零信任是把枪，可以伤敌人，更能伤自己！！

今天出差，到机场早了，有点无所事事。但，脑子里却有一个强烈念头促使我把一个相对敏感的话题继续下去。

“零信任”应该是这些年网络安全行业中最热的一种存在，各种配套（检测认证、体系支撑等）也是层出不穷，在行业内好像不谈、不支持“零信任”就要落伍了似的。作者对于此种现象一直如鲠在喉，总想找时机说点啥，但，看着大家对“零信任”那种痴迷的状态，我到是有点不自信了！（）

鉴于当下网络安全行业的现状，作者还是鼓足勇气给“零信任”泼点凉水。

“零信任”之于网络安全，是一把枪，能伤敌人，更能伤自己！

分析如下：

1、网络上有敌人更有朋友，一视同仁的不信任，会误伤很多人

绝大部分人员利用网络是为了满足自身合法的业务需要，哪些利用网络来搞破坏的毕竟是少数；

有些网络基本上都是自己人在用，并无外人参与；

网络应用服务对象一定是有区分的，毕竟“不同”才是最大的事实。

在上述几个场景中落实“零信任”，是否能取得好的效果着实不好说

2、安全和易用本身就是一对矛盾，“零信任”无益于缓解这个矛盾

“零信任”的出发点是安全你的安全，完全是从安全角度出发

基于对一切都不信任，就需要逐一建立信任后，业务才能继续

这种逻辑，在易用层面一定大大折扣

3、信任是商业、合作、协同等行为的基础，“零信任”容易被服务对象排斥

网络的价值，是为更好的协同和共享开放，“零信任”与此价值并不太一致

规则和秩序所鼓励的，无不是信任，“零信任”就容易在价值观层面的先天不足

4、鉴于安全和业务之间的关系，“零信任”无益于提高性价比，成本偏高

安全保业务，业务促发展，二者要平衡，不能顾此失彼，更不能厚此薄彼

因“零信任”体系严谨，落实就比较复杂，与业务平衡形成平衡并不容易

正所谓，安全没有绝对，只有合不合适，“零信任”之于此并无优势

5、“零信任”与“网络安全为人民”、“网络安全平民化”等理念相融性不强

网络安全不是一两个人能完成的，需要所有人的参与和努力

参与者能主动的、积极的、负责任的、自愿的参与这项工作很重要

所以，在上述的五个方面，“零信任”都会面临一些问题！

要发挥“零信任”的价值，就需要正确的认识和应用她

1、“零信任”是网络安全基础/技术思想，绝非网络安全工作思想

“对一切表示怀疑、对所有都表示不信任”，这是很好的网安技术思想

网络安全工作思想需要照顾场景、人性、成本、发展、社会等多因素

把技术思想生硬的作为工作思想，面临的困难将是巨大的

2、“零信任”要有所为、有所不为，不能硬上，要选对场景

任何的体系都会有场景性，“零信任”也是这样，要选对场景

未知性大、可控性差、变化性大的场景更适合“零信任”

3、永远要最大限度满足“人性”需要，反人性的东西一定是困难重重

落实网络安全工作，无论什么样的手段，都要充分考虑人性层面的满足性

 网络安全存在全局性问题，就是当下众多工作没有考虑人性需要

“零信任”在人性需求满足上还需要做很多工作

4、“零信任”是技术，落实到网路安全工作需要找到有效的桥梁

“零信任”的落实，从技术到效果中间还有很多的工作需要做

当下，相关体系、支撑等多聚焦在技术和产品层面，中间环节涉足不够

从技术思想到工作落实，中间的方案、工具、经验等才是关键

所以：

当下的“零信任”拿来做技术探讨、产品实现都没有问题

但是拿来做工作落实、场景构建就差的远了！

最后要说：

“零信任”在网络安全行业中，地位显赫，贡献卓著，这不可否认

但，“零信任”在身的片面性、局部性，也会给网络安全工作带来阻碍

辩证看“零信任”，不移花接木，不自欺欺人，才是用好“零信任”最佳办法

对于“零信任”这些并不复杂的问题，众多大机构（智库）都睁一只眼闭一只眼，还煽风点火，搞测试认证，想想其实挺有意思

本文对“零信任”仅作一点点分析，挂一漏万、抛砖引玉，希望引起从业者更深入思考。

解释：作者对“零信任”本身并没有成见，只是当下行业内的一些现象有点看法，网络安全行业需要严谨，但，片面的严谨会适得其反，毕竟网络安全需要考虑和兼顾的外部内容不少。

本文所提及的观点若是伤害了您，希望见谅，毕竟才疏学浅，着实不值得！

【注：以上仅是作者肤浅认识，仅供参考！】

来源：与智慧做朋友

作者：李志勇 （ 微信号：qichelaba ）

声明：文章中部分图例来源于网络，版权并不属于作者