当前,数据作为新型生产要素,促进着数字基础设施的发展与产业的迭代升级,数据安全的保障能力和治理水平,作为确保数据要素价值发挥的重要前提,被国家、企业和公众前所未有地重视。因此,基于内生需求和合规监管的双重驱动,诸多解决方案及实践项目井喷式地推向市场,安全厂商作为其中的重要角色,携手主管部门、企业用户不断开拓并验证着数据安全的最佳实践。
威努特副总经理杨璐演讲现场
在今年国家网络安全宣传周期间,安全419关注到,威努特于CCS 2024成都网络安全系列活动发表《金融领域数据安全零信任体系下的几点实践》主旨演讲,阐述其基于零信任的数据安全解决方案以及场景化实践案例。我们特意邀请了威努特产品经理唐智南针对方案进行深度解读,以观察如火如荼的数据安全建设道路上的前沿思考和探索。
数据安全监管趋严 企业合规举步维艰
自《数据安全法》《个人信息保护法》等相关法律法规颁布实施以来,全流程的数据安全管理制度得以建立,相应的技术措施逐步完善。深入至各个关键基础设施领域,近年陆续出台了诸多行业标准及规范,细化、落地前述上位法的管理要求。
典型如数据密集型产业的金融领域,从2020年2月央行发布《个人金融信息保护技术规范》,到2020年9月《金融数据安全数据安全分级指南》的出台,再到2021年发布《金融数据安全 数据生命周期安全规范》,对数据安全的重视程度逐年提高。又如走在数字化转型前沿的电力行业,国家能源局2022年出台《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》,全面加强监督管理,健全安全保障体系和工作责任体系。
在目前数据合规立法、监管趋势不断健全的阶段,各行业爆发的数据泄露事件以及司法实践案例都呈现较高增长势头。唐智南表示,全局的数据安全能力提升还处于起步阶段,传统的网络安全体系缺乏数据视角的深层次针对性防护,以及相应的管理体系不完善,导致企业数据安全风险频频冒头。
唐智南进一步介绍,根据监管要求,数据安全体系需要从上到下,并围绕数据全生命周期和活动全流程进行建设。从需求调研开始实施,梳理清楚目前整个业务系统的数据资产及业务数据流转流程后,开启分类分级体系建设;针对不同等级的数据划分相应策略,同时在数据流转过程中搭配使用加密、审计、脱敏、分析等技术手段;在技术侧落地的同时,建立员工意识培训、定期风险检查、违规事件处置等管理制度,最终形成整套数据安全体系构建。
依据通用方法论实施的过程中,企业遭遇的挑战非常普遍。首先,数据分类分级难以落地。资产及业务梳理是体系建设的关键前提,企业需要依此建立数据的分类分级制度。如何全面地识别和管理数据资产,并了解数据在业务流程中的流转路径,如何定义一套清晰的分类分级标准,以覆盖数据的敏感性、对业务的重要性、法律和合规要求等方面,样本标准的缺失和操作的低效繁琐成为企业着手开展工作的最大障碍。并且,数据属性和价值将随着业务发展而发生变化,定期的审核和更新才能确保数据分类分级的准确性和有效性。
此外,数据分析与防护孤立运转。在数据流转过程中,常规采用多种产品如数据加密产品、数据脱敏系统、数据防泄露DLP平台、数据访问控制系统DAC等等进行防控,各自专注于数据安全的不同层面,容易造成管理混乱和效率低下的同时,对于数据流转没有办法实现针对数据全生命周期的一体化溯源追踪,并且与业务架构及流程割裂,对于数据访问权限没有精确的划分和动态管控。各自为营的产品矩阵,也存在部署成本高、实施难度大的问题。
基于零信任架构 实现一体化的全流程数据安全防控
为了解决传统数据安全方案的效能和成本挑战,威努特推出了基于零信任的数据安全解决方案。以零信任安全架构为底座,以数据全生命周期防护为目标,通过七大核心产品组件进行联动,构建了一套一体化溯源追踪的全方位、多层次防护体系。
根据唐智南的介绍,方案架构严格遵循并满足GB/T 43696-2024《网络安全技术 零信任参考体系架构》的要求,包括最小权限访问、持续状态感知、数据加密传输、动态信任评估几大关键点,以保障访问主体和被访问资源之间的信任关系的持续验证,以及访问范畴粒度的持续鉴权,建立起端到端的数据安全信道。值得一提的是,该国标将于2024年11月1日正式实施,将为企业用户采用零信任架构提供明确的合规指引。
细化到方案的具体组件模块,终端侧通过安装零信任客户端或终端沙箱,实现对本地访问及本地数据的管控。即在终端上构建独立的、隔离的安全工作空间,对于访问敏感数据的应用系统时,进行网络和数据拦截,实现敏感数据不落宿主机,防止数据泄漏。当应用在安全工作空间内运行时,应用的一切文件操作行为,都会被安全工作空间的管理驱动和重定向引擎所接管,重定向至不可见空间,保证了不可见空间数据与个人可见空间数据的隔离以及数据安全性。若有文件申请外发的需求,需管理员进行审批,才可实现工作空间向个人空间或高级别工作空间向低级别空间的数据传输。
网络侧部署零信任安全网关,确保只有经过认证的用户才能访问职责内可访问的业务系统。采用ABAC访问控制模型,对用户行为进行持续监测、动态身份认证和权限判定,并依据实时数据动态判定用户权限,确保只有符合安全标准的用户和设备才能访问系统资源。随后基于用户行为和业务数据流转的全生命周期检测评估结果,来智能精细动态地调整策略,提供最小权限管控。
业务系统侧部署API安全系统、数据库安全系统、主机微隔离三个组件,实现对用户访问业务系统可执行的命令及可查看的数据的管控,同时对各业务系统之间的业务流量进行隔离控制。比如API安全,采用基于AI的API字段识别机制,对页面请求中的API路径及其载荷内容进行深度解析,全面捕获传输数据,划分不同类别级别,明确数据流向及敏感信息分布。又如数据库安全,采用AES-256等高强度加密算法对敏感数据进行深度加密存储,通过制定智能规则并结合多种脱敏算法实现不同数据字段的针对性脱敏保护,通过细致划分数据库操作权限,在SQL语句级别上实施权限控制。
管理中心侧部署数据安全统一管理平台,作为顶层分析的安全大脑,对下属所有安全组件进行集中管理。通过共享数据资产和产品组件间的联动,对业务系统中的数据进行自动的分类分级及安全风险评估,同时结合各组件上送数据对用户行为进行实时审计,可以解决独立安全产品造成的数据冗余和安全真空区,并且保证数据分析的协同性,一站式地满足业务数据流转全流程、全链路的安全管控需求。而所有组件也可以根据用户当前的安全需求、场景选择、网络拓扑等,按需灵活部署,对于周期性业务需求变化,进行按需分配。
在安全419看来,零信任架构对于主体与资源的信任关系和访问权限的革新重构,是突破传统安全体系效能瓶颈的基石;各功能组件的配合,为保障数据在业务链路各节点的安全流转提供能力支撑;平台化建设实现了数据安全策略的一致性,是确保数据安全体系能够落地的关键;弹性扩展的部署方式,最大程度地控制成本的同时提升用户体验与应用价值。
面向重要关基领域 构建安全高效的数字经济生态
方案在市场侧的应用情况成为用户选型考虑的一大因素,唐智南介绍,威努特自2021年在数据安全方向潜心布局,经过持续的技术突破和产品打磨,形成了体系化的方案构建,从原有积累颇深的工业领域开始涉水,并逐步拓展至金融、运营商、医疗、教育等广泛的关键信息基础设施领域。
以本次演讲活动现场面向的金融行业为例,行业监管已对金融数据全生命周期作出明确的安全规范。基于全周期原则从事前、事中、事后的视角观察,方案针对存在敏感信息的业务系统,通过零信任安全网关对业务系统进行隐身保护,同时建立数据内容级的访问控制策略,辅以多重身份认证流程,确保每个角色的操作权限符合预期,避免产生越权访问或非法操作的行为,事前控制完备。同时在使用者访问业务系统的过程中,会自动地分析当前业务数据的敏感程度,并对敏感数据根据用户身份采取多样化的脱敏手段,确保每个使用者所见均为权限内范围,事中保护动态而全面。平台的管理者也可以通过审计管理平台上的日志对用户的访问行为进行追踪,实现精准定位人员行为,事后追溯有章可循。
再如作为国民经济重要支柱的电力行业,典型如电网业务场景,涉及庞大的电力传输和分配网络,采用该方案,零信任安全网关将对电网业务系统数据发布、数据上报和数据交互进行传输加密,保证数据传输过程中的安全、保密及完整,杜绝数据监听,满足数据安全法及“等保2.0”安全防护要求。零信任客户端持续对每个终端入网进行风险评估和动态控制,保证所有接入零信任网络的终端都是安全的,结合高细粒度的用户访问控制策略,切断以终端为切入口的横向攻击。数据安全统一管理平台统一发布电网业务数据,并将所有发布的业务进行隐身,黑客无法找到攻击目标,同时详细记录电网业务系统访问行为日志,便于定责、确权、规避风险。
随着数字化进程的不断深入,重视数据安全风险防控,强化数据安全合规建设,才能构筑起安全基石,进而推动业务稳定可靠运行并实现转型升级。零信任数据安全解决方案为企业用户提供了行之有效的建设方针,面向未来趋势,将通过政策法规的完善、技术创新的应用、市场的扩展合力构建一个更加安全、高效和可持续发展的数字经济生态,安全419将持续关注,观察并分享更多数据安全领域的有益尝试。