零信任熱中的冷思考如此熱度之下，可能需要一些"冷思考"，有利于零信任這項技術的科學開展，使其從喧囂回歸理性，進而有效發(fā)揮零信任的作用。近幾年來，零信任（ZeroTrust,ZT）成為網(wǎng)絡平安領域的一個熱點話題，甚至被很多人視為網(wǎng)絡平安領域的"壓倒性”技術趨勢。零信任概念最初見于1994年的一篇博士論文，后因2010年咨詢公司Forrester的大力宣傳而被公眾所熟知。2020年8月，美國國家標準與技術研究院發(fā)布的《零信任架構(gòu)》定義零信任為一系列概念和思想，旨在面對信息系統(tǒng)和服務中受損的網(wǎng)絡時，在按請求執(zhí)行準確的、最小權(quán)限的訪問決策過程中，減少不確定性。2021年9月7日，美國政府管理和預算辦公室（OMB）及國土安全部網(wǎng)絡平安和基礎設施平安局（CISA）先后發(fā)布了《聯(lián)邦政府向零信任遷移的原那么》和《零信任成熟度模型》。美國政府將其冠名為“戰(zhàn)略"，引發(fā)世界各國對其可能實施網(wǎng)絡平安重大行動或布局網(wǎng)絡平安重要技術的強烈關注。同樣，零信任在我國網(wǎng)絡平安領域也引發(fā)熱議。2019年，工信部發(fā)布的《關于促進網(wǎng)絡平安產(chǎn)業(yè)開展的指導意見（征求意見稿）》將"零信任平安"列入”著力突破網(wǎng)絡安全關鍵技術”之一；2021年7月，工信部發(fā)布的《網(wǎng)絡平安產(chǎn)業(yè)高質(zhì)量開展三年行動計劃（2021-2023年）》提出要開展創(chuàng)新平安技術，加快開展零信任框架等平安體系研發(fā)。網(wǎng)絡平安產(chǎn)業(yè)界那么通過成立產(chǎn)業(yè)聯(lián)盟零信任工作組、制定和發(fā)布行業(yè)標準、提出解決方案，以及加大投資力度等各種措施促進零信任的應用和開展。如此熱度之下，可能需要一些"冷思考"，有利于零信任這項技術的科學開展，使其從喧囂回歸理性，進而有效發(fā)揮零信任的作用。一、美國零信任戰(zhàn)略介紹與分析2021年5月12日，美國總統(tǒng)拜登簽署了14028號行政令《改善國家網(wǎng)絡安全》，首次在聯(lián)邦政府的頂層政策文件中提出實施零信任的要求。該行政令要求，為跟上當今動態(tài)和日益復雜的網(wǎng)絡威脅環(huán)境，聯(lián)邦政府必須采取果斷措施，使其網(wǎng)絡平安方法現(xiàn)代化，包括提高聯(lián)邦政府對威脅的能見度，同時保護隱私和公民自由，具體措施包括采取平安最正確實踐、向零信任架構(gòu)推進、加快云服務平安等；同時，要求各機構(gòu)負責人應在行政令發(fā)布60天內(nèi)制定實施零信任架構(gòu)的計劃。此后，美國發(fā)布了《聯(lián)邦政府向零信任遷移的原那么》和《零信任成熟度模型》，用以具體落實該行政令。以上文件被美國白宮宣傳為"零信任戰(zhàn)略”。14028號行政令剛出臺時，我國一些機構(gòu)和媒體聲稱，這是"美國總統(tǒng)強推零信任"，這可能夸大其實，對零信任也是一種"捧殺"。對于美國政府的這些舉措，我們應從以下幾面進行理解：這是美國政府“信息技術現(xiàn)代化”改革的一局部，屬于漸進過程中的一環(huán)，目的不是為了開展零信任。多年以來，美國政府一直強調(diào)對關鍵基礎設施進行保護。但近年來美國政府自身遇到屢次重大網(wǎng)絡攻擊，特別是2015年4月出現(xiàn)了人事局（OPM）被攻擊的惡性事件，導致包括駐外情報人員在內(nèi)的聯(lián)邦雇員名單外泄，使美國政府不得不對疏于自身防護的"燈下黑”現(xiàn)象進行反思。經(jīng)美國政府問責辦公室（GAO）調(diào)研發(fā)現(xiàn)，聯(lián)邦信息系統(tǒng)陳舊老化，最老的系統(tǒng)已使用近60年之久，這是其容易受攻擊的根本原因。為此，美國政府于2017年宣布了"聯(lián)邦信息技術現(xiàn)代化計劃"，時任總統(tǒng)特朗普發(fā)布了《增強聯(lián)邦政府網(wǎng)絡與關鍵基礎設施網(wǎng)絡平安》。所謂"現(xiàn)代化"，重點是IT體系結(jié)構(gòu)的調(diào)整，以及與此調(diào)整相應的網(wǎng)絡平安防護自身的現(xiàn)代化。為此，拜登要求聯(lián)邦系統(tǒng)盡快云，并在云環(huán)境下積極采用零信任架構(gòu)。需要注意，在14028號行政令中，拜登同時提及的還有數(shù)據(jù)分級分類、多因子認證、加密等技術。因此，美國政府的一系列舉措，不是支持零信任開展的政策文件，而是對自身系統(tǒng)提出的防護要求。美國政府是在"上云”這一特定應用背景下推行零信任，零信任并非普適。在推進聯(lián)邦政府信息技術現(xiàn)代化進程中，美國確立了兩個工作目標：一是對聯(lián)邦政府網(wǎng)絡進行現(xiàn)代化改造和整合；二是構(gòu)建面向共享服務的網(wǎng)絡架構(gòu)。為實現(xiàn)上述目標，美國提出，要從對網(wǎng)絡邊界的保護和對物理設備的保護，轉(zhuǎn)向?qū)?shù)據(jù)的保護和對云計算平臺的部署。對數(shù)據(jù)的保護必然需要更細粒度的訪問控制。對云計算平臺的部署，特別是政府信息系統(tǒng)遷移到商業(yè)云上，必然導致政府對自身系統(tǒng)的管控能力降低，責任邊界變得模糊，疫情期間遠程辦公那么進一步加重了這一風險。這種復雜的平安場景，正是零信任所強調(diào)的"不再信任邊界"。為此，美國在高層政策中提出了部署零信任框架的要求。這確實是一種防護思路的轉(zhuǎn)變，但面對的是信息系統(tǒng)遷移到云上這種特殊背景，并不意味著在任何場景下都要推行零信任框架。這不是一次戰(zhàn)略級的行動。美國政府是在按既定路線提升聯(lián)邦信息系統(tǒng)的平安防護水平，其根本手段是替換老舊系統(tǒng)，實現(xiàn)"信息技術現(xiàn)代化"；保護重點是從保護網(wǎng)絡資產(chǎn)轉(zhuǎn)向保護數(shù)據(jù)資產(chǎn)；運行模式是遷移到商業(yè)云上，以表達投資集約化，解決專業(yè)人才缺乏的問題。而為了確保這一過程的平安，零信任是關鍵技術。但零信任確實較新，故美國政府連續(xù)發(fā)布了多份文件予以闡述，并要求2024年完成部署。這是一種具體的行動路線圖，不代表美國網(wǎng)絡平安戰(zhàn)略的重大動向。因此，美國"零信任戰(zhàn)略”是美國政府為應對更加復雜的新平安形勢而制定的行動計劃，不是戰(zhàn)略文件。二、國內(nèi)對零信任存在爭議的主要原因當前，由于盲目跟風、資本炒作等原因，國內(nèi)對零信任存在一些爭議。這些爭議對于凝聚網(wǎng)絡平安業(yè)界力量、加快自主創(chuàng)新步伐產(chǎn)生了不利影響，一些虛假宣傳更是擾亂了人們的認識，急需正本清源，引導零信任向正確的方向前進。分析認為，導致零信任正在偏離科學開展軌道的原因如下。一是資本炒作。網(wǎng)絡平安產(chǎn)業(yè)的戰(zhàn)略地位使資本趨之假設鷲，但資本始終在尋找網(wǎng)絡平安領域的亮點和爆發(fā)點。零信任的出現(xiàn)滿足了資本的包裝需求，零信任大熱與此有直接關系。目前，很大程度上是資本在推著零信任走，而不是需求在主導零信任的開展。二是過分夸大其作用。為了迎合資本炒作，一些人過分夸大了零信任的作用，將其作為解決網(wǎng)絡平安問題的靈丹妙藥，脫離了其作為訪問控制策略的技術實質(zhì)。一些人甚至將其上升為一種顛覆性網(wǎng)絡平安技術，人為制造了零信任與現(xiàn)有網(wǎng)絡平安技術措施的對立。三是違背基本技術原理。零信任的翻譯并不準確，其"永不信任、持續(xù)驗證”的典型口號更容易使人誤認為“信任"不再需要或不再存在。事實上，"信任"是社會運轉(zhuǎn)和系統(tǒng)運行的基礎，系統(tǒng)中永遠必須存在信任根，且零信任也恰恰是為了建立信任。由于對零信任的誤導性宣傳，使零信任受到很多誤解，甚至抵觸。四是錯誤定位。作為一種應對新網(wǎng)絡平安風險的指導思想，零信任本身不是技術，而是可以通過很多種技術來實現(xiàn)。由于外界在宣傳中普遍將其定位為一種新技術，導致"零信任"技術和產(chǎn)品五花八門、差異極大，迄今仍未形成統(tǒng)一的標準，存在著隨意解釋的現(xiàn)象。五是存在渾水摸魚的現(xiàn)象。零信任特指身份而言，但一些人有意將其引申為“不信任"，繼而引申為〃不平安〃。在這一邏輯下，為了迎合資本喜好，很多企業(yè)將其網(wǎng)絡平安方案冠名為"零信任解決方案"，但實際上與零信任沒有關系。這一不良風氣正在對網(wǎng)絡平安產(chǎn)業(yè)界產(chǎn)生侵蝕，助長了跟風炒作的行為。三、如何客觀地理解和認識零信任零信任本質(zhì)上是一種理念和思路，不是某種固定的技術，也不是對既有技術和體系結(jié)構(gòu)的顛覆。因此，我們應從以下方面理解和認識零信任。零信任的產(chǎn)生有其客觀必然性，源于傳統(tǒng)的信任模型受到挑戰(zhàn)。訪問控制是維護網(wǎng)絡平安的基本機制，而實施訪問控制的前提條件是身份認證。傳統(tǒng)的訪問控制缺少對身份的持續(xù)認證，難以應對身份被破壞后的情況（如攻擊者獲得了合法用戶的權(quán)限）；傳統(tǒng)方案中，主體在邊界處通過認證后便受到高度信任，難以防范來自內(nèi)部人員的攻擊；以前的訪問主體和客體都相對簡單、明確，但物聯(lián)網(wǎng)和大數(shù)據(jù)技術的應用使主客體變得日益多樣化，越來越難以保證數(shù)量繁多的主客體始終處在可信狀態(tài)，且訪問控制的粒度也從某個文件、數(shù)據(jù)庫擴展到了數(shù)據(jù)中的某一行、某個字段。這些因素導致原有的訪問控制模型需要作出改變，而這種改變的基本特征是，不能再依賴一次性認證便持續(xù)信任身份，而是需要持續(xù)、不斷地進行認證，這正是"零信任"的來源。零信任的實質(zhì)是對訪問控制的新要求，不是網(wǎng)絡平安的全部。為了應對網(wǎng)絡平安形勢新變化，零信任要求實施動態(tài)細粒度的訪問控制，這是零信任的本質(zhì)特征。即，身份認證不再依賴邊界防御，而是需要持續(xù)驗證身份，且服務、資源和環(huán)境等變化均是判斷身份是否可信的考量因素。訪問控制僅是假設干網(wǎng)絡平安機制的一種，而零信任本身沒有超出訪問控制的技術范疇。零信任是一種思想，沒有顛覆現(xiàn)有網(wǎng)絡平安技術和體系結(jié)構(gòu)。零信任反映了人們對網(wǎng)絡平安形勢變化的判斷，是基于威脅判斷而提出的新的應對思路，不是某一項固定的技術。這種新的"動態(tài)細粒度訪問控制"應對思路可以指導現(xiàn)有技術不斷升級，與現(xiàn)有的網(wǎng)絡平安技術、模型和體系結(jié)構(gòu)并不矛盾，更不意味著要取代現(xiàn)有技術。零信任的實現(xiàn)依然離不開網(wǎng)絡平安的基本原理，零信任思想需要利用多種技術去實現(xiàn)。目前看來，零信任提出的是一種非常理想的訪問控制目標，技術實現(xiàn)的難度相當大，其真正落地實施還需長期的探索。四、正確引導零信任開展和應用的建議零信任是一種有積極意義的網(wǎng)絡平安思想和理念，適應了信息化應用和技術開展趨勢，對降低云計算、大數(shù)據(jù)條件下的網(wǎng)絡平安風險有效。美國政府連續(xù)發(fā)布與零信任有關的政策文件，也說明了這一點。為了科學推進和引導我國網(wǎng)絡平安技術開展，正確發(fā)揮零信任的作用，以應對網(wǎng)絡平安威脅形勢新變化，建議從以下方面開展工作：組織對零信任技術的正確宣傳。針對當前存在的夸大、不當、錯誤宣傳予以糾正，尤其是防止網(wǎng)絡平安技術開展被資本所牽引。制定國家標準規(guī)范?？紤]我國國情，借鑒國外經(jīng)驗，組織制定零信任參考架