美國零信任制度研究及啟示

姚相振，李彥峰，孫 彥，羨喻杰

（中國電子技術標準化研究院，北京 100007）

0 引言

隨著網絡環境日益復雜，基于固定邊界的網絡安全防護策略面臨越來越嚴峻的挑戰，例如，難以防御內部網絡攻擊、對數據泄露風險缺少有效防護措施等[1]。為應對日益復雜的網絡安全挑戰，美國國防部和聯邦政府制定了一系列政策標準，推進相關領域信息系統零信任架構改造。

零信任作為一種安全理念，通過對訪問發起方進行認證授權、持續監測和評估，動態調整訪問控制策略，以實現對訪問發起方的動態細粒度訪問控制，有效管控安全風險。2010年，咨詢公司Forrester推出零信任(Zero Trust)概念，首次提出通過對每次訪問過程進行評估建立信任關系的安全理念[2]。基于零信任理念，一批企業開展了落地實踐工作，其中Forrester提出了零信任擴展(Zero Trust eXtended，ZTX)和零信任邊緣(Zero Trust Edge，ZTE)[3]；Gartner設計了零信任網絡(Zero Trust Network Access，ZTNA)[4]；谷歌推動了BeyondCorp零信任項目[5]；微軟開發了Azure零信任架構；云安全聯盟(Cloud Security Alliance，CSA)提出了軟件定義邊界(Software Defined Perimeter，SDP)協議等[6]。據Forrester統計，2020年全球范圍內零信任業務年營收超過1億美元的廠商有10家，零信任架構主要應用于政府、金融、制造業、醫療、教育等領域[7]。

本文梳理了美國零信任相關政策標準情況，并基于零信任在我國發展現狀，提出了推動零信任發展相關建議。

1 美國零信任政策標準情況

為推動信息基礎設施現代化，自2019年起美國在國防信息化和聯邦政府信息化領域分別出臺一系列政策標準，推動零信任架構落地應用。美國零信任相關政策標準發展情況如圖1所示。

圖1 美國零信任相關政策標準發展情況

1.1 國防信息系統領域

2019年7月，為了在全球網絡安全威脅格局不斷演變的環境下保持競爭力，美國國防部(DoD)發布《國防部數字現代化戰略》[8]，希望通過提高技術能力增強數字領域的競爭力，推動美國國防領域信息化建設的頂層設計。該戰略提出通過創新獲得競爭優勢、優化效率和提升能力、發展網絡安全實現靈活彈性的網絡安全態勢、培養數字化人才四項戰略目標。在云計算、人工智能、指揮控制和通信、網絡安全4個領域，提出了支持國防戰略實施的路線圖。在《國防部數字現代化戰略》中，零信任安全被認為是15個重點發展技術之一。

落實《國防部數字現代化戰略》，國防部下屬國防創新委員會(Defense Innovation Board，DIB)和國防信息系統局(Defense Information Systems Agency，DISA)等機構先后發布了文件指導零信任架構在國防領域應用。

在國防創新委員會方面，2019年7月發布了《零信任安全之路》白皮書[9]，用于指導國防部網絡零信任架構的實施。該白皮書指出隨著國防部網絡規模和復雜性的快速增加，用戶和端點數量不斷增長，網絡攻擊面不斷擴大，現有的基于固定邊界的防護策略難以有效應對。零信任使用“角色”作為訪問權限設計的核心，通過最小訪問控制模型實現對特定資源的訪問控制，包括用戶驗證、設備驗證、權限驗證三個基本驗證步驟，可以有效提升國防信息系統安全性。

2019年10月，國防創新委員會發布了《零信任架構建議》[10]，進一步指出零信任架構是美國國防部網絡安全架構的演進方向，要求非機密互聯網協議路由網絡(Non-classified Internet Protocol Router Network，NIPRNET)和機密互聯網協議路由網絡(Secret Internet Protocol Router Network，SIPRNET)均應向零信任安全架構遷移。為實現基于用戶屬性的多因子認證、最小權限訪問模式和持續驗證設備狀態等長期目標，《零信任架構建議》在《零信任安全之路》白皮書基礎上進一步給出了同步實施零信任、用戶授權、設備授權、最小權限授權四個方面的實施建議。

在國防信息系統局方面，2020年11月，發布了《國防信息系統局戰略計劃》[11]，提出為抵御不斷演變的網絡安全威脅，將通過零信任架構項目整合現有安全解決方案，增強安全防御體系，有效防御內外部攻擊，實現橫向攻擊的檢測。國防信息系統局、國家安全局(National Security Agency，NSA)、網絡司令部(U.S.Cyber Command)和國防部首席信息官合作開發零信任實驗室環境，并通過現有技術測試零信任安全能力。

2021年5月，國防信息系統局和美國國家安全局聯合發布了《國防部零信任參考架構》[12]，提出國防部下一代網絡安全架構應以數據為中心并基于零信任架構，提出了國防部網絡環境下的零信任原則、能力、成熟度、參照標準等，明確了零信任架構在國防領域落地實施的具體要求。在原則方面，提出“環境敵對假設、失陷假設、永不信任和始終驗證、顯式驗證、應用統一分析”等5項原則，用于指導零信任架構設計。在能力方面，如圖2所示，提出用戶、設備、網絡/環境、應用和工作負載、數據、可見性和分析以及自動化和編排7個方面能力，并給出了每個能力依托的關鍵技術和技術間的依賴關系，用以指導零信任部署。在成熟度方面，如圖3所示，梳理了從傳統網絡架構向零信任遷移所需的資產發現和現狀評估等準備工作，提出了基線、中等、高級三個成熟度級別，用于指導零信任落地和評估。在參照標準方面，給出了零信任相關法律法規和政策標準，作為零信任實施部署的參考依據。

圖2 美國國防部參考架構零信任能力

圖3 美國國防部零信任能力成熟度模型

2021年8月，國防信息系統局發布《征集關于雷霆穹頂(Thunderdome)零信任實施方案的白皮書》[13]，旨在通過該項目試點工作推動零信任架構在軍方落地，標志著零信任架構已經在美國軍方進入試點應用階段。

1.2 聯邦政府信息系統領域

2011年，聯邦政府提出聯邦風險和授權管理計劃(Federal Risk and Authorization Management Program，FedRAMP)，提供標準化的安全和風險評估方法，促進聯邦政府采用安全云計算服務。2017年，聯邦政府提出“美國聯邦政府信息技術現代化計劃”，進一步推動聯邦政府信息系統向云計算服務進行遷移。

2019年9月，美國國家標準與技術研究院發布了SP 800-207《零信任架構》草案稿，并于2020年8月正式發布該標準。SP 800-207《零信任架構》指出零信任架構具有對訪問請求進行認證授權、持續監測和評估以及動態調整訪問控制策略的特點。該標準給出了零信任架構的參考，并說明了零信任架構的主要技術實現方式和部署方式。

2020年10月，美國國家標準與技術研究院下屬機構國家網絡安全卓越中心(National Cybersecurity Center of Excellence，NCCoE)發布《實現零信任架構實踐指南》征求意見稿[14]，該指南在SP 800-207《零信任架構》基礎上提出了零信任架構的實施建議，用于指導零信任部署。

2021年5月，美國總統拜登簽署14028號行政令《改善國家網絡安全》。為應對云計算服務在聯邦信息系統領域規?；瘧脦淼南到y訪問邊界模糊、運維安全、數據泄漏等問題，行政令在“聯邦政府網絡安全現代化”部分，提出聯邦政府機構應加強對云計算平臺保護，向云計算平臺遷移的政府機構服務應盡量使用零信任架構等要求。行政令要求政府機構部門負責人參照美國國家標準與技術研究院發布的標準和指南中的零信任架構遷移步驟，于行政令發布后60天內制定實施零信任架構計劃。同時，行政令要求行政管理和預算辦公室(Office of Management and Budget，OMB)、國土安全部(Department of Homeland Security，DHS)和總務管理局(General Services)于行政令發布后90天內制定聯邦云安全戰略，并向各機構提供指導，推動各機構向零信任架構遷移。

2021年8月，美國國家標準與技術研究院發布《零信任架構規劃：管理者的初始指南》白皮書草案[15]，在SP 800-207基礎上，介紹了如何使用風險管理框架實施零信任架構。

2021年9月，落實14028號行政令，行政令要求行政管理和預算辦公室與網絡安全和基礎設施安全局(The Cybersecurity and Infrastructure Security Agency，CISA)發布《美國政府向零信任網絡安全原則邁進》戰略備忘錄(征求意見稿)[16]，要求聯邦政府機構在2024年9月30日之前實現零信任安全目標。該備忘錄于2022年1月26日正式發布。

2021年9月，支撐《美國政府向零信任網絡安全原則邁進》戰略備忘錄落地，網絡安全和基礎設施安全局發布了《零信任成熟度模型》征求意見稿[17]，將零信任基礎分為身份、設備、網絡、應用、數據5個維度以及貫穿所有維度的可視化分析、自動化編排、治理3個通用要素，并給出了零信任的成熟度模型，將零信任成熟度分為傳統、先進和最佳3個成熟度等級，給出了各等級需滿足的功能、關鍵技術和效果要求，為指導和評價零信任應用水平提供依據。圖4給出了美國網絡安全和基礎設施安全局零信任成熟度模型。

圖4 美國網絡安全和基礎設施安全局零信任成熟度模型

2021年12月，美國審計總署(Government Accountability Office，GAO)在審計報告《技術現代化基金實施相關建議以改善費用收取和提案成本估算》中指出，行政管理和預算辦公室下屬的技術現代化基金在2021年9月批復了零信任相關項目經費597萬美元。其中，總務管理局(General Services Administration)298萬美元、教育局(Department of Education)200萬美元、人事管理局(Office of Personnel Management)99萬美元，用于推進零信任架構在聯邦政府部門落地實施。該審計報告說明，在聯邦政府信息系統領域零信任架構已進入實質性部署階段。

2 國內政策及標準化情況

2.1 政策情況

2020年8月，工業和信息化部發布《工業和信息化部辦公廳關于開展2020年網絡安全技術應用試點示范工作的通知》(工信廳網安函(2020)190號)，提出面向新型信息基礎設施安全類、網絡安全公共服務類重點方向，以及擬態防御、可信計算、零信任、安全智能編排等前沿性、創新性、先導性的重大網絡安全技術理念，匯聚產學研用等創新資源，具備核心技術攻關、產業化應用推廣等關鍵環節協同創新環境和載體的網絡安全技術創新或試點示范區。

2021年3月，北京市科學技術委員會發布《北京市“十四五”時期智慧城市發展行動綱要》，提出建立健全與智慧城市發展相匹配的數據安全治理體系，探索構建零信任框架下的數據訪問安全機制。

2021年7月，工業和信息化部公開征求對《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》的意見。該征求意見稿在“發展創新安全技術”一節提出“積極探索擬態防御、可信計算、零信任安全等網絡安全新理念、新架構，推動網絡安全理論和技術創新”，在“加強共性基礎支撐”一節提出“針對5G虛擬專網、5G共建共享等網絡建設模式，積極推進安全資源池、零信任安全架構、資產識別等安全解決方案應用，構建按需供給的安全能力”，在“推動關鍵行業基礎設施強化網絡安全建設”一節提出“推進零信任、人工智能等技術應用，提升防護體系效能”等相關要求。

2021年7月，工業和信息化部、中央網絡安全和信息化委員會辦公室等十部委聯合發布了十部門關于印發《5G應用“揚帆”行動計劃(2021-2023年)》的通知(工信部聯通信(2021)77號），在“5G應用安全能力鍛造工程”部分提出“推動發展內生安全、零信任安全、動態隔離等關鍵安全產品，創新開展風險識別、態勢感知、安全評測、網絡身份信任管理等5G應用安全服務，提升基于服務的5G應用安全保障能力?！?/p>

2.2 標準化情況

在國家標準方面，全國信息安全標準化技術委員會(簡稱“TC260”)提出并歸口國家標準《信息安全技術 零信任參考體系架構》。該標準規定了零信任訪問模型、整體框架、組件及組件之間關系，為采用零信任體系架構的信息系統的規劃、設計、開發、應用提供參考。目前該標準處于草案稿階段。主要零信任相關國家標準還包括：GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》，該標準規定了安全通信網絡、安全區域邊界以及可信驗證等方面的要求；GB/T 38638—2020《信息安全技術 可信計算 可信計算體系結構》規定了可信計算基的功能、結構和工作流程等；GB/T 38644—2020《信息安全技術 可信計算 可信連接測試方法》規定了可信網絡鏈接協議的要求和測試方法等。

2.3 產業情況

我國零信任產業處在起步階段，據《2021中國零信任全景圖》統計，從應用場景看，我國零信任實施場景以遠程接入為主，包括遠程辦公、遠程分支機構接入、遠程運維以及第三方人員訪問和第三方系統連接企業內部資源等具體應用。其他場景還包括數據安全防護、應用程序編程接口(Application Programming Interface，API)安全防護、多云/多數據中心接入等。從已經實施零信任改造的行業分布看，政府機關、信息技術服務業、金融業和制造業占比相對較高，其他場景還包括教育業、批發零售業以及電力、熱力、水利供應業、房地產業、旅游住宿業、交通運輸業等。

據《2021零信任落地案例集》[18]統計，現有的零信任解決方案主要采用軟件定義邊界(Software Defined Perimeter，SDP)、基于身份識別與訪問管理(Identity and Access Management，IAM)和微隔離(Micro Segmentation，MSG)三種方式，軟件定義邊界部署方式占比較高。25個廠商的26個零信任案例中，18個案例基于軟件定義邊界，4個案例基于身份識別與訪問管理，3個案例基于微隔離，1個案例基于軟件定義邊界和身份識別與訪問管理混合部署。

3 分析和建議

綜合分析美國零信任發展情況，可以發現以下三方面特點：一是零信任架構應用是由美國大規模使用云計算環境的信息化現狀所決定的，是保障信息化安全有序發展的重要措施；二是零信任標準確立了統一框架和實現評價方式，為零信任相關政策發布提供了技術支撐，有力推動了零信任架構在國防信息系統和聯邦政府信息系統領域的落地應用；三是零信任是一種安全理念，實現方式并不受限于特定技術，可以通過多種技術方案實現。

基于美國在零信任應用推廣方面的經驗，為有效支撐我國網絡安全保障體系和保障能力建設，推動零信任在我國落地應用，提出以下四方面建議。

一是應加快零信任體系架構相關國家標準標準研制，為零信任應用實施提供指導。零信任作為一種安全理念，國內學術界、產業界在技術框架、實現路徑等方面尚未形成共識，應加快體系架構國家標準和配套實施指南等標準的研制，推動對零信任認識的統一，優化產業實踐，降低產業發展成本，為零信任大規模應用奠定基礎。

二是組織開展零信任試點示范工作，邀請零信任行業主要廠商、用戶單位和網絡安全領域專家，遴選一批可推廣、可復制的零信任方案，摸清行業底數，為開展零信任架構改造提供參考。

三是推動零信任安全評估體系建設。針對零信任建設缺乏有效評價手段、安全能力提升較難量化的問題，探索開展零信任能力成熟度評估，推動零信任應用在相關行業實質落地，提升整體安全防護水平。

四是積極推動零信任產業發展，充分發揮零信任在構建現代化網絡安全保障體系中的作用。我國正處在數字化轉型的關鍵時期，隨著數字化轉型逐步深入，應用場景復雜化、設備類型多樣化、身份管理碎片化的問題日益突出，應發揮零信任在身份管理、動態訪問控制等方面的技術優勢，推動國內零信任產業健康有序發展，為網絡安全保障體系的高質量發展提供支撐。