用户更理性选择零信任并制定务实的目标

中国信通院 2024 年调研结果显示，遗留老旧基础架构难以被集成、遗留系统技术改造复杂以及难以利旧仍然是用户落地零信任排名前三的挑战，从零信任供应侧企业视角来看，三者比例分别高达 77.8%、66.7%和 44.4%。

用户落地零信任面临的挑战

解决方案的成熟度是用户选择零信任供应侧企业时的首要考量因素

（一）解决方案易用性、兼容性和稳定性的提升

企业级用户的选型十分看重方案的成熟度，一些有条件的用户会通过长周期、复杂场景、严苛环境的测试，来验证方案与产品的环境适应性、复杂需求满足度、非功能特性等。

（二）零信任系统与安全工具的互联互通性提升威胁感知能力

当下，网络层和应用层都有方案可以实现真实 IP 溯源，良好的互联互通性也是用户选择零信任产品的一大因素。例如当用户态势感知系统探测到攻击，从态势感知系统视角攻击源头是零信任系统，网络层可以通过池化零信任网关地址，客户端接入时分配地址网关形成映射表，应用层可以在向应用发起的 HTTP 报文中插入客户端地址，从而实现威胁的溯源。

特殊行业用户对零信任供应侧企业以咨询方式在部署前期介入的需求提升

电力场景下用户通常不敢在实际环境中试点，需要零信任供应侧企业针对用户痛点需求以科技项目进行验证，通过验证后转化为信息化项目，最终在实际场景中开始试点，上述成果转化周期通常长达 1 年以上，需要供应侧企业配合，共同攻坚克难。

用户愈发具备良好的预期管理能力，能够制定夯实的目标

早年的零信任用户期望实现“一步到位”的目标，然而难度大。近年，用户开始制定“小目标”-—精准的圈定一个范围，由切实的业务需求导出安全需求，追求在局部快速见效、取得成功，然后基于经验回归和价值判断，复制到更为广阔的范围。

以体系化防护为核心的平台化零信任获市场青睐

平台化的零信任强调体系化安全防护能力，包含了两方面内容，一方面是一体化的零信任方案，部分用户偏好使用一套完整的方案基于其防护涵盖面开展体系化的安全防护；另一方面是零信任系统的集成化能力，大中型用户的安全工具通常不会被一家厂商绑定，处于碎片化状态，此类用户希望零信任系统具备集成化能力将其环境中的安全工具串联起来。

用户认为一体化的零信任方案与自身业务贴合度更高

用户认为一体化的零信任解决方案从底层基础、架构设计和模块复用角度实现效果更优，在业务需求满足度上更高。此外，用户也表示上述情况更适用于新建安全防护体系，如果有历史建设，产品的联动仍是当下提高投入产出比的最优方式。

中国信通院调研结果显示，61.1%的用户选择视情况而定，如果已有较多历史积累的安全产品，零信任控制中心能与安全产品实现联动更优，反之则全部使用某供应侧企业的一套安全产品更优。

用户选择零信任供应侧企业时的意愿

用户落地零信任见效后对使用体验有更多期许 

一、零信任持续化的风险识别与认证能力存在提升空间。

目前零信任大多关注传统网络安全层面，对业务层面的安全风险关注不足，用户使用零信任实现动态访问控制，大多处于单次访问发起前对访问主体进行风险判断，如终端环境是否符合基线要求、访问主体历史行为的验证、访问客体开放权限等级的校验等。

诸如 UEBA 一类的用户行为实时分析系统也仅能做到用户在网络安全层面的判断，如内外网切换带来的网络环境的变化、异地登录的判断等。用户行为再深入一步的判断实现困难，主要原因包括实时计算难度大，对服务器性能消耗高，以及零信任决策的因子不够充沛等。

此外，如果需要和外部安全分析系统集成，目前多数实现的是零信任向外部安全分析系统输出信息，能够实现外部安全分析系统向零信任控制中心下发策略的少之又少，零信任真正需要实现的持续化的风险识别和认证还有很长的路要走。

与零信任供应侧企业共创零信任防护之道获得应用侧企业认可

据不完全统计，当前超过 90%的用户购买零信任用于内部安全风险的多源评估，或是与终端安全、网络安全等工具联动共同处置威胁，过程中一是需要实现安全工具与零信任控制中心的联动，二是零信任控制策略需要与用户业务贴合。业务本身由用户研发，零信任供应侧企业难以设计贴合用户的业务模型，改造过程较为复杂。因此有创新用户尝试了一种新的零信任应用模式，使用自研的安全大脑作为风控系统的核心，零信任作为安全大脑的信息输入源之一，将访问主体行为发送至安全大脑，安全大脑本身会连接内部已有的态势感知系统做关联分析。此模式下：于零信任供应侧企业角度，通过提供开放的 API 免于设计业务模型，加速其交付速度。于零信任应用侧企业角度，安全大脑的安全策略能够更加贴合自身业务模型，零信任能够为其决策提供更多依据，使用效果更好。

用户对零信任的非功能性需求提出愿景，期望获得使用体验的提升。

零信任本身因为解决安全问题而得以发展，用户在获得良好安全体验的同时，也希望获得更好的使用体验。

一是网关策略有效性监控。零信任策略的下发影响面广，用户希望策略的下发可以与内部审批流集成，从而充分管控策略发布的全流程：一方面为策略发布预留窗口期，策略发布前经过多轮审批，并且支持策略的一致性检查和回滚；另一方面是网关状态监控，如果策略升级过程中资源占用超过阈值，可以及时发出告警，并能够回滚策略。

二是支持特权服务设置。零信任网关是流量准入的唯一入口，针对企业内部特殊员工，支持特权服务可以为其使用带来便利。例如一是针对高级别员工提供更流畅的服务，将其流量转入性能更高的服务器处理；二是特殊终端可以获取更多信息，通过设备特征值允许其访问专门服务器等。