1、 信任是网络秩序的基石，是数字交互的基础和前提，是数字经济的润滑剂数据的可信数据的可信可信数据电文、可信的日志、可信的代码/算法身份的可信可靠的身份信息源、可信的标识、可信的数字身份凭证.行为的可信行为的可信访问行为的事前授权和事后审计、个人意愿的充分表达、产品/服务的合法合规.随着数字经济的发展，信息系统的复杂度日益提升，网络信任呈现出明显 的复杂化、动态化特征云计算的广泛应用导致用 户、企业数据离开原有的 物理安全边界移动访问方式的增长导致 接入系统的外部人员和外 部设备增多基于大数据应用的新型业 务模式导致跨信任域的业 务交互增多网络信任的复杂化信任的评估依赖于多种 因素，评估的结果往往

2、 不是绝对化的是或否网络信任的动态化信任评估的结论会随着 影响因素的变化而变化，是有时效性的零信任安全是以建立和管理网络信任为基础，多种安全保障措施协同构建 网络安全保障体系的理念或思路网络信任的复杂化信任的评估依赖于多种 因素，评估的结果往往 不是绝对化的是或否网络信任的动态化信任评估的结论会随着 影响因素的变化而变化，是有时效性的综合多种要素确定信任水平综合多种要素（身份、设备、网络、应 用、数据、）进行信任评估，避免 单纯依赖那些不可靠的默认要素（如IP 地址），持续性地实施管理信任对每次访问行为进行持续的信任评估，并根据信任的动态变化随时调整安全策 略，避免仅通过一次鉴别、一次授权就

3、给予永久性、无限制的访问权限美国联邦政府是目前针对零信任战略发声的“最重量级的用户”之一对其战略的分析有助于我们从用户视角更好地理解零信任落地实践的要点 美国管理和预算办公室OMB发布的M-22-09号备忘录美国联邦政府认为，实现零信任安全的关键能力体现为“五大支柱”，即：身份、设备、网络环境、应用与工作负载、数据2020年8月，美国国家标准与技术研究院（NIST）发布SP800-207零信任架构2021年2月，美国国家安全局（NSA）发文拥抱零信任安全模 型2021年2月，美国国防部（DOD）发布零信任参考架构2021年5月，美国总统拜登发布了14028号行政令改善国家网络安全2021年6月

4、，网络安全与基础设施安全局（CISA）为响应14028号行政令的要求发布了零信任成熟度模型（征求意见稿）2021年9月，同样是为了响应14028号行政令的要求，行政管理 和预算局（OMB）发布了题为美国政府向零信任网络安全原 则的迁移的征求意见稿2022年1月，行政管理和预算局（OMB）发布美国政府向零信 任网络安全原则的迁移正式版本目标：政府雇员应使用联邦政府管理的身份访问政务应用，需要能够抵 御钓鱼攻击的多因素鉴别机制保护这些身份免遭针对性的线上攻击行动：1.各政府机构应为自己的雇员建立中心化的身份管理系统，该系统支持 与应用或通用平台集成2.各政府机构应使用高安全强度的多因素鉴别机制（M

5、FA）3.当授权用户访问资源时，除了用户身份信息外，各政府机构应至少额 外考虑一项设备层面的信任信号OMB备忘录引用NIST SP 800-63B 数字身份指南鉴别和生命周期管 理标准的内容：基于短信验证、OTP等技术的双因素机制都不防钓鱼我国GB/T 22239-2019 网络安全等级保护基本要求对三级及以上系统的 要求：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术 对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现密码技术对于 建立身份信任 的关键作用目标：联邦政府建立一套完整的设备信息库，包含所有受控的、许可使 用的设备，并能够阻止、发现和响应这些设备遭遇的安

6、全事件行动：1.各政府机构应建立自己的资产清单库（借助CISA的持续性诊断和改 进项目CDM）2.各政府机构应确保自己的端点检测与响应工具（EDR）满足CISA的技术要求并广泛部署使用资产清单库用哪种“标识”来标记、识别设备？序列号、MAC地址还是设备证书？端点检测与响应工具的重要功能：设备软硬件配置的可信程度密码技术对于 建立设备信任 的关键作用目标：各机构应加密保护所有DNS请求和所有HTTP流量，并开始执行将 传统网络边界重构为网络安全隔离的计划行动：1.在技术条件允许的情况下，各政府机构应使用支持加密功能的DNS系 统解析DNS请求2.各政府机构应确保所有（包含内网）Web访问和API

7、接口流量采用HTTPS3.CISA将联合联邦风险与授权管理计划FedRAMP评估解决邮件传输加 密问题的选项4.各政府机构应在CISA的协助下编制零信任架构规划，描述怎样实现网络环境隔离，并提交给OMB作为零信任实施方案的一部分基于密码协议（TLC、IPsec、我国的TLCP/国密SSL、国密IPsec）不 仅保护网络流量的机密性、完整性，同时也提供通信实体的身份鉴别密 码 技 术 对 于 建 立 网 络 信 任 的关键作用目标：各政府机构应将自己的应用视为互联网能够访问到的，定期对这 些应用进行细致的实战测试，充分接纳和利用外部的威胁漏洞报告行动：1.各政府机构应实施针对性的应用安全测试评估

8、工程2.各政府机构应充分利用专业力量开展应用安全的第三方独立评估3.各政府机构应为所有互联网可访问的系统维护公开漏洞披露工程4.各政府机构应至少指定一个互联网可访问的FISMA中级系统并将对其 的运营和访问全部由公网实现5.CISA和GSA协助提供各政府机构有关其线上应用和资产情况的数据6.各政府机构应致力于使用“不可变的工作负载”部署自己的应用服务，尤是云上环境基于数字签名的完整性保护机制，能够确保工作负载的“不可变”密码技术对于 建立应用信任 的关键作用目标：基于全面细致的数据目录梳理，各政府机构应遵循清晰、协作的 路线开展数据安全防护，充分利用云安全服务监测所有访问敏感数据的 活动，实施

9、联邦政府总体层面的日志审计和信息共享行动：1.联邦首席数据官和首席信息安全官构建联合委员会，为各政府机构指定零信任数据安全指南2.各政府机构应开展自动化的数据分类和安全响应工作，关注对敏感文 档的标记和访问管理3.各政府机构应对所有保存在商用云环境中的加密存储数据进行访问行 为审计4.各政府机构应在CISA协助下建立日志审计和信息共享能力存储加密并不仅仅是保护静态存储数据的安全，还为敏感数据访问行 为的审计提供了一种不可绕过的必经之路除了存储安全之外，数据的传输安全和使用安全同样依赖于密码技术密码技术对于 建立数据信任 的关键作用零信任安全是以建立网络信任和管理网络信任为基础，多种安全保障措施

10、协同构建网络安全保障体系的理念或思路信任的建立和管理离不开密码技术的正确、合规、高效的使用综合多种要素确定信任水平综合多种要素（身份、设备、网络、应 用、数据、）进行信任评估，避免 单纯依赖那些不可靠的默认要素（如IP 地址），持续性地实施管理信任对每次访问行为进行持续的信任评估，并根据信任的动态变化随时调整安全策 略，避免仅通过一次鉴别、一次授权就 给予永久性、无限制的访问权限信任信号来源的身份真实性信任信号的数据完整性信任信号的数据传输安全访问主体、客体的身份真实性安全策略、配置的完整性授权令牌信息的完整性密码技术在零信任落地实践中的用户、设备、网络、应用和数据等方面都 发挥着关键作用，零

11、信任的落地实践，就是遵循零信任安全思想进行密码 保障系统的规划、建设和运行基于密码技术的“挑 战-响应”式鉴别智能密码钥匙、移动 端协同签名系统基于密码技术的设备 身份与配置管理设备证书、端点检测与响应系统（含设备配置管理）基于TLCP等密码协议 的网络流量安全支持反向代理、应用隐藏、负载均衡的国密网关产品基于数字签名的工作 负载完整性保护支持长效验证的代码签名产品，计算环境集成验签工具经典密码技术与隐私保护技术相结合密钥管理与数据安全访问控制系统，多方安全计算产品密码基础设施（公钥基础设施、密钥管理系统、密码服务平台）用户设备网络应用数据零信任安全实践中，密钥管理面临许多新的挑战，应结合具体

12、应用场景进行规划设计虚拟化实体的身份管理和鉴别问题：虚拟机、容器、镜像、实例、微服务等各类工作负载“API Key”是口令还是密钥？如何正确的产生、分发、存储、使用、更新？软件定义边界架构下，单包授权协议SPA的HMAC密钥如何安全的分发到客户端？图片来源：Jason Haley.“Demystifying containers,Docker,andKubernetes”,Microsoft Azure图片来源：Michael Rash.“Single Packet Authorization”,Linux Journal高可用性和高实时性，提供海量证书签发和证书状态管理服务一套PKI体系支持用户、设备、应用等多种实体的证书管理策略引擎能够统一利用多个CA的证书信息进行判决和授权PKI系统需要提供更丰富、灵活的集成接口资产清单库维护设备、人员证书白名单，不一定需要CRL或OCSP