文章总结： TheNSAZeroTrustImplementationGuideDiscoveryPhaseprioritizesvisibilityandassetidentificationtoestablishafoundationforZeroTrustmaturity.Itoutlinesactivitiesacrosssevenpillarsincludinguser,device,application,anddatainventory,alongsidenetworkflowmappingandautomationanalysis.KeyrecommendationsinvolvestandardizingAPIsandlogs,integratingwithtoolslikeSIEMandSOAR,andestablishingconsistentgovernance.Organizationsareadvisedtotreatdiscoveryasacontinuousprocessratherthanaone-timeeventtosupportdynamicaccesscontrolandautomatedresponseinlaterphases. 综合评分： 85 文章分类： 安全建设,解决方案,安全运营

美国NSA《零信任实施指南—发现阶段》简介

河南等级保护测评

2026年1月21日 00:01 河南

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

概述

本文件为国家安全局（NSA）发布的《零信任实施指南（ZIGs）——发现阶段》1.0（2026年1月），旨在细化并对齐DoW、NIST、CISA等权威指导，支持国防部、国防工业基地（DIB）、国家安全系统（NSS）及相关组织在“发现”阶段实现目标级零信任（ZT）能力。发现阶段侧重于可视性与资产识别，为后续阶段奠定基础。文件结构包含原则与方法论、支柱与能力、14项发现阶段活动的详细任务、实施建议、考虑因素、预期成果及附录（术语、缩略语、参考文献、活动任务图）。

核心原则与方法论

ZTA遵循NIST SP 800-207核心原则：永不信任、始终验证；假设入侵；显式验证。设计以DAAS（数据、应用、资产与服务）为中心，采取“从内而外”保护策略，优先识别和保护关键DAAS及其访问路径。ZIG方法论将DoW ZT框架的支柱→能力→活动→任务层层细化，每项活动被分解为可执行任务、前置/后继关系、实现步骤与衡量预期结果。活动可并行推进，须与企业治理、策略与培训协同。

目标受众与适用范围

目标读者为具备技术背景的执行者、系统/企业所有者、安全领导与供应商。当前ZIGs主适用于IT企业环境；未来可能扩展至OT、战术与国防关键基础设施。文档为非强制性、模块化、供应商中立的实施指南，允许组织按需定制。

发现阶段支柱与能力要点（摘要）

发现阶段覆盖七大支柱下的若干能力与14项活动，关键能力示例及其发现活动包括：

1.用户支柱（能力1.1 用户清单）

活动1.1.1：库存用户。目标是识别并集中登记常规与特权用户/个人实体（PE），确认权威身份源并与应用清单对账，定期核验以便立即禁止未授权账户。

2.设备支柱（能力2.1 设备清单；2.3 设备授权与实时检测）

活动2.1.1：设备健康工具缺口分析。盘点物理/虚拟设备、部署或识别健康监测与评估工具、指定设备所有者并确保与ICAM/NAC互作。

活动2.3.4：将下一代杀毒（NextGen AV）与合规互联（C2C）集成。选择并部署端点保护平台（EPP），配置向C2C/EDR数据转发，实现终端遥测和自动化响应。

3.应用与工作负载支柱（能力3.1 应用清单）

活动3.1.1：应用与代码识别。建立获批应用/代码清单（含供应商、版本、托管位置、依赖），启用网络/签名/流量发现并纳入CMDB或应用库存。

4.数据支柱（能力4.1 数据目录风险对齐；4.4 数据监控与感测）

活动4.1.1：数据分析。建立算法注册库与组件主数据目录，定义元数据与标注标准，分配数据所有权并定期核验。

活动4.4.1/4.4.2：DLP与DRM执行点日志与分析。识别DLP/DRM强制点、制定业务规则、统一日志格式并将日志纳入集中分析与IR流程。

5.网络与环境支柱（能力5.1 数据流映射；5.2 SDN）

活动5.1.1：定义细粒度访问规则与策略（第一部分）。基于资产/数据/用户清单及分类，建立RBAC/ABAC/DBAC混合模型、JIT访问与测试/审计机制。

活动5.2.1：定义SDN API。规范北向/南向/数据平面和遥测API，支持可编程控制平面与分段网关。

6.自动化与编排支柱（能力6.1 策略决策点与策略编排；6.2 关键流程自动化；6.5 SOAR；6.6 API标准化）

活动6.1.1：政策清单与制定。盘点并填补策略缺口，为PDP/PEP实施与策略自动化做好政策依据。

活动6.2.1：任务自动化分析。枚举可自动化任务、建立独立审计标准并制定自动化流程图。

活动6.5.1：响应自动化分析。识别可自动响应的流程并整合SOAR作手册。

活动6.6.1：工具合规分析。评估自动化与编排工具是否符合企业API标准。

7.可视化与分析支柱（能力7.1 记录所有流量）

活动7.1.1：规模考虑。评估日志/监控/检测/响应的扩展性需求，制定分阶段扩展策略并与BCP/DRP对齐。

实施要点与考虑

发现阶段强调数据统一、规范化与集中存储（用户库、设备清单、应用清单、主数据目录、日志库等），并要求与ICAM、CMDB、ITAM、SIEM、EDR/XDR、SOAR、DLP/DRM、NAC等工具集成。

每项活动列出前提条件、典型技术选项、业务/合规影响与预期产出，强调跨职能协作、治理与持续审查（建议至少按年核验）。

日志标准化、API标准化、策略清单与PDP/PEP设计是连接发现与后续实施阶段（第一/第二阶段）的关键桥梁。

自动化与编排（任务自动化、响应自动化、SOAR）在早期应聚焦高频、可预测、可审计的流程，先行建立独立审计与回滚控制以确保安全性与可控性。

预期结果与衡量

通过发现阶段活动，组织应实现：

全面且经认证的用户/特权账户与设备清单；

应用与代码资产清单，支持补丁管理与供应链风险管控；

组件级主数据目录及标签/算法注册库，支撑数据分类与DAAS优先级；

DLP/DRM执行点识别并纳入统一日志与分析流程；

数据流映射与初步细粒度访问策略设计；

策略清单与PDP/PEP概念化、API与自动化工具合规评估；

日志与监控扩展性评估与扩展路线图。

结论

发现阶段是实施零信任的基础工程：聚焦识别、可视化与规范化，为定义访问策略、部署PDP/PEP、实现动态授权与自动化响应奠定数据与治理基础。成功依赖跨职能协作、清晰的所有权分配、工具互通性、策略一致性与定期核验。完成发现阶段后，组织准备进入第一、第二阶段以构建安全基础、集成检测/响应能力并推进更高成熟度的零信任实施。

通过全面识别、编目与规范化用户、设备、应用、数据与网络流量，为基于属性与情境的访问控制、实时检测与自动化响应奠定事实与治理基础。指南强调跨职能协作、工具互通、策略一致性与可持续的自动化治理，以便在后续阶段实现更高成熟度的零信任态势。组织应把发现视为持续过程而非一次性活动，建立持续更新、验证与反馈机制，以适应威胁演变与技术变更。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 《美国NSA《零信任实施指南—发现阶段》简介》