“零信任的本质是一种理念和思路，不是某种固定的技术，也不是对既有技术和体系结构的颠覆。”在日前由国家信息中心《信息安全研究》杂志社主办的网络安全创新发展高峰论坛上，中国信息安全研究院副院长左晓栋这样说。

　　随着国家政策为数字化转型创造利好环境，数字化转型不断深入，以云计算、人工智能、大数据为主的新一代数字技术正改造企业IT架构，信息化环境也逐渐从之前的“以网络为中心”变成现在的“以数据为中心”，传统的边界防护模式逐渐“失灵”。

　　根据IDC研究，近年来，远程办公、业务协同、分支互联等业务需求快速发展，企业原有的网络边界逐渐泛化，导致基于边界的传统安全架构不再可靠，零信任成为一个必选项。当前，不仅奇安信、深信服、网宿科技等安全企业机构相继围绕零信任展开角逐，腾讯等一众大厂也纷纷重磅加码。零信任或将成为网络安全下一轮爆发点。

　　“在万物互联趋势下，数字化重塑全域产业链，网络边界具有易变化、复杂化、模糊化和不确定等特点。”芯盾时代CTO孙悦也认为，企业需要改变传统的边界防护模式，应以持续不间断地验证进行认证和风险评估，在原来的网络边界基础上，构建以身份为边界的零信任安全模式。

　　左晓栋表示，零信任的产生有客观必然性，源于网络安全风险加大，传统信任模型受到挑战；零信任的实质是对访问控制的新要求，不是网络安全的全部。

　　“零信任是框架不是具体技术，是技术组合不是单一技术，可由多种方法实现，而不是固化的方式。”国家信息技术安全研究中心总师郭晓雷也认为，我国数据安全保护相关要求及访问控制应用情况，需要建立包含物理设备、信息系统、数据等在内的资源清单并加强标识化管理，对资源实施细粒度访问控制，开展持续的面向信任的监测和分析。

　　在北京数字认证股份有限公司董事长詹榜华看来，信任是数字交互的基础和前提，而零信任安全是以建立网络信任和管理网络信任为基础，多种安全保障措施协同构建网络安全保障体系的理念或思路。

　　他认为，实现零信任安全的关键能力体现为“五大支柱、三个层面”——五大支柱是指身份、设备、网络、应用、数据，每个支柱的能力均从三个层面展开，即感知与分析、自动化响应与动态调整、策略管理。

　　以支柱之一“身份”为例，詹榜华认为，密码技术是解决网络身份问题的核心技术和最佳实践，通过数字证书、OTP令牌、FIDO认证等方式实现身份鉴别；而到了“设备信任”这一支柱中，设备的信任要素包含硬件配置的可信和软件配置的可信，而代码签名则是解决设备的软件配置可信问题的关键技术。

　　数据是数字化时代的生产资料，数据安全是数字化的前提。“面向数字化业务保障，重点围绕保护数据和应用，构建内生安全系统；通过经营安全落地形成实战化安全体系，实现对网络安全的动态掌控；结合零信任与数据实体防护，构建数据安全技术防御体系。”基于零信任的数据安全体系建设思路，奇安信集团总裁吴云坤这样说。

　　“数据安全事件呈上升趋势。2020年，泄露的记录总数超过370亿，与2019年相比增加了141％。”恒安嘉新解决方案产品设计院副院长李鹏超说。在本届高峰论坛数据安全分论坛上，《数据安全复合治理白皮书》发布，从多角度展现了数据安全领域的最新研究成果。（文/光明网记者 李政葳）