国外：国家级零信任“军备竞赛”持续加速

美国一直以来都是零信任落地的急先锋。2023 年，美国政府、军方不断加大对零信任的投入，推动零信任的全面落地。

2023 年 4 月，美国网络安全和基础设施安全局（CISA）发布《零信任成熟度模型》第二版，更新了政府范围内采用零信任安全架构的关键定义和指标；

随后，CISA 发布强制性指令，规定政府机构暴露在互联网上的网络或其他类型设备，如果无法禁止公网访问，必须采用零信任架构实施访问控制；

美国军方也紧锣密鼓的推进零信任战略，2023 年 2 月，美国国防部发布了第五版《国防部网络安全参考架构（CSRA）》，制定了与零信任战略密切相关的新目标；

2023 年 5 月，美国国防部宣布“雷霆穹顶”（Thunderdome）零信任试点计划已成功完成，将在 2 个月内全面投产；

2023 年 8 月，美国陆军制定“零信任”计划三个阶段的实施方案，明确了零信任落地时间表；为了加快零信任的落地，美国国防部在 2023 财年拨款 20 亿美元，再一次向全世界展现了推进零信任战略的决心。

同时，欧盟也在大力推进零信任战略。2023 年 1 月 13 日，《关于在欧盟全境实现高度统一网络安全措施的指令》（NIS 2 指令）正式生效。指令中明确提出所有关键基础设施运营商（CIIO）实施零信任安全模型，包括身份验证、授权和访问控制等措施，并制定了执法和制裁措施。

相比于美国的全面铺开和欧盟的硬性要求，英国推进零信任落地的方式相对柔和。2023 年 10 月，英国国家网络安全中心（NCSC）发布了《零信任：构建混合资产指南 1.0》，为解决零信任不兼容问题提出了新的解决视角与方法。

澳大利亚是网络攻击的重灾区，对零信任的需求也更为迫切。2023 年 7 月，澳大利亚政府发布《国家身份弹性战略》，提出了身份和访问管理（IAM）愿景；2023 年 10 月，澳大利亚政府发布《2023-2030 年网络安全战略》，将零信任作为网络安全的核心战略。

国外主要零信任相关标准汇总

尽管国外零信任概念提出得很早，但演进周期较长。以 Google BeyondCorp 为代表的探索和实践有力推动了行业零信任理念的落地、标准化和产业化。产业的真正快速发展是在 2019 年 NIST 标准化组织发布《零信任架构》草案之后，该标准的发布同时也助推了美国国防部下一代安全架构的演进。

国内：从立项到落地，零信任“有标可依”

我国高度重视零信任的发展和应用。2023 年，一系列针对不同应用场景的零信任相关国标、行标、团标有序的编写、审批，有望在 2024 年上半年发布，为我国零信任产业发展提供指导和参考。芯盾时代作为领先的零信任业务安全产品方案提供商，也参与了多项国标、行标、团标的编写，用自身的技术优势和丰富经验助力零信任生态的高质量发展。

国内主要零信任相关标准汇总

根据国内厂家、联盟组织、标准化方面的进展情况，可以看出零信任已经引起了国家相关部门和业界的高度重视，行业涌现出的新兴厂家也较多。网络安全是国家空间安全战略的重要组成部分，政策、标准化是企业安全构架部署的重要依据。国内零信任的标准化已在路上，行业监管要求、产品能力的第三方验证评估、行业互通还有待产业生态的驱动和完善。