零信任熱中的冷思考如此熱度之下，可能需要一些"冷思考"，有利于零信任這項技術的科學開展，使其從喧囂回歸理性，進而有效發揮零信任的作用。近幾年來，零信任（ZeroTrust,ZT）成為網絡平安領域的一個熱點話題，甚至被很多人視為網絡平安領域的"壓倒性”技術趨勢。零信任概念最初見于1994年的一篇博士論文，后因2010年咨詢公司Forrester的大力宣傳而被公眾所熟知。2020年8月，美國國家標準與技術研究院發布的《零信任架構》定義零信任為一系列概念和思想，旨在面對信息系統和服務中受損的網絡時，在按請求執行準確的、最小權限的訪問決策過程中，減少不確定性。2021年9月7日，美國政府管理和預算辦公室（OMB）及國土安全部網絡平安和基礎設施平安局（CISA）先后發布了《聯邦政府向零信任遷移的原那么》和《零信任成熟度模型》。美國政府將其冠名為“戰略"，引發世界各國對其可能實施網絡平安重大行動或布局網絡平安重要技術的強烈關注。同樣，零信任在我國網絡平安領域也引發熱議。2019年，工信部發布的《關于促進網絡平安產業開展的指導意見（征求意見稿）》將"零信任平安"列入”著力突破網絡安全關鍵技術”之一；2021年7月，工信部發布的《網絡平安產業高質量開展三年行動計劃（2021-2023年）》提出要開展創新平安技術，加快開展零信任框架等平安體系研發。網絡平安產業界那么通過成立產業聯盟零信任工作組、制定和發布行業標準、提出解決方案，以及加大投資力度等各種措施促進零信任的應用和開展。如此熱度之下，可能需要一些"冷思考"，有利于零信任這項技術的科學開展，使其從喧囂回歸理性，進而有效發揮零信任的作用。一、美國零信任戰略介紹與分析2021年5月12日，美國總統拜登簽署了14028號行政令《改善國家網絡安全》，首次在聯邦政府的頂層政策文件中提出實施零信任的要求。該行政令要求，為跟上當今動態和日益復雜的網絡威脅環境，聯邦政府必須采取果斷措施，使其網絡平安方法現代化，包括提高聯邦政府對威脅的能見度，同時保護隱私和公民自由，具體措施包括采取平安最正確實踐、向零信任架構推進、加快云服務平安等；同時，要求各機構負責人應在行政令發布60天內制定實施零信任架構的計劃。此后，美國發布了《聯邦政府向零信任遷移的原那么》和《零信任成熟度模型》，用以具體落實該行政令。以上文件被美國白宮宣傳為"零信任戰略”。14028號行政令剛出臺時，我國一些機構和媒體聲稱，這是"美國總統強推零信任"，這可能夸大其實，對零信任也是一種"捧殺"。對于美國政府的這些舉措，我們應從以下幾面進行理解：這是美國政府“信息技術現代化”改革的一局部，屬于漸進過程中的一環，目的不是為了開展零信任。多年以來，美國政府一直強調對關鍵基礎設施進行保護。但近年來美國政府自身遇到屢次重大網絡攻擊，特別是2015年4月出現了人事局（OPM）被攻擊的惡性事件，導致包括駐外情報人員在內的聯邦雇員名單外泄，使美國政府不得不對疏于自身防護的"燈下黑”現象進行反思。經美國政府問責辦公室（GAO）調研發現，聯邦信息系統陳舊老化，最老的系統已使用近60年之久，這是其容易受攻擊的根本原因。為此，美國政府于2017年宣布了"聯邦信息技術現代化計劃"，時任總統特朗普發布了《增強聯邦政府網絡與關鍵基礎設施網絡平安》。所謂"現代化"，重點是IT體系結構的調整，以及與此調整相應的網絡平安防護自身的現代化。為此，拜登要求聯邦系統盡快云，并在云環境下積極采用零信任架構。需要注意，在14028號行政令中，拜登同時提及的還有數據分級分類、多因子認證、加密等技術。因此，美國政府的一系列舉措，不是支持零信任開展的政策文件，而是對自身系統提出的防護要求。美國政府是在"上云”這一特定應用背景下推行零信任，零信任并非普適。在推進聯邦政府信息技術現代化進程中，美國確立了兩個工作目標：一是對聯邦政府網絡進行現代化改造和整合；二是構建面向共享服務的網絡架構。為實現上述目標，美國提出，要從對網絡邊界的保護和對物理設備的保護，轉向對數據的保護和對云計算平臺的部署。對數據的保護必然需要更細粒度的訪問控制。對云計算平臺的部署，特別是政府信息系統遷移到商業云上，必然導致政府對自身系統的管控能力降低，責任邊界變得模糊，疫情期間遠程辦公那么進一步加重了這一風險。這種復雜的平安場景，正是零信任所強調的"不再信任邊界"。為此，美國在高層政策中提出了部署零信任框架的要求。這確實是一種防護思路的轉變，但面對的是信息系統遷移到云上這種特殊背景，并不意味著在任何場景下都要推行零信任框架。這不是一次戰略級的行動。美國政府是在按既定路線提升聯邦信息系統的平安防護水平，其根本手段是替換老舊系統，實現"信息技術現代化"；保護重點是從保護網絡資產轉向保護數據資產；運行模式是遷移到商業云上，以表達投資集約化，解決專業人才缺乏的問題。而為了確保這一過程的平安，零信任是關鍵技術。但零信任確實較新，故美國政府連續發布了多份文件予以闡述，并要求2024年完成部署。這是一種具體的行動路線圖，不代表美國網絡平安戰略的重大動向。因此，美國"零信任戰略”是美國政府為應對更加復雜的新平安形勢而制定的行動計劃，不是戰略文件。二、國內對零信任存在爭議的主要原因當前，由于盲目跟風、資本炒作等原因，國內對零信任存在一些爭議。這些爭議對于凝聚網絡平安業界力量、加快自主創新步伐產生了不利影響，一些虛假宣傳更是擾亂了人們的認識，急需正本清源，引導零信任向正確的方向前進。分析認為，導致零信任正在偏離科學開展軌道的原因如下。一是資本炒作。網絡平安產業的戰略地位使資本趨之假設鷲，但資本始終在尋找網絡平安領域的亮點和爆發點。零信任的出現滿足了資本的包裝需求，零信任大熱與此有直接關系。目前，很大程度上是資本在推著零信任走，而不是需求在主導零信任的開展。二是過分夸大其作用。為了迎合資本炒作，一些人過分夸大了零信任的作用，將其作為解決網絡平安問題的靈丹妙藥，脫離了其作為訪問控制策略的技術實質。一些人甚至將其上升為一種顛覆性網絡平安技術，人為制造了零信任與現有網絡平安技術措施的對立。三是違背基本技術原理。零信任的翻譯并不準確，其"永不信任、持續驗證”的典型口號更容易使人誤認為“信任"不再需要或不再存在。事實上，"信任"是社會運轉和系統運行的基礎，系統中永遠必須存在信任根，且零信任也恰恰是為了建立信任。由于對零信任的誤導性宣傳，使零信任受到很多誤解，甚至抵觸。四是錯誤定位。作為一種應對新網絡平安風險的指導思想，零信任本身不是技術，而是可以通過很多種技術來實現。由于外界在宣傳中普遍將其定位為一種新技術，導致"零信任"技術和產品五花八門、差異極大，迄今仍未形成統一的標準，存在著隨意解釋的現象。五是存在渾水摸魚的現象。零信任特指身份而言，但一些人有意將其引申為“不信任"，繼而引申為〃不平安〃。在這一邏輯下，為了迎合資本喜好，很多企業將其網絡平安方案冠名為"零信任解決方案"，但實際上與零信任沒有關系。這一不良風氣正在對網絡平安產業界產生侵蝕，助長了跟風炒作的行為。三、如何客觀地理解和認識零信任零信任本質上是一種理念和思路，不是某種固定的技術，也不是對既有技術和體系結構的顛覆。因此，我們應從以下方面理解和認識零信任。零信任的產生有其客觀必然性，源于傳統的信任模型受到挑戰。訪問控制是維護網絡平安的基本機制，而實施訪問控制的前提條件是身份認證。傳統的訪問控制缺少對身份的持續認證，難以應對身份被破壞后的情況（如攻擊者獲得了合法用戶的權限）；傳統方案中，主體在邊界處通過認證后便受到高度信任，難以防范來自內部人員的攻擊；以前的訪問主體和客體都相對簡單、明確，但物聯網和大數據技術的應用使主客體變得日益多樣化，越來越難以保證數量繁多的主客體始終處在可信狀態，且訪問控制的粒度也從某個文件、數據庫擴展到了數據中的某一行、某個字段。這些因素導致原有的訪問控制模型需要作出改變，而這種改變的基本特征是，不能再依賴一次性認證便持續信任身份，而是需要持續、不斷地進行認證，這正是"零信任"的來源。零信任的實質是對訪問控制的新要求，不是網絡平安的全部。為了應對網絡平安形勢新變化，零信任要求實施動態細粒度的訪問控制，這是零信任的本質特征。即，身份認證不再依賴邊界防御，而是需要持續驗證身份，且服務、資源和環境等變化均是判斷身份是否可信的考量因素。訪問控制僅是假設干網絡平安機制的一種，而零信任本身沒有超出訪問控制的技術范疇。零信任是一種思想，沒有顛覆現有網絡平安技術和體系結構。零信任反映了人們對網絡平安形勢變化的判斷，是基于威脅判斷而提出的新的應對思路，不是某一項固定的技術。這種新的"動態細粒度訪問控制"應對思路可以指導現有技術不斷升級，與現有的網絡平安技術、模型和體系結構并不矛盾，更不意味著要取代現有技術。零信任的實現依然離不開網絡平安的基本原理，零信任思想需要利用多種技術去實現。目前看來，零信任提出的是一種非常理想的訪問控制目標，技術實現的難度相當大，其真正落地實施還需長期的探索。四、正確引導零信任開展和應用的建議零信任是一種有積極意義的網絡平安思想和理念，適應了信息化應用和技術開展趨勢，對降低云計算、大數據條件下的網絡平安風險有效。美國政府連續發布與零信任有關的政策文件，也說明了這一點。為了科學推進和引導我國網絡平安技術開展，正確發揮零信任的作用，以應對網絡平安威脅形勢新變化，建議從以下方面開展工作：組織對零信任技術的正確宣傳。針對當前存在的夸大、不當、錯誤宣傳予以糾正，尤其是防止網絡平安技術開展被資本所牽引。制定國家標準規范。考慮我國國情，借鑒國外經驗，組織制定零信任參考架