摘 ?要：隨著社會(huì)信息化水平的提高，數(shù)據(jù)呈爆炸式增長(zhǎng)，數(shù)據(jù)已成為重要的生產(chǎn)要素，是企業(yè)的核心生產(chǎn)力，但數(shù)據(jù)時(shí)刻被黑客所覬覦，隨之而來(lái)的數(shù)據(jù)泄露風(fēng)險(xiǎn)也日益提升，嚴(yán)守?cái)?shù)據(jù)安全是企業(yè)的底線(xiàn)。文章對(duì)當(dāng)今數(shù)據(jù)面臨的威脅進(jìn)行了多維度分析，基于零信任先進(jìn)安全理念和技術(shù)，結(jié)合國(guó)外數(shù)據(jù)安全治理框架，以零信任的視角針對(duì)性地設(shè)計(jì)了數(shù)據(jù)安全防護(hù)體系，不僅能解決數(shù)據(jù)流動(dòng)關(guān)鍵路徑存在的安全風(fēng)險(xiǎn)，而且能有效地提升數(shù)據(jù)安全防護(hù)水平。

關(guān)鍵詞：數(shù)據(jù)安全;零信任;身份安全;網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TP309 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）12-0126-06

Abstract：With the development of social informatization，data shows explosive growth. Data has become an important factor of production and the core productivity of enterprises. However，data is coveted by hackers all the time，and the risk of data leakage is also increasing，data security is the bottom line of enterprises. This paper analyzes the threats faced by data in multiple dimensions，based on the advanced security concept and technology of zero trust，combined with the foreign data security governance framework，the data security protection system is designed from the perspective of zero trust，which can not only solve the security risks of the key path of data flow，but also effectively improve the level of data security protection.

Keywords：data security;zero trust;identity security;network security

0 ?引 ?言

隨著政府與企業(yè)的信息化程度不斷加深，信息系統(tǒng)的復(fù)雜度與開(kāi)放度隨之提升，伴隨云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、人工智能等新興技術(shù)的飛速發(fā)展，帶來(lái)了數(shù)據(jù)的爆炸式增長(zhǎng)，數(shù)據(jù)呈現(xiàn)出規(guī)模大，具有多樣性、復(fù)雜性和價(jià)值高的特點(diǎn)，包含用戶(hù)個(gè)人隱私數(shù)據(jù)、具有重大商業(yè)價(jià)值的企業(yè)數(shù)據(jù)和涉及國(guó)家政府安全的重要數(shù)據(jù)。數(shù)據(jù)已經(jīng)成為數(shù)字經(jīng)濟(jì)的核心生產(chǎn)要素，是國(guó)家基礎(chǔ)性資源和戰(zhàn)略性資源，是社會(huì)治理的有效工具。

過(guò)去幾年間，大型數(shù)據(jù)泄露事件層出不窮，如Facebook數(shù)據(jù)泄露事件、電商刪庫(kù)事件，視頻泄露事件、考生信息泄露、公民醫(yī)療信息泄露等，這其中不免存在媒體聚焦度提升帶來(lái)的輿論轉(zhuǎn)移，但究其根本是社會(huì)各界對(duì)于數(shù)據(jù)安全的關(guān)注度與日俱增，數(shù)據(jù)泄露事件正在“倒逼”政府主管機(jī)構(gòu)對(duì)數(shù)據(jù)安全問(wèn)題引起重視，推動(dòng)相關(guān)法律法規(guī)的落地。數(shù)據(jù)安全正受到前所未有的挑戰(zhàn)，該問(wèn)題已成為企業(yè)資產(chǎn)安全性、個(gè)人隱私安全性、國(guó)家和社會(huì)安全的核心問(wèn)題。

筆者在專(zhuān)業(yè)網(wǎng)絡(luò)安全公司長(zhǎng)期從事運(yùn)營(yíng)商行業(yè)的網(wǎng)絡(luò)安全咨詢(xún)工作，運(yùn)營(yíng)商非常重視所運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的數(shù)據(jù)安全，在應(yīng)對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)方面，通常采用傳統(tǒng)安全產(chǎn)品組合的方式進(jìn)行，雖然安全響應(yīng)能力在不斷提升，但仍然不能有效遏制數(shù)據(jù)泄露，歸根結(jié)底在于缺乏將核心指導(dǎo)思想融入數(shù)據(jù)安全體系化建設(shè)中的意識(shí)，將安全組件的能力映射到各個(gè)階段，因此，我們要以一種全新的技術(shù)視角去指導(dǎo)、規(guī)劃數(shù)據(jù)安全體系，推動(dòng)更先進(jìn)的企業(yè)數(shù)據(jù)安全理念的落地。

1 ?數(shù)據(jù)面臨的安全威脅分析

數(shù)據(jù)技術(shù)及其應(yīng)用正深刻而廣泛的影響和改變著人類(lèi)社會(huì)，甚至將重構(gòu)人類(lèi)社會(huì)，數(shù)據(jù)成為新的生產(chǎn)要素，其背后蘊(yùn)藏了巨大經(jīng)濟(jì)價(jià)值，同時(shí)也引起了大量不法分子的覬覦。2020年全球新冠病毒（COVID-19）[1]疫情的蔓延，帶來(lái)了線(xiàn)上化辦公和線(xiàn)上娛樂(lè)用戶(hù)數(shù)量的顯著增長(zhǎng)，也使得個(gè)人隱私保護(hù)面臨的形勢(shì)越來(lái)越嚴(yán)峻，數(shù)據(jù)泄露問(wèn)題變得越來(lái)越嚴(yán)重，主要表現(xiàn)為以下3個(gè)方面。

1.1 ?人的威脅

數(shù)據(jù)的巨大體量導(dǎo)致信息管理成本增加，數(shù)據(jù)的匯集會(huì)引來(lái)潛在的攻擊者，因?yàn)樗麄兛吹搅藬?shù)據(jù)變現(xiàn)的直接價(jià)值，無(wú)論是內(nèi)部員工，還是外部訪(fǎng)客，據(jù)2020年度Verizon數(shù)據(jù)泄露調(diào)查報(bào)告[2]，報(bào)告指出全球數(shù)據(jù)泄露事件主要的威脅是犯罪團(tuán)體，86%都是經(jīng)濟(jì)利益類(lèi)動(dòng)機(jī)，攻擊行為逐漸轉(zhuǎn)向到竊取憑證來(lái)作案，這些犯罪團(tuán)隊(duì)大多數(shù)由內(nèi)部員工、外部供應(yīng)商員工組成，通常沒(méi)有接受過(guò)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理、安全意識(shí)、安全法規(guī)培訓(xùn)，通過(guò)自身的訪(fǎng)問(wèn)權(quán)限或者利用系統(tǒng)漏洞獲取企業(yè)數(shù)據(jù)來(lái)謀取經(jīng)濟(jì)利益，因此引出一個(gè)名詞，即“信任”，信任本質(zhì)上不是一件好事，信任不是絕對(duì)的，信任級(jí)別是動(dòng)態(tài)的，并且會(huì)隨著時(shí)間而變化，屬于非顯性的，所以人是數(shù)據(jù)安全的主要威脅。

1.2 ?傳統(tǒng)架構(gòu)的短板

傳統(tǒng)的信息安全防護(hù)思路是基于縱深防御思想的“信任但驗(yàn)證（Trust but Verify）”的舊模型。假定自身存在“內(nèi)網(wǎng)”，再確立管理邊界，在邊界部署防火墻、入侵檢測(cè)等設(shè)備進(jìn)行安全防御，一般會(huì)做以下幾點(diǎn)假設(shè)：

（1）訪(fǎng)問(wèn)企業(yè)信息資源的終端設(shè)備，其所有權(quán)、配給權(quán)和管理權(quán)均歸企業(yè)所有。

（2）所有用戶(hù)、設(shè)備和應(yīng)用程序的位置均是固定且可預(yù)測(cè)的，通常由網(wǎng)絡(luò)防火墻提供防護(hù)。

（3）初始訪(fǎng)問(wèn)只需一種驗(yàn)證方法。

（4）同一類(lèi)別的企業(yè)管理系統(tǒng)從本質(zhì)上可以相互信任。

但隨著企業(yè)數(shù)據(jù)化轉(zhuǎn)型過(guò)程中對(duì)云計(jì)算、移動(dòng)技術(shù)、自備終端（Bring Your Own Device，BYOD）的廣泛應(yīng)用，以及合作伙伴間協(xié)作關(guān)系的日益密切，以上假設(shè)已經(jīng)不再適用。當(dāng)下數(shù)據(jù)的授權(quán)訪(fǎng)問(wèn)不僅涵蓋基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備，授權(quán)訪(fǎng)問(wèn)的范圍已經(jīng)擴(kuò)展到云環(huán)境、大數(shù)據(jù)，隨之而來(lái)的是數(shù)據(jù)的訪(fǎng)問(wèn)場(chǎng)景增多，而攻擊者在成功突破一個(gè)防御點(diǎn)（例如防火墻或用戶(hù)登錄名）之后便能利用信息系統(tǒng)固有的信任弱點(diǎn)，通過(guò)在網(wǎng)絡(luò)、應(yīng)用環(huán)境中橫向移動(dòng)來(lái)鎖定敏感數(shù)據(jù)目標(biāo)。在受信任區(qū)域內(nèi)發(fā)起攻擊的內(nèi)部威脅則可以獲得更高的權(quán)限，所以再也不應(yīng)認(rèn)為“內(nèi)部”實(shí)體都是可信任的，從而企業(yè)邊界瓦解，難以繼續(xù)基于網(wǎng)絡(luò)邊界構(gòu)筑企業(yè)的安全防線(xiàn)，內(nèi)外網(wǎng)攻擊層出不窮，數(shù)據(jù)泄露事件頻繁出現(xiàn)。

1.3 ?數(shù)據(jù)流動(dòng)關(guān)鍵路徑的威脅

數(shù)據(jù)生命周期分為采集、傳輸、存儲(chǔ)、使用、共享和銷(xiāo)毀六個(gè)階段，數(shù)據(jù)是在多個(gè)系統(tǒng)和網(wǎng)絡(luò)間流轉(zhuǎn)的，所面臨的威脅一方面來(lái)自數(shù)據(jù)安全合規(guī)及監(jiān)管手段是否完善，另一方面在于對(duì)數(shù)據(jù)流動(dòng)的關(guān)鍵路徑是否進(jìn)行有效的識(shí)別、分析和控制，分析如圖1所示。

（1）關(guān)鍵路徑1——運(yùn)維通道：使用人員通過(guò)該路徑訪(fǎng)問(wèn)系統(tǒng)資源操作數(shù)據(jù)，運(yùn)維、分析人員越權(quán)、違規(guī)操作數(shù)據(jù)，當(dāng)使用數(shù)據(jù)高風(fēng)險(xiǎn)操作指令（如rm、drop等），下載數(shù)據(jù)到本地計(jì)算機(jī)，都容易造成數(shù)據(jù)主動(dòng)或者被動(dòng)丟失現(xiàn)象。

（2）關(guān)鍵路徑2——業(yè)務(wù)通道：使用人員通過(guò)該路徑訪(fǎng)問(wèn)應(yīng)用資源，查詢(xún)數(shù)據(jù)（如客戶(hù)資料，合同等），會(huì)出現(xiàn)違規(guī)使用數(shù)據(jù)現(xiàn)象。

（3）關(guān)鍵路徑3——接口通道：應(yīng)用或者設(shè)備通過(guò)該通道訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，容易出現(xiàn)假冒應(yīng)用服務(wù)訪(fǎng)問(wèn)數(shù)據(jù)服務(wù)、應(yīng)用服務(wù)越權(quán)訪(fǎng)問(wèn)數(shù)據(jù)服務(wù)的現(xiàn)象。

（4）關(guān)鍵路徑4——開(kāi)發(fā)通道：開(kāi)發(fā)人員通過(guò)該通道訪(fǎng)問(wèn)開(kāi)發(fā)平臺(tái)代碼庫(kù)，可導(dǎo)出源代碼信息，出現(xiàn)源代碼外泄現(xiàn)象。

（5）關(guān)鍵路徑5——測(cè)試通道：分析人員通過(guò)該通道從生產(chǎn)環(huán)境導(dǎo)出數(shù)據(jù)給測(cè)試環(huán)境，進(jìn)行數(shù)據(jù)測(cè)試、開(kāi)發(fā)等工作，產(chǎn)生真實(shí)數(shù)據(jù)未進(jìn)行數(shù)據(jù)脫敏導(dǎo)致真實(shí)數(shù)據(jù)外泄現(xiàn)象。

（6）關(guān)鍵路徑6——共享通道：傳輸共享鏈路未被加密，容易被監(jiān)聽(tīng)或攔截，導(dǎo)致數(shù)據(jù)被中間人攻擊，騙取數(shù)據(jù)共享對(duì)象信任從而獲取數(shù)據(jù)。

（7）關(guān)鍵路徑7——管理通道：管理人員沒(méi)有進(jìn)行權(quán)限和職責(zé)分離，對(duì)數(shù)據(jù)使用者的數(shù)據(jù)授權(quán)粒度過(guò)粗，信任度過(guò)高，缺乏風(fēng)險(xiǎn)審計(jì)策略，容易導(dǎo)致內(nèi)部人員泄露核心數(shù)據(jù)。

2 ?零信任技術(shù)介紹

2.1 ?背景介紹

網(wǎng)絡(luò)安全先驅(qū)者一直為推進(jìn)去邊界化而努力，最早在2003年的杰里科論壇（Jericho Forum）就提出了去邊界化的網(wǎng)絡(luò)安全概念，指出大型網(wǎng)絡(luò)中單一靜態(tài)防御的局限性以及應(yīng)該去除基于網(wǎng)絡(luò)位置的隱式信任。

谷歌公司內(nèi)部在2009年經(jīng)歷高度復(fù)雜的高級(jí)持續(xù)性攻擊后，開(kāi)始設(shè)計(jì)并在公司內(nèi)部實(shí)施名稱(chēng)為BeyondCorp的遠(yuǎn)程訪(fǎng)問(wèn)解決方案，這種全新的網(wǎng)絡(luò)訪(fǎng)問(wèn)模式拋棄了對(duì)本地內(nèi)網(wǎng)信任的思想，平等對(duì)待內(nèi)外連接請(qǐng)求。在默認(rèn)情況下所有設(shè)備、用戶(hù)都不授予訪(fǎng)問(wèn)特權(quán)，必須通過(guò)管理器的評(píng)估獲取信任后，通過(guò)專(zhuān)用加密代理的方式，訪(fǎng)問(wèn)特定的內(nèi)部資源，該方案已經(jīng)取代基于網(wǎng)絡(luò)邊界構(gòu)筑安全體系的傳統(tǒng)做法，為零信任的誕生提供了理論與實(shí)踐基礎(chǔ)。

2010年由Forrester的分析師約翰·金德維格（John Kindervag）指出被認(rèn)為“可信”的內(nèi)部網(wǎng)絡(luò)充滿(mǎn)著威脅，“信任”被過(guò)度濫用，并指出“信任是安全的致命弱點(diǎn)”，因此正式提出零信任[3]術(shù)語(yǔ)，并對(duì)其設(shè)計(jì)了一個(gè)特殊的安全框架，其核心思想要求從網(wǎng)絡(luò)內(nèi)部或外部對(duì)訪(fǎng)問(wèn)請(qǐng)求采用“Never Trust、Always Verify、Enforce Least Privilege（從不信任、始終驗(yàn)證、強(qiáng)制使用最小權(quán)限）”。

2.2 ?架構(gòu)思路

零信任原則不是在消除邊界，而是要借助基于零信任的設(shè)計(jì)思路來(lái)強(qiáng)化企業(yè)的內(nèi)部安全，讓網(wǎng)絡(luò)邊界不再是阻擋惡意攻擊的唯一途徑。下文論述了依據(jù)零信任基本原則的設(shè)計(jì)架構(gòu)思路[4]。

2.2.1 ?平面分離

將系統(tǒng)分為控制平面和數(shù)據(jù)平面，支撐系統(tǒng)稱(chēng)為控制平面，其他部分稱(chēng)為數(shù)據(jù)平面，數(shù)據(jù)平面由控制平面指揮和配置，訪(fǎng)問(wèn)請(qǐng)求首先經(jīng)過(guò)控制平面處理，包括身份認(rèn)證與授權(quán)，控制策略，控制平面可以基于角色、時(shí)間或設(shè)備類(lèi)型進(jìn)行授權(quán)。授權(quán)的主體必須是網(wǎng)絡(luò)代理，所有的訪(fǎng)問(wèn)控制策略都是針對(duì)網(wǎng)絡(luò)代理，動(dòng)態(tài)授權(quán)決策時(shí)按需臨時(shí)生成，網(wǎng)絡(luò)流需要進(jìn)行加密處理，應(yīng)對(duì)流量攻擊。

2.2.2 ?威脅建模

零信任需要保證用于認(rèn)證和授權(quán)操作的信息的機(jī)密性，減少攻擊面，需要基于訪(fǎng)問(wèn)攻擊者的視角，按照能力、崗位、類(lèi)別、操作，權(quán)限等，依據(jù)造成的損害風(fēng)險(xiǎn)，進(jìn)行威脅建模。

2.2.3 ?動(dòng)態(tài)驗(yàn)證

對(duì)所有的訪(fǎng)問(wèn)主體、客體需要進(jìn)行身份化，除了人，身份的概念需要擴(kuò)大到應(yīng)用程序、服務(wù)和資源，所有數(shù)據(jù)源和計(jì)算服務(wù)都被視為資源，需要對(duì)訪(fǎng)問(wèn)主體和資源進(jìn)行身份管理，區(qū)別于傳統(tǒng)網(wǎng)絡(luò)連接的是零信任網(wǎng)絡(luò)是先驗(yàn)證用戶(hù)、設(shè)備和應(yīng)用程序身份，再連接業(yè)務(wù)系統(tǒng)，是一個(gè)依據(jù)策略不斷地訪(fǎng)問(wèn)、掃描和威脅評(píng)估、調(diào)整、持續(xù)驗(yàn)證的循環(huán)，策略可以是基于時(shí)間、地理位置、新請(qǐng)求、特權(quán)訪(fǎng)問(wèn)等屬性進(jìn)行定義，在訪(fǎng)問(wèn)交互過(guò)程中持續(xù)監(jiān)控與重新驗(yàn)證（包括提高驗(yàn)證級(jí)別），在使用性、效率、安全性之間達(dá)到平衡。

2.2.4 ?最小化授權(quán)

對(duì)訪(fǎng)問(wèn)主體、客體以及網(wǎng)絡(luò)數(shù)據(jù)包加密都應(yīng)該被授予完成連接所必要的授權(quán)。

2.2.5 ?自適應(yīng)控制

信任不是一次性的，也不是恒久不變的，需要不斷地對(duì)訪(fǎng)問(wèn)主體的屬性、行為和上下文進(jìn)行反復(fù)評(píng)估，并調(diào)整相應(yīng)的信任等級(jí)。通過(guò)遏制新發(fā)現(xiàn)的威脅和漏洞，應(yīng)對(duì)高風(fēng)險(xiǎn)的安全事件，形成自動(dòng)安全閉環(huán)。需要結(jié)合實(shí)際的業(yè)務(wù)場(chǎng)景和需求進(jìn)行裁剪或擴(kuò)展，即使用戶(hù)輸入了正確憑證，也并不意味著控制平面組件能信任該用戶(hù)，比如該用戶(hù)是在大陸境內(nèi)辦公的員工，突然從國(guó)外登錄公司內(nèi)部系統(tǒng)，因此就需要更高級(jí)別的驗(yàn)證措施，自適應(yīng)控制不僅要實(shí)時(shí)通知危險(xiǎn)的訪(fǎng)問(wèn)行為，而且能夠通過(guò)阻斷會(huì)話(huà)、審計(jì)取證等控制手段來(lái)積極應(yīng)對(duì)網(wǎng)絡(luò)安全事件。

2.3 ?核心邏輯

在企業(yè)中，構(gòu)成零信任網(wǎng)絡(luò)部署的邏輯組件可以作為服務(wù)，其邏輯組件參考框架如圖2所示，顯示了組件及其相互作用的基本關(guān)系。

2.3.1 ?策略判定點(diǎn)

策略判定點(diǎn)（Policy Decide Point，PDP）分為兩個(gè)邏輯組件，即策略引擎（Policy Engine，PE）和策略管理器（Policy Administrator，PA）。

2.3.1.1 ?策略引擎

策略引擎負(fù)責(zé)最終決定是否授予指定訪(fǎng)問(wèn)主體對(duì)客體的訪(fǎng)問(wèn)權(quán)限。策略引擎使用企業(yè)安全策略以及來(lái)自外部源（例如：黑名單、威脅情報(bào)服務(wù)、可信環(huán)境感知服務(wù)等）的輸入作為“信任算法”的輸入，以決定授予或拒絕對(duì)該資源的訪(fǎng)問(wèn)。策略引擎與策略管理器組件配對(duì)使用。策略引擎做出決策，策略管理器執(zhí)行決策（包括批準(zhǔn)、拒絕、審批等）。

2.3.1.2 ?策略管理器

策略管理器和策略執(zhí)行點(diǎn)（Policy Enforcement Point，PEP）聯(lián)動(dòng)，負(fù)責(zé)建立客戶(hù)端與資源之間的邏輯連接，生成客戶(hù)端用于訪(fǎng)問(wèn)企業(yè)資源的任何身份驗(yàn)證令牌或憑證，是零信任架構(gòu)控制平面的策略判定點(diǎn)，權(quán)限判定不再基于簡(jiǎn)單的靜態(tài)規(guī)則，而是基于上下文屬性、信任等級(jí)和安全策略進(jìn)行動(dòng)態(tài)判定。

它與策略引擎緊密相關(guān)，并依賴(lài)于其決定最終允許或拒絕主體的連接請(qǐng)求。PA在創(chuàng)建連接時(shí)與策略執(zhí)行點(diǎn)通信。這種通信是通過(guò)控制平面完成的。

2.3.2 ?策略執(zhí)行點(diǎn)

策略執(zhí)行點(diǎn)是零信任架構(gòu)的數(shù)據(jù)平面組件，可分為兩個(gè)不同的程序形式，分別為客戶(hù)端（工作在主體上的代理程序）和資源端（在主體和客體之間控制訪(fǎng)問(wèn)的網(wǎng)關(guān)程序）。每個(gè)企業(yè)發(fā)布的系統(tǒng)（屬于客體），主體上都有一個(gè)已安裝的客戶(hù)端來(lái)協(xié)調(diào)連接，而每個(gè)客體都有一個(gè)網(wǎng)關(guān)程序直接放在前面，以便客體只與網(wǎng)關(guān)通信，充當(dāng)客體的反向代理，負(fù)責(zé)啟用、監(jiān)視并最終終止主體和客體之間的連接，是確保安全訪(fǎng)問(wèn)的關(guān)口，是動(dòng)態(tài)訪(fǎng)問(wèn)控制能力的策略執(zhí)行點(diǎn)。

2.3.3 ?身份管理系統(tǒng)

身份管理系統(tǒng)（ID Management System）負(fù)責(zé)創(chuàng)建、存儲(chǔ)和管理企業(yè)用戶(hù)賬戶(hù)和身份記錄。該系統(tǒng)包含必要的用戶(hù)信息（如姓名、電子郵件地址、證書(shū)等）和其他企業(yè)特征，如角色、訪(fǎng)問(wèn)屬性或分配的系統(tǒng)。

3 ?數(shù)據(jù)安全體系設(shè)計(jì)

3.1 ?設(shè)計(jì)思路

零信任技術(shù)從本質(zhì)可概括為以身份為中心的訪(fǎng)問(wèn)控制，是在不可信的現(xiàn)代網(wǎng)絡(luò)環(huán)境下，以細(xì)粒度的應(yīng)用、接口、數(shù)據(jù)為核心保護(hù)對(duì)象，遵循最小授權(quán)原則，打破物理邊界的局限性，從基于傳統(tǒng)的靜態(tài)邊界的被動(dòng)防御轉(zhuǎn)化為基于動(dòng)態(tài)邊界的主動(dòng)防御模式。

數(shù)據(jù)安全體系核心思想是以業(yè)務(wù)數(shù)據(jù)為核心，保護(hù)數(shù)據(jù)的保密性、完整性和可用性，兩者的思路不謀而合，隨著零信任技術(shù)的發(fā)展成熟，所以借鑒Garnter提出的數(shù)據(jù)安全治理框架[5]和CARTA（持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）模型[6]，將零信任技術(shù)作為數(shù)據(jù)安全體系的指導(dǎo)思想，以業(yè)務(wù)為使命，數(shù)據(jù)為核心，身份為中心，運(yùn)營(yíng)為支撐，合規(guī)為依據(jù)，對(duì)傳統(tǒng)安全的理念升級(jí)和策略改進(jìn)，結(jié)合數(shù)據(jù)流動(dòng)關(guān)鍵路徑的安全能力疊加，強(qiáng)調(diào)持續(xù)性風(fēng)險(xiǎn)評(píng)估和改進(jìn)，來(lái)構(gòu)建數(shù)據(jù)安全體系，全方位的保護(hù)企業(yè)的數(shù)據(jù)資產(chǎn)。

3.2 ?數(shù)據(jù)安全目標(biāo)

為了達(dá)到數(shù)據(jù)安全的使用，下文將目標(biāo)歸納為了三個(gè)方向。

3.2.1 ?身份可信

企業(yè)網(wǎng)絡(luò)及信息化系統(tǒng)規(guī)模不斷增大，業(yè)務(wù)快速發(fā)展，應(yīng)用融合增大，但同時(shí)信息系統(tǒng)及其用戶(hù)處在一個(gè)非常復(fù)雜且充滿(mǎn)不確定性的網(wǎng)絡(luò)中，需做到整體身份可信，建立動(dòng)態(tài)的信任機(jī)制，包括基礎(chǔ)設(shè)施與計(jì)算環(huán)境可信，用戶(hù)的身份可信等。

3.2.2 ?路徑可控

數(shù)據(jù)安全的核心目的是保護(hù)數(shù)據(jù)免受各種威脅的損害，以確保業(yè)務(wù)連續(xù)性，業(yè)務(wù)風(fēng)險(xiǎn)最小化，投資回報(bào)和商業(yè)機(jī)遇最目標(biāo)大化。在當(dāng)前復(fù)雜的國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)下，面對(duì)各種復(fù)雜的網(wǎng)絡(luò)攻擊手法，應(yīng)該將目標(biāo)集中到數(shù)據(jù)流動(dòng)關(guān)鍵路徑上，對(duì)其做安全能力疊加。

3.2.3 ?流程可管

以零信任技術(shù)為指導(dǎo)，構(gòu)建一個(gè)可信的業(yè)務(wù)運(yùn)維流程，實(shí)現(xiàn)主體對(duì)客體的受控訪(fǎng)問(wèn)，保證所有的訪(fǎng)問(wèn)行為均在可管理范圍之內(nèi)進(jìn)行，在訪(fǎng)問(wèn)過(guò)程中持續(xù)性地進(jìn)行風(fēng)險(xiǎn)評(píng)估并動(dòng)態(tài)優(yōu)化的調(diào)整授權(quán)策略，最終通過(guò)自動(dòng)化的管理方式實(shí)現(xiàn)對(duì)安全訪(fǎng)問(wèn)的控制目標(biāo)。

3.3 ?數(shù)據(jù)安全架構(gòu)

數(shù)據(jù)在整個(gè)生命周期內(nèi)會(huì)涉及不同的階段，每個(gè)階段又會(huì)面臨不同的安全風(fēng)險(xiǎn)，如數(shù)據(jù)采集階段涉及隱私保護(hù)和數(shù)據(jù)所屬權(quán)歸屬，數(shù)據(jù)的分類(lèi)分級(jí)和歸一化問(wèn)題，數(shù)據(jù)存儲(chǔ)、使用、共享階段又面臨數(shù)據(jù)泄露、使用不當(dāng)、越權(quán)訪(fǎng)問(wèn)等問(wèn)題，同時(shí)還會(huì)存在更多的安全風(fēng)險(xiǎn)，所以我們將重點(diǎn)圍繞數(shù)據(jù)全生命周期，從組織建設(shè)、人員能力、技術(shù)支撐三個(gè)層面，圍繞安全三同步原則（同步規(guī)劃、同步建設(shè)、同步運(yùn)營(yíng)）構(gòu)建數(shù)據(jù)安全體系總體構(gòu)架，如圖3所示。

3.3.1 ?組織體系

組織體系用于建立數(shù)據(jù)安全組織架構(gòu)、職責(zé)分配和溝通協(xié)調(diào)。組織可以分為決策層、管理層、操作層、監(jiān)督層。其中決策層由參與業(yè)務(wù)發(fā)展決策的最高領(lǐng)導(dǎo)和技術(shù)部門(mén)領(lǐng)導(dǎo)組成數(shù)據(jù)安全管理小組，制定數(shù)據(jù)安全的目標(biāo)和發(fā)展愿景，在業(yè)務(wù)發(fā)展和數(shù)據(jù)安全之間做出良好的平衡;管理層是數(shù)據(jù)安全核心部門(mén)及業(yè)余部門(mén)管理層組成，負(fù)責(zé)制定數(shù)據(jù)安全策略和規(guī)劃及具體管理規(guī)范;執(zhí)行層有數(shù)據(jù)安全運(yùn)營(yíng)、技術(shù)和各業(yè)務(wù)部門(mén)接口人組成，負(fù)責(zé)保證數(shù)據(jù)安全工作推進(jìn)落地;監(jiān)督層由審計(jì)部門(mén)人員組成，負(fù)責(zé)關(guān)鍵節(jié)點(diǎn)的督查和審計(jì)。

3.3.2 ?人員體系

人員體系為實(shí)現(xiàn)組織、制度和技術(shù)支撐工具的建設(shè)和執(zhí)行其他人員應(yīng)具備的能力。核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運(yùn)營(yíng)能力、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力。根據(jù)不同數(shù)據(jù)安全能力建設(shè)維度匹配不同人員能力要求。

3.3.3 ?技術(shù)體系

數(shù)據(jù)生命周期的安全支撐技術(shù)多種多樣，將零信任技術(shù)作為安全技術(shù)支撐指導(dǎo)，應(yīng)用到數(shù)據(jù)各個(gè)生命階段，起到安全預(yù)測(cè)、安全防護(hù)、安全檢測(cè)、安全響應(yīng)的作用。

3.3.3.1 ?數(shù)據(jù)采集階段

在數(shù)據(jù)規(guī)劃和創(chuàng)建、采集階段，重點(diǎn)考慮數(shù)據(jù)分類(lèi)分級(jí)的管理，明確數(shù)據(jù)敏感性和重要程度，在統(tǒng)一的數(shù)據(jù)安全策略下實(shí)現(xiàn)分類(lèi)分級(jí)的數(shù)據(jù)防護(hù)，將采集接口全面身份化，進(jìn)行雙向可信身份動(dòng)態(tài)驗(yàn)證，防止中間人攻擊。

3.3.3.2 ?數(shù)據(jù)傳輸階段

考慮到敏感數(shù)據(jù)被越權(quán)、提權(quán)訪(fǎng)問(wèn)等極端風(fēng)險(xiǎn)，采用零信任可信代理通道技術(shù)，應(yīng)用層和網(wǎng)絡(luò)層鏈路加密的方式確保數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性。

3.3.3.3 ?數(shù)據(jù)存儲(chǔ)階段

依據(jù)數(shù)據(jù)分類(lèi)分級(jí)的安全管控策略，針對(duì)數(shù)據(jù)敏感性和重要程度進(jìn)行有差別的數(shù)據(jù)存儲(chǔ)管理：

（1）針對(duì)非結(jié)構(gòu)化數(shù)據(jù)，制定文件級(jí)的加密策略，選擇國(guó)際算法（如DES、3DES、RSA、HASH等）或者商用密碼算法（SM3、SM4等），保證數(shù)據(jù)的安全存儲(chǔ)。

（2）對(duì)于結(jié)構(gòu)化數(shù)據(jù)，支持以數(shù)據(jù)庫(kù)字段等采取細(xì)粒度的加密存儲(chǔ)策略，針對(duì)某一敏感字段進(jìn)行靈活的加密存儲(chǔ)。

3.3.3.4 ?數(shù)據(jù)使用階段

數(shù)據(jù)使用階段是數(shù)據(jù)安全防護(hù)體系中最核心的部分，對(duì)數(shù)據(jù)流動(dòng)關(guān)鍵路徑進(jìn)行保護(hù)，以零信任的技術(shù)為指導(dǎo)，進(jìn)行身份認(rèn)證中心、動(dòng)態(tài)授權(quán)中心、訪(fǎng)問(wèn)控制中心以及環(huán)境感知中心的設(shè)計(jì)，從而實(shí)現(xiàn)數(shù)據(jù)使用階段的用戶(hù)、系統(tǒng)、設(shè)備、接口的全面身份化識(shí)別，在訪(fǎng)問(wèn)過(guò)程中不間斷地進(jìn)行風(fēng)險(xiǎn)評(píng)估，動(dòng)態(tài)調(diào)整授權(quán)策略，最終通過(guò)自動(dòng)化的管理方式實(shí)現(xiàn)對(duì)數(shù)據(jù)安全訪(fǎng)問(wèn)控制的目標(biāo)。

通過(guò)在主體和客體之間的訪(fǎng)問(wèn)路徑上建立完整信任鏈路，實(shí)現(xiàn)訪(fǎng)問(wèn)過(guò)程可控?？刂屏鞒谈攀鋈缦拢?/p>

（1）主體包括人（用戶(hù)）、設(shè)備（終端設(shè)備、主機(jī)設(shè)備、移動(dòng)辦公設(shè)備等）、應(yīng)用，統(tǒng)一身份源，為主體提供唯一標(biāo)識(shí)，主體具備感知環(huán)境的能力并作授權(quán)的輸入側(cè)。

（2）客體由應(yīng)用、服務(wù)接口、應(yīng)用功能、數(shù)據(jù)組成，統(tǒng)一身份源為客體提供唯一標(biāo)識(shí)。

（3）主體只有在通過(guò)身份認(rèn)證系統(tǒng)的認(rèn)證后才能訪(fǎng)問(wèn)客體資源。主體對(duì)客體的訪(fǎng)問(wèn)將采用特定算法生成高強(qiáng)度密碼進(jìn)行加密，形成加密數(shù)據(jù)傳輸鏈路。

（4）由身份認(rèn)證系統(tǒng)對(duì)身份進(jìn)行統(tǒng)一認(rèn)證，提供單點(diǎn)登錄、動(dòng)態(tài)認(rèn)證、動(dòng)態(tài)身份分析能力。

（5）按照最小化授權(quán)原則，對(duì)系統(tǒng)資源、應(yīng)用資源、應(yīng)用功能、服務(wù)接口、數(shù)據(jù)服務(wù)進(jìn)行自適應(yīng)的細(xì)粒度訪(fǎng)問(wèn)控制授權(quán)。

（6）為用戶(hù)提供基于環(huán)境因素（用戶(hù)行為、設(shè)備基線(xiàn)、地理位置、時(shí)間等）的風(fēng)險(xiǎn)識(shí)別，同時(shí)根據(jù)風(fēng)險(xiǎn)等級(jí)進(jìn)行動(dòng)態(tài)訪(fǎng)問(wèn)控制。訪(fǎng)問(wèn)控制模型可采用基于角色的訪(fǎng)問(wèn)控制（RBAC）和基于屬性的訪(fǎng)問(wèn)控制（ABAC）組合的方式進(jìn)行，前者屬于靜態(tài)訪(fǎng)問(wèn)控制模型，后者通過(guò)動(dòng)態(tài)計(jì)算一個(gè)或一組屬性是否滿(mǎn)足某種條件來(lái)進(jìn)行授權(quán)判斷，控制粒度更細(xì)，結(jié)合RBAC角色管理的優(yōu)點(diǎn)和ABAC的靈活性一起使用效果更好。

（7）主體所有連接到數(shù)據(jù)庫(kù)的操作，將數(shù)據(jù)中的敏感信息，遵循數(shù)據(jù)抽取、脫敏和裝載的思路進(jìn)行數(shù)據(jù)脫敏，按照脫敏規(guī)則進(jìn)行脫敏數(shù)據(jù)處理后，再把數(shù)據(jù)返回給主體。

3.3.3.5 ?數(shù)據(jù)共享階段

數(shù)據(jù)共享安全與網(wǎng)絡(luò)邊界密不可分，采用零信任技術(shù)，將能夠?qū)嵤┰L(fǎng)問(wèn)控制決策的任何位置看成網(wǎng)絡(luò)邊界，這道邊界可以是由傳統(tǒng)防火墻或交換機(jī)劃分，也可以是個(gè)人身份訪(fǎng)問(wèn)應(yīng)用程序，應(yīng)用程序訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)層面。如在登錄第三方應(yīng)用程序時(shí)，使用個(gè)人身份與使用企業(yè)身份之間的區(qū)別不僅決定了哪些安全決策適用，還決定了這些決策由誰(shuí)來(lái)制定。應(yīng)用程序訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的地方，可以看作邊界;用戶(hù)為執(zhí)行敏感操作而提高權(quán)限時(shí)，也可以看作邊界。

采用零信任技術(shù)后，在每一次共享訪(fǎng)問(wèn)請(qǐng)求時(shí)都要對(duì)用戶(hù)、設(shè)備、網(wǎng)絡(luò)和應(yīng)用程序的安全狀態(tài)、合法身份進(jìn)行驗(yàn)證，以便確認(rèn)信任連接，可通過(guò)細(xì)分資源以及僅批準(zhǔn)必要權(quán)限和流量的方式來(lái)縮小企業(yè)的受攻擊面，同時(shí)采用更多身份驗(yàn)證因素、加密措施并對(duì)已知和受信任設(shè)備進(jìn)行標(biāo)記，就能有效增大惡意攻擊者收集所需資料（如用戶(hù)憑證、網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限和橫向移動(dòng)能力等）的難度。

3.3.3.6 ?數(shù)據(jù)銷(xiāo)毀階段

通過(guò)對(duì)刪除的數(shù)據(jù)多次覆蓋重寫(xiě)，避免敏感文件通過(guò)介質(zhì)被非法恢復(fù)導(dǎo)致的數(shù)據(jù)泄露。對(duì)于已經(jīng)處理的存儲(chǔ)介質(zhì)，需要對(duì)存儲(chǔ)介質(zhì)的數(shù)據(jù)進(jìn)行安全銷(xiāo)毀，采用“不可信”管理策略，使用消磁的手段，完成敏感數(shù)據(jù)銷(xiāo)毀存儲(chǔ)介質(zhì)的銷(xiāo)毀。

4 ?結(jié) ?論

零信任是一種全新的安全技術(shù)理念，在數(shù)據(jù)成為新的生產(chǎn)要素的環(huán)境下，傳統(tǒng)基于網(wǎng)絡(luò)邊界構(gòu)筑安全體系無(wú)法滿(mǎn)足對(duì)數(shù)據(jù)的保護(hù)要求，本文在分析了當(dāng)前零信任技術(shù)理論，在零信任技術(shù)實(shí)踐已經(jīng)成熟的前提下，提出了一種以零信任技術(shù)為指導(dǎo)的數(shù)據(jù)安全體系，將零信任技術(shù)思路融入數(shù)據(jù)生命周期安全支撐技術(shù)中，重點(diǎn)強(qiáng)調(diào)數(shù)據(jù)流動(dòng)關(guān)鍵路徑上運(yùn)用零信任技術(shù)進(jìn)行安全能力疊加，以提高數(shù)據(jù)安全使用的安全性。

零信任放寬了大家對(duì)網(wǎng)絡(luò)安全關(guān)注的視角，與此同時(shí)也提高了使用此項(xiàng)技術(shù)的門(mén)檻，如何在企業(yè)數(shù)據(jù)安全建設(shè)和零信任技術(shù)運(yùn)用上從風(fēng)險(xiǎn)評(píng)估、技術(shù)投入和資源投資成本中達(dá)到平衡，這是今后以零信任技術(shù)為指導(dǎo)的數(shù)據(jù)安全體系需要更加深入研究的一個(gè)問(wèn)題。

參考文獻(xiàn)：

[1] SUNDRA E. COVID-19 Should Prompt Enterprises to Move Quickly to Zero Trust [J].Nextgov.com（Online），2020：1-3.

[2] Verizons. 2020 Data Breach Investigations Report Energy and Utilities [R/OL].[2020-06-13].https：//enterprise.verizon.com/resources/reports/2020/2020-data-breach-investigations-report-energy-utilities.pdf.

[3] 埃文·吉爾曼，道格·巴斯.零信任網(wǎng)絡(luò)：在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng) [M].奇安信身份安全實(shí)驗(yàn)室，譯.北京：人民郵電出版社，2019：1-2.

[4] 左英男.零信任架構(gòu)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中的應(yīng)用研究 [J].保密科學(xué)技術(shù)，2019（11）：33-38.

[5] LOWANS B. A Data Risk Assessment Is the Foundation of Data Security Governance [EB/OL].（2020-06-03）.https：//www.gartner.com/en/documents/3985917.

[6] MACDONALD N.Zero Trust Is an Initial Step on the Roadmap to CARTA [EB/OL].（2018-12-10）.https：//www.gartner.com/en/documents/3895267.

作者簡(jiǎn)介：呂波（1982—），男，漢族，四川成都人，安全咨詢(xún)顧問(wèn)，工學(xué)學(xué)士，研究方向：網(wǎng)絡(luò)安全、數(shù)據(jù)安全、身份安全。