2024年零信任安全行业分析：超九成企业采用ZTNA技术实现网络访问控制

零信任安全作为一种新型网络安全架构，近年来在全球范围内获得了快速发展。不同于传统网络安全模型基于"边界防护"的理念，零信任安全遵循"永不信任，始终验证"的原则，要求对每个访问请求进行严格验证和授权，无论其来自网络内部还是外部。这一理念最早由Forrester Research分析师John Kindervag在2010年提出，经过十余年的发展，已经从概念阶段进入实际应用阶段。

1.零信任技术应用呈现多元化发展趋势，ZTNA成为主流解决方案

零信任安全技术在2024年呈现出多元化、场景化的发展特征。根据信通院调研数据，零信任供应侧企业中，有94.4%的企业可提供ZTNA(零信任网络访问)解决方案，55.6%的企业可提供ZTAA(零信任应用访问)解决方案。这一数据表明，ZTNA已经成为当前零信任安全领域最为主流的技术实现方式，几乎成为零信任供应商的"标配"能力。

ZTNA与ZTAA在技术定位上各有侧重。ZTNA主要提供网络级别的访问控制，解决南北向流量的安全问题；而ZTAA则提供应用级别的访问控制，能够实现更细粒度的权限管理。这两种技术方案相互补充，共同构建起零信任安全架构的基础防护能力。值得注意的是，微隔离技术作为解决东西向流量安全问题的关键手段，目前市场供给相对不足，仅有16.7%的零信任供应侧企业可提供相关解决方案，存在巨大的市场空白。

从部署方式来看，零信任解决方案呈现出本地化与SaaS化并行的趋势。调研数据显示，91.7%的零信任供应侧企业可以提供本地化部署形式，86.1%的企业可以提供SaaS化部署。本地化部署能够满足用户对数据主权和隐私保护的严格要求，特别适合政府、金融等对安全性要求高的行业；而SaaS化部署则具有快速上线、无需自建基础设施等优势，更适合中小企业和快速发展的互联网业务。

在技术融合方面，零信任安全正在与其他前沿技术深度结合，创造出更强大的安全防护能力。报告特别强调了AI技术对零信任安全的赋能作用，2024年调研结果显示近七成零信任供应侧企业已经将AI技术应用于零信任解决方案中。具体来看，61.1%的企业应用AI于访问主体的综合评分，47.2%的企业应用AI于威胁检测，30.6%的企业应用AI于预测性威胁建模，22.2%的企业利用自然语言处理进行安全分析。AI技术的引入，使得零信任系统能够处理更复杂的场景，做出更精准的安全决策。

零信任安全的应用场景也在不断扩展。报告指出，零信任技术已经在物联网、5G核心网、区块链等新兴领域展现出独特价值。例如在5G场景下，零信任能够赋能5GC(5G核心网)网络实现内在安全，通过暴露面收敛、多源评估、安全传输和最小授权等机制，增强5G网络的安全防护能力。调研显示，47.2%的零信任供应侧企业支持使用零信任赋能5G安全，这一比例较往年有明显提升。

行业应用方面，零信任安全正在从早期的政府、金融等传统领域，向交通、能源、制造、电力等行业快速渗透。特别值得注意的是，交通业零信任供应能力增幅较大，2024年近半数零信任供应侧企业能为交通业提供安全服务。不同行业基于自身业务特点，对零信任解决方案提出了差异化需求。例如，银行业主要利用零信任的"可视化"能力辅助生成收敛漏洞攻击面的最小权限策略；能源央企则更关注解决动态边界防护需求；制造业企业则着重解决策略统一管理需求，提升运维效率。

2.供需两侧协同演进，推动零信任应用走向深入

2024年的零信任安全市场呈现出供需两侧协同演进的良好态势。从供给侧来看，零信任技术提供商在产品能力、行业理解和服务模式等方面都有了显著提升；从需求侧来看，用户对零信任的认知更加理性，实施方法更加务实，双方共同推动零信任应用走向深入。

供给侧的发展主要体现在三个方面：产品联动能力提升、行业解决方案深化和服务模式创新。在产品联动方面，超七成(72.3%)零信任供应侧企业支持与第三方身份安全产品对接，近六成(58.3%)支持与用户已有的安全管理类产品联动。这一数据相比2022年分别提升了4.5个百分点和4.7个百分点，表明零信任产品正在从孤立的安全工具，向融入整体安全体系的方向发展。在行业解决方案方面，供应商更加注重针对不同行业的业务特点和风险场景，提供定制化的零信任解决方案。例如针对电力行业弱信息化设备运维风险，有供应商开发了整合零信任网关和控制中心的便携式终端解决方案；针对汽车行业智能联网汽车的数据交互风险，则提供了基于组件权限管理的零信任方案。在服务模式方面，供应商更加注重与用户的共创共建，特别是在特殊行业领域，通过科技项目验证、小范围试点等方式，降低用户的实施风险。

需求侧的变化同样值得关注。调研结果显示，用户对零信任的认知不断提高，69.44%的零信任供应侧企业在拓客时感觉用户对零信任的认知变好，可以直接开展POC(概念验证)。但仍有25%的企业在拓客时需要解释零信任基本概念，甚至需要帮助用户区分零信任与传统VPN的区别。这一数据表明，市场教育仍然是零信任推广过程中的重要工作。

用户在选择零信任解决方案时更加注重实效性和业务贴合度。77.8%的供应商认为"遗留老旧基础架构难以被集成"是用户落地零信任的首要挑战，66.7%的供应商认为"遗留系统技术改造复杂"是主要障碍，44.4%的供应商提到"难以利旧"问题。这些数据反映出，用户不再盲目追求技术的先进性，而是更加关注零信任方案与现有IT环境的兼容性和实施可行性。

在实施策略上，用户展现出更加务实的态度。相比早年期望"一步到位"的实施方式，现在的用户更倾向于制定"小目标"—精准圈定一个范围，由切实的业务需求导出安全需求，追求在局部快速见效，然后基于经验复制到更广范围。这种渐进式的实施策略显著降低了零信任落地的风险和难度。

特别值得关注的是，平台化、体系化的零信任解决方案正获得市场青睐。61.1%的用户表示会根据实际情况选择一体化的零信任方案或集成化的零信任系统。对于新建安全防护体系的用户，一体化的零信任方案在业务贴合度和实施效果上更具优势；而对于已有较多安全产品的用户，零信任系统的集成能力更为重要，能够实现与现有安全工具的联动，提高整体安全防护效能。

在零信任的实际应用中，"重运营"特点日益凸显。随着部署规模的扩大，用户自然关注策略统一管理和运营流程自动化。这要求零信任系统能够深度融入用户业务体系，在流量可视化、策略管理和访问控制三个层面实现与业务的有机结合。调研发现，超过90%的用户购买零信任用于内部安全风险的多源评估，或是与终端安全、网络安全等工具联动共同处置威胁，这对零信任系统的集成能力提出了更高要求。

3.政策标准双轮驱动，零信任未来发展前景广阔

零信任安全的发展离不开政策标准和市场需求的共同推动。2024年，全球范围内零信任相关政策标准密集出台，为行业发展提供了明确方向和规范指引，同时也预示着零信任安全未来的广阔发展空间。

从全球视角看，美国在零信任政策推进方面最为领先。自2019年7月美国国防创新委员会发布《零信任安全之路》以来，美国陆续发布了一系列零信任战略文件和实施指南。2024年6月，美国国防部发布《国防部零信任覆盖》文件，全面描述了实施路径、控制措施以及预期成果，规定实施零信任控制的分阶段方法。同年10月，美国联邦政府发布《联邦零信任数据安全指南》，强调以保护数据本身为中心，提供了零信任数据安全原则和实施指导。这一系列政策的出台，为零信任在美国的大规模应用扫清了障碍。

欧盟和英国等地区也在积极推进零信任安全模型。2023年1月生效的欧盟NIS 2指令提出所有关键实体应实施零信任安全模型。英国国家网络安全中心(NCSC)则于2023年2月发布《零信任：构建混合资产指南1.0》，为解决零信任不兼容问题提出建构"混合资产架构"。澳大利亚政府2023年10月发布的《2023-2030年网络安全战略》，将零信任作为网络安全的核心战略。

在中国，零信任安全同样获得了政策层面的强力支持。国家层面，2024年5月中央网信办等10部门联合印发的《关于实施公共安全标准化筑底工程的指导意见》，明确提出加快研制零信任等安全技术标准。9月国家数据局发布的《关于促进数据产业高质量发展的指导意见(征求意见稿)》，提出加强零信任安全等技术创新。这些政策从国家战略高度为零信任安全技术的发展指明了方向。

在标准建设方面，我国取得了重要突破。2024年11月1日，GB/T 43696-2024《网络安全技术零信任参考体系架构》正式实施，这是我国网络安全领域首个规范零信任理念的国家标准。与此同时，行业标准建设也在积极推进，《零信任安全技术参考框架》《面向云计算的零信任体系》等系列标准正在制定和完善中，为零信任产业的规范化发展提供了重要支撑。

地方政府对零信任技术的重视程度也在提升。从北京市的智慧城市行动纲要，到山东省、湖南省、辽宁省等多地的数字发展规划，均明确提出探索或应用零信任机制以增强数据安全与网络防护。福建省、河南省等地区计划建设基于零信任的数字身份与访问管理安全设施。这些地方政策的出台，为零信任技术在区域市场的落地应用创造了良好环境。

展望未来，"零信任+AI"的技术融合将成为重要发展方向。根据Forrester预测，到2025年，AI软件市场规模将从2021年的330亿美元增长到640亿美元，网络安全将成为AI支出增长最快的细分市场。在零信任领域，AI技术将在多个层面发挥重要作用：生成基于业务场景的策略集，提升策略判定精准度；辅助完成T+1分析，强化安全事件响应能力；利用自然语言处理模型，降低系统操作复杂度。这些创新应用将持续激发网络安全领域的技术活力。

从应用场景看，零信任安全将进一步向垂直行业深耕。除传统的政府、金融行业外，交通、能源、制造、电力等行业的需求正在快速增长。特别是在物联网、车联网、工业互联网等新兴领域，零信任架构能够有效解决设备身份认证、数据安全交互等关键问题，应用前景广阔。调研显示，75%的零信任供应侧企业能够赋能物联网安全，这一比例较往年有明显提升。

实施方法论上，零信任将更加注重"价值驱动"的实施路径。用户不再追求大而全的部署方式，而是从具体业务场景出发，选择能够快速产生安全价值的切入点，通过"点-线-面"的路径逐步扩展零信任应用范围。这种方法能够有效控制风险，提高实施成功率，也更符合企业安全建设的实际需求。

以上就是关于2024年零信任安全行业的全面分析。从整体发展态势来看，零信任安全已经度过了概念验证阶段，正在全球范围内进入规模化应用期。技术供给日趋成熟，94.4%的供应商提供ZTNA解决方案；应用场景不断拓展，从传统IT环境延伸到物联网、5G、区块链等新兴领域；政策标准逐步完善，国家标准的出台为行业规范化发展奠定了基础。

未来，随着数字化转型的深入和网络安全威胁的演变，零信任安全的重要性将进一步凸显。AI技术的融合应用、垂直行业的深度渗透、实施方法的持续优化，将成为推动零信任发展的三大动力。可以预见，零信任安全将从单一的技术方案，逐步演进为数字化时代的基础安全架构，为各行业的网络安全建设提供坚实支撑。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）