8月25日,中國通信標準化協(xié)會、中國信息通信研究院聯(lián)合主辦的“2023首屆SecGo云和軟件安全大會”在京舉辦。大會上,零信任產(chǎn)業(yè)標準工作組、云計算開源產(chǎn)業(yè)聯(lián)盟零信任實驗室聯(lián)合發(fā)布《零信任數(shù)據(jù)安全白皮書》(以下簡稱《白皮書》)。

零信任發(fā)展論壇上,零信任產(chǎn)業(yè)標準工作組秘書長、騰訊標準副總監(jiān)黃超對《白皮書》進行了深入解讀,并分享了騰訊零信任iOA在數(shù)據(jù)安全治理中的實踐經(jīng)驗。黃超表示,數(shù)據(jù)安全是零信任理念的深度應用,企業(yè)可以從基礎的網(wǎng)絡層面、到接近業(yè)務的應用層面、最終再到業(yè)務數(shù)據(jù)層面,實現(xiàn)以數(shù)據(jù)為最小顆粒度的零信任。

(零信任產(chǎn)業(yè)標準工作組秘書長、騰訊標準副總監(jiān)黃超)

數(shù)據(jù)安全外延擴展,企業(yè)數(shù)據(jù)安全治理面臨多重挑戰(zhàn)

隨著數(shù)據(jù)逐漸成為企業(yè)核心資產(chǎn)之一,保障數(shù)據(jù)安全成為重中之重?！栋灼分赋?當前,數(shù)據(jù)安全已成為數(shù)字經(jīng)濟時代最緊迫和最基礎的安全問題。由于數(shù)字技術(shù)促使數(shù)據(jù)應用的場景和參與主體日益多樣化,數(shù)據(jù)安全的外延不斷擴展,數(shù)據(jù)安全治理面臨多重困境。

首先是合規(guī)挑戰(zhàn)。國家高度重視數(shù)據(jù)安全的頂層設計,在相繼發(fā)布的《促進大數(shù)據(jù)發(fā)展行動綱要》(2015)、《科學數(shù)據(jù)管理辦法》(2018)、《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》(2020)以及“十四五”規(guī)劃(2021)等政策中,均提出應把保障數(shù)據(jù)安全放在突出位置的重要思想。同時,《數(shù)據(jù)安全法》等法律法規(guī)不斷出臺落地,對數(shù)據(jù)安全管理提出了新的要求,企業(yè)做好數(shù)據(jù)安全工作面臨著較大的合規(guī)壓力。

其次是攻防風險。企業(yè)在運營過程中的數(shù)據(jù),會面臨黑客竊取和內(nèi)部泄密的雙重風險。傳統(tǒng)數(shù)據(jù)安全防護是基于網(wǎng)絡邊界的安全防護模型抵御外部黑客的攻擊,對內(nèi)部人員攻擊和誤操作缺乏有效的監(jiān)控手段,經(jīng)統(tǒng)計發(fā)現(xiàn)數(shù)據(jù)泄露事件中無論是有意泄露還是無意泄露,內(nèi)部人員占到了 60% 以上。因此,想要建立完善的數(shù)據(jù)安全防護體系,只依靠傳統(tǒng)安全防護理念是遠遠不夠的。

此外,業(yè)務發(fā)展與安全的平衡性面臨挑戰(zhàn)。數(shù)據(jù)的訪問分析、流通共享、再加工成為業(yè)務和價值創(chuàng)造的新機會,數(shù)據(jù)成為生產(chǎn)要素,疫情催生辦公云化新場景,企業(yè)的業(yè)務開展受限于遠程和非企業(yè)管控設備的接入等多元化需求,如何平衡保護企業(yè)數(shù)據(jù)的安全訪問和辦公效率將成為新的挑戰(zhàn)。

數(shù)據(jù)全生命周期的全鏈條管控復雜、數(shù)據(jù)應用的場景需求多樣、數(shù)據(jù)訪問的主體不斷增加,動靜態(tài)數(shù)據(jù)的屬性多變,數(shù)據(jù)防泄露、防篡改、防濫用等安全挑戰(zhàn)不斷升級。騰訊安全認為,做好數(shù)據(jù)安全保護工作,我們要力爭做到令數(shù)據(jù)“看不見”(數(shù)據(jù)資產(chǎn)隱藏和隔離)、“看不懂”(數(shù)據(jù)加密)、“環(huán)境安全”(環(huán)境安全加固和安全狀態(tài)感知)、“受控操作”(權(quán)限治理和訪問控制),在數(shù)據(jù)全生命周期的各個環(huán)節(jié)、在數(shù)據(jù)留存的各個位置、在數(shù)據(jù)應用的各個場景抓住數(shù)據(jù)訪問管控這個“牛鼻子”。

零信任是實現(xiàn)數(shù)據(jù)安全目標的“最優(yōu)解”

《白皮書》提到,如果把數(shù)據(jù)安全防護作為目標,那么零信任是實現(xiàn)數(shù)據(jù)安全目標的一種好的思路。零信任在誕生的時候,就摒棄了一些相對滯后、固化的安全思維,強調(diào)以數(shù)據(jù)保護為中心去思考安全風險以及安全機制的建立。

黃超在演講中提到,零信任可以普適性用于數(shù)據(jù)安全保護工作。“零信任的相關(guān)技術(shù)和解決方案面向各類數(shù)據(jù)對象,在數(shù)據(jù)生命周期的多個過程域、無論數(shù)據(jù)的位置以及數(shù)據(jù)的狀態(tài),在數(shù)據(jù)保護的各個階段,全面支撐和保障著數(shù)據(jù)安全。”

具體來說,零信任理念應對數(shù)據(jù)安全風險有四個關(guān)鍵點:

•數(shù)據(jù)訪問權(quán)限最小授權(quán):訪問主體對數(shù)據(jù)資源的訪問都要經(jīng)過身份認證和授權(quán),且權(quán)限分配遵循最小權(quán)限原則;

•數(shù)據(jù)訪問權(quán)限動態(tài)決策:對訪問過程中的關(guān)鍵對象、訪問權(quán)限、上下文環(huán)境安全狀態(tài)因素,進行持續(xù)采集和風險判斷,進行授權(quán)訪問或者實時阻斷;

• 數(shù)據(jù)傳輸加密:在訪問主體在向數(shù)據(jù)資源發(fā)起訪問請求時,必須通過雙向的交互驗證,實現(xiàn)端到端的加密;

•數(shù)據(jù)資源隱藏隔離:數(shù)據(jù)資產(chǎn)對于未經(jīng)認證的訪問主體不可見;隔離訪問主體與數(shù)據(jù)資源以及應用數(shù)據(jù)資源之間隔離。

零信任作為數(shù)字化背景下的重要安全戰(zhàn)略,給數(shù)據(jù)安全帶來新的變革和機遇?！栋灼吠瑫r總結(jié)了多個行業(yè)數(shù)據(jù)安全的相關(guān)問題和在零信任解決方案下的應對之法,既滿足合規(guī)需要、又滿足網(wǎng)絡和數(shù)據(jù)技術(shù)發(fā)展要素的實踐經(jīng)驗,為行業(yè)從業(yè)者提供了有價值的參考。

作為《白皮書》的主編者,騰訊是國內(nèi)率先實踐零信任的互聯(lián)網(wǎng)公司之一,2016年便在內(nèi)部上線,騰訊零信任iOA支撐了騰訊全球10W+設備隨時隨地接入辦公,通過零信任的理念,在全場景、全階段,通過關(guān)鍵技術(shù)手段保障人、行為、設備的安全,最終保障數(shù)據(jù)安全,實現(xiàn)了安全零事故。

不僅如此,騰訊將 iOA 產(chǎn)品和能力輸出,并推動零信任理念在中國的落地。憑借成熟的產(chǎn)品能力和商業(yè)交付能力,騰訊零信任iOA獲得十幾大行業(yè)數(shù)千家客戶廣泛認可,成為了國內(nèi)首個部署終端突破百萬的零信任產(chǎn)品。

關(guān)鍵詞：