8月25日,中國通信標準化協會、中國信息通信研究院聯合主辦的“2023首屆SecGo云和軟件安全大會”在京舉辦。大會上,零信任產業標準工作組、云計算開源產業聯盟零信任實驗室聯合發布《零信任數據安全白皮書》(以下簡稱《白皮書》)。

零信任發展論壇上,零信任產業標準工作組秘書長、騰訊標準副總監黃超對《白皮書》進行了深入解讀,并分享了騰訊零信任iOA在數據安全治理中的實踐經驗。黃超表示,數據安全是零信任理念的深度應用,企業可以從基礎的網絡層面、到接近業務的應用層面、最終再到業務數據層面,實現以數據為最小顆粒度的零信任。

(零信任產業標準工作組秘書長、騰訊標準副總監黃超)

數據安全外延擴展,企業數據安全治理面臨多重挑戰

隨著數據逐漸成為企業核心資產之一,保障數據安全成為重中之重。《白皮書》指出,當前,數據安全已成為數字經濟時代最緊迫和最基礎的安全問題。由于數字技術促使數據應用的場景和參與主體日益多樣化,數據安全的外延不斷擴展,數據安全治理面臨多重困境。

首先是合規挑戰。國家高度重視數據安全的頂層設計,在相繼發布的《促進大數據發展行動綱要》(2015)、《科學數據管理辦法》(2018)、《關于構建更加完善的要素市場化配置體制機制的意見》(2020)以及“十四五”規劃(2021)等政策中,均提出應把保障數據安全放在突出位置的重要思想。同時,《數據安全法》等法律法規不斷出臺落地,對數據安全管理提出了新的要求,企業做好數據安全工作面臨著較大的合規壓力。

其次是攻防風險。企業在運營過程中的數據,會面臨黑客竊取和內部泄密的雙重風險。傳統數據安全防護是基于網絡邊界的安全防護模型抵御外部黑客的攻擊,對內部人員攻擊和誤操作缺乏有效的監控手段,經統計發現數據泄露事件中無論是有意泄露還是無意泄露,內部人員占到了 60% 以上。因此,想要建立完善的數據安全防護體系,只依靠傳統安全防護理念是遠遠不夠的。

此外,業務發展與安全的平衡性面臨挑戰。數據的訪問分析、流通共享、再加工成為業務和價值創造的新機會,數據成為生產要素,疫情催生辦公云化新場景,企業的業務開展受限于遠程和非企業管控設備的接入等多元化需求,如何平衡保護企業數據的安全訪問和辦公效率將成為新的挑戰。

數據全生命周期的全鏈條管控復雜、數據應用的場景需求多樣、數據訪問的主體不斷增加,動靜態數據的屬性多變,數據防泄露、防篡改、防濫用等安全挑戰不斷升級。騰訊安全認為,做好數據安全保護工作,我們要力爭做到令數據“看不見”(數據資產隱藏和隔離)、“看不懂”(數據加密)、“環境安全”(環境安全加固和安全狀態感知)、“受控操作”(權限治理和訪問控制),在數據全生命周期的各個環節、在數據留存的各個位置、在數據應用的各個場景抓住數據訪問管控這個“牛鼻子”。

零信任是實現數據安全目標的“最優解”

《白皮書》提到,如果把數據安全防護作為目標,那么零信任是實現數據安全目標的一種好的思路。零信任在誕生的時候,就摒棄了一些相對滯后、固化的安全思維,強調以數據保護為中心去思考安全風險以及安全機制的建立。

黃超在演講中提到,零信任可以普適性用于數據安全保護工作。“零信任的相關技術和解決方案面向各類數據對象,在數據生命周期的多個過程域、無論數據的位置以及數據的狀態,在數據保護的各個階段,全面支撐和保障著數據安全。”

具體來說,零信任理念應對數據安全風險有四個關鍵點:

•數據訪問權限最小授權:訪問主體對數據資源的訪問都要經過身份認證和授權,且權限分配遵循最小權限原則;

•數據訪問權限動態決策:對訪問過程中的關鍵對象、訪問權限、上下文環境安全狀態因素,進行持續采集和風險判斷,進行授權訪問或者實時阻斷;

• 數據傳輸加密:在訪問主體在向數據資源發起訪問請求時,必須通過雙向的交互驗證,實現端到端的加密;

•數據資源隱藏隔離:數據資產對于未經認證的訪問主體不可見;隔離訪問主體與數據資源以及應用數據資源之間隔離。

零信任作為數字化背景下的重要安全戰略,給數據安全帶來新的變革和機遇。《白皮書》同時總結了多個行業數據安全的相關問題和在零信任解決方案下的應對之法,既滿足合規需要、又滿足網絡和數據技術發展要素的實踐經驗,為行業從業者提供了有價值的參考。

作為《白皮書》的主編者,騰訊是國內率先實踐零信任的互聯網公司之一,2016年便在內部上線,騰訊零信任iOA支撐了騰訊全球10W+設備隨時隨地接入辦公,通過零信任的理念,在全場景、全階段,通過關鍵技術手段保障人、行為、設備的安全,最終保障數據安全,實現了安全零事故。

不僅如此,騰訊將 iOA 產品和能力輸出,并推動零信任理念在中國的落地。憑借成熟的產品能力和商業交付能力,騰訊零信任iOA獲得十幾大行業數千家客戶廣泛認可,成為了國內首個部署終端突破百萬的零信任產品。

關鍵詞：