当我们在谈零信任时，我们谈的是什么？

是一种应对网络安全的全新思维方式。

ZERO TRUST在2010年由Forrester分析师John Kindervag正式提出。

零信任是它的英文直译。

零信任不是产品，是理念——在网络安全的世界里，不相信任何人、任何设备、任何环境。你所走过的每一步，都需要证明你是你。

在网络安全中，新旧思维方式有多大的差别呢？

举个例子：《西游记》中，当悟空离开时会给唐僧画下一个亮闪闪的圈，只有自己人可以出入，坏人（妖怪）进不来，在圈里唐僧可以做任何事，唯独不能走出圈。这就是传统的网络安全模式。它是有边界的，它的好处是好人绝对安全，坏处是好人一旦出圈就容易被被妖怪吃掉。而零信任，更像是一个腰带，悟空离开时，给唐僧和师弟们系上，他们可以自由奔跑跳跃舞蹈，妖怪们无法触碰。

2010年零信任被正式提出，为什么过去几年没有受到关注？

原因大概有二：

1、成本太高，网络安全是一个企业的底座，变更模式是从思维到布局的重建，这里的成本和风险谁来承担？

2、需求不高，大家都是做企业的，固定的写字楼固定的员工，边界式网络安全不香吗？好端端为什么要换？

那么为什么近几年又开始火热了呢？

因为疫情。

企业里的员工没有办法呆在圈里，他们不得不通过移动办公、远程办公来解决工作的问题，这样一来，造成了一个更加开放、复杂和充满不确定性的网络环境，安全风险随之增加。据Zscaler数据显示：新冠疫情以来，针对远程办公的用户的攻击增长了85%。这样的网络环境下如何去构建一个信任的网络、终端以及应用，对企业发展而言，则是当下的重中之重了。

零信任就成了解决企业远程办公的最佳选项。

零信任火热，行业内标榜自己是“零信任”的产品鱼龙混杂，数量庞大，一时间让客户难以辨认：你说你的是零信任，为什么跟他家的零信任差别这么大？

究其原因，是因为发展太快野蛮生长，不同主体对零信任的方案设计、技术实现、测试评估、实际部署等阶段的认知差异化较大，缺少行业共识、标准和技术规范，这就需要从政策到行业，最终到企业，进行一系列具有可操作性和互认的场景和环节建设。

首先看政策方面， 2019年，工信部发布了《关于促进网络安全产业发展的指导意见》，将零信任安全列入需要着力突破的网络安全关键技术。2020年，工信部发布“关于开展网络安全技术应用试点示范工作”通知，也把零信任列为具有前沿性、创新性、先导性的重大网络安全技术理念。

政策的加持在市场上取得了良好的反应，以零信任为核心的产品体系正在不断丰富，安全厂商、云服务商、解决方案供应商等，都在围绕自身技术优势，形成侧重点各有不同的零信任解决方案，满足不同场景下的企业客户需要。

另外，在标准体系建设方面，零信任的标准进程也在快速推进，2020年6月24日，腾讯安全联合零信任领域16多家权威产学研用机构共同成立国内首个“零信任产业标准工作组”。一年后，工作组规模扩大到42家，并完成了多家产品之间的互联互认。同一时间，由腾讯安全牵头编制的中国第一部《零信任系统技术规范》正式发布，并经中国电子工业标准化技术协会公布为团体标准。团标发布后被业界广为传播和认同。今年7月可信云大会发布的国内首批零信任专项认证，其测评标准也参考了团标的技术思路。让国内的零信任发展开启了“有据可依”的新篇章。

其实，早在疫情之前，就已经有很多类型的企业开始关注零信任。

据今年5月发布的《数字化时代零信任安全蓝皮报告显示》零信任能够满足企业一些通用场景的安全需要，包括远程办公、混合云、企业异地分支接入、第三方接入等。零信任还可以满足不同行业的特殊安全需求，如互联网行业、通信行业、物流行业、能源行业、地产行业等。

在物流行业，大量的终端设备和人员流动，需要对数以万计的员工根据职责权限进行更细致的授权和行为鉴别，并且对终端设备合规状况进行动态检测和评估，例如终端上有没有安装安全软件？是否存在高危漏洞？设备基线配置有没有符合安全要求等等。同样的情形，也适用于车企。

在互联网行业，腾讯作为国内最早实践零信任的企业，让员工不管身在何处都可以随时随地安全办公。疫情期间更是可以让7万员工同时在线办公，保障了公司业务有序发展。

今年5月，在上海举办的零信任发展趋势上，腾讯副总裁丁珂结合腾讯的自身实践谈道：“零信任跟一个企业的经营、规划、长期发展是强相关的，并且是一个不断优化的过程。零信任的价值核心是工具部署足够轻、运维的成本足够低，灵活适应性地提升企业经营发展效率。”

作为全新的安全思维方式，零信任在数字时代的发展过程中更具生命力，它可以为企业量身定制，也可以与过去的安全思维相融合，帮助企业寻找到更适合自身安全发展的最优解。

参考阅读：
• 腾讯丁珂：以“零信任”理念重构产业数字化时代安全防御体系
• 来了！业内首部《零信任系统技术规范》正式发布
• “零信任”是一个被忽略的奇点事件