零信任何以继续成为2022年产业互联网安全十大趋势之一？

世界变化很快，互联网领域尤甚。《IT时报》每年年初都会对新一年全球互联网发展趋势做一次预判，犹且记得2021年初，它们对2021年做出预判，有网友发出感慨：“没有哪一年像2020年这样感受到发展的速度”。

2021年已经成为过去，站在2022年的开端，我们再回望2021年，大概也能得出同样的感慨：“没有哪一年像2021年这样感受到发展的速度”。这并不一种错觉，而是我们这个时代，恰巧处于一个全球科技树与疫情同步多点开花的大环境，这在历史上从未出现过。

网络安全与互联网科技息息相关，科技日新月异，安全更是瞬息万变。若你在安全领域沉浮十年以上，必定见识过许多安全技术的诞生与消亡。回头望去，曾经风靡全球的诸多安全技术与理念，都已经丢进了故纸堆里。尤为有趣的是，很多时候，你即将解决一种新的威胁，而这威胁本身却即将过时。

《论语·卫灵公》中有一句耳熟能详的名言：“人无远虑，必有近忧”。安全不但要有解决“近忧”的能力，还要具备“远虑”的眼界，即需对未来安全趋势进行研判，拥有随时在安全大海上转舵的技术储备与勇气底气。

2月28日，一份对2022年安全趋势研判的权威报告横空出世，报告名称为《2022年产业互联网安全十大趋势报告》（下文简称“报告”）。据悉，本报告由中国产业互联网发展联盟指导，人民邮电报、中国信息安全、腾讯安全联合实验室、腾讯研究院联合推出，共有20余位行业专家、学者、智库及编创人员历时三个月共同研讨产出。

报告发布的目标，是联动行业顶级伙伴，定义产业安全流行色、安全应用流行款，面向下一年度趋势进行分析和预判，给出第三方、客观、权威、专业的判断。正如腾讯副总裁丁珂所言：“2022年，产业安全建设将要面对的挑战更加纷繁复杂，需要整个行业携手应对。我们希望业界能够携手探索出一套以创新和实践为基础，以互利共赢为目标的共建模式，一起，捍卫数字时代的美好。”

这种分类的逻辑相当清晰。首先是法律法规上的趋势，这既是上层意志的体现，也是网安产业发展所需，同时也为安全行业奠定了基石。随着《网络安全法》、《数据安全法》、《个人信息保护法》等相关法规的颁布，立法层面已经相对完善，接下来必然要着力于执行层面。因为当经济到达一个高水位体量后，经济的有序发展将成为经济体中最重要的关注方向。

另一个宏观角度，自然是数字化进程中的各种问题。未来相当长一段时间内，数字化新模式、新业态、新行业的探索与发展，都将基于数据的深度应用，继而产生新的管理模式、运营模式。

大量创新经验证明，传统的安全模式已经难以匹配以创新为主要内核、快速发展变化、大量新要素叠加的数字经济发展。2022年，业界有必要在巩固现有安全技术和防御思路、体系以及产业链的同时，突破现有的网络安全边界，重建网络安全的定位。

大方向趋势判定之后，接着要解决网安行业中的企业面临的问题与困境。近四五年来，安全不差钱的声音比比皆是，实际上也正是如此。翻看网安业内的公众号，上亿规模的融资此起彼伏。然而，提及资本热潮，人们常会想到“资本走过之后，往往只留下一地鸡毛”这句名言。

怎样避免网安行业一地鸡毛的现象，则应当改变过度关注“生意”的短视现象，进化到关注技术和产品的打磨研发，转向一些具有长效价值、需要逐步打磨、投入相对更多人力和资源的技术方向，这将会是一种大势所趋。

此外，欲解决安全产业的浮躁乱象，除了法律法规的约束之外，企业要更加主动的探索和适应规则，以高度包容的“共建”思路，追求行业“由乱到治”，共同作大网络安全的市场蛋糕，而不是把市场做小、做死。

因此，企业需要挖掘出面向未来的业务和安全共同成长的新模式，实现相互融合的伴生关系。这就需要生态安全共建、行业资源整合、优化产品结构、持续加大生态投入等举措。庆幸的是，目前安全行业中有包括腾讯安全在内的多家安全厂商，都在探索建设安全发展新生态。

判定了宏观和产业大趋势后，接下来即是安全技术演进趋势。《报告》列举的六大类别，皆是以往存在的较大问题并在一定期限内，很可能无法彻底解决并愈演愈烈。比如新勒索病毒、云原生安全、容器安全、AI技术、零信任、企业安全运营工具、数据泄露及隐私计算呢。

其实可以看出，上述概念存在许多年，破坏性的问题依然存在，新技术与理念并未完全成熟，故而，严重的安全问题必将延续到2022年来继续研究解决，未完善的技术理念也将在新的一年继续深度研发，也将成为安全企业着力的方向。

总而言之，十大安全趋势其实并不具有跳跃性，因为安全问题虽然变化多端，但大多只是在微观层面各种横跳，而在宏观层面，安全往往具有一定的延续性。所以，把握好安全问题上的某种延续性，就能在大方向上把握好安全发展的大趋势。

本次《报告》中提及的概念很多，无法一一深度解析。但有一个词汇，即“零信任”，近三四年来尤为火爆。同样是翻开各家安全厂商的公众号，不难发现，零信任是一个极高频率出现的词汇，各种与零信任相关的产品层出不穷，着实让人眼花缭乱。

那么，既然安全变化很快，而一个火了三年有余的概念，为何会继续成为2022年的热点趋势之一呢？不由让人好奇。

从逻辑上来讲，一样东西会不会成为未来趋势，则要看以下几点：当下与可见的未来有没有应用价值、当前的资本投入与研发力量、未来的增速与覆盖面等等。因此，我们不妨寻找例证，试图找出零信任继续成为大势所趋的一些原因与证据。

说起零信任的历史，最早可以追溯到十八年前，可谓历史悠久。其发展历程大致为以下几个时间节点：

■ 2004年，耶利哥论坛（Jericho Forum）开始为了定义无边界趋势下的网络安全问题并寻求解决方案；

■ 2010年，Forrester首席分析师John Kindervag正式提出了“零信任模型”的概念；

■ 2013年，国际云安全联盟CSA专门成立了软件定义边界SDP工作组，由美国中央情报局CTO（首席技术分析师）担任工作组组长，次年发布了《SDP标准规范1.0》；

■ 2014年，Google研究从新的企业安全方案到构建健康机群，逐步构建了软件定义安全的雏形，同年发布其为员工搭建的零信任架构体系；

■ 2017年，Gartner发布CARTA（持续自适应风险与信任评估）模型，并将零信任作为起点和关键支柱之一；

■ 2017年，Google基于零信任安全的项目成功，验证了零信任安全在大型网络场景下的可行性，业内开始大规模跟进零信任实践；

■ 2018年，John Kindervag的继任者Chase Cunningham将“零信任模型”丰富为“零信任扩展（ZTX）生态系统”，包括零信任用户、设备、网络、应用、数据、分析、自动化等七大领域；

■ 2020年，直属于美国商务部的美国国家标准与技术研究院（NIST）发布SP800-207：Zero Trust Architecture《零信任架构》草案第二版，较为全面、详细地介绍了零信任架构概念层面的解释，包括部署模式、使用场景，以及实现零信任架构的三大技术：SDP软件定义边界、IAM身份权限管理、MSG微隔离技术。

发展至今，零信任已经愈发完善。笼统来说，零信任安全架构的核心主要包括五点：

1、默认不信任，总是验证；

2、授予最小权限；

3、持续记录用户流量并分析检查是否存在可疑行为；

4、不再以物理边界为安全界限，而以身份为中心进行持续信任评估和动态访问控制；

5、传统网络先建立连接再验证身份，零信任则相反，先验证身份再授权访问。

此外，实现零信任安全架构的技术手段拥有很多，但万变不离其宗，一般认为零信任解决方案和产品都应立足于零信任安全架构的四大关键能力——以身份为基石、业务安全访问、持续信任评估、动态访问控制。

可以说，零信任并不是一蹴而就的概念，而是由多家权威机构参与其中，经过长时间的实践不断演进，一步一步不断完善而来。并且，这是一种解决安全问题的架构与理念，并不是一小簇技术，所以，它必将拥有漫长的生命力，也必然在很多安全领域拥有强大的生命力。

实际上，任何一种技术理念体系，如果能引起诸多国家和企业机构，耗费十年以上的精力去探索，不断将此体系日臻完善，越来越多地应用到商业之中，并且当下应用深度与广度的界域均在拓展，那么便可以认为，其具有顽强漫长的生机，是可以预见未来的大势所趋。

目前，我们已经进入到一个高速发展的数字时代，以边界为核心、默认内网安全、信息化环境相对静态的传统边界安全防护逐渐失效，而云计算、大数据、AI等新兴技术的蓬勃发展，使得企业机构的平台、业务、用户、终端、网络环境等呈现复杂化、多样化的发展趋势，安全风险随之而生，安全态势也愈发复杂。所以，零信任不可避免地成为各大安全厂商投研的新方向。

对于零信任的应用价值和技术组件，各个安全厂商都有自家的拿手绝活，一言难尽。故此可以从几个应用场景来简单探讨。

比如，当前数据泄露问题日趋严重，在《报告》中也成为2022年的一大趋势。零信任贯彻最小化原则，以“除非证明是可信的，否则绝不信任”为准则，对所有网络行为进行持续的监测，发现与身份不符的行为及时报警或实时处置，拒绝未授权的访问。因此可以减少数据泄露、数据丢失事件的发生，在数据安全方面价值巨大。

此外，新冠疫情在肆虐两年之后，依旧未见平复迹象。疫情之下远程办公兴起，异地访问的身份识别、多地分散的终端安全防护、网络信息加密的不确定性，安全边界扩大化加剧；另外，企业机构也加快了数字化进程，身份冒用、信息泄露、病毒感染、链路入侵等威胁汹涌而出。面对日趋复杂的网络环境，零信任可以取代以物理网络边界为中心的安全架构，对远程办公等场景提供充分的安全保障，也为企业数字化转型的安全需求带来有效支撑。

根据Cybersecurity最新调查显示，目前网络安全最大的挑战是私有应用程序的访问端口分散，以及内部用户的权限过多。62%的企业认为保护遍布在各个数据中心和云上的端口是目前最大的挑战，并且61%的企业最担心的是内部用户被给予的权限过多的问题。这两点正是零信任专注解决的问题，现在有78%的网络安全团队在尝试采用零信任架构 。

据悉，零信任还能与以人工智能、大数据等技术与业务高度融合，通过连续认证实现动态行为监控，通过规则引擎来实现动态授权，通过机器学习引擎来发现新的风险，从而实时发现并解决用户的行为风险；零信任还兼容移动互联网、物联网、5G等新兴应用场景。

一项技术，光有美好的理念还不够，需要在业内多点开花、蓬勃发展，才能彰显不凡的生机。目前，零信任已被国内外大大小小的企业机构染指，据不完全统计，目前全球零信任市场参与者主要有五大类：

第一类：云巨头。谷歌、微软，以及国内的腾讯云等巨头企业，率先在企业内部实践零信任并已经推出完整解决方案；

第二类：中大型安全厂商。如国外的思科、Akamai、Symantec、F5，以及国内腾讯安全、奇安信、深信服、网宿科技等安全厂商相继围绕零信任重磅加码；

第三类：身份安全公司。如Duo、OKTA、Centrify、Ping Identity等安全公司纷纷推出“以身份为中心的“零信任”方案；

第四类：初创安全公司。比如国外的Vidder、Cryptzone、Zsclar、Illumio，以及国内的芯盾时代等初创公司，都纷纷投研零信任，并推出零信任相关安全产品；

第五类：收购兼并类公司。零信任市场存在一些收购兼并类的软件it安全类的企业，比如派拓、Unisys、Proofpoint等，多以收购的方式实现在零信任领域的布局。

全球权威咨询机构Forrester发布 《New Tech: Zero Trust Network Access, Q2 2021》（《New Tech: 2021年第二季度零信任网络访问》）报告得出结论，企业为寻求更安全的解决方案，零信任网络访问（ZTNA）已成为标志性的安全技术，众多安全厂商推出了相关的零信任解决方案和产品。目前，甚至国家政府，都有了应用零信任的实例。

2019年7月12日，美国国防部发布的《国防部数字现代化战略》附录中列出的在国防领域有应用前景的技术中，将零信任安全（Zero Trust Security）作为优先发展的技术之一。

2021年9月，美国管理与预算办公室发布了《联邦零信任战略》，网络安全与基础设施安全局发布了《零信任成熟度模型》、《云安全技术参考架构》公开征集意见；这些文件共同组成联邦各级机构的网络安全架构路线图，要求在2024财年末完全部署到位。随后，美国国防信息系统局（DISA）继而提出Thunderdome（雷霆穹顶），正式成为国防部零信任实施阶段的急先锋。

英国也在组织全力实施零信任架构。零信任厂商Illumio发布报告称，98% 的英国商业领袖和 IT 决策者计划或已经开始在他们的组织中实施零信任战略。

据相关报道显示，目前海外零信任产业已进入规模化发展阶段，这也对国内安全厂商产生了一种指引与激励。在各大研究机构的分析报告中，也对零信任寄予了积极的期望与预判。

ResearchAndMarkets研究报告显示，2020 年全球零信任安全市场规模约为183亿美元，预计在2020-2027年期间将以19.7%的年复合增长率增长，2027 年市场规模可能达到 644 亿美元。

其中，该报告显示，2020年，美国零信任安全市场规模约为54亿美元，预计在2020年至2027年间，年复合增长率约为19%；作为世界第二大经济体中国，预计到2027年零信任将达到111亿美元的市场规模；包括日本、加拿大等其他值得注意的地区在内，零信任安全市场规模在2020-2027年期间，预计分别以17.8%和17%的年复合增长率高速增长。另外，在欧洲地区，德国预计将以大约14.4%的年复合增长率增长。

而根据MarketsandMarkets的数据，全球零信任安全市场规模预计将从2020年的196亿美元增长到2026年的516亿美元，从2020年到2026年的复合年增长率（CAGR）为17.4％。零信任市场的主要增长动力包括对网络、用户设备和未经授权访问的数据的合规性的需求不断增长，以及对网络威胁的整体了解。

当然，本次发布的《报告》，也对零信任的趋势价值给出了相应的见解。《报告》认为，2022年，零信任将带动网络安全行业发生显著变化：

一、大批安全厂商将会密集推出零信任安全产品，并在政企用户中实现一定范围地落地应用；

二、多维度身份属性代理技术需要深入研究。综合用户信息、设备状态、网络地址、业务上下文以及访问时间、空间位置等各个维度的身份实体属性作为实施授权的依据，且申请授权时按需临时产生，定期失效。有效降低基于单一维度实施访问授权的漏洞风险；

三、可变信任评估技术对网络代理提供的多维度实时属性信息，进行实时信任评估和分析，通过持续量化评估网络活动风险等级，为访问授权提供判断依据；

四、云计算业务将更需要零信任技术。云计算的快速发展和普及应用，包括应用云化，基础架构的异构化和混合化，业务的数字生态化以及接入网络及设备的多元化等因素推动了更多的企业开始通过部署零信任架构来建立能够适应云时代的全新安全体系。

国学大师曾仕强曾言：“至诚可以前知，预测未来才能做好计划”。

这份沉甸甸的《报告》，当之无愧是众多企业机构与专家学者的至诚之作，其目的正如腾讯副总裁丁珂所言：“一起，捍卫数字时代的美好”。

众所周知，市场具有趋利性、盲从性、滞后性等特性，需要有人站出来，或摇旗呐喊，或点明方向，或聚拢人心，或构建美好。网络安全领域，放大来看，集无数产业和细分领域；放小来看，也就是一个方寸江湖。上文唠叨大半篇幅的零信任，实则也仅是安全江湖中的一方门派。

有这么一群人，以星星之火、专业之智、鸿愿之心，行预判大势之事，当报之以敬重。若众人能从中汲取精华，助益自身与行业乃至社会国家发展，则不可不谓功德无量。

很多时候，尽微末之力，护方寸之地，也是一种不朽与伟大。