详解零信任视角下的数据安全-云巴巴

立即咨询

立即试用

商务合作

2022-04-15

随着大数据、云计算、人工智能等新兴技术的发展，数据已成为了推动行业数字化转型的重要生产要素，在刚刚结束的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中明确提到了要“充分发挥海量数据和丰富应用场景优势，促进数字技术与实体经济深度融合，赋能传统产业转型升级，催生新产业新业态新模式，壮大经济发展新引擎。”

风险总是与机遇并存，数字经济的高速发展加快了经济和科技的发展，提升了生活水平，但与此同时也带来了新的安全风险。数字化时代数据呈现了它的高价值性，也因此催生了基于数据盗取、数据贩卖及数据恶意分析的庞大的黑灰产团伙，导致国内外大量的企业及个人的敏感信息泄露，对社会的稳定造成严重的影响。

为解决数据泄露带来的问题，国内外都颁布了相关的法律法规，虽然2017年颁布的《中华人民共和国网络安全法》中就对数据安全做了相关规定，但是2021年才是我国数据安全元年，在2021年9月份颁布了我国第一部数据安全的法律《中华人民共和国数据安全法》，同年11月《中华人民共和国个人信息保护法》正式施行，标志着我国的数据安全治理真正落实了有法可依、有法必依、违法必严、违法必究的十六字方针，数据安全也从风控需求转变为合规需求。

数据安全治理面临的难点

数据资产混乱

随着大多公司规模的迅速扩大，其拥有的资产也随之递增，内部工作人员对于新增资产和静默资产的登记备案多是以传统的纯纸质化办公，效率低下、资料保存和查询非常困难、成本高、不利于多人协同办公，成为日常办公的严重制约。资产分布不清，资产归属部门不清，尤其是需要取用一些数据，很难知道其想要数据分布。

随着公司内部信息化建设的完善，对业务流程梳理标准化、设备资源管控规范化、应急事件响应高效化都提出了新的挑战。而传统的数据资产梳理管理方式存在着管理流程不严、技术手段缺失、人员素质参差的问题，需要用专业的技术及产品来加以完善，这样可以提升工作效率，快速协调资源，规范管理流程。

数据难以管控

随着业务的发展，数据之间的调用越来越频繁，但是在数据处理和数据交换的应用场景中，由于权限控制和数据脱敏等安全防护机制不健全，导致用户隐私、企业和组织的机密数据违规泄露。

此外当前企业中存在大量的老旧系统，尤其是承载重要业务的系统，往往不能轻易升级至最新的操作系统，也无法更新最新的补丁，因此存在较大的安全隐患。因此，需要通过外部的数据安全设备将其保护起来，对数据库的操作加强管理，防范未知风险。

数据使用情况不明

在数据安全相关法律法规的监管下，数据安全的合规需求变得非常重要，而面对复杂的数据业务环境以及众多安全标准要求下，如何做好数据安全防护建设以及满足数据安全合规要求成为了当前企业面对的重大难题。

同时，数据在满足合规要求的情况下，还需要考虑如何构建以数据作为保护对象的安全入口、如何梳理数据资产，掌握敏感数据暴露情况、如何确保数据业务与安全的平衡、如何进行数据风险事件取证与溯源等一系列问题。

芯盾时代零信任数据安全解决方案

传统的数据安全建设往往侧重于边界防护，建立安全壁垒从而阻止外部黑客攻击，而对于内部人员缺乏有效的安全管控。据不完全统计发现，数据泄露事件中无论是有意泄露还是无意泄露，内部人员占到了60%以上。因此，想要建立完善的数据安全防护体系，只依靠传统安全防护理念是远远不够的。

为应对传统安全存在的不足，Forrester Research的分析师John Kindervag在2010年正式提出了零信任理念。在Forrester Wave™7个技术维度的权重中，数据安全权重占到了17%也是最高的（网络安全权重12%，身份安全权重15%）。

虽然零信任架构的实践目前以增强型IAM、SDP、微隔离这些形式为主，但其本质上还是围绕数据安全为目标进行建设。零信任相比于传统的边界安全方案，从以网络为中心的逐步发展为以数据和身份为中心。无论数据位于终端、应用服务器、数据库之中，还是在企业网络内部或外部，数据是处于流动状态或使用状态，都需要通过一定的技术手段，防止数据的泄露。

芯盾时代依据在零信任体系下深耕的经验，提出了基于零信任的数据安全解决方案，将持续验证、永不信任的零信任理念融入其中，在兼顾安全-体验-成本的前提下，实现数据的可信任访问：

通过IAM（身份管理与访问控制）持续验证访问用户及设备的可信身份，有效解决拖库、撞库、弱密码、身份冒用、特权账号共享等安全问题；

SDP（零信任业务安全平台）实现网关和内部资源的双重隐身，阻断因恶意攻击造成的数据丢失；同时通过持续性动态评估，消除隐式信任和静态信任带来的越权访问敏感数据行为；

DSG(数据安全治理)通过帮助企业主动发现数据资产分布，完成对资产安全状况摸底及资产分类分级管理工作，提高资产梳理效率，保证资产梳理质量；

依靠访问管控和数据脱敏等手段，保障数据访问和流出的可管可控，提高企业数据安全性；

利用人工智能分析技术及知识图谱可视化分析技术，构建数据、主体、行为、环境之间的关系图谱，分析数据在流转共享过程中的安全态势，实现数据资产的“规范防护、安全可视、使用可控、违规可查”的数据安全防护与审计能力。

芯盾时代零信任数据安全解决方案架构图

IAM（身份管理与访问控制）

芯盾时代IAM依托移动安全认证核心技术，通过身份治理、权限管控、单点登录、风险检测响应，实现企业员工业务系统的统一身份访问，解决企业信息化管理难、用户使用不便、认证授权不安全等问题。芯盾时代IAM产品开创性的将身份认证载体迁移到用户手机设备，通过短信、扫码、动态口令、推送、人脸识别、微信、钉钉、CA等多种认证技术，为用户提供免密的身份认证安全体验；通过连续自适应风险与信任评估，实现应用资源操作动态访问控制，以零信任理念保障业务安全。

SDP（零信任业务安全平台）

芯盾时代SDP零信任业务安全解决方案将客户的所有业务系统维度纳入综合评估和防护，从用户认证、资源授权、日志审计、访问控制等各个环节进行监管和必要的干预，全面感知端点设备、身份、应用、服务、网络和人员行为等风险态势，基于持续的风险和信任等级评估，对业务和数据等资源的访问授予细粒度的最小权限，并进行动态访问控制和风险处置，最终提升业务安全能力和用户体验，有效保护重要商业数据的安全，避免出现违规操作、安全风险等隐患，满足远程办公、企业间协作、安全演练、特权运维、云资源访问保护等场景对安全性和体验的要求。

DSG(数据安全治理)

数据资产梳理系统

芯盾时代数据资产梳理系统（Zero Trust Security - Date Sorting）通过自动化、智能化数据探索和动态监听技术，帮助用户快速、准确定位数据资产和敏感数据的分布、使用情况，支持根据各行业数据分类分级标准，对数据资产进行标识，同时保持对数据资产状态的持续更新，协助用户掌握核心数据资产的使用和变化情况，实现对企业核心数据资产安全状况摸底及数据使用者的精细化管理。

数据安全管控系统

芯盾时代数据安全管控系统（Zero Trust Security - Data Control）是通过对数据库的操作行为和数据库输出内容进行管控，从而满足企业对数据交互过程中越权访问、违规请求、超频使用、数据泄露等风险的识别、控制和追责的需求。系统支持根据不同身份进行个性化数据库访问控制，并对用户访问的静态数据、动态数据进行即时动态脱敏，以及根据业务系统需求，批量进行数据静态脱敏，满足企业安全运维、数据分析、系统测试、数据交换、机器学习等不同需求场景下的数据安全需求。

数据安全大脑

芯盾时代数据态势感知系统（Zero Trust Security - Data Perception）是充分利用大数据、可视化建模分析等技术，融合多种探知检测系统，实现对网内数据进行全面摸底，以及更加精准的数据态势分析，通过对数据安全相关信息进行钻探挖掘，建立情报关联、攻击检测、画像分析、态势分析等模型，对数据资产进行全面威胁分析，从而得知网内敏感数据的暴露面、数据出境情况、数据异常操作、数据访问热度和数据知识图谱等相关信息，帮助用户全面掌握网内数据的访问和流转情况，实现数据流转可视化、数据安全问题发现及时化。

更多产品了解