导致零信任 建设失败的几个元素

随着企业数字化的不断推进，零信任安全模型和理念已被企业组织的CISO们广泛接受，但是实现它的过程却并不容易，尤其是对一些中小型企业组织，零信任项目落地失败的案例已经屡见不鲜。

1、 缺乏对终端设备的全面管理

目前，远程化、移动化已成为企业办公模式的新常态，这也扩大了企业数字化系统的攻击面，每一个连接到网络的终端设备都可能含有潜在的漏洞，特别是那些位于传统网络之外的设备，比如打印机、安全摄像头及其他物联网设备。

2、急于求成，实施过快

零信任建设不是一蹴而就的工作，而是一种需要不断优化发展的创新安全理念，也是一个持续性的过程。实施零信任的前提是需要对网络上的所有资产进行测绘和发现，并在此基础上识别技术和人员等方面的安全漏洞，这样才能清楚如何最有效地堵住漏洞。

3、忽视最低特权访问原则

零信任安全是风险和信任之间的平衡状态，对于不同的风险级别，授予不同的信任程度，分配不同的权限。在零信任架构中，没有绝对的可信或不可信。因此，零信任项目建设有一个不得不提的特定原则——最小化授权访问，确定了要设置确保对于所有类型的用户仅拥有完全可以执行工作所需的服务器的最低数量的权限级别这一策略。

4、未得到所有用户的广泛认同与支持

如果零信任安全建设完成以后，企业员工的安全意识却没有同步提升，这项技术的应用效果将难以充分发挥。企业应该向所有用户展示新的规程、要求和流程。而很多失败的零信任案例表明，一些利益相关者将零信任项目视为便捷开展数字化业务的障碍，并引发了大量的不满情绪，这样无疑会助长违规现象。而这些问题的根源在于缺乏明确的标准和规范，导致各方在实践中出现各种各样的偏差。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!