以零信任技術(shù)為指導(dǎo)的數(shù)據(jù)安全體系研究

摘 ?要：隨著社會信息化水平的提高，數(shù)據(jù)呈爆炸式增長，數(shù)據(jù)已成為重要的生產(chǎn)要素，是企業(yè)的核心生產(chǎn)力，但數(shù)據(jù)時(shí)刻被黑客所覬覦，隨之而來的數(shù)據(jù)泄露風(fēng)險(xiǎn)也日益提升，嚴(yán)守?cái)?shù)據(jù)安全是企業(yè)的底線。文章對當(dāng)今數(shù)據(jù)面臨的威脅進(jìn)行了多維度分析，基于零信任先進(jìn)安全理念和技術(shù)，結(jié)合國外數(shù)據(jù)安全治理框架，以零信任的視角針對性地設(shè)計(jì)了數(shù)據(jù)安全防護(hù)體系，不僅能解決數(shù)據(jù)流動(dòng)關(guān)鍵路徑存在的安全風(fēng)險(xiǎn)，而且能有效地提升數(shù)據(jù)安全防護(hù)水平。

關(guān)鍵詞：數(shù)據(jù)安全;零信任;身份安全;網(wǎng)絡(luò)安全

中圖分類號：TP309 ? ? ?文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2020）12-0126-06

Abstract：With the development of social informatization，data shows explosive growth. Data has become an important factor of production and the core productivity of enterprises. However，data is coveted by hackers all the time，and the risk of data leakage is also increasing，data security is the bottom line of enterprises. This paper analyzes the threats faced by data in multiple dimensions，based on the advanced security concept and technology of zero trust，combined with the foreign data security governance framework，the data security protection system is designed from the perspective of zero trust，which can not only solve the security risks of the key path of data flow，but also effectively improve the level of data security protection.

Keywords：data security;zero trust;identity security;network security

0 ?引 ?言

隨著政府與企業(yè)的信息化程度不斷加深，信息系統(tǒng)的復(fù)雜度與開放度隨之提升，伴隨云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能等新興技術(shù)的飛速發(fā)展，帶來了數(shù)據(jù)的爆炸式增長，數(shù)據(jù)呈現(xiàn)出規(guī)模大，具有多樣性、復(fù)雜性和價(jià)值高的特點(diǎn)，包含用戶個(gè)人隱私數(shù)據(jù)、具有重大商業(yè)價(jià)值的企業(yè)數(shù)據(jù)和涉及國家政府安全的重要數(shù)據(jù)。數(shù)據(jù)已經(jīng)成為數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素，是國家基礎(chǔ)性資源和戰(zhàn)略性資源，是社會治理的有效工具。

過去幾年間，大型數(shù)據(jù)泄露事件層出不窮，如Facebook數(shù)據(jù)泄露事件、電商刪庫事件，視頻泄露事件、考生信息泄露、公民醫(yī)療信息泄露等，這其中不免存在媒體聚焦度提升帶來的輿論轉(zhuǎn)移，但究其根本是社會各界對于數(shù)據(jù)安全的關(guān)注度與日俱增，數(shù)據(jù)泄露事件正在“倒逼”政府主管機(jī)構(gòu)對數(shù)據(jù)安全問題引起重視，推動(dòng)相關(guān)法律法規(guī)的落地。數(shù)據(jù)安全正受到前所未有的挑戰(zhàn)，該問題已成為企業(yè)資產(chǎn)安全性、個(gè)人隱私安全性、國家和社會安全的核心問題。

筆者在專業(yè)網(wǎng)絡(luò)安全公司長期從事運(yùn)營商行業(yè)的網(wǎng)絡(luò)安全咨詢工作，運(yùn)營商非常重視所運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的數(shù)據(jù)安全，在應(yīng)對數(shù)據(jù)泄露風(fēng)險(xiǎn)方面，通常采用傳統(tǒng)安全產(chǎn)品組合的方式進(jìn)行，雖然安全響應(yīng)能力在不斷提升，但仍然不能有效遏制數(shù)據(jù)泄露，歸根結(jié)底在于缺乏將核心指導(dǎo)思想融入數(shù)據(jù)安全體系化建設(shè)中的意識，將安全組件的能力映射到各個(gè)階段，因此，我們要以一種全新的技術(shù)視角去指導(dǎo)、規(guī)劃數(shù)據(jù)安全體系，推動(dòng)更先進(jìn)的企業(yè)數(shù)據(jù)安全理念的落地。

1 ?數(shù)據(jù)面臨的安全威脅分析

數(shù)據(jù)技術(shù)及其應(yīng)用正深刻而廣泛的影響和改變著人類社會，甚至將重構(gòu)人類社會，數(shù)據(jù)成為新的生產(chǎn)要素，其背后蘊(yùn)藏了巨大經(jīng)濟(jì)價(jià)值，同時(shí)也引起了大量不法分子的覬覦。2020年全球新冠病毒（COVID-19）[1]疫情的蔓延，帶來了線上化辦公和線上娛樂用戶數(shù)量的顯著增長，也使得個(gè)人隱私保護(hù)面臨的形勢越來越嚴(yán)峻，數(shù)據(jù)泄露問題變得越來越嚴(yán)重，主要表現(xiàn)為以下3個(gè)方面。

1.1 ?人的威脅

數(shù)據(jù)的巨大體量導(dǎo)致信息管理成本增加，數(shù)據(jù)的匯集會引來潛在的攻擊者，因?yàn)樗麄兛吹搅藬?shù)據(jù)變現(xiàn)的直接價(jià)值，無論是內(nèi)部員工，還是外部訪客，據(jù)2020年度Verizon數(shù)據(jù)泄露調(diào)查報(bào)告[2]，報(bào)告指出全球數(shù)據(jù)泄露事件主要的威脅是犯罪團(tuán)體，86%都是經(jīng)濟(jì)利益類動(dòng)機(jī)，攻擊行為逐漸轉(zhuǎn)向到竊取憑證來作案，這些犯罪團(tuán)隊(duì)大多數(shù)由內(nèi)部員工、外部供應(yīng)商員工組成，通常沒有接受過網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、安全意識、安全法規(guī)培訓(xùn)，通過自身的訪問權(quán)限或者利用系統(tǒng)漏洞獲取企業(yè)數(shù)據(jù)來謀取經(jīng)濟(jì)利益，因此引出一個(gè)名詞，即“信任”，信任本質(zhì)上不是一件好事，信任不是絕對的，信任級別是動(dòng)態(tài)的，并且會隨著時(shí)間而變化，屬于非顯性的，所以人是數(shù)據(jù)安全的主要威脅。

1.2 ?傳統(tǒng)架構(gòu)的短板

傳統(tǒng)的信息安全防護(hù)思路是基于縱深防御思想的“信任但驗(yàn)證（Trust but Verify）”的舊模型。假定自身存在“內(nèi)網(wǎng)”，再確立管理邊界，在邊界部署防火墻、入侵檢測等設(shè)備進(jìn)行安全防御，一般會做以下幾點(diǎn)假設(shè)：

（1）訪問企業(yè)信息資源的終端設(shè)備，其所有權(quán)、配給權(quán)和管理權(quán)均歸企業(yè)所有。

（2）所有用戶、設(shè)備和應(yīng)用程序的位置均是固定且可預(yù)測的，通常由網(wǎng)絡(luò)防火墻提供防護(hù)。

（3）初始訪問只需一種驗(yàn)證方法。

（4）同一類別的企業(yè)管理系統(tǒng)從本質(zhì)上可以相互信任。

但隨著企業(yè)數(shù)據(jù)化轉(zhuǎn)型過程中對云計(jì)算、移動(dòng)技術(shù)、自備終端（Bring Your Own Device，BYOD）的廣泛應(yīng)用，以及合作伙伴間協(xié)作關(guān)系的日益密切，以上假設(shè)已經(jīng)不再適用。當(dāng)下數(shù)據(jù)的授權(quán)訪問不僅涵蓋基礎(chǔ)設(shè)施、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備，授權(quán)訪問的范圍已經(jīng)擴(kuò)展到云環(huán)境、大數(shù)據(jù)，隨之而來的是數(shù)據(jù)的訪問場景增多，而攻擊者在成功突破一個(gè)防御點(diǎn)（例如防火墻或用戶登錄名）之后便能利用信息系統(tǒng)固有的信任弱點(diǎn)，通過在網(wǎng)絡(luò)、應(yīng)用環(huán)境中橫向移動(dòng)來鎖定敏感數(shù)據(jù)目標(biāo)。在受信任區(qū)域內(nèi)發(fā)起攻擊的內(nèi)部威脅則可以獲得更高的權(quán)限，所以再也不應(yīng)認(rèn)為“內(nèi)部”實(shí)體都是可信任的，從而企業(yè)邊界瓦解，難以繼續(xù)基于網(wǎng)絡(luò)邊界構(gòu)筑企業(yè)的安全防線，內(nèi)外網(wǎng)攻擊層出不窮，數(shù)據(jù)泄露事件頻繁出現(xiàn)。

1.3 ?數(shù)據(jù)流動(dòng)關(guān)鍵路徑的威脅

數(shù)據(jù)生命周期分為采集、傳輸、存儲、使用、共享和銷毀六個(gè)階段，數(shù)據(jù)是在多個(gè)系統(tǒng)和網(wǎng)絡(luò)間流轉(zhuǎn)的，所面臨的威脅一方面來自數(shù)據(jù)安全合規(guī)及監(jiān)管手段是否完善，另一方面在于對數(shù)據(jù)流動(dòng)的關(guān)鍵路徑是否進(jìn)行有效的識別、分析和控制，分析如圖1所示。

（1）關(guān)鍵路徑1——運(yùn)維通道：使用人員通過該路徑訪問系統(tǒng)資源操作數(shù)據(jù)，運(yùn)維、分析人員越權(quán)、違規(guī)操作數(shù)據(jù)，當(dāng)使用數(shù)據(jù)高風(fēng)險(xiǎn)操作指令（如rm、drop等），下載數(shù)據(jù)到本地計(jì)算機(jī)，都容易造成數(shù)據(jù)主動(dòng)或者被動(dòng)丟失現(xiàn)象。

（2）關(guān)鍵路徑2——業(yè)務(wù)通道：使用人員通過該路徑訪問應(yīng)用資源，查詢數(shù)據(jù)（如客戶資料，合同等），會出現(xiàn)違規(guī)使用數(shù)據(jù)現(xiàn)象。

（3）關(guān)鍵路徑3——接口通道：應(yīng)用或者設(shè)備通過該通道訪問數(shù)據(jù)庫，容易出現(xiàn)假冒應(yīng)用服務(wù)訪問數(shù)據(jù)服務(wù)、應(yīng)用服務(wù)越權(quán)訪問數(shù)據(jù)服務(wù)的現(xiàn)象。

（4）關(guān)鍵路徑4——開發(fā)通道：開發(fā)人員通過該通道訪問開發(fā)平臺代碼庫，可導(dǎo)出源代碼信息，出現(xiàn)源代碼外泄現(xiàn)象。

（5）關(guān)鍵路徑5——測試通道：分析人員通過該通道從生產(chǎn)環(huán)境導(dǎo)出數(shù)據(jù)給測試環(huán)境，進(jìn)行數(shù)據(jù)測試、開發(fā)等工作，產(chǎn)生真實(shí)數(shù)據(jù)未進(jìn)行數(shù)據(jù)脫敏導(dǎo)致真實(shí)數(shù)據(jù)外泄現(xiàn)象。

（6）關(guān)鍵路徑6——共享通道：傳輸共享鏈路未被加密，容易被監(jiān)聽或攔截，導(dǎo)致數(shù)據(jù)被中間人攻擊，騙取數(shù)據(jù)共享對象信任從而獲取數(shù)據(jù)。

（7）關(guān)鍵路徑7——管理通道：管理人員沒有進(jìn)行權(quán)限和職責(zé)分離，對數(shù)據(jù)使用者的數(shù)據(jù)授權(quán)粒度過粗，信任度過高，缺乏風(fēng)險(xiǎn)審計(jì)策略，容易導(dǎo)致內(nèi)部人員泄露核心數(shù)據(jù)。

2 ?零信任技術(shù)介紹

2.1 ?背景介紹

網(wǎng)絡(luò)安全先驅(qū)者一直為推進(jìn)去邊界化而努力，最早在2003年的杰里科論壇（Jericho Forum）就提出了去邊界化的網(wǎng)絡(luò)安全概念，指出大型網(wǎng)絡(luò)中單一靜態(tài)防御的局限性以及應(yīng)該去除基于網(wǎng)絡(luò)位置的隱式信任。

谷歌公司內(nèi)部在2009年經(jīng)歷高度復(fù)雜的高級持續(xù)性攻擊后，開始設(shè)計(jì)并在公司內(nèi)部實(shí)施名稱為BeyondCorp的遠(yuǎn)程訪問解決方案，這種全新的網(wǎng)絡(luò)訪問模式拋棄了對本地內(nèi)網(wǎng)信任的思想，平等對待內(nèi)外連接請求。在默認(rèn)情況下所有設(shè)備、用戶都不授予訪問特權(quán)，必須通過管理器的評估獲取信任后，通過專用加密代理的方式，訪問特定的內(nèi)部資源，該方案已經(jīng)取代基于網(wǎng)絡(luò)邊界構(gòu)筑安全體系的傳統(tǒng)做法，為零信任的誕生提供了理論與實(shí)踐基礎(chǔ)。

2010年由Forrester的分析師約翰·金德維格（John Kindervag）指出被認(rèn)為“可信”的內(nèi)部網(wǎng)絡(luò)充滿著威脅，“信任”被過度濫用，并指出“信任是安全的致命弱點(diǎn)”，因此正式提出零信任[3]術(shù)語，并對其設(shè)計(jì)了一個(gè)特殊的安全框架，其核心思想要求從網(wǎng)絡(luò)內(nèi)部或外部對訪問請求采用“Never Trust、Always Verify、Enforce Least Privilege（從不信任、始終驗(yàn)證、強(qiáng)制使用最小權(quán)限）”。

2.2 ?架構(gòu)思路

零信任原則不是在消除邊界，而是要借助基于零信任的設(shè)計(jì)思路來強(qiáng)化企業(yè)的內(nèi)部安全，讓網(wǎng)絡(luò)邊界不再是阻擋惡意攻擊的唯一途徑。下文論述了依據(jù)零信任基本原則的設(shè)計(jì)架構(gòu)思路[4]。

2.2.1 ?平面分離

將系統(tǒng)分為控制平面和數(shù)據(jù)平面，支撐系統(tǒng)稱為控制平面，其他部分稱為數(shù)據(jù)平面，數(shù)據(jù)平面由控制平面指揮和配置，訪問請求首先經(jīng)過控制平面處理，包括身份認(rèn)證與授權(quán)，控制策略，控制平面可以基于角色、時(shí)間或設(shè)備類型進(jìn)行授權(quán)。授權(quán)的主體必須是網(wǎng)絡(luò)代理，所有的訪問控制策略都是針對網(wǎng)絡(luò)代理，動(dòng)態(tài)授權(quán)決策時(shí)按需臨時(shí)生成，網(wǎng)絡(luò)流需要進(jìn)行加密處理，應(yīng)對流量攻擊。

2.2.2 ?威脅建模

零信任需要保證用于認(rèn)證和授權(quán)操作的信息的機(jī)密性，減少攻擊面，需要基于訪問攻擊者的視角，按照能力、崗位、類別、操作，權(quán)限等，依據(jù)造成的損害風(fēng)險(xiǎn)，進(jìn)行威脅建模。

2.2.3 ?動(dòng)態(tài)驗(yàn)證

對所有的訪問主體、客體需要進(jìn)行身份化，除了人，身份的概念需要擴(kuò)大到應(yīng)用程序、服務(wù)和資源，所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源，需要對訪問主體和資源進(jìn)行身份管理，區(qū)別于傳統(tǒng)網(wǎng)絡(luò)連接的是零信任網(wǎng)絡(luò)是先驗(yàn)證用戶、設(shè)備和應(yīng)用程序身份，再連接業(yè)務(wù)系統(tǒng)，是一個(gè)依據(jù)策略不斷地訪問、掃描和威脅評估、調(diào)整、持續(xù)驗(yàn)證的循環(huán)，策略可以是基于時(shí)間、地理位置、新請求、特權(quán)訪問等屬性進(jìn)行定義，在訪問交互過程中持續(xù)監(jiān)控與重新驗(yàn)證（包括提高驗(yàn)證級別），在使用性、效率、安全性之間達(dá)到平衡。

2.2.4 ?最小化授權(quán)

對訪問主體、客體以及網(wǎng)絡(luò)數(shù)據(jù)包加密都應(yīng)該被授予完成連接所必要的授權(quán)。

2.2.5 ?自適應(yīng)控制

信任不是一次性的，也不是恒久不變的，需要不斷地對訪問主體的屬性、行為和上下文進(jìn)行反復(fù)評估，并調(diào)整相應(yīng)的信任等級。通過遏制新發(fā)現(xiàn)的威脅和漏洞，應(yīng)對高風(fēng)險(xiǎn)的安全事件，形成自動(dòng)安全閉環(huán)。需要結(jié)合實(shí)際的業(yè)務(wù)場景和需求進(jìn)行裁剪或擴(kuò)展，即使用戶輸入了正確憑證，也并不意味著控制平面組件能信任該用戶，比如該用戶是在大陸境內(nèi)辦公的員工，突然從國外登錄公司內(nèi)部系統(tǒng)，因此就需要更高級別的驗(yàn)證措施，自適應(yīng)控制不僅要實(shí)時(shí)通知危險(xiǎn)的訪問行為，而且能夠通過阻斷會話、審計(jì)取證等控制手段來積極應(yīng)對網(wǎng)絡(luò)安全事件。

2.3 ?核心邏輯

在企業(yè)中，構(gòu)成零信任網(wǎng)絡(luò)部署的邏輯組件可以作為服務(wù)，其邏輯組件參考框架如圖2所示，顯示了組件及其相互作用的基本關(guān)系。

2.3.1 ?策略判定點(diǎn)

策略判定點(diǎn)（Policy Decide Point，PDP）分為兩個(gè)邏輯組件，即策略引擎（Policy Engine，PE）和策略管理器（Policy Administrator，PA）。

2.3.1.1 ?策略引擎

策略引擎負(fù)責(zé)最終決定是否授予指定訪問主體對客體的訪問權(quán)限。策略引擎使用企業(yè)安全策略以及來自外部源（例如：黑名單、威脅情報(bào)服務(wù)、可信環(huán)境感知服務(wù)等）的輸入作為“信任算法”的輸入，以決定授予或拒絕對該資源的訪問。策略引擎與策略管理器組件配對使用。策略引擎做出決策，策略管理器執(zhí)行決策（包括批準(zhǔn)、拒絕、審批等）。

2.3.1.2 ?策略管理器

策略管理器和策略執(zhí)行點(diǎn)（Policy Enforcement Point，PEP）聯(lián)動(dòng)，負(fù)責(zé)建立客戶端與資源之間的邏輯連接，生成客戶端用于訪問企業(yè)資源的任何身份驗(yàn)證令牌或憑證，是零信任架構(gòu)控制平面的策略判定點(diǎn)，權(quán)限判定不再基于簡單的靜態(tài)規(guī)則，而是基于上下文屬性、信任等級和安全策略進(jìn)行動(dòng)態(tài)判定。

它與策略引擎緊密相關(guān)，并依賴于其決定最終允許或拒絕主體的連接請求。PA在創(chuàng)建連接時(shí)與策略執(zhí)行點(diǎn)通信。這種通信是通過控制平面完成的。

2.3.2 ?策略執(zhí)行點(diǎn)

策略執(zhí)行點(diǎn)是零信任架構(gòu)的數(shù)據(jù)平面組件，可分為兩個(gè)不同的程序形式，分別為客戶端（工作在主體上的代理程序）和資源端（在主體和客體之間控制訪問的網(wǎng)關(guān)程序）。每個(gè)企業(yè)發(fā)布的系統(tǒng)（屬于客體），主體上都有一個(gè)已安裝的客戶端來協(xié)調(diào)連接，而每個(gè)客體都有一個(gè)網(wǎng)關(guān)程序直接放在前面，以便客體只與網(wǎng)關(guān)通信，充當(dāng)客體的反向代理，負(fù)責(zé)啟用、監(jiān)視并最終終止主體和客體之間的連接，是確保安全訪問的關(guān)口，是動(dòng)態(tài)訪問控制能力的策略執(zhí)行點(diǎn)。

2.3.3 ?身份管理系統(tǒng)

身份管理系統(tǒng)（ID Management System）負(fù)責(zé)創(chuàng)建、存儲和管理企業(yè)用戶賬戶和身份記錄。該系統(tǒng)包含必要的用戶信息（如姓名、電子郵件地址、證書等）和其他企業(yè)特征，如角色、訪問屬性或分配的系統(tǒng)。

3 ?數(shù)據(jù)安全體系設(shè)計(jì)

3.1 ?設(shè)計(jì)思路

零信任技術(shù)從本質(zhì)可概括為以身份為中心的訪問控制，是在不可信的現(xiàn)代網(wǎng)絡(luò)環(huán)境下，以細(xì)粒度的應(yīng)用、接口、數(shù)據(jù)為核心保護(hù)對象，遵循最小授權(quán)原則，打破物理邊界的局限性，從基于傳統(tǒng)的靜態(tài)邊界的被動(dòng)防御轉(zhuǎn)化為基于動(dòng)態(tài)邊界的主動(dòng)防御模式。

數(shù)據(jù)安全體系核心思想是以業(yè)務(wù)數(shù)據(jù)為核心，保護(hù)數(shù)據(jù)的保密性、完整性和可用性，兩者的思路不謀而合，隨著零信任技術(shù)的發(fā)展成熟，所以借鑒Garnter提出的數(shù)據(jù)安全治理框架[5]和CARTA（持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評估）模型[6]，將零信任技術(shù)作為數(shù)據(jù)安全體系的指導(dǎo)思想，以業(yè)務(wù)為使命，數(shù)據(jù)為核心，身份為中心，運(yùn)營為支撐，合規(guī)為依據(jù)，對傳統(tǒng)安全的理念升級和策略改進(jìn)，結(jié)合數(shù)據(jù)流動(dòng)關(guān)鍵路徑的安全能力疊加，強(qiáng)調(diào)持續(xù)性風(fēng)險(xiǎn)評估和改進(jìn)，來構(gòu)建數(shù)據(jù)安全體系，全方位的保護(hù)企業(yè)的數(shù)據(jù)資產(chǎn)。

3.2 ?數(shù)據(jù)安全目標(biāo)

為了達(dá)到數(shù)據(jù)安全的使用，下文將目標(biāo)歸納為了三個(gè)方向。

3.2.1 ?身份可信

企業(yè)網(wǎng)絡(luò)及信息化系統(tǒng)規(guī)模不斷增大，業(yè)務(wù)快速發(fā)展，應(yīng)用融合增大，但同時(shí)信息系統(tǒng)及其用戶處在一個(gè)非常復(fù)雜且充滿不確定性的網(wǎng)絡(luò)中，需做到整體身份可信，建立動(dòng)態(tài)的信任機(jī)制，包括基礎(chǔ)設(shè)施與計(jì)算環(huán)境可信，用戶的身份可信等。

3.2.2 ?路徑可控

數(shù)據(jù)安全的核心目的是保護(hù)數(shù)據(jù)免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最目標(biāo)大化。在當(dāng)前復(fù)雜的國內(nèi)外網(wǎng)絡(luò)安全形勢下，面對各種復(fù)雜的網(wǎng)絡(luò)攻擊手法，應(yīng)該將目標(biāo)集中到數(shù)據(jù)流動(dòng)關(guān)鍵路徑上，對其做安全能力疊加。

3.2.3 ?流程可管

以零信任技術(shù)為指導(dǎo)，構(gòu)建一個(gè)可信的業(yè)務(wù)運(yùn)維流程，實(shí)現(xiàn)主體對客體的受控訪問，保證所有的訪問行為均在可管理范圍之內(nèi)進(jìn)行，在訪問過程中持續(xù)性地進(jìn)行風(fēng)險(xiǎn)評估并動(dòng)態(tài)優(yōu)化的調(diào)整授權(quán)策略，最終通過自動(dòng)化的管理方式實(shí)現(xiàn)對安全訪問的控制目標(biāo)。

3.3 ?數(shù)據(jù)安全架構(gòu)

數(shù)據(jù)在整個(gè)生命周期內(nèi)會涉及不同的階段，每個(gè)階段又會面臨不同的安全風(fēng)險(xiǎn)，如數(shù)據(jù)采集階段涉及隱私保護(hù)和數(shù)據(jù)所屬權(quán)歸屬，數(shù)據(jù)的分類分級和歸一化問題，數(shù)據(jù)存儲、使用、共享階段又面臨數(shù)據(jù)泄露、使用不當(dāng)、越權(quán)訪問等問題，同時(shí)還會存在更多的安全風(fēng)險(xiǎn)，所以我們將重點(diǎn)圍繞數(shù)據(jù)全生命周期，從組織建設(shè)、人員能力、技術(shù)支撐三個(gè)層面，圍繞安全三同步原則（同步規(guī)劃、同步建設(shè)、同步運(yùn)營）構(gòu)建數(shù)據(jù)安全體系總體構(gòu)架，如圖3所示。

3.3.1 ?組織體系

組織體系用于建立數(shù)據(jù)安全組織架構(gòu)、職責(zé)分配和溝通協(xié)調(diào)。組織可以分為決策層、管理層、操作層、監(jiān)督層。其中決策層由參與業(yè)務(wù)發(fā)展決策的最高領(lǐng)導(dǎo)和技術(shù)部門領(lǐng)導(dǎo)組成數(shù)據(jù)安全管理小組，制定數(shù)據(jù)安全的目標(biāo)和發(fā)展愿景，在業(yè)務(wù)發(fā)展和數(shù)據(jù)安全之間做出良好的平衡;管理層是數(shù)據(jù)安全核心部門及業(yè)余部門管理層組成，負(fù)責(zé)制定數(shù)據(jù)安全策略和規(guī)劃及具體管理規(guī)范;執(zhí)行層有數(shù)據(jù)安全運(yùn)營、技術(shù)和各業(yè)務(wù)部門接口人組成，負(fù)責(zé)保證數(shù)據(jù)安全工作推進(jìn)落地;監(jiān)督層由審計(jì)部門人員組成，負(fù)責(zé)關(guān)鍵節(jié)點(diǎn)的督查和審計(jì)。

3.3.2 ?人員體系

人員體系為實(shí)現(xiàn)組織、制度和技術(shù)支撐工具的建設(shè)和執(zhí)行其他人員應(yīng)具備的能力。核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運(yùn)營能力、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力。根據(jù)不同數(shù)據(jù)安全能力建設(shè)維度匹配不同人員能力要求。

3.3.3 ?技術(shù)體系

數(shù)據(jù)生命周期的安全支撐技術(shù)多種多樣，將零信任技術(shù)作為安全技術(shù)支撐指導(dǎo)，應(yīng)用到數(shù)據(jù)各個(gè)生命階段，起到安全預(yù)測、安全防護(hù)、安全檢測、安全響應(yīng)的作用。

3.3.3.1 ?數(shù)據(jù)采集階段

在數(shù)據(jù)規(guī)劃和創(chuàng)建、采集階段，重點(diǎn)考慮數(shù)據(jù)分類分級的管理，明確數(shù)據(jù)敏感性和重要程度，在統(tǒng)一的數(shù)據(jù)安全策略下實(shí)現(xiàn)分類分級的數(shù)據(jù)防護(hù)，將采集接口全面身份化，進(jìn)行雙向可信身份動(dòng)態(tài)驗(yàn)證，防止中間人攻擊。

3.3.3.2 ?數(shù)據(jù)傳輸階段

考慮到敏感數(shù)據(jù)被越權(quán)、提權(quán)訪問等極端風(fēng)險(xiǎn)，采用零信任可信代理通道技術(shù)，應(yīng)用層和網(wǎng)絡(luò)層鏈路加密的方式確保數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

3.3.3.3 ?數(shù)據(jù)存儲階段

依據(jù)數(shù)據(jù)分類分級的安全管控策略，針對數(shù)據(jù)敏感性和重要程度進(jìn)行有差別的數(shù)據(jù)存儲管理：

（1）針對非結(jié)構(gòu)化數(shù)據(jù)，制定文件級的加密策略，選擇國際算法（如DES、3DES、RSA、HASH等）或者商用密碼算法（SM3、SM4等），保證數(shù)據(jù)的安全存儲。

（2）對于結(jié)構(gòu)化數(shù)據(jù)，支持以數(shù)據(jù)庫字段等采取細(xì)粒度的加密存儲策略，針對某一敏感字段進(jìn)行靈活的加密存儲。

3.3.3.4 ?數(shù)據(jù)使用階段

數(shù)據(jù)使用階段是數(shù)據(jù)安全防護(hù)體系中最核心的部分，對數(shù)據(jù)流動(dòng)關(guān)鍵路徑進(jìn)行保護(hù)，以零信任的技術(shù)為指導(dǎo)，進(jìn)行身份認(rèn)證中心、動(dòng)態(tài)授權(quán)中心、訪問控制中心以及環(huán)境感知中心的設(shè)計(jì)，從而實(shí)現(xiàn)數(shù)據(jù)使用階段的用戶、系統(tǒng)、設(shè)備、接口的全面身份化識別，在訪問過程中不間斷地進(jìn)行風(fēng)險(xiǎn)評估，動(dòng)態(tài)調(diào)整授權(quán)策略，最終通過自動(dòng)化的管理方式實(shí)現(xiàn)對數(shù)據(jù)安全訪問控制的目標(biāo)。

通過在主體和客體之間的訪問路徑上建立完整信任鏈路，實(shí)現(xiàn)訪問過程可控?？刂屏鞒谈攀鋈缦拢?/p>

（1）主體包括人（用戶）、設(shè)備（終端設(shè)備、主機(jī)設(shè)備、移動(dòng)辦公設(shè)備等）、應(yīng)用，統(tǒng)一身份源，為主體提供唯一標(biāo)識，主體具備感知環(huán)境的能力并作授權(quán)的輸入側(cè)。

（2）客體由應(yīng)用、服務(wù)接口、應(yīng)用功能、數(shù)據(jù)組成，統(tǒng)一身份源為客體提供唯一標(biāo)識。

（3）主體只有在通過身份認(rèn)證系統(tǒng)的認(rèn)證后才能訪問客體資源。主體對客體的訪問將采用特定算法生成高強(qiáng)度密碼進(jìn)行加密，形成加密數(shù)據(jù)傳輸鏈路。

（4）由身份認(rèn)證系統(tǒng)對身份進(jìn)行統(tǒng)一認(rèn)證，提供單點(diǎn)登錄、動(dòng)態(tài)認(rèn)證、動(dòng)態(tài)身份分析能力。

（5）按照最小化授權(quán)原則，對系統(tǒng)資源、應(yīng)用資源、應(yīng)用功能、服務(wù)接口、數(shù)據(jù)服務(wù)進(jìn)行自適應(yīng)的細(xì)粒度訪問控制授權(quán)。

（6）為用戶提供基于環(huán)境因素（用戶行為、設(shè)備基線、地理位置、時(shí)間等）的風(fēng)險(xiǎn)識別，同時(shí)根據(jù)風(fēng)險(xiǎn)等級進(jìn)行動(dòng)態(tài)訪問控制。訪問控制模型可采用基于角色的訪問控制（RBAC）和基于屬性的訪問控制（ABAC）組合的方式進(jìn)行，前者屬于靜態(tài)訪問控制模型，后者通過動(dòng)態(tài)計(jì)算一個(gè)或一組屬性是否滿足某種條件來進(jìn)行授權(quán)判斷，控制粒度更細(xì)，結(jié)合RBAC角色管理的優(yōu)點(diǎn)和ABAC的靈活性一起使用效果更好。

（7）主體所有連接到數(shù)據(jù)庫的操作，將數(shù)據(jù)中的敏感信息，遵循數(shù)據(jù)抽取、脫敏和裝載的思路進(jìn)行數(shù)據(jù)脫敏，按照脫敏規(guī)則進(jìn)行脫敏數(shù)據(jù)處理后，再把數(shù)據(jù)返回給主體。

3.3.3.5 ?數(shù)據(jù)共享階段

數(shù)據(jù)共享安全與網(wǎng)絡(luò)邊界密不可分，采用零信任技術(shù)，將能夠?qū)嵤┰L問控制決策的任何位置看成網(wǎng)絡(luò)邊界，這道邊界可以是由傳統(tǒng)防火墻或交換機(jī)劃分，也可以是個(gè)人身份訪問應(yīng)用程序，應(yīng)用程序訪問數(shù)據(jù)庫層面。如在登錄第三方應(yīng)用程序時(shí)，使用個(gè)人身份與使用企業(yè)身份之間的區(qū)別不僅決定了哪些安全決策適用，還決定了這些決策由誰來制定。應(yīng)用程序訪問數(shù)據(jù)庫的地方，可以看作邊界;用戶為執(zhí)行敏感操作而提高權(quán)限時(shí)，也可以看作邊界。

采用零信任技術(shù)后，在每一次共享訪問請求時(shí)都要對用戶、設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序的安全狀態(tài)、合法身份進(jìn)行驗(yàn)證，以便確認(rèn)信任連接，可通過細(xì)分資源以及僅批準(zhǔn)必要權(quán)限和流量的方式來縮小企業(yè)的受攻擊面，同時(shí)采用更多身份驗(yàn)證因素、加密措施并對已知和受信任設(shè)備進(jìn)行標(biāo)記，就能有效增大惡意攻擊者收集所需資料（如用戶憑證、網(wǎng)絡(luò)訪問權(quán)限和橫向移動(dòng)能力等）的難度。

3.3.3.6 ?數(shù)據(jù)銷毀階段

通過對刪除的數(shù)據(jù)多次覆蓋重寫，避免敏感文件通過介質(zhì)被非法恢復(fù)導(dǎo)致的數(shù)據(jù)泄露。對于已經(jīng)處理的存儲介質(zhì)，需要對存儲介質(zhì)的數(shù)據(jù)進(jìn)行安全銷毀，采用“不可信”管理策略，使用消磁的手段，完成敏感數(shù)據(jù)銷毀存儲介質(zhì)的銷毀。

4 ?結(jié) ?論

零信任是一種全新的安全技術(shù)理念，在數(shù)據(jù)成為新的生產(chǎn)要素的環(huán)境下，傳統(tǒng)基于網(wǎng)絡(luò)邊界構(gòu)筑安全體系無法滿足對數(shù)據(jù)的保護(hù)要求，本文在分析了當(dāng)前零信任技術(shù)理論，在零信任技術(shù)實(shí)踐已經(jīng)成熟的前提下，提出了一種以零信任技術(shù)為指導(dǎo)的數(shù)據(jù)安全體系，將零信任技術(shù)思路融入數(shù)據(jù)生命周期安全支撐技術(shù)中，重點(diǎn)強(qiáng)調(diào)數(shù)據(jù)流動(dòng)關(guān)鍵路徑上運(yùn)用零信任技術(shù)進(jìn)行安全能力疊加，以提高數(shù)據(jù)安全使用的安全性。

零信任放寬了大家對網(wǎng)絡(luò)安全關(guān)注的視角，與此同時(shí)也提高了使用此項(xiàng)技術(shù)的門檻，如何在企業(yè)數(shù)據(jù)安全建設(shè)和零信任技術(shù)運(yùn)用上從風(fēng)險(xiǎn)評估、技術(shù)投入和資源投資成本中達(dá)到平衡，這是今后以零信任技術(shù)為指導(dǎo)的數(shù)據(jù)安全體系需要更加深入研究的一個(gè)問題。

參考文獻(xiàn)：

[1] SUNDRA E. COVID-19 Should Prompt Enterprises to Move Quickly to Zero Trust [J].Nextgov.com（Online），2020：1-3.

[2] Verizons. 2020 Data Breach Investigations Report Energy and Utilities [R/OL].[2020-06-13].https：//enterprise.verizon.com/resources/reports/2020/2020-data-breach-investigations-report-energy-utilities.pdf.

[3] 埃文·吉爾曼，道格·巴斯.零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng) [M].奇安信身份安全實(shí)驗(yàn)室，譯.北京：人民郵電出版社，2019：1-2.

[4] 左英男.零信任架構(gòu)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中的應(yīng)用研究 [J].保密科學(xué)技術(shù)，2019（11）：33-38.

[5] LOWANS B. A Data Risk Assessment Is the Foundation of Data Security Governance [EB/OL].（2020-06-03）.https：//www.gartner.com/en/documents/3985917.

[6] MACDONALD N.Zero Trust Is an Initial Step on the Roadmap to CARTA [EB/OL].（2018-12-10）.https：//www.gartner.com/en/documents/3895267.

作者簡介：呂波（1982—），男，漢族，四川成都人，安全咨詢顧問，工學(xué)學(xué)士，研究方向：網(wǎng)絡(luò)安全、數(shù)據(jù)安全、身份安全。