息系統(tǒng)領(lǐng)域

2011年，聯(lián)邦政府提出聯(lián)邦風(fēng)險和授權(quán)管理計(jì)劃(Federal Risk and Authorization Management Program，F(xiàn)edRAMP)，提供標(biāo)準(zhǔn)化的安全和風(fēng)險評估方法，促進(jìn)聯(lián)邦政府采用安全云計(jì)算服務(wù)。2017年，聯(lián)邦政府提出“美國聯(lián)邦政府信息技術(shù)現(xiàn)代化計(jì)劃”，進(jìn)一步推動聯(lián)邦政府信息系統(tǒng)向云計(jì)算服務(wù)進(jìn)行遷移。

2019年9月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布了SP 800-207《零信任架構(gòu)》草案稿，并于2020年8月正式發(fā)布該標(biāo)準(zhǔn)。SP 800-207《零信任架構(gòu)》指出零信任架構(gòu)具有對訪問請求進(jìn)行認(rèn)證授權(quán)、持續(xù)監(jiān)測和評估以及動態(tài)調(diào)整訪問控制策略的特點(diǎn)。該標(biāo)準(zhǔn)給出了零信任架構(gòu)的參考，并說明了零信任架構(gòu)的主要技術(shù)實(shí)現(xiàn)方式和部署方式。

2020年10月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院下屬機(jī)構(gòu)國家網(wǎng)絡(luò)安全卓越中心(National Cybersecurity Center of Excellence，NCCoE)發(fā)布《實(shí)現(xiàn)零信任架構(gòu)實(shí)踐指南》征求意見稿[14]，該指南在SP 800-207《零信任架構(gòu)》基礎(chǔ)上提出了零信任架構(gòu)的實(shí)施建議，用于指導(dǎo)零信任部署。

2021年5月，美國總統(tǒng)拜登簽署14028號行政令《改善國家網(wǎng)絡(luò)安全》。為應(yīng)對云計(jì)算服務(wù)在聯(lián)邦信息系統(tǒng)領(lǐng)域規(guī)?；瘧?yīng)用帶來的系統(tǒng)訪問邊界模糊、運(yùn)維安全、數(shù)據(jù)泄漏等問題，行政令在“聯(lián)邦政府網(wǎng)絡(luò)安全現(xiàn)代化”部分，提出聯(lián)邦政府機(jī)構(gòu)應(yīng)加強(qiáng)對云計(jì)算平臺保護(hù)，向云計(jì)算平臺遷移的政府機(jī)構(gòu)服務(wù)應(yīng)盡量使用零信任架構(gòu)等要求。行政令要求政府機(jī)構(gòu)部門負(fù)責(zé)人參照美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的標(biāo)準(zhǔn)和指南中的零信任架構(gòu)遷移步驟，于行政令發(fā)布后60天內(nèi)制定實(shí)施零信任架構(gòu)計(jì)劃。同時，行政令要求行政管理和預(yù)算辦公室(Office of Management and Budget，OMB)、國土安全部(Department of Homeland Security，DHS)和總務(wù)管理局(General Services)于行政令發(fā)布后90天內(nèi)制定聯(lián)邦云安全戰(zhàn)略，并向各機(jī)構(gòu)提供指導(dǎo)，推動各機(jī)構(gòu)向零信任架構(gòu)遷移。

2021年8月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布《零信任架構(gòu)規(guī)劃：管理者的初始指南》白皮書草案[15]，在SP 800-207基礎(chǔ)上，介紹了如何使用風(fēng)險管理框架實(shí)施零信任架構(gòu)。

2021年9月，落實(shí)14028號行政令，行政令要求行政管理和預(yù)算辦公室與網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(The Cybersecurity and Infrastructure Security Agency，CISA)發(fā)布《美國政府向零信任網(wǎng)絡(luò)安全原則邁進(jìn)》戰(zhàn)略備忘錄(征求意見稿)[16]，要求聯(lián)邦政府機(jī)構(gòu)在2024年9月30日之前實(shí)現(xiàn)零信任安全目標(biāo)。該備忘錄于2022年1月26日正式發(fā)布。

2021年9月，支撐《美國政府向零信任網(wǎng)絡(luò)安全原則邁進(jìn)》戰(zhàn)略備忘錄落地，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局發(fā)布了《零信任成熟度模型》征求意見稿[17]，將零信任基礎(chǔ)分為身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)5個維度以及貫穿所有維度的可視化分析、自動化編排、治理3個通用要素，并給出了零信任的成熟度模型，將零信任成熟度分為傳統(tǒng)、先進(jìn)和最佳3個成熟度等級，給出了各等級需滿足的功能、關(guān)鍵技術(shù)和效果要求，為指導(dǎo)和評價零信任應(yīng)用水平提供依據(jù)。圖4給出了美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局零信任成熟度模型。

圖4 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局零信任成熟度模型

2021年12月，美國審計(jì)總署(Government Accountability Office，GAO)在審計(jì)報(bào)告《技術(shù)現(xiàn)代化基金實(shí)施相關(guān)建議以改善費(fèi)用收取和提案成本估算》中指出，行政管理和預(yù)算辦公室下屬的技術(shù)現(xiàn)代化基金在2021年9月批復(fù)了零信任相關(guān)項(xiàng)目經(jīng)費(fèi)597萬美元。其中，總務(wù)管理局(General Services Administration)298萬美元、教育局(Department of Education)200萬美元、人事管理局(Office of Personnel Management)99萬美元，用于推進(jìn)零信任架構(gòu)在聯(lián)邦政府部門落地實(shí)施。該審計(jì)報(bào)告說明，在聯(lián)邦政府信息系統(tǒng)領(lǐng)域零信任架構(gòu)已進(jìn)入實(shí)質(zhì)性部署階段。

2 國內(nèi)政策及標(biāo)準(zhǔn)化情況

2.1 政策情況

2020年8月，工業(yè)和信息化部發(fā)布《工業(yè)和信息化部辦公廳關(guān)于開展2020年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范工作的通知》(工信廳網(wǎng)安函(2020)190號)，提出面向新型信息基礎(chǔ)設(shè)施安全類、網(wǎng)絡(luò)安全公共服務(wù)類重點(diǎn)方向，以及擬態(tài)防御、可信計(jì)算、零信任、安全智能編排等前沿性、創(chuàng)新性、先導(dǎo)性的重大網(wǎng)絡(luò)安全技術(shù)理念，匯聚產(chǎn)學(xué)研用等創(chuàng)新資源，具備核心技術(shù)攻關(guān)、產(chǎn)業(yè)化應(yīng)用推廣等關(guān)鍵環(huán)節(jié)協(xié)同創(chuàng)新環(huán)境和載體的網(wǎng)絡(luò)安全技術(shù)創(chuàng)新或試點(diǎn)示范區(qū)。

2021年3月，北京市科學(xué)技術(shù)委員會發(fā)布《北京市“十四五”時期智慧城市發(fā)展行動綱要》，提出建立健全與智慧城市發(fā)展相匹配的數(shù)據(jù)安全治理體系，探索構(gòu)建零信任框架下的數(shù)據(jù)訪問安全機(jī)制。

2021年7月，工業(yè)和信息化部公開征求對《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計(jì)劃(2021-2023年)(征求意見稿)》的意見。該征求意見稿在“發(fā)展創(chuàng)新安全技術(shù)”一節(jié)提出“積極探索擬態(tài)防御、可信計(jì)算、零信任安全等網(wǎng)絡(luò)安全新理念、新架構(gòu)，推動網(wǎng)絡(luò)安全理論和技術(shù)創(chuàng)新”，在“加強(qiáng)共性基礎(chǔ)支撐”一節(jié)提出“針對5G虛擬專網(wǎng)、5G共建共享等網(wǎng)絡(luò)建設(shè)模式，積極推進(jìn)安全資源池、零信任安全架構(gòu)、資產(chǎn)識別等安全解決方案應(yīng)用，構(gòu)建按需供給的安全能力”，在“推動關(guān)鍵行業(yè)基礎(chǔ)設(shè)施強(qiáng)化網(wǎng)絡(luò)安全建設(shè)”一節(jié)提出“推進(jìn)零信任、人工智能等技術(shù)應(yīng)用，提升防護(hù)體系效能”等相關(guān)要求。

2021年7月，工業(yè)和信息化部、中央網(wǎng)絡(luò)安全和信息化委員會辦公室等十部委聯(lián)合發(fā)布了十部門關(guān)于印發(fā)《5G應(yīng)用“揚(yáng)帆”行動計(jì)劃(2021-2023年)》的通知(工信部聯(lián)通信(2021)77號），在“5G應(yīng)用安全能力鍛造工程”部分提出“推動發(fā)展內(nèi)生安全、零信任安全、動態(tài)隔離等關(guān)鍵安全產(chǎn)品，創(chuàng)新開展風(fēng)險識別、態(tài)勢感知、安全評測、網(wǎng)絡(luò)身份信任管理等5G應(yīng)用安全服務(wù)，提升基于服務(wù)的5G應(yīng)用安全保障能力?！?/p>

2.2 標(biāo)準(zhǔn)化情況

在國家標(biāo)準(zhǔn)方面，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(簡稱“TC260”)提出并歸口國家標(biāo)準(zhǔn)《信息安全技術(shù) 零信任參考體系架構(gòu)》。該標(biāo)準(zhǔn)規(guī)定了零信任訪問模型、整體框架、組件及組件之間關(guān)系，為采用零信任體系架構(gòu)的信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、開發(fā)、應(yīng)用提供參考。目前該標(biāo)準(zhǔn)處于草案稿階段。主要零信任相關(guān)國家標(biāo)準(zhǔn)還包括：GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》，該標(biāo)準(zhǔn)規(guī)定了安全通信網(wǎng)絡(luò)、安全區(qū)域邊界以及可信驗(yàn)證等方面的要求；GB/T 38638—2020《信息安全技術(shù) 可信計(jì)算 可信計(jì)算體系結(jié)構(gòu)》規(guī)定了可信計(jì)算基的功能、結(jié)構(gòu)和工作流程等；GB/T 38644—2020《信息安全技術(shù) 可信計(jì)算 可信連接測試方法》規(guī)定了可信網(wǎng)絡(luò)鏈接協(xié)議的要求和測試方法等。

2.3 產(chǎn)業(yè)情況

我國零信任產(chǎn)業(yè)處在起步階段，據(jù)《2021中國零信任全景圖》統(tǒng)計(jì)，從應(yīng)用場景看，我國零信任實(shí)施場景以遠(yuǎn)程接入為主，包括遠(yuǎn)程辦公、遠(yuǎn)程分支機(jī)構(gòu)接入、遠(yuǎn)程運(yùn)維以及第三方人員訪問和第三方系統(tǒng)連接企業(yè)內(nèi)部資源等具體應(yīng)用。其他場景還包括數(shù)據(jù)安全防護(hù)、應(yīng)用程序編程接口(Application Programming Interface，API)安全防護(hù)、多云/多數(shù)據(jù)中心接入等。從已經(jīng)實(shí)施零信任改造的行業(yè)分布看，政府機(jī)關(guān)、信息技術(shù)服務(wù)業(yè)、金融業(yè)和制造業(yè)占比相對較高，其他場景還包括教育業(yè)、批發(fā)零售業(yè)以及電力、熱力、水利供應(yīng)業(yè)、房地產(chǎn)業(yè)、旅游住宿業(yè)、交通運(yùn)輸業(yè)等。

據(jù)《2021零信任落地案例集》[18]統(tǒng)計(jì)，現(xiàn)有的零信任解決方案主要采用軟件定義邊界(Software Defined Perimeter，SDP)、基于身份識別與訪問管理(Identity and Access Management，IAM)和微隔離(Micro Segmentation，MSG)三種方式，軟件定義邊界部署方式占比較高。25個廠商的26個零信任案例中，18個案例基于軟件定義邊界，4個案例基于身份識別與訪問管理，3個案例基于微隔離，1個案例基于軟件定義邊界和身份識別與訪問管理混合部署。

3 分析和建議

綜合分析美國零信任發(fā)展情況，可以發(fā)現(xiàn)以下三方面特點(diǎn)：一是零信任架構(gòu)應(yīng)用是由美國大規(guī)模使用云計(jì)算環(huán)境的信息化現(xiàn)狀所決定的，是保障信息化安全有序發(fā)展的重要措施；二是零信任標(biāo)準(zhǔn)確立了統(tǒng)一框架和實(shí)現(xiàn)評價方式，為零信任相關(guān)政策發(fā)布提供了技術(shù)支撐，有力推動了零信任架構(gòu)在國防信息系統(tǒng)和聯(lián)邦政府信息系統(tǒng)領(lǐng)域的落地應(yīng)用；三是零信任是一種安全理念，實(shí)現(xiàn)方式并不受限于特定技術(shù)，可以通過多種技術(shù)方案實(shí)現(xiàn)。

基于美國在零信任應(yīng)用推廣方面的經(jīng)驗(yàn)，為有效支撐我國網(wǎng)絡(luò)安全保障體系和保障能力建設(shè)，推動零信任在我國落地應(yīng)用，提出以下四方面建議。

一是應(yīng)加快零信任體系架構(gòu)相關(guān)國家標(biāo)準(zhǔn)標(biāo)準(zhǔn)研制，為零信任應(yīng)用實(shí)施提供指導(dǎo)。零信任作為一種安全理念，國內(nèi)學(xué)術(shù)界、產(chǎn)業(yè)界在技術(shù)框架、實(shí)現(xiàn)路徑等方面尚未形成共識，應(yīng)加快體系架構(gòu)國家標(biāo)準(zhǔn)和配套實(shí)施指南等標(biāo)準(zhǔn)的研制，推動對零信任認(rèn)識的統(tǒng)一，優(yōu)化產(chǎn)業(yè)實(shí)踐，降低產(chǎn)業(yè)發(fā)展成本，為零信任大規(guī)模應(yīng)用奠定基礎(chǔ)。

二是組織開展零信任試點(diǎn)示范工作，邀請零信任行業(yè)主要廠商、用戶單位和網(wǎng)絡(luò)安全領(lǐng)域?qū)＜?，遴選一批可推廣、可復(fù)制的零信任方案，摸清行業(yè)底數(shù)，為開展零信任架構(gòu)改造提供參考。

三是推動零信任安全評估體系建設(shè)。針對零信任建設(shè)缺乏有效評價手段、安全能力提升較難量化的問題，探索開展零信任能力成熟度評估，推動零信任應(yīng)用在相關(guān)行業(yè)實(shí)質(zhì)落地，提升整體安全防護(hù)水平。

四是積極推動零信任產(chǎn)業(yè)發(fā)展，充分發(fā)揮零信任在構(gòu)建現(xiàn)代化網(wǎng)絡(luò)安全保障體系中的作用。我國正處在數(shù)字化轉(zhuǎn)型的關(guān)鍵時期，隨著數(shù)字化轉(zhuǎn)型逐步深入，應(yīng)用場景復(fù)雜化、設(shè)備類型多樣化、身份管理碎片化的問題日益突出，應(yīng)發(fā)揮零信任在身份管理、動態(tài)訪問控制等方面的技術(shù)優(yōu)勢，推動國內(nèi)零信任產(chǎn)業(yè)健康有序發(fā)展，為網(wǎng)絡(luò)安全保障體系的高質(zhì)量發(fā)展提供支撐。