葉禮邦，張 現(xiàn)，張文騫

（中國人民解放軍63887 部隊，河南 洛陽 471003）

0 引 言

隨著云計算、物聯(lián)網(wǎng)和移動辦公等新興技術(shù)的廣泛應用，網(wǎng)絡(luò)架構(gòu)發(fā)生了巨大的變化，同時也帶來了新的網(wǎng)絡(luò)安全威脅，對以邊界防護為基礎(chǔ)的傳統(tǒng)安全理念提出了嚴峻挑戰(zhàn)。零信任作為一種新型的安全架構(gòu)，能有效應對新的網(wǎng)絡(luò)安全挑戰(zhàn)。與傳統(tǒng)基于網(wǎng)絡(luò)位置、用戶角色或?qū)傩缘褥o態(tài)訪問控制不同，零信任架構(gòu)強調(diào)在訪問時，不論實體在網(wǎng)絡(luò)中的任何位置均默認為不可信，需要經(jīng)過更細粒度的身份認證和授權(quán)，以確保訪問的安全性。

美國一直重視零信任架構(gòu)的發(fā)展和應用，出臺了一系列政策和標準，推動零信任體系架構(gòu)落地應用[1-4]。我國對美國零信任架構(gòu)的發(fā)展進行了一系列的跟蹤研究，通過翻譯關(guān)鍵技術(shù)文件[5]，梳理分析美國政府和機構(gòu)發(fā)布的零信任政策和相關(guān)標準情況[6]，跟蹤研究零信任安全參考架構(gòu)和關(guān)鍵技術(shù)[7]等方式，了解美國零信任架構(gòu)的最新發(fā)展動態(tài)，促進了我國零信任架構(gòu)的發(fā)展。

自2022 年以來，美國不斷加大零信任戰(zhàn)略的實施力度，先后發(fā)布了《聯(lián)邦零信任戰(zhàn)略》《國防部零信任戰(zhàn)略》《國防部零信任參考架構(gòu)》等關(guān)鍵文件，宣布開展身份和訪問管理服務(wù)、“雷霆穹頂”等多項零信任架構(gòu)項目，零信任戰(zhàn)略的發(fā)展已經(jīng)從理論研究走向?qū)嶋H開發(fā)和部署階段，逐步建立能夠覆蓋所有領(lǐng)域的零信任架構(gòu)。為進一步分析研究美國零信任架構(gòu)的最新發(fā)展動態(tài)，本文主要梳理近年來美國零信任戰(zhàn)略和技術(shù)架構(gòu)的發(fā)展歷程，重點介紹美國零信任戰(zhàn)略、零信任架構(gòu)和零信任項目的進展情況，研究美國零信任戰(zhàn)略的發(fā)展趨勢，為推進零信任架構(gòu)的應用，提升網(wǎng)絡(luò)空間安全能力提供參考和借鑒。

1 美國零信任戰(zhàn)略

2021 年5 月，美國總統(tǒng)拜登簽署的第14028號行政命令《關(guān)于加強國家網(wǎng)絡(luò)安全》（以下簡稱“第14028 號行政命令”）[8]，要求將網(wǎng)絡(luò)安全架構(gòu)遷移至零信任架構(gòu)。在該行政命令的指導下，美國聯(lián)邦政府和美國國防部分別發(fā)布了《聯(lián)邦零信任戰(zhàn)略》和《國防部零信任戰(zhàn)略》[9-10]。

1.1 聯(lián)邦零信任戰(zhàn)略

2022 年1 月，美國管理和預算辦公室（Office of Management and Budget，OMB）發(fā)布了《聯(lián)邦零信任戰(zhàn)略》（以下簡稱“聯(lián)邦戰(zhàn)略”），旨在促進聯(lián)邦政府機構(gòu)在零信任架構(gòu)應用方面共享基線，加速實現(xiàn)零信任架構(gòu)的應用[11]。同時，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency，CISA）發(fā)布了《零信任成熟度模型》[12]，為聯(lián)邦政府機構(gòu)提供實現(xiàn)最佳零信任環(huán)境的路線圖和資源，與聯(lián)邦戰(zhàn)略相互補充。

聯(lián)邦戰(zhàn)略以備忘錄《推動美國政府邁向零信任網(wǎng)絡(luò)安全原則》的形式發(fā)布，旨在將政府機構(gòu)的網(wǎng)絡(luò)安全架構(gòu)遷移到零信任架構(gòu)中，并要求在2024 年前達到特定的網(wǎng)絡(luò)安全標準和目標，以加強政府抵御日益復雜、持續(xù)的網(wǎng)絡(luò)威脅的能力。該戰(zhàn)略將零信任架構(gòu)的主要能力歸納為5 大支柱，分別是用戶、設(shè)備、網(wǎng)絡(luò)和環(huán)境、應用和工作負載、數(shù)據(jù)。

《零信任成熟度模型》對5 大支柱進行了更加詳細的描述，不但包含5 大支柱各自的能力項目，還根據(jù)技術(shù)成熟度分為傳統(tǒng)、先進和最佳3 個等級，以指導零信任戰(zhàn)略的實施?！读阈湃纬墒於饶Ｐ汀吩敿毥榻B了5 大支柱包含的具體的關(guān)鍵能力和目標等級。聯(lián)邦戰(zhàn)略提供了推進零信任戰(zhàn)略的“任務(wù)矩陣”，詳細列出了聯(lián)邦政府在實現(xiàn)關(guān)鍵零信任能力時所需的具體要求和實施時間表。聯(lián)邦戰(zhàn)略5 大支柱及成熟度的模型關(guān)系詳細內(nèi)容如圖1 所示。

圖1 聯(lián)邦戰(zhàn)略5 大支柱及成熟度的模型

1.2 國防部零信任戰(zhàn)略

2022 年11 月，美國國防部發(fā)布了《國防部零信任戰(zhàn)略》（以下簡稱“國防部戰(zhàn)略”）和《國防部零信任能力實現(xiàn)路線圖》（以下簡稱“國防部路線圖”）[10]。國防部戰(zhàn)略介紹了美國國防部實施零信任戰(zhàn)略的4 個總體戰(zhàn)略目標，包括培養(yǎng)零信任文化、提升國防部信息系統(tǒng)的安全和防御能力、加速部署零信任架構(gòu)和零信任賦能。同時，該戰(zhàn)略指出了需要達到的零信任能力以及推進的步驟，指導美國國防部在零信任架構(gòu)的基礎(chǔ)上建立網(wǎng)絡(luò)安全架構(gòu)，實現(xiàn)信息的保護與控制。國防部戰(zhàn)略要求將美國國防部各層面和各流程融入國防部的零信任進程中，包括工作流程、政策和資金安排都應與零信任工作同步，以高度協(xié)調(diào)的方式無縫推進零信任建設(shè)。

國防部戰(zhàn)略將國防部零信任架構(gòu)能力分解為用戶、設(shè)備、網(wǎng)絡(luò)和環(huán)境、應用和工作負載、數(shù)據(jù)、自動化和編排、可視化和分析7 大類安全能力要素，也稱作“7 大支柱”。每類安全能力要素包含若干關(guān)鍵能力，共45 項關(guān)鍵能力共同構(gòu)成了完整的國防部零信任能力。國防部戰(zhàn)略將預期目標分為“目標級別”和“高級零信任”兩個等級。其中，“目標級別”是所有國防部機構(gòu)必須實現(xiàn)的水平，而“高級零信任”是特定機構(gòu)基于其系統(tǒng)和信息敏感程度所需達到的水平。詳細的45項關(guān)鍵能力及其所對應的信任等級如圖2所示。

圖2 國防部零信任能力及實現(xiàn)等級

1.3 聯(lián)邦戰(zhàn)略和國防部戰(zhàn)略對比分析

聯(lián)邦零信任戰(zhàn)略和國防部零信任戰(zhàn)略本質(zhì)上是相同的，均基于零信任安全理念推進網(wǎng)絡(luò)安全風險控制策略的革新，以提高政府機構(gòu)和國防部門的網(wǎng)絡(luò)安全防護水平，但也存在一些差異。

（1）適用對象不同。聯(lián)邦零信任戰(zhàn)略適用于聯(lián)邦政府機構(gòu)，注重就如何保證聯(lián)邦政府各機構(gòu)之間的安全進行合作與共享。國防部零信任戰(zhàn)略則適用于國防部門，側(cè)重于保護國家安全領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)免受攻擊，敏感信息不被泄露。

（2）應用環(huán)境不同。聯(lián)邦零信任戰(zhàn)略主要圍繞聯(lián)邦政府各機構(gòu)的云計算等共享服務(wù)場景，國防部零信任戰(zhàn)略則強調(diào)在國防部信息網(wǎng)絡(luò)和未來戰(zhàn)場網(wǎng)中分布式、異構(gòu)網(wǎng)絡(luò)環(huán)境下的安全接入問題。

（3）側(cè)重點不同。聯(lián)邦零信任戰(zhàn)略側(cè)重于政府機構(gòu)在零信任成熟度方面共享基線，國防部零信任戰(zhàn)略注重建立一個完整的零信任生態(tài)系統(tǒng)，包括新技術(shù)的研發(fā)和應用、相關(guān)人才的培養(yǎng)、開展針對性的安全演習等。

2 美國零信任架構(gòu)

2.1 NIST 零信任架構(gòu)

2020 年8 月，美國國家標準與技術(shù)研究院（National Institute of Standards and Technology，NIST）正式發(fā)布SP 800-207《零信任架構(gòu)》（以下簡稱“NIST 架構(gòu)”）[13]。NIST 架構(gòu)闡述了零信任的定義、邏輯組件、可能的部署場景和威脅，從而為希望遷移到基于零信任架構(gòu)的組織提供一個總體路線圖。NIST 架構(gòu)中包含3 個核心邏輯組件，分別是策略引擎、策略管理器和策略執(zhí)行點，具體的邏輯架構(gòu)如圖3 所示。

圖3 NIST 零信任邏輯架構(gòu)

同時，NIST 及其下屬的國家網(wǎng)絡(luò)安全卓越中心發(fā)布了一系列配套文件，包括技術(shù)白皮書《規(guī)劃零信任體系結(jié)構(gòu)：聯(lián)邦管理員規(guī)劃指南》和《實施零信任架構(gòu)》系列標準草案，與NIST架構(gòu)共同構(gòu)成了一個完整的零信任安全架構(gòu)，幫助用戶了解如何使用商業(yè)產(chǎn)品建立與NIST 架構(gòu)中的概念和原則相一致的零信任架構(gòu)，并全面指導零信任架構(gòu)的落地實踐[14-15]。

2.2 國防部零信任參考架構(gòu)

2021 年2 月，美國國防信息系統(tǒng)局（Defense Information Systems Agency，DISA）發(fā)布了《國防部零信任參考架構(gòu)》1.0 版本（以下簡稱“DoD架構(gòu)1.0”），隨后于2022 年7 月發(fā)布了《國防部零信任參考架構(gòu)》2.0 版本（以下簡稱“DoD架構(gòu)2.0”）[16-17]。這兩個版本不僅更新速度快，而且內(nèi)容有大幅修改。

DoD 架構(gòu)闡述了美國國防部零信任戰(zhàn)略的目的、原則、相關(guān)標準和其他技術(shù)細節(jié)，明確提出了采用零信任希望實現(xiàn)的5 個長遠目標和零信任的5 個主要原則。DoD 架構(gòu)采用了與《國防部零信任戰(zhàn)略》一致的7 大支柱描述實施零信任控制的關(guān)鍵重點領(lǐng)域，并詳細列出適用于每個解決方案的標準。

與DoD 架構(gòu)1.0 相比，DoD 架構(gòu)2.0 主要有以下兩點改變。

（1）DoD 架構(gòu)2.0 在能力視圖的描述上更加詳細和深入。在能力視圖中的能力分類和描述中，DoD 架構(gòu)1.0 只給出了零信任7 大支柱的功能組成；DoD 架構(gòu)2.0 則將能力分類和描述拆解成4 個部分進行描述，雖然依舊圍繞零信任架構(gòu)中的7 大支柱展開，但是描述更加詳細。

（2）DoD 架構(gòu)2.0 具有更強的指導性。DoD 架構(gòu)2.0 用一章的篇幅介紹了多種零信任應用案例，包括數(shù)據(jù)中心安全防護、數(shù)據(jù)加密保護、數(shù)據(jù)分析與人工智能等，每個案例都關(guān)注不同的技術(shù)及不同技術(shù)在零信任架構(gòu)中的相互作用，指導零信任架構(gòu)在實施過程中如何面對不同的要求、網(wǎng)絡(luò)結(jié)構(gòu)和安全政策。

2.3 NIST 架構(gòu)與國防部架構(gòu)對比分析

NIST架構(gòu)是目前最為成熟的零信任架構(gòu)，DoD 架構(gòu)全面借鑒了NIST 架構(gòu)的定義、概念和內(nèi)涵，但兩者的應用對象和設(shè)計目的不同，存在以下差異。

（1）DoD 架構(gòu)比NIST 架構(gòu)更具針對性。NIST 架構(gòu)包含零信任架構(gòu)的抽象定義，并給出了零信任的一般部署模型和使用案例，用于改善企業(yè)整體信息網(wǎng)絡(luò)安全狀況；而DoD 架構(gòu)則更加側(cè)重于提供統(tǒng)一的零信任架構(gòu)，用于規(guī)范覆蓋國防部各個網(wǎng)絡(luò)的零信任項目實施。

（2）DoD 架構(gòu)比NIST 架構(gòu)更具操作性。NIST 架構(gòu)給出的是零信任網(wǎng)絡(luò)架構(gòu)設(shè)計方法和一般性的路線圖，推薦了實現(xiàn)零信任的技術(shù)路線，包括零信任架構(gòu)的一般關(guān)鍵技術(shù)；DoD 架構(gòu)能夠?qū)嶋H指導國防部零信任架構(gòu)實施，每個功能都由可測量、可重復、可支持和可擴展的標準、設(shè)備和流程組成，指導性更強。

（3）DoD 架構(gòu)比NIST 架構(gòu)更加重視數(shù)據(jù)保護。數(shù)據(jù)保護是零信任的基本理念，因此兩者都強調(diào)“以數(shù)據(jù)為中心”。NIST 架構(gòu)雖然強調(diào)數(shù)據(jù)保護的重要性，但沒有提供有關(guān)實施的詳細指導；DoD 架構(gòu)則專門介紹了數(shù)據(jù)分類、加密和審核方法，以確保敏感數(shù)據(jù)受到保護并可追溯到特定用戶。

3 美國零信任架構(gòu)應用

在《聯(lián)邦零信任戰(zhàn)略》和《國防部零信任戰(zhàn)略》的指導下，美國各機構(gòu)紛紛開展零信任架構(gòu)的應用實踐。

3.1 身份和訪問管理服務(wù)項目

2022 年2月，通用動力信息技術(shù)公司（General Dynamics Information Technology，GDIT）獲得DISA 1.62 億美元的身份和訪問管理服務(wù)（Identity,Credential and Access Management，ICAM）第三階段合同，用于進一步推進ICAM 項目進展[18]。

ICAM 項目的目標是提供一個安全可信的環(huán)境，使人員和系統(tǒng)可以根據(jù)任務(wù)需要安全地訪問所有授權(quán)資源。GDIT 的ICAM 解決方案支持零信任，可嚴格限制網(wǎng)絡(luò)訪問；ICAM 可在本地和云端運行，并且可以擴展以支持多達1 億用戶。該解決方案不僅使國防部網(wǎng)絡(luò)和信息更安全，還可以實現(xiàn)聯(lián)合全域指揮與控制（Joint All-Domain Command and Control，JADC2）作戰(zhàn)。隨著美國國防部開始實施網(wǎng)絡(luò)基礎(chǔ)設(shè)施轉(zhuǎn)型，該解決方案將進一步強化網(wǎng)絡(luò)，并加強美軍作戰(zhàn)人員的技術(shù)優(yōu)勢。

3.2 實時信任評分系統(tǒng)

2022 年7 月，美國OMB 宣布正在開發(fā)一套適用于零信任架構(gòu)的系統(tǒng)[19]。該系統(tǒng)用于為訪問者評分，并判斷其是否有權(quán)訪問網(wǎng)絡(luò)或應用程序，當用戶評分不高時將發(fā)出提醒。系統(tǒng)將能夠把當前會話的信任得分與需要的信任得分進行比較，一旦用戶因得分過低而無法獲取訪問權(quán)限，系統(tǒng)還可以為其提供一份提高信任得分的清單，例如重新認證或者輸入個人身份驗證卡。

OMB 希望通過這一新系統(tǒng)推動新的信任措施，以改善安全水平和客戶體驗。目前，各級機構(gòu)正在使用商業(yè)工具對用戶進行身份驗證，但是用戶的信任水平可能會隨著事態(tài)的發(fā)展而變化。例如，如果從用戶某項服務(wù)中發(fā)現(xiàn)了0day漏洞，對方的信任度就應該被下調(diào)一定的百分比。通過新的信任評分系統(tǒng)，OMB 希望能夠更加有效地評估和管理各級機構(gòu)的零信任計劃，實現(xiàn)更高效的安全保護。

3.3 操作零信任項目

2022 年10 月，雷神公司在美國陸軍的“融合項目2022 技術(shù)網(wǎng)關(guān)”行動中展示了操作零信任（Operational Zero Trust，OZT）安全解決方案[20]。OZT是一種用于保護云端網(wǎng)絡(luò)的安全解決方案，是一種可擴展、可互操作的開放架構(gòu)平臺，提供自動化網(wǎng)絡(luò)防御，可為遠程或網(wǎng)絡(luò)接入不暢的競爭環(huán)境中的作戰(zhàn)人員提供支持。它能夠為網(wǎng)絡(luò)提供更高的安全性和可靠性，避免敏感數(shù)據(jù)泄露和遭受網(wǎng)絡(luò)攻擊。在試驗中，OZT 解決方案通過使用多因素身份驗證、實時數(shù)據(jù)監(jiān)控和威脅檢測等技術(shù)，抵御了來自外部或內(nèi)部的各種安全威脅，提高了網(wǎng)絡(luò)的安全性和可靠性，同時降低了因惡意行為和數(shù)據(jù)失竊造成的潛在損失。

3.4 “雷霆穹頂”項目

2021 年7 月，美國DISA 發(fā)布“雷霆穹頂（Thunderdome）”項目請求白皮書[21]。2022 年1 月，DISA 授予博思艾倫·漢密爾頓公司一份價值680 萬美元的合同，用于執(zhí)行“雷霆穹頂”原型項目[22]。2023 年2 月，DISA 宣布完成了零信任項目的原型設(shè)計，美國國防部、DISA 各總部和DISA 戰(zhàn)地司令部等單位的約1 600 名用戶已開始試用該項目的原型架構(gòu)[23]。

從“雷霆穹頂”項目請求白皮書可以看出，其主要目的是著眼于零信任實施相關(guān)的原型、開發(fā)、測試活動，計劃采購工具、系統(tǒng)或能力。白皮書中對供應商提出的技術(shù)要求與美國國防部零信任戰(zhàn)略7 大支柱中提及的能力高度一致，充分說明了該項目就是美國國防部落實零信任戰(zhàn)略的具體項目。

DISA 希望通過“雷霆穹頂”項目，在國防部的機密互聯(lián)網(wǎng)協(xié)議路由器網(wǎng)絡(luò)和非機密IP 路由器網(wǎng)絡(luò)的架構(gòu)基礎(chǔ)上進行改進，目的是為具有客戶邊緣安全棧和應用程序安全棧原型的安全訪問服務(wù)邊緣和軟件定義廣域網(wǎng)架構(gòu)提供初始原型。

3.5 項目應用特點分析

上述4 個零信任應用項目只是美國眾多零信任項目中很小的一部分，但是從中可以看出以下特點。

（1）美國聯(lián)邦政府和美國軍方均持續(xù)加速對零信任架構(gòu)的應用。聯(lián)邦政府主要解決將網(wǎng)絡(luò)和數(shù)據(jù)遷移至云平臺后的安全問題，而國防部重點解決戰(zhàn)場網(wǎng)絡(luò)被攻擊滲透、未經(jīng)授權(quán)的用戶或設(shè)備非法接入等網(wǎng)絡(luò)安全威脅，特別是JADC2 的保密通信和安全接入問題。

（2）原型驗證后全面推廣。不論是聯(lián)邦政府的ICAM 項目，還是備受關(guān)注的“雷霆穹頂”項目，美國均采用先行試點的辦法，循序漸進，從這些項目中汲取經(jīng)驗教訓，摸索零信任的推廣應用途徑。

（3）廣泛采用成熟的商業(yè)技術(shù)。零信任架構(gòu)的最初目的是滿足企業(yè)網(wǎng)絡(luò)安全需求，谷歌等商業(yè)公司也是開發(fā)零信任架構(gòu)的主要推動者。因此，美國政府和國防部在推進零信任架構(gòu)應用時采用了大量成熟的商業(yè)技術(shù)。

4 美國零信任技術(shù)趨勢

2022 年是美國零信任技術(shù)發(fā)展和應用的關(guān)鍵一年。美國政府發(fā)布的一系列戰(zhàn)略和技術(shù)架構(gòu)為零信任發(fā)展提供了頂層指導，規(guī)范了零信任的演進方向和推進步驟。零信任架構(gòu)的研究和應用已經(jīng)成為美國國家層面的優(yōu)先事項，是美國網(wǎng)絡(luò)安全技術(shù)研究和應用的重點。

4.1 零信任將成為美國主要的網(wǎng)絡(luò)安全架構(gòu)

以第14028 號行政命令為重要節(jié)點，美國正加速推動零信任技術(shù)發(fā)展，零信任已成為美國政府及國防部認可的國家級網(wǎng)絡(luò)安全架構(gòu)。聯(lián)邦政府為了抵御網(wǎng)絡(luò)安全威脅，提升整個網(wǎng)絡(luò)防御能力，制定并發(fā)布了相關(guān)報告和戰(zhàn)略文件，要求加快采用零信任安全架構(gòu)，并制定了明確的時間表和路線圖，要求聯(lián)邦政府各機構(gòu)在2024 年前達成實現(xiàn)零信任安全目標的任務(wù)矩陣，政策從建議性轉(zhuǎn)向強制性。美國國防部也確定零信任是保護基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和數(shù)據(jù)的重要安全范式，并明確提出下一代網(wǎng)絡(luò)安全架構(gòu)將基于零信任原則，以數(shù)據(jù)為中心進行建設(shè)。因此，在未來的十年，零信任將成為美國政府機構(gòu)及國防部主要的網(wǎng)絡(luò)安全架構(gòu)。

4.2 零信任將與人工智能等新技術(shù)深入融合

隨著人工智能技術(shù)日漸成熟，美國聯(lián)邦政府和國防部已經(jīng)開始將這些技術(shù)應用于零信任安全領(lǐng)域。在各個版本的發(fā)展戰(zhàn)略和零信任架構(gòu)上都強調(diào)了人工智能和機器學習的重要性，并在項目推進方面不斷地探索相關(guān)技術(shù)在零信任安全中的應用。例如，美國國防高級研究計劃局（Defense Advanced Research Projects Agency，DARPA）項目著重研究如何利用人工智能技術(shù)來支持零信任認證和安全控制。與此同時，美國國土安全部下屬的CISA 也在積極推廣基于機器學習的威脅檢測技術(shù)，以更好地應對網(wǎng)絡(luò)安全威脅。其中，“CISA 機器學習高級分析平臺”項目采用了大量的人工智能和機器學習能力的高級數(shù)據(jù)分析方法和工具，能夠跨多個網(wǎng)絡(luò)數(shù)據(jù)源進行分析，以改善決策和態(tài)勢感知，從而支持網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全任務(wù)的完成[24]。

4.3 零信任架構(gòu)將更新美國網(wǎng)絡(luò)安全的管理理念

零信任架構(gòu)的動態(tài)防御理念與美國近年出臺的安全法律、法規(guī)和標準中提到的動態(tài)防御思路相一致。例如，零信任架構(gòu)的身份認證、訪問管理、軟件定義邊界等解決方案與相關(guān)指南高度契合。通過零信任架構(gòu)，既可以減少網(wǎng)絡(luò)資源的訪問者數(shù)量，也可以限制惡意行為，從而大大降低網(wǎng)絡(luò)安全事件的發(fā)生概率。此外，安全自動化是零信任架構(gòu)的重要組成部分，采用零信任架構(gòu)還可以增強美國政府和美軍的網(wǎng)絡(luò)自動化管理水平，節(jié)省響應安全事件所需的時間和人力，提高效率，縮減潛在運營成本。部署零信任架構(gòu)還可以幫助美國政府和美軍降低運營風險。由于該架構(gòu)設(shè)計大大增加了網(wǎng)絡(luò)透明度，因此可以識別運營風險并采取相應的管理手段進行有效管控。

5 結(jié) 語

美國一直以來都是網(wǎng)絡(luò)安全領(lǐng)域創(chuàng)新技術(shù)的引領(lǐng)者。美國在零信任架構(gòu)的發(fā)展上，從戰(zhàn)略、標準和實踐上同步推進，聯(lián)邦政府、國防部、科研機構(gòu)和軍工企業(yè)各司其職，各方共同合作，不斷推進，已經(jīng)從概念研究逐步轉(zhuǎn)向?qū)嶋H應用。美國在零信任架構(gòu)研究和實踐方面的成功經(jīng)驗值得學習和借鑒。我國在建設(shè)網(wǎng)絡(luò)強國的道路上還存在很多技術(shù)短板，特別是在技術(shù)體制上一直是跟隨式的發(fā)展。因此，必須牢牢把握網(wǎng)絡(luò)安全技術(shù)轉(zhuǎn)型的良好機遇，結(jié)合我國國情和技術(shù)實際，充分借鑒國外在零信任架構(gòu)發(fā)展中的先進經(jīng)驗，加強對零信任架構(gòu)關(guān)鍵技術(shù)的研究，加快相關(guān)標準的制定，開展零信任架構(gòu)應用實踐，找到符合我國網(wǎng)絡(luò)安全實際的零信任架構(gòu)應用模式，從而提升我國網(wǎng)絡(luò)安全防護能力。