1、-1-(2023)零信任产业标准工作组和云计算开源产业联盟零信任实验室零信任产业标准工作组和云计算开源产业联盟零信任实验室 联合发布联合发布-2-引言1.数据安全面临严峻挑战12.零信任的定义和应用场景32.1 零信任术语 32.2 零信任常见的应用场景概述 43.零信任应对数据安全之道53.1 零信任和数据安全的关系 53.2 零信任视角下的数据安全风险63.3 零信任应对数据安全风险的关键点 74.零信任应用于数据安全合规104.1 国外数据合规的现状104.2 我国数据合规的现状104.3 零信任数据安全在合规领域的应用场景105.零信任应用于数据安全攻防135.1 零信任理念用于数据安
2、全访问控制135.2 终端侧数据安全保护135.3 数据传输通道安全保护155.4 敏感文件流转过程信任控制165.5 业务访问信任控制165.6 服务端侧数据安全保护176.零信任数据安全应用需求场景196.1 金融证券数据安全管控场景19-3-6.2 证券行业零信任远程安全接入场景216.3 电网行业多网隔离防护场景246.4 政务文档跨部门共享数据防泄密场景296.5 关键数据识别与保护场景336.6 高科技行业零信任数据安全防护场景356.7 研发场景366.8 工业互联网场景 406.9 远程办公场景 426.10 企业数据服务 API 安全防护场景 477.结束语52-35-1-本
3、白皮书版权属于零信任产业标准工作组和云计算开源产业联盟零信任实验室,并受法律保护。转载、摘编或利用任何其他方式使用白皮书文字或观点的,均应注明“来源:零信任产业标准工作组和云计算开源产业联盟零信任实验室”。违反以上声明者,我们将保留追究其相关法律责任的权利。编制人员:黄超、蔡东赟、宋磊、严益昌、郭雪、田旭达、郑振宇、刘现磊、仇瑞晋、刘玉红、王洋、黄施宇、孔松、刘海涛、蔡晓萍、王冠楠、吴倩琳、康雨辰、黄志旭、焦靖伟、赵华、李安伦、张亚京、王文波、黄瑞、张希禾、洪跃腾、朱伟、王彪、周潮洋、杨正权、张晓东、孙永飞、肖宇、杨志刚、何艺、李俊、刘昌峻、杨仕忠、张照龙、李永超、袁江、马晋、李睿捷。白皮书在
4、编写过程中,历经概念策划、提纲设计、内容起草、征求意见等阶段,得到了诸多单位的大力支持,包括:腾讯科技(深圳)有限公司、腾讯云计算(北京)有限责任公司、中国信息通信研究院、招商基金管理有限公司、国金证券股份有限公司、北京信安世纪科技股份有限公司、广东一知安全科技有限公司、北京持安科技有限公司、上海派拉软件股份有限公司、中国软件评测中心、长扬科技(北京)股份有限公司、北京数安行科技有限公司、绿盟科技集团股份有限公司、北京天融信网络安全技术有限公司、江苏易安联网络技术有限公司、北京芯盾时代科技有限公司、dromara 开源社区、北京栖安科技有限责任公司、成都域卫科技有限公司、上海观安信息技术股份有
5、限公司、深信服科技股份有限公司、任子行网络技术股份有限公司、天翼安全科技有限公司、深圳市网安计算机安全检测技术有限公司,在此一并致谢。-1-2-“十四五”时期,我国数据要素市场体系将初步建立,数据作为生产要素的三次价值将全面发挥,推动数字经济蓬勃发展。数据逐渐成为企业核心资产之一,保障数据安全成为重中之重。零信任能够赋能数据安全:一是,通过数据分类规范化关联关系,再通过数据分级实现数据防护策略的差异化;二是,通过动态访问控制实现基于最小权限原则的数据访问安全;三是,通过数据脱敏、加密、审计等技术手段降低数据泄露的可能性。零信任产业标准工作组和云计算开源产业联盟零信任实验室共同编写的零信任数据安
6、全白皮书解答了零信任与数据的关系,零信任能够为数据合规和安全攻防提供的价值,以及零信任在数据安全领域的应用场景,相信此白皮书能够为关注零信任数据安全的各界同仁提供更多思路。未来,零信任在数据安全领域的发展定会愈发成熟,为用户提供更优质的解决方案。中国信息通信研究院 云计算与大数据研究所开源和软件安全部主任 郭雪根据国务院发布的关于构建更加完善的要素市场化配置体制机制的意见,数据已经被定义为继土地、劳动力、资本、技术之后的第五大生产要素。随着数字经济的发展,数据的重要性愈加凸显,数据安全的保护也变得越来越重要。作为通用的解决数据安全问题的方法论,腾讯已将零信任作为重要的安全战略,并通过零信任相关
7、的技术研发和运营实践,避免企业遭受 APT 攻击或内部人员疏忽等原因造成敏感数据的泄露。未来,腾讯将继续探索和实践更多新的零信任数据安全技术,以助力企业实现高效、安全的发展。腾讯企业安全中心高级总监 蔡晨随着数字化时代的到来,数据已经成为企业和组织的核心资产,而数据安全问题也日益凸显。为了保护数据安全,法律法规提出了一系列严格的数据安全要求,其中包括加强数据分类管理、加强数据访问控制和审计等措施。而零信任安全模型不仅能够满足数据安全的要求,还能够有效应对当前的网络安全挑战。本白皮书旨在介绍零信任安全模型的概念、关键技术以及应用场景。-3-映射到腾讯公司自身的实践经验,腾讯是国内率先实践零信任的
8、互联网公司之一,2016 年便在内部上线,腾讯零信任 iOA 支撑了腾讯全球 10W+设备随时随地接入办公,通过零信任的理念,在全场景、全阶段,通过关键技术手段保障人、行为、设备的安全,最终保障数据安全,实现了安全零事故,并将 iOA 产品和能力输出,推动零信任理念在中国的落地,获得十几大行业数千家客户广泛认可,成为了国内首个部署终端突破百万的零信任产品。因此腾讯参与编写的这本白皮书不仅仅是理论性的顶层设计,更是具备实用价值的落地指导。本白皮书的发布,为中国企业和组织提供一个更加全面、有效的数据安全保护方案,助力企业数字化进程的顺利发展。腾讯安全总经理 王宇数据作新的生产要素,数据安全的重要性
9、不言而喻。数据全生命周期的全链条管控复杂、数据应用的场景需求多样、数据访问的主体不断增加,动静态数据的属性多变,数据防泄露、防篡改、防滥用等安全挑战不断升级。关键是要抓住数据访问管控这个“牛鼻子”,而零信任安全理念正是以数据资源为中心来思考如何做好持续、动态、细粒度的访问控制,可以在数据安全保护工作中起到很好的作用。零信任产业标准工作组致力于推进我国零信任相关技术、标准、产业应用的规模化、高质量发展,这次有机会联合云计算开源产业联盟零信任实验室共同研究零信任在数据安全场景下的融合应用,希望能给业界带来一些新的思考和实践借鉴。在此特别感谢对于本白皮书做出贡献的专家以及他们所在的机构。我坚信,只有
10、在保证数据质量和安全性的前提下,不断推动数据共享开放,才能充分释放数据价值;让大家携手,共同构建安全的数字世界。腾讯标准总监 代威零信任数据安全白皮书是一本探讨如何通过零信任理念来保护数据安全的重要参考资料。随着数字化时代的到来,数据已成为数字经济发展的核心生产要素之一。-4-然而,数据安全风险不断增加,数据泄露、非法窃取等问题严重威胁着人们的财产安全和个人隐私,传统的安全防御手段已经无法满足当今复杂的数据安全威胁。零信任则践行持续验证、永不信任的理念,利用用户身份认证、访问控制、数据加密等技术,建立可信环境感知机制,对数据进行了全方位的安全保障。本白皮书详细介绍了零信任在实际应用中的各种场景
11、和解决方案,结合数据安全合规、数据安全攻防深入剖析零信任的安全价值,它的推出为保护数据安全、赋能实体经济提供了指导,并为数据合规领域的研究者提供了宝贵的参考资料,推动了零信任理念在数据安全领域的广泛应用。北京信安世纪科技股份有限公司高级副总裁兼 CTO 张庆勇在零信任领域8年的实践过程中,我深刻认识到零信任在数据防护中的巨大价值。首先,零信任可以帮助企业实现主动防御。以业务资源访问为目标通过可信验证来对每一个请求进行识别,从而确保所有的请求和数据传输都是合法和可信的。其次,在零信任模式下,所有的数据流转都需要经过严格的身份验证和授权,并且每次访问都会被记录和审计,同时对传输过程进行加密,从而确
12、保数据的保密性和完整性。最后,在零信任模式下,每个请求都可以基人的身份来追溯,以及可以协调多组件进行联动,从而更加灵活和高效地响应各种数据安全事件。综上所述,我深信零信任将会成为企业数据安全防御的重要能力之一,也激励到我从甲方投入到创业中成立了持安科技,而本书则是对零信任在数据安全应用上的理解和探讨,未来一定会有更多基于零信任的数据安全解决方案。持安科技创始人兼 CEO 何艺(原完美世界集团安全负责人)数字资产作为数字时代的“石油”,确保数据安全的前提下,合理利用数据资源,挖掘数据价值已经成为全球共识。管的太紧,数据形成数字鸿沟;管的太松,数据又被滥用,数据权利者的利用频频遭到侵害。零信任产业
13、标准工作组&云计算开源产业联盟零信任实验室编写的零信任数据安全白皮书,紧跟国内外前沿数据安全前沿需求和技术,通过零信任的先进理念,采用强制实施数据访问控制、身份认证与数字沙箱隔离、数据加密、环境感知资源访-5-问动态授权技术措施来融合保障网络安全和数据安全,白皮书总结了多个行业数据安全的相关问题和在零信任解决方案下的应对之法,既满足合规需要、又满足网络和数据技术发展要素的实践经验,为行业从业者提供了有价值的参考。长扬科技(北京)股份有限公司副总裁 汪义舟数据是数字经济的核心关键要素,数据安全是数字经济安全的核心。零信任作为数字化背景下的重要安全战略,给数据安全带来新的变革和机遇。零信任数据安全
14、将“永不信任、持续验证”应用于数据资源,与数据全链路处理活动相融合,对数据流动过程进行安全监管,构建零信任数据安全防护体系。白皮书从理论到实践,深入阐述了零信任的数据安全之道与价值理念。我相信,白皮书的发布将进一步推动零信任在数据安全领域的赋能,让更多的组织受益。借此机会,谨向主导白皮书编写的零信任产业标准工作组和云计算开源产业联盟零信任实验室以及全体参编人员表示衷心的感谢。北京数安行科技有限公司CEO 王文宇-6-7-如果把数据安全防护作为目标,那么零信任是实现数据安全目标的一种好的思路。零信任在诞生的时候,就摒弃了一些相对滞后、固化的安全思维,强调以数据保护为中心去思考安全风险以及安全机制
15、的建立。在应用零信任保护数据安全的过程中,诸多零信任技术又和数据安全技术相互融合、交织、互为补充。-2-3-在数字技术日新月异的发展趋势下,数据已成为数字经济发展的核心生产要素,是国家重要资产和基础战略资源。随着数据价值的愈加凸显,数据安全风险与日俱增,数据泄露、数据贩卖等数据安全事件频发,对个人隐私、企业商业秘密、国家重要数据等造成了严重的安全隐患。当前,数据安全已成为数字经济时代最紧迫和最基础的安全问题,加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。为此,国家高度重视数据安全的顶层设计:在相继发布的促进大数据发展行动纲要(2015)、科学数据管理办法(2018)、关于构建更加完
16、善的要素市场化配置体制机制的意见(2020)以及“十四五”规划(2021)等政策中,均提出发展数字经济、加快培育发展数据要素市场,应把保障数据安全放在突出位置的重要思想。同时,2021 年 6 月 10 日,十三届全国人大常委会第二十九次会议表决通过了中华人民共和国数据安全法。作为我国数据安全领域内的“基础性法律”和国家安全领域内的“重要法律”,数据安全法积极回应了时下国内外数据竞争和保护的关键问题,给企业数据经营合规以及进一步的数据资产化安全治理提供了指引。2022 年 6 月,中央全面深化改革委员会第二十六次会议审议通过了关于构建数据基础制度更好发挥数据要素作用的意见,强调数据基础制度建设
17、事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。2023 年 1 月,工业和信息化部等十六部门关于促进数据安全产业发展的指导意见指出“到 2025 年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成”。2023 年 7 月,为加强中国人民银行业务领域数据安全管理,中国人民银行起草了中国人民银行业务领域数据安全管理办法(征求意见稿),面向
18、社会公开征求意见。由于数字技术促使数据应用的场景和参与主体日益多样化,数据安全的外延不断扩展,数据安全治理面临多重困境。面对数据安全威胁日益严峻的态势,着力解决数据安全领域的突出问题,有效提升数据安全治理能力迫在眉睫。组织/企业面临的数据安全挑战如下:(1)数据安全法律合规面临挑战-4-数据安全新监管趋势对数据安全管理提出了新的要求,企业做好数据安全工作面临着较大的合规压力。以个人隐私数据保护为例,在现有隐私保护法规尚未健全、隐私保护技术尚不完善的条件下,网络中个人隐私泄露管控难度高,如何管理好隐私数据,在保证数据使用效益的同时保护好个人隐私,是数据合规面临的巨大挑战之一。(2)数据信息泄露风
19、险在对数据进行数据采集和挖掘的时候,要注重敏感数据的安全问题,在不泄露敏感数据的前提下进行数据挖掘。应尤其考虑在当前常用的分布计算环境下,数据传输和交换时保障各个存储节点的敏感数据不被非法泄露和使用。(3)数据遭受异常流量攻击在大数据和云计算时代,攻击流量呈现较强的针对性和复杂性,且攻击时间很长。一旦攻击成功,各类数据将遭到窃取,数据类业务将发生拒绝服务等故障,容易造成较大的安全隐患。(4)数据传输过程中的安全风险在数据传输的各个阶段、各个环节,越来越多的安全隐患逐渐暴露出来。比如存在泄露、篡改、被流攻击者非法利用等风险,同时数据在传输中可能出现失真失效等问题。(5)数据存储管理风险在数据的存
20、储平台上,特别是大数据环境,数据量往往是非线性甚至是指数级增长的,各种类型和结构的数据异构存储,容易引发多种应用进程并发、无序的访问,造成数据存储管理混乱,为后期处理带来安全隐患。(6)数据访问便利性和安全性的平衡性挑战当今疫情下,企业的业务开展受限于远程和非企业管控设备的接入等多元化需求,如何平衡保护企业数据的安全访问和办公效率将成为新的挑战。-5-6-Forrester 的定义零信任(Zero Trust)是一个默认拒绝对应用和数据资源进行访问的安全模型。通过对用户和相关设备使用持续的、基于上下文环境的、基于风险验证的访问控制策略,只允许对网络和工作负载的授权访问,以实现对威胁的防御。注:
21、来源The Definition Of Modern Zero Trust Gartner 的定义零信任网络访问(Zero Trust Network Access,ZTNA)是一种围绕应用的基于身份和上下文环境的逻辑访问边界产品或服务。应用将被隐藏无法被公开发现,访问受到可信代理的严格控制。可信代理在授权访问主体前,会验证其身份、上下文环境和访问策略以阻止恶意者在网络里的横向移动。通过去除应用的公开可见性可显著的减少网络攻击面。注:来源 Gartner Glossary NIST 的定义零信任(Zero Trust)提供了一系列的安全概念和理念,在面对可能已被攻击的网络时,针对对信息系统和服
22、务的每一次访问请求,通过执行精细化的、基于最小权限原则的访问控制决策来最小化不确定性。注:来源NIST SP 800-207 Zero Trust Architecture CCSA 的定义零信任(Zero Trust)是一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始,通过持续的身份鉴别和监测评估、最小权限原则等,动态调整访问策略和权限,实施精细化的访问控制和安全防护。注:来源零信任安全技术参考框架行业标准(报批稿)综上可见,零信任的概念和思想在业界已形成了基本共识,零信任可以对所有网络资源(数据)的访问过程进行安全防护。对于零信任在数据安全保护中的作用,零信任概念
23、的提出者 Forrester 曾在 A PracticalGuide To A Zero Trust Implementation中描述到:零信任相比于传统的边界安全方案,从以网络位置为中心逐步发展为以数据和身份为中心。无论数据位于终端、应用服务器、数2.1 零信任术语ZERO TRUSTTERMINOLOGY-7-据库之中,无论数据在企业网络内部或外部,无论数据是处于流动状态还是使用状态,都需要通过一定的技术手段,防止数据的泄露。这需要企业首先明确哪些数据是敏感的和高价值的,同时要全面了解数据的流动过程,并执行一系列安全策略。零信任数据安全的具体考虑包括:识别数据资产:盘点要保护的数据资产,
24、包括数量、类型、位置、价值(分级分类)等。识别数据流和风险:洞察数据全生命周期过程,并分析其受到的安全威胁。使用多种数据安全措施和技术:包括访问控制、数据使用模式分析、数据合理处置、数据混淆、数据加密等。持续安全监测和调整:通过持续监测恶意行为和风险,自适应的调整安全策略,实现不同的响应手段。回归零信任的核心目标,就是聚焦于保护数据的安全,构建以数据为中心的安全体系。具体来说,如何保障数据合规、数据可用,避免数据的未授权访问、数据泄露、数据篡改等是零信任数据安全需要重点关注的。零信任在所有需要对网络资源(数据)访问进行安全防护的场景中都可以使用,根据有没有用户直接参与,使用场景可以分为两大类。
25、用户对资源(数据)的访问场景此类有用户直接参与,常见于远程办公、远程开发运维等。本场景下,如何验证用户身份的可信,如何确保访问来源终端的可信,如何确认访问主体是否拥有访问资源权限需要重点关注。服务(数据服务)之间调用场景此类场景没有用户直接参与,常见于数据中心内工作负载上各类服务(微服务)之间的互相调用。本场景下,服务之间的调用关系拓扑可见性、调用权限管理、动态访问控制策略等需要重点关注。2.2 零信任常见的应用场景概述OVERVIEW OF COMMON APPLICATION SCENARIOS-8-9-数据应该在用户端设备、服务端应用程序和网络上都得到安全保护。零信任的实施方应加强对数据
26、的分类分级存储和使用,保护静止和传输过程中的动静态全域数据,并部署数据外泄检测和响应等安全机制。数据安全治理框架和数据安全成熟度模型是经典的分析数据安全问题和构建数据安全能力的方法。基于这些方法,企业可采用自顶向下的方式,围绕数据的全生命周期,从组织建设、制度建设、技术工具以及人员能力方面,构建数据安全防护体系。在数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁的不同阶段,落实相适应的数据安全技术管控目标和数据安全管控措施。从理论的角度来讲,零信任可以普适性的用于数据安全保护工作。零信任的相关技术和解决方案面向各类数据对象,在数据生命周期的多个过程域、在数据所处的不同位置以及数据保护
27、的各个阶段,全面支撑和保障着数据安全。3.1 零信任和数据安全的关系THE RELATIONSHIP BETWEEN ZERO TRUST AND DATA SECURITY-10-从零信任技术落地的角度,我们下文将重点从数据资源安全访问的视角,重新审视与解决数据安全问题。零信任将所有数据资源都视为要进行管控的资源客体,且其处于人员、网络、设备皆不可信的运行环境中。访问数据资源的主体只有通过动态严格的访问控制,才能够访问到数据资源。这种看待数据安全问题的方式更贴近企业数据安全防护的实际环境,且落地执行框架明确,有别于传统考量数据安全的方式,是具有开拓和实践意义的。基于零信任思想构建的数据资源安
28、全访问控制措施,不拘于数据安全访问措施的形式,而是以解决数据资源安全访问问题为导向。其既采纳了传统数据安全领域的数据安全管控措施,也运用了“以身份为基础,以信任为核心”的动态、严格的数据安全管控措施。零信任数据资源安全访问控制措施是静动态数据安全管控措施的有机结合体,能够系统而有效的解决数据资源安全访问问题。从数据的整个生命周期的安全防护考虑,零信任数据资源安全访问控制措施并不能进行全面防护。零信任数据资源安全访问控制措施可在数据的采集、传输、存储、处理、交换五个阶段提供数据安全防护。但应当注意的是,零信任数据资源安全访问控制措施不能全面解决这五个阶段的数据安全问题。其只是在解决数据资源安全访
29、问这一核心问题时,整合引入了不同阶段下传统的一些数据安全管控手段。总体而言,零信任理念及其技术措施能够广泛地应用于传统网络安全、物联网安全、数据安全等众多安全领域。应用于数据安全领域的部分,并未超脱传统的数据安全治理框架。其可视为在一定程度上,在数据安全治理框架下,重构了特定的数据安全问题分析以及解决方式。这将对确保数据处于有效使用和合法使用的状态,以及保障数据处于持续安全状态的目标提供有力支撑。随着数字经济的快速发展,数据已经成为基础性资源和战略性资源,是决定数字经济发展水平和竞争力的核心资源。另一方面,近年来随着企业数字化转型,数据集中化、数据量大、数据价值高等特点的安全风险更加凸显。数据
30、安全形势日益严峻,高价值数据泄漏、个人隐私信息滥用情况突出,针对数据的攻击、窃取、劫持、滥用等恶意事件频发。根据 Verizon 发布的2021 年数据泄露调查报告可以看到,绝大多数的数据泄露事件是因为数据存储、数据处理和数据交换这 3 个方面安全措施薄弱,主要面临以下安全问题:3.2 零信任视角下的数据安全风险DATA SECURITY RISKS FROM A PERSPECTIVE-11-(1)参与数据资源访问的主体复杂多样。涉及到数据交互的主体可分为人和非人实体(BYOD、IoT 设备、应用程序等),业务场景也从用户访问资源的场景拓展到泛终端访问场景、应用访问应用场景等,业务流程非常复
31、杂。(2)跨业务的数据调用大幅增加。传统基于网络边界的安全防护体系无法对应用层跨业务数据交换,提供足够的防护能力和细粒度的访问控制。(3)数据访问请求的人员可能来自不同部门或者外部,访问的区域也从内网逐渐扩散到互联网、云上等多种网络环境,现有的数据安全防护手段难以判定数据访问人员的身份可信度,默认信任访问用户。(4)数据访问主体可能随时随地在不同的终端设备上发起访问,现有的数据安全防护手段难以评估访问终端的设备可信度,默认信任访问终端。(5)访问过程中,难以有效地度量访问过程中可能发生的行为并进行持续信任评估,根据信任程度动态调整访问权限。(6)缺少对敏感数据流动监控的措施,无法详细审计敏感数
32、据被终端用户访问的情况,对可能存在的敏感数据泄露风险难以预警。零信任的目标是为了降低数据访问过程中的安全风险,防止在未经授权情况下的数据访问,其关键是打破信任和网络位置的默认绑定关系。零信任数据安全防护机制是针对数据生命周期和数据流转过程的,是贴合业务流程并动态调整的。零信任强调对身份和权限的动态管控,根据数据敏感度等级和数据访问、使用过程中的安全风险情况动态调整访问主体对数据的访问权限,从而实现动态访问控制。防护思路基于数据的全生命周期,依据实际业务场景将访问主体、客体、环境(上下文)进行关联,有针对性的设计安全防护措施。为数据访问的安全防护提供更完善的场景化自适应能力,使企业数据的安全性得
33、到更大的提升。3.3 零信任应对数据安全风险的关键点KEY POINTS OF SAFETY RISKS-12-在零信任理念下,授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。任何访问主体(人/设备/应用等),在访问数据被允许之前,都要经过身份认证和授权,避免过度的信任;访问主体对客体(数据/服务/网络等)的访问权限是动态的(非静止不变的)并且分配访问权限时遵循最小权限原则。在零信任理念下,资源访问的过程中涉及到的所有对象(用户、终端设备、应用、网络、资源等)默认都不信任。在数据访问过程中的动态决策包含对访问过程中的
34、关键对象、访问权限、上下文环境安全状态因素,进行持续采集;访问建立、访问过程中会根据访问策略做风险判断,进行授权访问或者实时阻断。零信任对鉴权和安全状态的检验是持续动态的过程,即每次对数据的访问均重新进行鉴权和检验;同时获取访问过程中关键对象、关键上下文环境的安全状态,判定访问过程是否有风险;如果判定有风险的相关访问,将及时采取降权、阻断、告警、二次认证等防护策略。在数据安全传输方面采用 TLS 等双向加密认证传输模式,即在访问主体在向数据资源发起访问请求时,必须通过双向的交互验证,实现端到端的加密,以此来提升网络传输的安全性。默认情况下,数据资产对于未经认证的访问主体不可见。基于先授信认证再
35、连接的机制,将数据资产完全隐藏到代理网关后面,实现默认不对外暴露数据资产,仅当访问行为判断是由合法的主体、安全的设备发起的,才允许连接到隐藏的数据资产。3.3.1 数据访问权限最小授权3.3.2 数据访问权限动态决策3.3.3 数据传输加密3.3.4 数据资源隐藏-13-零信任架构实现的资源隔离主要包含访问主体与数据资源的隔离以及应用数据资源之间的隔离。访问主体与数据资源隔离采用控制平面和数据平面分离的方式,默认情况下访问主体无法直接访问数据平面,而是需要采用先认证,后连接的方式,在通过身份认证、网络环境感知分析确保可信后才允许对数据资源进行访问和使用。应用数据资源之间的隔离可以通过微隔离等技
36、术实现,通过对东西向流量进行细粒度的管控,灵活划分隔离域,从而实现对内部网络中应用数据资源间的隔离,限制横向移动攻击。3.3.5 数据资源隔离-14-15-从国际上看,从 2018 年欧盟出台 GDPR 开始,数据保护立法相对密集,对全球数字治理格局产生深刻的影响。相对于其他地区,欧洲地区 2021 年针对数据保护的处罚案例和罚款金额都占了约全球一半的比例。为了应对数字经济的不断发展,欧盟还在持续的对数据保护的规则进行完善,推出新的合规指南和法律规范,其今后的立法和执法仍将是各国数据保护工作借鉴的标杆。充分了解各国数据保护法规的现状及立法执法趋势,对于中国企业顺利出海具有重要意义。从我们国家来
37、看,从 2017 年网络安全法的施行开始,到 2021 年数据安全法和个人信息保护法相继的生效和施行,三部法律法规构成了我国网络安全和数据合规领域的基本法律规则框架,形成中国特色的三法并行的数据安全法律框架。三部法律虽然明确了中国数据安全、个人信息保护的顶层,但是在具体落地层面还有不少空白和规范细则需要完善。中央网信办、工信部等多个部门针对热点、重点问题,制定了相关的落地参考标准指南和规定,主要包含以下几个重点方面:个人信息保护,移动互联网生态治理,人脸识别技术,算法推荐,网络安全评估,账号管理等。部分省市根据自己的地区特点,也推出了相关地方数据管理条例,比如 2021 年深圳的深圳经济特区数
38、据条例和上海的上海市数据条例,其他省市的地方数据条例也在陆续的发布和实施中。针对各级政府机关、企事业单位、企业所面临的安全合规风险,零信任安全理念可以在多个方面提升网络和数据安全能力,规避法律风险,保障信息基础设施和用户数据的安全。4.1 国外数据合规的现状FOREIGN DATA COMPLIANCE4.2 我国数据合规的现状CURRENT SITUATION OF DOMESTIC DATA COMPLIANCE4.3 零信任数据安全在合规领域的应用场景APPLICATION SCENARIOS IN THE FIELD OF COMPLIANCE-16-网络安全等级保护是国家信息安全保障
39、工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施安全保护的重要保障。其中要求保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通讯。零信任应对方案:零信任体系中的端口隐藏技术,网关代理技术,先认证后连接的设计,均可以支撑和满足等保测评的要求。特别是网关代理技术,把资源隐藏在安全代理的后面,根据安全评估结果进行最小化权限的开放,来达到设备受控、数据流受控的安全要求。关键信息基础设施安全保护条例 中明确规定了运营者要对信息基础设施的安全和稳定负责,强调了基础设施的数据保密性、完整性和可用性,数据是安全防护的基石。零信任应对方案:零信任体系中的沙盒等技术,可以保护数据不泄露,对数据
40、进行全面的安全防护和生命周期管理,对外发数据进行有效的流程控制,严格把关数据出口。每年的网络安全攻防演练工作,对信息系统基础设施的安全要求提出了非常高的要求,但是各种应用系统的漏洞防不胜防,还可能遇到有些旧应用系统已经停止维护,无法及时进行漏洞修复的情况。零信任应对方案:零信任体系中的端口隐藏技术和安全隧道加密技术,能在这些场景下提供强有力的安全防护能力,保护应用系统不被发现、免受攻击和数据不被窃取。个人信息安全规范国家标准中提出,生物信息、网络身份标识信息、个人上网记录、个人常用设备信息、个人位置信息属于用户个人信息,要加强保护。标准中还指出应采用校4.3.1 网络安全等级保护的合规应用场景
41、4.3.2 关键信息基础设备安全保护的合规应用场景4.3.3 网络安全攻防演练的合规应用场景4.3.4 个人信息安全和密码安全的合规应用场景-17-验技术或密码技术保证重要数据在传输和存储过程中的完整性和保密性,尤其是个人信息数据的安全。零信任应对方案:零信任系统在实现身份的持续安全识别和分析时,可能会采集和使用到个人信息相关的数据,在涉及个人信息的全生命周期处理中都应加强关注这方面的合规性,通过技术手段(匿名化处理、传输/存储加密、访问控制等)和管理措施来加强安全防护和保障。零信任的原则之一是保障通信流量的安全,这就包括通信数据的机密性和完整性要求。因此对涉及用户个人信息的数据传输过程,应注
42、意增加校验技术、密码技术,以及传输过程中的数据保密性。在密码使用方面,建议满足国密的相关要求,可使用 SM2、SM3、SM4等国密算法来实现。随着相关法律法规的发布,企业数据合规能力肯定也会越来越完善,但数据合规不是为了应对执法,而是应该是创造更大的数据价值。随着数据安全法的实施,国家对数据治理的布局思路也在逐渐的清晰,既要强调安全管理,在业务经营活动和运行时做到实质合规,也要强调合理利用好现有的数据资源,在合规的基础上充分挖掘数据对于经济和社会活动的价值。-18-19-企业在运营过程中的数据,会面临黑客窃取和内部泄密的双重风险。传统数据安全防护是基于网络边界的安全防护模型抵御外部黑客的攻击,
43、对内部人员攻击和误操作缺乏有效的监控手段,经统计发现数据泄露事件中无论是有意泄露还是无意泄露,内部人员占到了 60%以上。因此,想要建立完善的数据安全防护体系,只依靠传统安全防护理念是远远不够的。零信任相比于传统的边界安全思路,从以网络位置为中心逐步发展为以数据和身份为中心。无论数据位于终端、应用服务器、数据库之中,无论数据在企业网络内部或外部,无论数据是处于流动状态还是静止状态,都需要通过技术手段防止数据的泄露。其本质还是以围绕数据安全为目标进行建设的,践行持续验证、永不信任的理念,通过对用户、设备、行为、上下文环境等进行持续分析和安全校验,在不可信的环境中,以兼顾安全和体验的方式,实现资源
44、的可信任访问。移动客户端存储的某些身份相关敏感信息是登陆后台服务器时需要用到的关键信息,如果被黑客拿到这些信息会导致身份凭证的泄露。因此,移动客户端的数据存储安全、客户端自身安全如何保障,是解决敏感数据安全风险的重要因素。a.为保证安全空间自身的安全性,需将其设置为独立空间,该空间与系统层通过专用认证接口进行调用,实现安全空间与移动设备空间分离,防止非法访问。b.安全空间应采用透明加密等机制,确保任何存储于系统上的数据都受到有效的保护,避免被黑客进行静态文件分析。c.安全空间运行时采用内存保护技术,通过拟化技术、内存加扰技术以及反调试技术进行实现,不以任何形式的明文出现在内存中。d.需要在移动
45、设备文件系统中,随机创建多个锚点文件。防止攻击者把整个应用程序的文件复制到其他移动端上,进行身份冒用攻击。5.1 零信任理念用于数据安全访问控制CONCEPT FOR DATA SECURITY ACCESS CONTROL5.2 终端侧数据安全保护TERMINAL SIDE DATA SECURITY PROTECTION5.2.1 移动客户端安全 本地存储安全保护-20-a.应对 APP 客户端进行加壳处理,防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译。b.通过对客户端的各个组件都进行签名验签的方式,保障客户端的完整性。c.需要具备移动终端环境威胁感知能力,自动检测移动端
46、安全状态。业务信息系统应明确划分安全域进行安全防护,安全域的防护措施须遵循域中数据的安全防护等级进行设置。不同安全域之间应划分明确的信任边界,安全域与安全域之间的所有数据通信应安全可控。对于不同等级的安全域之间的通信,应采取访问控制措施禁止高密级信息由高等级安全域流向低等级安全域。处理数据的安全域应采取适当的隔离或密码等措施进行保护。a.应根据安全域划分情况,明确需进行核心数据安全防护的边界。b.在明确的安全域边界实施有效的访问控制策略和机制。c.应根据终端业务访问安全级别划分,对终端采用隔离措施,隔离原则上采用底层隔离为主、上层隔离为辅,系统级隔离为主、桌面级隔离为辅,主要以终端虚拟化隔离、
47、虚拟桌面隔离等技术手段,选用隔离技术应能抵御未知病毒。d.应根据信息安全对抗技术的发展,在系统或安全域边界的关键点采用严格的安全防护机制,如严格的登录/访问控制、信息过滤、边界完整性检查等。e.应对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。f.应对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。客户端自身安全 终端环境分域信任安全保护 终端环境边界信任防护5.2.2 PC 端安全防护-21-a.应采用加密等技术措施,对终端上的敏感数据进行保护,并对加密数据做读写访问控制,避免保留在终端上敏感数据被窃取。b.应启动访问控制措施,保护
48、终端上的敏感数据不被非授权访问。c.存储在终端的敏感数据导出时须履行审批,并在系统中可审计。d.对采用虚拟化技术的终端应进行相关技术防护,防止敏感数据泄露。e.存放有敏感数据的终端使用移动存储介质时应进行严格的授权访问控制。f.对下载到移动终端设备存储区域的敏感数据,应采取加密等技术措施进行安全保护,防止存储的信息被窃取。a.对访问主体应采取数字签名、时间戳等技术保障参与通信的双方或一方对自己行为以及所做的操作(如文件创建、信息发送、信息接收以及批示等)进行部分或全部的信任控制。b.应通过多因子、黑/白名单等方式管理访问主体使用的设备上的应用程序,对数据的出入站等相关信息进行控制审计。c.应通
49、过黑/白名单等方式管理访问主体对网页、FTP、P2P、即时通信等软件的使用。d.a.数据传输网络连接通道默认关闭,采用 SPA 单包授权等技术建立网络链接。b.数据传输网络连接通道应采用 SSL 或类似技术进行加密。c.数据传输网络连接通道可采用证书认证方式,防中间人窃取或篡改攻击。5.3 数据传输通道安全保护TRANSMISSION CHANNEL SECURITY PROTECTION 终端存储信任保护 访问主体身份和行为的统一治理-22-e.a.文件在网络传输时,应采取密码加密等技术措施进行保护,防止传输的信息被窃取,应对文件的外发行为进行审批、授权等控制。b.应对文件知悉范围和权限进行
50、控制,限制阅读人员、阅读次数以及阅读期限,并且不受网络连通情况的影响。c.应使用数据加密等安全技术,对外发的文件内容进行安全保护。d.应对文件的外发行为进行审计,对违规操作行为进行报警。e.使用无线网络传输文件时,须对传输中的文件采用动态加密技术等保护手段。f.文件如需通过内外部网络传输时,须采用加密等技术手段,防止文件被截获后被解密或被破解。g.应能够检测到文件在传输过程中完整性,并采取必要的恢复措施。a.访问 API 接口时需通过身份认证。b.基于最小授权原则,对功能级和数据级进行细粒度授权。c.依据多维度风险感知,评估访问的信任等级,动态匹配访问控制权限,如:放行、二次认证、阻断等。d.