信息化觀察網(wǎng)

01

企業(yè)數(shù)據(jù)安全現(xiàn)狀

1.1企業(yè)安全面臨的問(wèn)題

隨著信息化的發(fā)展，企業(yè)的數(shù)據(jù)安全建設(shè)已經(jīng)成為企業(yè)信息系統(tǒng)建設(shè)過(guò)程中不可或缺的重要內(nèi)容。云大物移智等新技術(shù)的使用，極大提升了企業(yè)業(yè)務(wù)系統(tǒng)的運(yùn)行效率，同時(shí)，企業(yè)數(shù)據(jù)安全所帶來(lái)的風(fēng)險(xiǎn)也更加突出。以符合企業(yè)信息化發(fā)展要求為前提，開(kāi)展企業(yè)數(shù)據(jù)安全建設(shè)成為企業(yè)廣泛的迫切需求。

隨著技術(shù)的發(fā)展，新的病毒、木馬、網(wǎng)絡(luò)攻擊等層不出窮，信息系統(tǒng)始終需要面對(duì)來(lái)自外部的各種威脅；企業(yè)的信息傳播不再局限于有限的物理空間和設(shè)備，傳統(tǒng)的封閉式的數(shù)據(jù)安全保護(hù)措施難以適應(yīng)當(dāng)前的數(shù)據(jù)使用需求，數(shù)據(jù)從內(nèi)部人員和設(shè)備泄露的風(fēng)險(xiǎn)不斷加大。

1.2信息傳播各環(huán)節(jié)存在數(shù)據(jù)安全風(fēng)險(xiǎn)

作為信息的載體，數(shù)據(jù)在傳輸和使用過(guò)程中，都存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。規(guī)模越大的企業(yè)數(shù)據(jù)量也越大，數(shù)據(jù)安全風(fēng)險(xiǎn)更高。不同規(guī)模的企業(yè)對(duì)數(shù)據(jù)安全的重視程度不盡相同，在企業(yè)信息化不斷提升過(guò)程中，隨著企業(yè)信息系統(tǒng)的增多，風(fēng)險(xiǎn)點(diǎn)也隨之增多，需要更加有效的數(shù)據(jù)安全建設(shè)才能滿足企業(yè)的信息安全發(fā)展要求。

規(guī)模較大的企業(yè)通常采用了較為嚴(yán)格的數(shù)據(jù)安全措施，除了對(duì)業(yè)務(wù)服務(wù)提供全面安全保護(hù)以外，采用EDR、網(wǎng)絡(luò)準(zhǔn)入等方式限制辦公場(chǎng)所以外的設(shè)備和人員訪問(wèn)信息系統(tǒng)；而中小規(guī)模的企業(yè)在數(shù)據(jù)安全方面，主要通過(guò)傳統(tǒng)的防火墻策略、WAF、IPS等設(shè)備，仍以應(yīng)用安全建設(shè)為主。實(shí)際上，用戶行為產(chǎn)生的數(shù)據(jù)安全風(fēng)險(xiǎn)，在傳統(tǒng)信息安全建設(shè)中一直處于缺位或不被重視的境地。

隨著國(guó)家對(duì)數(shù)據(jù)安全的重視，《數(shù)據(jù)安全法》、《個(gè)人隱私保護(hù)法》、《網(wǎng)絡(luò)安全法》等各項(xiàng)法律法規(guī)相繼出臺(tái)，推動(dòng)了各行業(yè)對(duì)數(shù)據(jù)安全的建設(shè)熱潮。然而，企業(yè)既有的數(shù)據(jù)安全防護(hù)能力相對(duì)分散，無(wú)法形成安全閉環(huán)。企業(yè)在規(guī)劃新的安全能力建設(shè)時(shí)，要么會(huì)改變?cè)械臉I(yè)務(wù)使用體驗(yàn)，導(dǎo)致推廣阻力大增；要么存在沖突，導(dǎo)致部分重復(fù)建設(shè)的問(wèn)題。

1.3數(shù)據(jù)防泄露的主要技術(shù)

以數(shù)據(jù)為對(duì)象進(jìn)行安全保護(hù)，有以下幾種主要技術(shù)實(shí)現(xiàn)方式：

內(nèi)容識(shí)別與標(biāo)記

通過(guò)內(nèi)容進(jìn)行敏感數(shù)據(jù)的識(shí)別，從而將數(shù)據(jù)劃分為不同的安全等級(jí)（絕密、機(jī)密、秘密等），根據(jù)不同的內(nèi)容密級(jí)，實(shí)施不同的數(shù)據(jù)安全管理措施。針對(duì)內(nèi)容識(shí)別的數(shù)據(jù)防泄露技術(shù)中，數(shù)據(jù)的安全管理過(guò)程覆蓋終端、網(wǎng)絡(luò)、存儲(chǔ)等不同層面，提供對(duì)數(shù)據(jù)使用全過(guò)程的審計(jì)，在政府相關(guān)機(jī)構(gòu)應(yīng)用較多。

文件透明加解密

文件透明加解密技術(shù)更多應(yīng)用在企業(yè)場(chǎng)景中，以文件作為敏感數(shù)據(jù)的主要防護(hù)對(duì)象。在保證信息傳播效率和用戶使用體驗(yàn)的同時(shí)，文件透明加解密技術(shù)能夠?qū)ζ髽I(yè)的重要數(shù)據(jù)資產(chǎn)提供在使用、傳輸、保存各環(huán)節(jié)的安全和審計(jì)。

數(shù)據(jù)加密技術(shù)

以應(yīng)用數(shù)據(jù)為保護(hù)對(duì)象，通過(guò)可逆加密和不可逆加密等方式，為應(yīng)用的數(shù)據(jù)提供加密保護(hù)。數(shù)據(jù)加密技術(shù)解決了在應(yīng)用傳輸過(guò)程中的數(shù)據(jù)安全問(wèn)題，但對(duì)應(yīng)用自身的安全要求較高，同時(shí)也難以防范用戶在使用過(guò)程中的行為風(fēng)險(xiǎn)。

隔離沙箱

沙箱技術(shù)能夠很好地解決數(shù)據(jù)落地使用的安全問(wèn)題，通過(guò)在系統(tǒng)磁盤(pán)中創(chuàng)建隔離的空間，實(shí)現(xiàn)系統(tǒng)與沙箱之間的進(jìn)程、存儲(chǔ)和網(wǎng)絡(luò)隔離，避免由于系統(tǒng)環(huán)境的安全風(fēng)險(xiǎn)導(dǎo)致數(shù)據(jù)泄露。隔離沙箱作為終端數(shù)據(jù)安全的一種技術(shù)實(shí)現(xiàn)方式，需要與其他安全技術(shù)共同使用，才能達(dá)到全面的數(shù)據(jù)安全效果。

02

零信任體系下的數(shù)據(jù)安全

信息安全不完全等同于數(shù)據(jù)安全，企業(yè)的信息安全建設(shè)大多以應(yīng)用安全為核心展開(kāi)。EDR、網(wǎng)絡(luò)準(zhǔn)入等提供端側(cè)的輸入安全保護(hù)，VPN、證書(shū)等提供管道安全的保護(hù)，IAM、行為分析等提供業(yè)務(wù)端的安全保護(hù)。

圍繞應(yīng)用安全不能完全解決數(shù)據(jù)安全的問(wèn)題，數(shù)據(jù)安全建設(shè)需要在應(yīng)用安全的基礎(chǔ)上，通過(guò)數(shù)據(jù)生命周期的分析，以數(shù)據(jù)本身為出發(fā)點(diǎn)，完善補(bǔ)充數(shù)據(jù)在生產(chǎn)、流轉(zhuǎn)、應(yīng)用和銷毀等環(huán)節(jié)的安全保護(hù)措施。

零信任作為一種新型的安全架構(gòu)，以“持續(xù)驗(yàn)證，永不信任”為原則，提供身份和訪問(wèn)安全的同時(shí)，能夠與傳統(tǒng)安全相結(jié)合，完成數(shù)據(jù)全生命周期的安全保護(hù)。

2.1數(shù)據(jù)訪問(wèn)安全

零信任以身份為核心，在應(yīng)用訪問(wèn)過(guò)程中，持續(xù)對(duì)用戶身份進(jìn)行驗(yàn)證，識(shí)別終端、系統(tǒng)、環(huán)境和用戶行為等風(fēng)險(xiǎn)，提供動(dòng)態(tài)的訪問(wèn)授權(quán)控制。零信任的身份驗(yàn)證因素相比傳統(tǒng)單一的賬密認(rèn)證和雙因子認(rèn)證，依據(jù)的維度更加全面，能夠更好地識(shí)別和控制身份的安全風(fēng)險(xiǎn)。

零信任的身份安全并不是要完全對(duì)原有身份安全體系進(jìn)行重構(gòu)，而是可以與原有身份安全機(jī)制共存，不存在重復(fù)建設(shè)的問(wèn)題。而零信任的動(dòng)態(tài)認(rèn)證策略為身份認(rèn)證安全提供了更完善的場(chǎng)景化自適應(yīng)的能力，使得用戶訪問(wèn)企業(yè)數(shù)據(jù)的安全性有了更大的提升。

2.2業(yè)務(wù)數(shù)據(jù)安全

在零信任概念出現(xiàn)以前，只有物理隔離的方式能夠完全避免外部通過(guò)端口發(fā)起的對(duì)業(yè)務(wù)系統(tǒng)的掃描攻擊，而在企業(yè)的數(shù)據(jù)安全保護(hù)中極少采用物理隔離的方式。零信任的單包授權(quán)機(jī)制（SPA）為企業(yè)業(yè)務(wù)系統(tǒng)提供端口隱身的能力，極大降低了業(yè)務(wù)系統(tǒng)被攻擊的風(fēng)險(xiǎn)，從而允許企業(yè)將更多的精力投入到終端側(cè)的數(shù)據(jù)安全建設(shè)中。

2.3數(shù)據(jù)傳輸安全

零信任的通道安全建立在SPA的基礎(chǔ)上，通道本身不對(duì)外暴露，只有合法的身份才可以通過(guò)隧道訪問(wèn)用戶授權(quán)范圍內(nèi)的業(yè)務(wù)，零信任的安全傳輸隧道能力相比傳統(tǒng)VPN具有更細(xì)粒度的權(quán)限管控。通道安全是業(yè)務(wù)數(shù)據(jù)安全不可或缺的一部分，基于這個(gè)原因，傳統(tǒng)VPN廠商也在傳統(tǒng)隧道能力的基礎(chǔ)上轉(zhuǎn)向零信任架構(gòu)。

2.4數(shù)據(jù)庫(kù)安全審計(jì)

基于數(shù)據(jù)安全的全生命周期保護(hù)的原因，對(duì)數(shù)據(jù)存儲(chǔ)的保護(hù)也是安全建設(shè)中需要考慮的一個(gè)方面。零信任本身并不具備數(shù)據(jù)庫(kù)審計(jì)的能力，但零信任的控制中心具備接收來(lái)自于第三方的數(shù)據(jù)庫(kù)審計(jì)結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)估的能力，從而實(shí)現(xiàn)對(duì)用戶訪問(wèn)系統(tǒng)的行為進(jìn)行動(dòng)態(tài)阻斷，形成數(shù)據(jù)安全保護(hù)的閉環(huán)。

2.5終端數(shù)據(jù)安全

零信任的SPA機(jī)制為業(yè)務(wù)側(cè)提供了有效的數(shù)據(jù)安全保護(hù)，終端側(cè)的數(shù)據(jù)安全是健全數(shù)據(jù)全生命周期數(shù)據(jù)的重要著力點(diǎn)。安全工作空間提供隔離沙箱的作用，保護(hù)企業(yè)應(yīng)用和數(shù)據(jù)在安全的空間環(huán)境內(nèi)運(yùn)行和使用，對(duì)文件等數(shù)據(jù)提供外發(fā)審批和審計(jì)，在充分保證終端側(cè)企業(yè)數(shù)據(jù)安全的同時(shí)，為用戶提供與使用系統(tǒng)桌面一致的用戶體驗(yàn)。

03

常用數(shù)據(jù)安全產(chǎn)品的對(duì)比分析

在應(yīng)用的使用中，企業(yè)采用的數(shù)據(jù)安全建設(shè)路徑大致分為幾類，簡(jiǎn)要對(duì)比如下：

實(shí)現(xiàn)方式

優(yōu)勢(shì)

劣勢(shì)

云桌面

用戶體驗(yàn)一致，保持符合用戶習(xí)慣的系統(tǒng)操作風(fēng)格；

便捷運(yùn)維，提供桌面的一鍵恢復(fù)，應(yīng)用安裝推送等；

安全性高，終端側(cè)無(wú)數(shù)據(jù)留存

建設(shè)成本高，服務(wù)器資源消耗大，算力和帶寬占用高；

以內(nèi)網(wǎng)使用為主，較少應(yīng)用于遠(yuǎn)程辦公場(chǎng)景。

DLP

嚴(yán)格的終端數(shù)據(jù)安全保護(hù)，終端側(cè)的數(shù)據(jù)安全能力強(qiáng)；

使用體驗(yàn)良好，對(duì)業(yè)務(wù)使用方式基本不產(chǎn)生影響。

局限于終端數(shù)據(jù)保護(hù)，對(duì)業(yè)務(wù)側(cè)的數(shù)據(jù)安全無(wú)法兼顧；

不適合靈活的遠(yuǎn)程/移動(dòng)辦公，僅限于公司資產(chǎn)的終端數(shù)據(jù)安全。

文件加密

透明文件加解密，用戶使用無(wú)感知；

靈活的文件外發(fā)審批，可審計(jì)追溯。

僅對(duì)文件數(shù)據(jù)加密，其他數(shù)據(jù)安全維度缺失。

零信任

包含終端側(cè)、傳輸側(cè)及業(yè)務(wù)側(cè)的多維度的數(shù)據(jù)安全保護(hù)；

持續(xù)風(fēng)險(xiǎn)評(píng)估機(jī)制，更加及時(shí)進(jìn)行風(fēng)險(xiǎn)阻斷；

良好的兼容性，支持與其他安全類技術(shù)融合或集成使用。

完全零信任化改造周期長(zhǎng)，需要分步推進(jìn)；

成熟度形成中，缺少統(tǒng)一的建設(shè)標(biāo)準(zhǔn)。

04

總結(jié)與展望

傳統(tǒng)的數(shù)據(jù)安全建設(shè)方式，或多或少存在一定的缺失或不足，要么提供的安全能力不能覆蓋數(shù)據(jù)安全的全過(guò)程，需要多個(gè)技術(shù)形式結(jié)合，要么適用的場(chǎng)景受限，無(wú)法廣泛被企業(yè)及用戶接受。

零信任作為一種新的安全架構(gòu)，貫穿了業(yè)務(wù)的全過(guò)程，涉及數(shù)據(jù)使用的全生命周期。無(wú)論內(nèi)網(wǎng)還是外網(wǎng)的場(chǎng)景，零信任架構(gòu)都能夠很好地解決企業(yè)的數(shù)據(jù)安全問(wèn)題。以零信任為基礎(chǔ)的安全架構(gòu)，融合成熟的傳統(tǒng)安全能力，在避免重復(fù)建設(shè)的同時(shí)，能夠?yàn)槠髽I(yè)提供全方位的數(shù)據(jù)安全能力，將是未來(lái)企業(yè)數(shù)據(jù)安全建設(shè)的主要方向。

零信任尚處于成熟度形成過(guò)程中，企業(yè)在實(shí)際的數(shù)據(jù)安全建設(shè)時(shí)，也會(huì)遇到新的難題，對(duì)未來(lái)零信任架構(gòu)逐漸完善并解決的問(wèn)題展望如下：

空間異構(gòu)

基于不同終端系統(tǒng)的安全空間異構(gòu)支持

IoT數(shù)據(jù)安全

物聯(lián)網(wǎng)、啞終端等設(shè)備的零信任安全支持

協(xié)議標(biāo)準(zhǔn)化

基于零信任控制中心的風(fēng)險(xiǎn)評(píng)估的第三方系統(tǒng)接入?yún)f(xié)議的標(biāo)準(zhǔn)化