近期���,国家级权威期刊����《中国科技纵横》发布鸿运国际前沿技术文章����《基于零信任的企业数据安全立体管控体系》入选��,对企业在数据安全建设过程中存在的问题进行了系统的梳理���,针对存在的重要数据泄露及数据篡改等安全风险���,提出了基于零信任架构的包含平台��、网络���、终端三重立体管控体系����,并围绕该体系阐述了数据安全关键业务模块及相关业务流程。
以下是文章原文���:
摘要��:本文对企业在数据安全建设过程中存在的问题进行了系统的梳理���,针对存在的重要数据泄露及数据篡改等安全风险��,提出了基于零信任架构的包含平台����、网络���、终端三重立体管控体系����,并围绕该体系阐述了数据安全关键业务模块及相关业务流程。
关键词��:零信任;数据安全;网络安全;数据安全管控;近年来���,出于政治����、名誉甚至经济利益考量����,黑客组织不断研发各种新型网络入侵策略。这些攻击往往隐匿性高��、针对性强����,利用受感染的介质���、供应链和社会工程学等手段���,执行着复杂且持久的威胁活动。医疗信息���、账户凭证���、个人数据以及企业敏感信息都成为攻击目标。据统计显示��,80%的数据泄露事件源于内部人员���,他们利用合法权限对信息系统的数据进行篡改��、泄露等行为���,其中包括管理人员���、系统管理员以及普通员工����,甚至包括离职人员利用旧账号泄露数据。����《网络安全法》����《数据安全法》��《个人信息保护法》的实施为政府及企业数据安全建设给予了法律保障����,引导了相关工作的重点方向。然而���,在实际的数据安全建设和运营过程中����,鸿运国际仍然面临诸多挑战。传统的数据安全审计����、数据库防火墙以及数据防泄漏产品在整合云技术平台��、大数据平台����、网络安全设备及远程运维等方面存在不足。同时���,技术方面的缺陷如终端部署兼容性问题以及网络侧处理性能的不足��,进一步削弱了数据安全管控的有效性。这些问题导致了企业敏感商业数据未能得到有效保护����,相关事件未能及时发现����,给企业带来了监管组织通报和名誉损失的风险。当前���,随着新冠疫情对企业运营和工作方式的巨大影响����,越来越多的设备跨越企业安全边界访问数据��,这为工作带来了便利���,但也给安全管控带来了新挑战。为了应对日益严峻的数据安全风险��,业界正在广泛引入零信任架构����,即不论设备所处位置���,系统都不应自动信任任何人或设备。在连接到组织系统之前����,任何人和设备都必须验证身份和权限����,以确保数据的安全��,但随之而来的数据在流转过程中的顺利获得API��,业务系统直接的相互调用也会引发更多的数据安全风险。
1��、企业数据安全建设目标
��《数据安全法》[1]中明确将���“数据安全”定义为����“顺利获得采取必要措施����,确保数据处于有效保护和合法利用的状态���,以及具备保障持续安全状态的能力”。企业数据安全建设目标通常包含[2]以下����:
数据安全战略[3]���:从企业组织战略���、IT战略���、安全风险���(篡改����、泄露���、破坏����、非法获取和利用)����、合规遵从����(法律/法规/监管办法/标准)����,四个方面综合平衡考量���,形成组织的数据安全战略目标和任务��,指导整体数据安全治理建设。
数据安全管理��:涉及人员组织和管理制度���,建立覆盖决策���、管理���、执行与监督等多层级的组织架构���,各级部门协同配合工作����,定岗定责落实治理行动����,在人员管理维度��,需注重能力的培养与提升��,并加强安全意识教育;在管理制度维度���,需围绕数据处理活动��,构建从方针政策���、管理制度����、流程规范到执行文档的层级全面的制度集合���,并伴随治理过程持续进行优化与调整。
数据安全技术[4]����:基于数据分类分级规则���,构建通用网络安全��、数据全生命周期安全的技术防护体系���,从技术角度确保各层级安全技术要求。
本文着重从数据安全技术角度进行阐述。
2����、数据安全技术需求场景分析
从数据安全管控视角看��,企业数据安全访问场景可以归为三类[5]���:内外部用户数据访问流转��、运维人员等特权账号数据访问管控����、API接口访问安全。
图 1 数据业务访问关系图
���(一)内外部用户数据流转
数据在内外部流转过程中����,具体风险分析如下表���:
序号 |
数据安全流转风险与威胁 |
1 |
内部人员用户在访问过程中����,没有关键信息遮罩��,可查看敏感数据 |
2 |
应用系统无法改造���,面向外部访问者无法对数据进行脱敏展示 |
3 |
面向监管单位等第三方访问要求���,无法有针对性地开放指定数据内容 |
4 |
数据流动无法分析����,无法直观地展现数据的真实流转情况 |
5 |
内部用户访问行为���,无法获知访问敏感数据量趋势与访问热度 |
6 |
业务应用系统可能存在安全漏洞 |
表1数据流转风险清单
��(二)数据安全运维访问
运维用户及其他相关管理员特权账号没有细粒度的访问控制和动态监测����,容易造成数据安全事件���,具体分析如下表���:
序号 |
数据安全风险与威胁 |
1 |
有传统安全防护��,但无法防护数据安全���,如有撞库风险 |
2 |
传统运维模式复杂����,内部权限滥用���,管理压力大 |
3 |
无法针对数据级别给予细粒度访问控制 |
4 |
对重要信息表批量导出��,可能造成批量信息泄露 |
5 |
运维人员权限过大����,容易��“删库跑路” |
6 |
无法精确审计到运维人员及操作行为 |
表2数据安全运维访问风险清单
���(三)数据API访问
新型业务应用��,内部顺利获得API方式进行灵活调用���,如果API本身没有加认证和鉴权机制���,在访问具体接口时不做细粒度的访问控制����,容易造成威胁��,具体如下表��:
序号 |
数据安全风险与威胁 |
1 |
终端安全软件无法防止应用途径的数据泄露 |
2 |
部分对外接口中传输的敏感数据有安全要求 |
3 |
接口之间存在复杂的调用行为 |
4 |
接口的分类分级不明确��,不能专项保护 |
表3数据API访问风险清单
3���、需求分析
顺利获得上述风险分析可以清晰地看出����,现阶段的企业数据安全方案难以完全满足企业的需求���,尤其在合规的前提下���,需要更好地助力企业实现数字化转型。面对黑客攻击����、内部泄密����、操作失误等引发的数据安全事件���,以及各类潜在隐患和风险���,仅依赖单一功能的安全产品往往只能解决某一方面的问题���,导致不同安全产品之间的����“孤岛”现象愈加突出。在当前数据价值利用与安全合规同等重要的背景下����,倡导以���“数据为中心”的零信任防护理念���,以����“平台化��、体系化����、可视化”为基本原则���,整合各类分散的安全产品与工具����,实现对各类数据安全能力与组件的统一部署����、监控����、管理与运营��,给予一站式数据安全管理和常态化数据安全运营。
为了应对现实挑战����,需要建立一套数据安全统一管控体系与系统流程���,包括管理所有数据库的账号权限控制��、可视化授权管理用户��、角色和权限��、梳理应用间的数据流转地图以便溯源����,针对应用接口进行分类分级并标识敏感级别���,实现细粒度权限管控��,控制不同人员对数据库表对象的访问权限���,并在多种生产场景下实现数据脱敏以保障敏感数据不被泄漏。同时���,顺利获得直观展现敏感数据的分布和访问情况���,使企业数据相关部门对数据安全状况了然于心���,及时发现应用中流转的敏感数据和不合规数据流转行为����,并进行合规检查���,形成接口及应用行为画像����,以精准得出风险指数。
零信任安全模型是一种针对不同用户和所有被访问资源的一种安全模型。美国国家标准技术实验室��(the National Institute Of Standards And Technology���,NIST)认为零信任安全模型[6]是一种用于企业资源和数据安全的��“端到端”方法���,其中包括身份����(个人和非个人实体)��、凭据���、访问管理���、操作����、端点��、托管环境和互连基础架构。零信任安全模型的核心思想是���:默认情况下不应该信任网络内部和外部的任何人��、设备及系统��,需要基于认证和授权重构访问控制的信任基础[7]。
零信任架构主要针对传统安全防护的弊端而设计����,传统网络安全防护大都顺利获得在网络边界部署防火墙���、IDS���、入侵检测系统等防护设备���,对企业网络层层防护��,从外向内将攻击拦截在外从而保障企业网络的安全。然而现在的网络架构和使用模式正在对这种基于边界的防护策略发起挑战��:缺乏内部流量的检查��、主机部署缺乏物理和逻辑上的灵活性���、存在单点故障[8]。而零信任架构的改变在于����,对何种网络位置���,均从零开始依靠鉴别与验证建立信任[9]��,从而实现纵深防护。因此����,顺利获得零信任架构设计����,可以防止恶意用户在企业边界内部访问私有资源��、防止数据泄露以及恶意操作。
1����、设计思路与原则
基于零信任的数据安全管控体系是以数据为中心��,其核心思想是面向业务数据流转的动态��、按需防护。在防护技术[10]上��,仍需依托网络安全中面向网络���、设备����、应用等数据载体的垂直静态防护能力����,扩展面向数据流动的分类分级动态防护能力���,结合数据安全管理制度����、策略和运营规范���,形成围绕数据本身和数据载体的立体数据安全管控能力。
2����、架构设计
本文基于零信任安全理念����,设计的数据安全立体技术管控系统逻辑结构如下����:
图 2 零信任数据安全管控架构图
具体各模块描述如下表����:
序号 |
模块名称 |
职责描述 |
1 |
数据安全综合管控平台 |
综合管控平台的零信任分析中心顺利获得多维度获取的信息进行信任的评估���,除了自身的分析模型与算法组件��,还可以顺利获得开放API与第三方分析系统进行对接��,实现对访问行为和风险的持续评估。 |
2 |
综合管控平台的零信任控制中心是身份管理��,以及根据分析中心的评估结果��,生成动态的访问控制策略��,向分散各处的���、各种类型的安全组件进行下发����,统筹全局的访问控制。 |
3 |
数据流转安全管控网关 |
数据流转安全管控网关作为零信任网关����,匹配不同业务场景执行各类数据安全策略����,包括外网访问����、内网访问����、数据中心服务间访问��、物理网访问等安全策略 |
4 |
主机数据安全管控代理 |
主机数据安全管控代理作为零信任一体化安全客户端[11]��,是零信任架构的重要组成部分����,整合了安全基线核查����、病毒与漏洞防护��、网络安全接入����、数据泄露防护等多种安全能力 |
图4 零信任数据安全管控列表
����“数据安全综合管控平台”+���“主机数据安全管控代理”+����“数据流转安全管控网关”的三重立体管控体系���,最终构筑贯穿用户��、终端��、连接����、应用��、数据����,构筑端到端的信任体系���,核心的功能包括���:
����(1)顺利获得部署主机数据安全管控代理多维度的终端环境检查��,确保数据访问行为安全可控;
��(2)顺利获得数据安全综合管控平台的精细化权限控制���,对数据的访问进行细粒度授权���,防止数据越权的访问;
��(3)根据数据分类分级标准���,设定不同的规则���、数据脱敏���,数据加密���、数据访问行为审计等技术手段���,实现差异化数据泄露防护��,保障数据安全;
���(4)顺利获得数据安全综合管控平台持续信任评估���,发现数据访问过程中行为的异常��,进而生成动态的访问控制策略。
本系统的部署模式��,根据环境变化自动调整策略��,实现精细化隔离的网络安全策略及以身份为基础的逻辑边界����,同时安全策略可以自适应调整。针对核心业务和数据资产���,梳理访问这些资产的各种访问路径和场景���,在人员���、设备和数据之间构建一张虚拟的��、基于身份的逻辑边界���,综合利用���“数据安全综合管控平台”+����“主机数据安全管控代理”+����“数据流转安全管控网关”构建一体化的零信任动态访问控制体系��,构建更安全的数据安全访问控制体系。
3����、系统部署逻辑图
图3 零信任数据安全管控架构图
数据安全综合管控平台部署在数据中心服务器区域���,主要功能包括数据安全管控���、数据安全风险态势监测和数据安全运营监测。
数据流转安全管控网关旁路或串接部署在数据流转的网络区域边界的交换机���,服务器区域边界����、运维管理区域边界���、DMZ区域边界����、办公区域边界等位置����,主要功能包括基于流量的数据安全监测����、执行来自平台的安全管控策略����、数据资产发现与相关数据采集等。
主机数据安全管控代理部署在访问终端或服务器上���,主要功能包括终端数据安全监测��、执行来自平台的安全管控策略���、数据资产发现与用户行为监控等。
1���、数据安全综合管控平台
数据安全综合管控平台在零信任框架中充当控制器的角色����,其功能如下所示���:
管控平台零信任分析中心包含数据资产识别管理��,平台可针对企业的业务系统���、数据资产进行有效识别和管理。顺利获得与企业大数据平台或传统数据库进行数据对接���,摸清数据资产类别��,并识别和标记。数据异常事件告警����,数据安全管控平台可针对数据访问��、操作等行为进行实时分析����,自定义数据安全规则����,对数据异常事件进行告警。告警内容包括起止时间��、告警时间����、告警内容��、等级��、告警次数��、业务系统���、数据资产���,并可依据开始时间����、结束时间���、告警事件��、业务系统��、数据资产���、等级等条件进行告警查询。
管控平台零信任控制中心包含数据资产安全运营����、数据资产地图��、敏感数据分布视图����、数据资产账号应用视图。顺利获得控制中心进行展示平台应用连接��、数据使用以及应用异常��、网络异常等信息的展示和策略联动����,主要包括����:
(1) 数据资产全景可视���:平台接入应用数量变化情况���,频繁访问大数据平台的top应用���,数据应用类型分布情况等;
(2) 访问控制全局策略联动���,零信任控制中心���,综合利用数据安全管控代理和管控网关接口收集全量数据信息��,综合分析决策策略下发与策略联动。
2��、数据流转安全管控网关
数据流转安全管控网关在零信任框架中充当零信任网关����,其功能如下所示��:
数据流转安全管控网关可对敏感数据屏蔽���、隐藏��,控制返回给用户的数据流中的敏感信息����,从而达到敏感数据保护的目的。针对不同用户和不同敏感数据可根据需求配置不同的敏感数据脱敏算法���,支持动态添加或删除脱敏算法���,同时确保系统应用无须中断;
数据安全管控网关可对业务系统的数据访问及操作行为进行记录����,智能检测用户异常行为��,敏感数据访问���,记录内容包括操作账号���、行为����、时间����、结果等信息��,并能对审计日志进行超过一年的保护性存储。
数据流转安全管控网关在数据应用正常访问行为模型自学习基础上���,进行应用异常行为分析����、发现及告警���,面向敏感数据访问权限的非授权行为监测��,如SQL等敏感数据删除行为监测��,便于联动平台侧及时发现业务系统中可能存在的风险点及攻击行为����,强化应用安全管控����,保证数据安全。
3����、主机数据安全管控代理
主机数据安全管控代理在零信任框架中充当零信任代理���,其功能包含如下所示����:
数据安全威胁检测包含PC终端与外部服务器隧道检测����、PC应用程序检测��、监控��、恶意文件检测��、内存行为分析��、数据泄漏通道监控����、深度流量分析等。
根据平台的策略执行信息检查相关外设管控��、上网行为管控操作��,如非法网络外联���、账号异常登录��、文件非法流转���、USB使用等信息。
越来越多的信息工作者开始关注数据安全问题���,而零信任技术的兴起为解决这一问题给予了新思路。本文基于零信任安全模型���,以数据为核心����,以身份认证为基础����,构建了一个立体的数据安全管控体系。鸿运国际对企业在数据流转中面临的访问控制问题和重要数据的安全风险进行了深入分析。结合零信任安全模型的理念����,鸿运国际提出了适用于企业数据安全的综合访问管控安全体系。这一体系主要包括数据安全综合管控平台��、主机数据安全管控代理以及数据流转安全管控网关��,形成了一个����“端-网-平台”三重立体能力。鸿运国际特别强调了对关键业务数据的动态授权和访问控制����,并针对实际情况提出了功能清单建议。本研究是基于零信任安全模型理念的概要设计���,在实际落地实施过程中还有许多问题需要进一步探讨和解决。鸿运国际将在后续研究中继续努力解决这些问题。
来源����:����《中国科技纵横》2024年第439期����,参考文献略
