以零信任技術為指導的數據安全體系研究

摘 ?要：隨著社會信息化水平的提高，數據呈爆炸式增長，數據已成為重要的生產要素，是企業的核心生產力，但數據時刻被黑客所覬覦，隨之而來的數據泄露風險也日益提升，嚴守數據安全是企業的底線。文章對當今數據面臨的威脅進行了多維度分析，基于零信任先進安全理念和技術，結合國外數據安全治理框架，以零信任的視角針對性地設計了數據安全防護體系，不僅能解決數據流動關鍵路徑存在的安全風險，而且能有效地提升數據安全防護水平。

關鍵詞：數據安全;零信任;身份安全;網絡安全

中圖分類號：TP309 ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）12-0126-06

Abstract：With the development of social informatization，data shows explosive growth. Data has become an important factor of production and the core productivity of enterprises. However，data is coveted by hackers all the time，and the risk of data leakage is also increasing，data security is the bottom line of enterprises. This paper analyzes the threats faced by data in multiple dimensions，based on the advanced security concept and technology of zero trust，combined with the foreign data security governance framework，the data security protection system is designed from the perspective of zero trust，which can not only solve the security risks of the key path of data flow，but also effectively improve the level of data security protection.

Keywords：data security;zero trust;identity security;network security

0 ?引 ?言

隨著政府與企業的信息化程度不斷加深，信息系統的復雜度與開放度隨之提升，伴隨云計算、大數據、物聯網、移動互聯網、人工智能等新興技術的飛速發展，帶來了數據的爆炸式增長，數據呈現出規模大，具有多樣性、復雜性和價值高的特點，包含用戶個人隱私數據、具有重大商業價值的企業數據和涉及國家政府安全的重要數據。數據已經成為數字經濟的核心生產要素，是國家基礎性資源和戰略性資源，是社會治理的有效工具。

過去幾年間，大型數據泄露事件層出不窮，如Facebook數據泄露事件、電商刪庫事件，視頻泄露事件、考生信息泄露、公民醫療信息泄露等，這其中不免存在媒體聚焦度提升帶來的輿論轉移，但究其根本是社會各界對于數據安全的關注度與日俱增，數據泄露事件正在“倒逼”政府主管機構對數據安全問題引起重視，推動相關法律法規的落地。數據安全正受到前所未有的挑戰，該問題已成為企業資產安全性、個人隱私安全性、國家和社會安全的核心問題。

筆者在專業網絡安全公司長期從事運營商行業的網絡安全咨詢工作，運營商非常重視所運行、管理的網絡設施和信息系統的數據安全，在應對數據泄露風險方面，通常采用傳統安全產品組合的方式進行，雖然安全響應能力在不斷提升，但仍然不能有效遏制數據泄露，歸根結底在于缺乏將核心指導思想融入數據安全體系化建設中的意識，將安全組件的能力映射到各個階段，因此，我們要以一種全新的技術視角去指導、規劃數據安全體系，推動更先進的企業數據安全理念的落地。

1 ?數據面臨的安全威脅分析

數據技術及其應用正深刻而廣泛的影響和改變著人類社會，甚至將重構人類社會，數據成為新的生產要素，其背后蘊藏了巨大經濟價值，同時也引起了大量不法分子的覬覦。2020年全球新冠病毒（COVID-19）[1]疫情的蔓延，帶來了線上化辦公和線上娛樂用戶數量的顯著增長，也使得個人隱私保護面臨的形勢越來越嚴峻，數據泄露問題變得越來越嚴重，主要表現為以下3個方面。

1.1 ?人的威脅

數據的巨大體量導致信息管理成本增加，數據的匯集會引來潛在的攻擊者，因為他們看到了數據變現的直接價值，無論是內部員工，還是外部訪客，據2020年度Verizon數據泄露調查報告[2]，報告指出全球數據泄露事件主要的威脅是犯罪團體，86%都是經濟利益類動機，攻擊行為逐漸轉向到竊取憑證來作案，這些犯罪團隊大多數由內部員工、外部供應商員工組成，通常沒有接受過網絡安全風險管理、安全意識、安全法規培訓，通過自身的訪問權限或者利用系統漏洞獲取企業數據來謀取經濟利益，因此引出一個名詞，即“信任”，信任本質上不是一件好事，信任不是絕對的，信任級別是動態的，并且會隨著時間而變化，屬于非顯性的，所以人是數據安全的主要威脅。

1.2 ?傳統架構的短板

傳統的信息安全防護思路是基于縱深防御思想的“信任但驗證（Trust but Verify）”的舊模型。假定自身存在“內網”，再確立管理邊界，在邊界部署防火墻、入侵檢測等設備進行安全防御，一般會做以下幾點假設：

（1）訪問企業信息資源的終端設備，其所有權、配給權和管理權均歸企業所有。

（2）所有用戶、設備和應用程序的位置均是固定且可預測的，通常由網絡防火墻提供防護。

（3）初始訪問只需一種驗證方法。

（4）同一類別的企業管理系統從本質上可以相互信任。

但隨著企業數據化轉型過程中對云計算、移動技術、自備終端（Bring Your Own Device，BYOD）的廣泛應用，以及合作伙伴間協作關系的日益密切，以上假設已經不再適用。當下數據的授權訪問不僅涵蓋基礎設施、數據庫和網絡設備，授權訪問的范圍已經擴展到云環境、大數據，隨之而來的是數據的訪問場景增多，而攻擊者在成功突破一個防御點（例如防火墻或用戶登錄名）之后便能利用信息系統固有的信任弱點，通過在網絡、應用環境中橫向移動來鎖定敏感數據目標。在受信任區域內發起攻擊的內部威脅則可以獲得更高的權限，所以再也不應認為“內部”實體都是可信任的，從而企業邊界瓦解，難以繼續基于網絡邊界構筑企業的安全防線，內外網攻擊層出不窮，數據泄露事件頻繁出現。

1.3 ?數據流動關鍵路徑的威脅

數據生命周期分為采集、傳輸、存儲、使用、共享和銷毀六個階段，數據是在多個系統和網絡間流轉的，所面臨的威脅一方面來自數據安全合規及監管手段是否完善，另一方面在于對數據流動的關鍵路徑是否進行有效的識別、分析和控制，分析如圖1所示。

（1）關鍵路徑1——運維通道：使用人員通過該路徑訪問系統資源操作數據，運維、分析人員越權、違規操作數據，當使用數據高風險操作指令（如rm、drop等），下載數據到本地計算機，都容易造成數據主動或者被動丟失現象。

（2）關鍵路徑2——業務通道：使用人員通過該路徑訪問應用資源，查詢數據（如客戶資料，合同等），會出現違規使用數據現象。

（3）關鍵路徑3——接口通道：應用或者設備通過該通道訪問數據庫，容易出現假冒應用服務訪問數據服務、應用服務越權訪問數據服務的現象。

（4）關鍵路徑4——開發通道：開發人員通過該通道訪問開發平臺代碼庫，可導出源代碼信息，出現源代碼外泄現象。

（5）關鍵路徑5——測試通道：分析人員通過該通道從生產環境導出數據給測試環境，進行數據測試、開發等工作，產生真實數據未進行數據脫敏導致真實數據外泄現象。

（6）關鍵路徑6——共享通道：傳輸共享鏈路未被加密，容易被監聽或攔截，導致數據被中間人攻擊，騙取數據共享對象信任從而獲取數據。

（7）關鍵路徑7——管理通道：管理人員沒有進行權限和職責分離，對數據使用者的數據授權粒度過粗，信任度過高，缺乏風險審計策略，容易導致內部人員泄露核心數據。

2 ?零信任技術介紹

2.1 ?背景介紹

網絡安全先驅者一直為推進去邊界化而努力，最早在2003年的杰里科論壇（Jericho Forum）就提出了去邊界化的網絡安全概念，指出大型網絡中單一靜態防御的局限性以及應該去除基于網絡位置的隱式信任。

谷歌公司內部在2009年經歷高度復雜的高級持續性攻擊后，開始設計并在公司內部實施名稱為BeyondCorp的遠程訪問解決方案，這種全新的網絡訪問模式拋棄了對本地內網信任的思想，平等對待內外連接請求。在默認情況下所有設備、用戶都不授予訪問特權，必須通過管理器的評估獲取信任后，通過專用加密代理的方式，訪問特定的內部資源，該方案已經取代基于網絡邊界構筑安全體系的傳統做法，為零信任的誕生提供了理論與實踐基礎。

2010年由Forrester的分析師約翰·金德維格（John Kindervag）指出被認為“可信”的內部網絡充滿著威脅，“信任”被過度濫用，并指出“信任是安全的致命弱點”，因此正式提出零信任[3]術語，并對其設計了一個特殊的安全框架，其核心思想要求從網絡內部或外部對訪問請求采用“Never Trust、Always Verify、Enforce Least Privilege（從不信任、始終驗證、強制使用最小權限）”。

2.2 ?架構思路

零信任原則不是在消除邊界，而是要借助基于零信任的設計思路來強化企業的內部安全，讓網絡邊界不再是阻擋惡意攻擊的唯一途徑。下文論述了依據零信任基本原則的設計架構思路[4]。

2.2.1 ?平面分離

將系統分為控制平面和數據平面，支撐系統稱為控制平面，其他部分稱為數據平面，數據平面由控制平面指揮和配置，訪問請求首先經過控制平面處理，包括身份認證與授權，控制策略，控制平面可以基于角色、時間或設備類型進行授權。授權的主體必須是網絡代理，所有的訪問控制策略都是針對網絡代理，動態授權決策時按需臨時生成，網絡流需要進行加密處理，應對流量攻擊。

2.2.2 ?威脅建模

零信任需要保證用于認證和授權操作的信息的機密性，減少攻擊面，需要基于訪問攻擊者的視角，按照能力、崗位、類別、操作，權限等，依據造成的損害風險，進行威脅建模。

2.2.3 ?動態驗證

對所有的訪問主體、客體需要進行身份化，除了人，身份的概念需要擴大到應用程序、服務和資源，所有數據源和計算服務都被視為資源，需要對訪問主體和資源進行身份管理，區別于傳統網絡連接的是零信任網絡是先驗證用戶、設備和應用程序身份，再連接業務系統，是一個依據策略不斷地訪問、掃描和威脅評估、調整、持續驗證的循環，策略可以是基于時間、地理位置、新請求、特權訪問等屬性進行定義，在訪問交互過程中持續監控與重新驗證（包括提高驗證級別），在使用性、效率、安全性之間達到平衡。

2.2.4 ?最小化授權

對訪問主體、客體以及網絡數據包加密都應該被授予完成連接所必要的授權。

2.2.5 ?自適應控制

信任不是一次性的，也不是恒久不變的，需要不斷地對訪問主體的屬性、行為和上下文進行反復評估，并調整相應的信任等級。通過遏制新發現的威脅和漏洞，應對高風險的安全事件，形成自動安全閉環。需要結合實際的業務場景和需求進行裁剪或擴展，即使用戶輸入了正確憑證，也并不意味著控制平面組件能信任該用戶，比如該用戶是在大陸境內辦公的員工，突然從國外登錄公司內部系統，因此就需要更高級別的驗證措施，自適應控制不僅要實時通知危險的訪問行為，而且能夠通過阻斷會話、審計取證等控制手段來積極應對網絡安全事件。

2.3 ?核心邏輯

在企業中，構成零信任網絡部署的邏輯組件可以作為服務，其邏輯組件參考框架如圖2所示，顯示了組件及其相互作用的基本關系。

2.3.1 ?策略判定點

策略判定點（Policy Decide Point，PDP）分為兩個邏輯組件，即策略引擎（Policy Engine，PE）和策略管理器（Policy Administrator，PA）。

2.3.1.1 ?策略引擎

策略引擎負責最終決定是否授予指定訪問主體對客體的訪問權限。策略引擎使用企業安全策略以及來自外部源（例如：黑名單、威脅情報服務、可信環境感知服務等）的輸入作為“信任算法”的輸入，以決定授予或拒絕對該資源的訪問。策略引擎與策略管理器組件配對使用。策略引擎做出決策，策略管理器執行決策（包括批準、拒絕、審批等）。

2.3.1.2 ?策略管理器

策略管理器和策略執行點（Policy Enforcement Point，PEP）聯動，負責建立客戶端與資源之間的邏輯連接，生成客戶端用于訪問企業資源的任何身份驗證令牌或憑證，是零信任架構控制平面的策略判定點，權限判定不再基于簡單的靜態規則，而是基于上下文屬性、信任等級和安全策略進行動態判定。

它與策略引擎緊密相關，并依賴于其決定最終允許或拒絕主體的連接請求。PA在創建連接時與策略執行點通信。這種通信是通過控制平面完成的。

2.3.2 ?策略執行點

策略執行點是零信任架構的數據平面組件，可分為兩個不同的程序形式，分別為客戶端（工作在主體上的代理程序）和資源端（在主體和客體之間控制訪問的網關程序）。每個企業發布的系統（屬于客體），主體上都有一個已安裝的客戶端來協調連接，而每個客體都有一個網關程序直接放在前面，以便客體只與網關通信，充當客體的反向代理，負責啟用、監視并最終終止主體和客體之間的連接，是確保安全訪問的關口，是動態訪問控制能力的策略執行點。

2.3.3 ?身份管理系統

身份管理系統（ID Management System）負責創建、存儲和管理企業用戶賬戶和身份記錄。該系統包含必要的用戶信息（如姓名、電子郵件地址、證書等）和其他企業特征，如角色、訪問屬性或分配的系統。

3 ?數據安全體系設計

3.1 ?設計思路

零信任技術從本質可概括為以身份為中心的訪問控制，是在不可信的現代網絡環境下，以細粒度的應用、接口、數據為核心保護對象，遵循最小授權原則，打破物理邊界的局限性，從基于傳統的靜態邊界的被動防御轉化為基于動態邊界的主動防御模式。

數據安全體系核心思想是以業務數據為核心，保護數據的保密性、完整性和可用性，兩者的思路不謀而合，隨著零信任技術的發展成熟，所以借鑒Garnter提出的數據安全治理框架[5]和CARTA（持續自適應風險與信任評估）模型[6]，將零信任技術作為數據安全體系的指導思想，以業務為使命，數據為核心，身份為中心，運營為支撐，合規為依據，對傳統安全的理念升級和策略改進，結合數據流動關鍵路徑的安全能力疊加，強調持續性風險評估和改進，來構建數據安全體系，全方位的保護企業的數據資產。

3.2 ?數據安全目標

為了達到數據安全的使用，下文將目標歸納為了三個方向。

3.2.1 ?身份可信

企業網絡及信息化系統規模不斷增大，業務快速發展，應用融合增大，但同時信息系統及其用戶處在一個非常復雜且充滿不確定性的網絡中，需做到整體身份可信，建立動態的信任機制，包括基礎設施與計算環境可信，用戶的身份可信等。

3.2.2 ?路徑可控

數據安全的核心目的是保護數據免受各種威脅的損害，以確保業務連續性，業務風險最小化，投資回報和商業機遇最目標大化。在當前復雜的國內外網絡安全形勢下，面對各種復雜的網絡攻擊手法，應該將目標集中到數據流動關鍵路徑上，對其做安全能力疊加。

3.2.3 ?流程可管

以零信任技術為指導，構建一個可信的業務運維流程，實現主體對客體的受控訪問，保證所有的訪問行為均在可管理范圍之內進行，在訪問過程中持續性地進行風險評估并動態優化的調整授權策略，最終通過自動化的管理方式實現對安全訪問的控制目標。

3.3 ?數據安全架構

數據在整個生命周期內會涉及不同的階段，每個階段又會面臨不同的安全風險，如數據采集階段涉及隱私保護和數據所屬權歸屬，數據的分類分級和歸一化問題，數據存儲、使用、共享階段又面臨數據泄露、使用不當、越權訪問等問題，同時還會存在更多的安全風險，所以我們將重點圍繞數據全生命周期，從組織建設、人員能力、技術支撐三個層面，圍繞安全三同步原則（同步規劃、同步建設、同步運營）構建數據安全體系總體構架，如圖3所示。

3.3.1 ?組織體系

組織體系用于建立數據安全組織架構、職責分配和溝通協調。組織可以分為決策層、管理層、操作層、監督層。其中決策層由參與業務發展決策的最高領導和技術部門領導組成數據安全管理小組，制定數據安全的目標和發展愿景，在業務發展和數據安全之間做出良好的平衡;管理層是數據安全核心部門及業余部門管理層組成，負責制定數據安全策略和規劃及具體管理規范;執行層有數據安全運營、技術和各業務部門接口人組成，負責保證數據安全工作推進落地;監督層由審計部門人員組成，負責關鍵節點的督查和審計。

3.3.2 ?人員體系

人員體系為實現組織、制度和技術支撐工具的建設和執行其他人員應具備的能力。核心能力包括數據安全管理能力、數據安全運營能力、數據安全技術能力及數據安全合規能力。根據不同數據安全能力建設維度匹配不同人員能力要求。

3.3.3 ?技術體系

數據生命周期的安全支撐技術多種多樣，將零信任技術作為安全技術支撐指導，應用到數據各個生命階段，起到安全預測、安全防護、安全檢測、安全響應的作用。

3.3.3.1 ?數據采集階段

在數據規劃和創建、采集階段，重點考慮數據分類分級的管理，明確數據敏感性和重要程度，在統一的數據安全策略下實現分類分級的數據防護，將采集接口全面身份化，進行雙向可信身份動態驗證，防止中間人攻擊。

3.3.3.2 ?數據傳輸階段

考慮到敏感數據被越權、提權訪問等極端風險，采用零信任可信代理通道技術，應用層和網絡層鏈路加密的方式確保數據傳輸的機密性和完整性。

3.3.3.3 ?數據存儲階段

依據數據分類分級的安全管控策略，針對數據敏感性和重要程度進行有差別的數據存儲管理：

（1）針對非結構化數據，制定文件級的加密策略，選擇國際算法（如DES、3DES、RSA、HASH等）或者商用密碼算法（SM3、SM4等），保證數據的安全存儲。

（2）對于結構化數據，支持以數據庫字段等采取細粒度的加密存儲策略，針對某一敏感字段進行靈活的加密存儲。

3.3.3.4 ?數據使用階段

數據使用階段是數據安全防護體系中最核心的部分，對數據流動關鍵路徑進行保護，以零信任的技術為指導，進行身份認證中心、動態授權中心、訪問控制中心以及環境感知中心的設計，從而實現數據使用階段的用戶、系統、設備、接口的全面身份化識別，在訪問過程中不間斷地進行風險評估，動態調整授權策略，最終通過自動化的管理方式實現對數據安全訪問控制的目標。

通過在主體和客體之間的訪問路徑上建立完整信任鏈路，實現訪問過程可控。控制流程概述如下：

（1）主體包括人（用戶）、設備（終端設備、主機設備、移動辦公設備等）、應用，統一身份源，為主體提供唯一標識，主體具備感知環境的能力并作授權的輸入側。

（2）客體由應用、服務接口、應用功能、數據組成，統一身份源為客體提供唯一標識。

（3）主體只有在通過身份認證系統的認證后才能訪問客體資源。主體對客體的訪問將采用特定算法生成高強度密碼進行加密，形成加密數據傳輸鏈路。

（4）由身份認證系統對身份進行統一認證，提供單點登錄、動態認證、動態身份分析能力。

（5）按照最小化授權原則，對系統資源、應用資源、應用功能、服務接口、數據服務進行自適應的細粒度訪問控制授權。

（6）為用戶提供基于環境因素（用戶行為、設備基線、地理位置、時間等）的風險識別，同時根據風險等級進行動態訪問控制。訪問控制模型可采用基于角色的訪問控制（RBAC）和基于屬性的訪問控制（ABAC）組合的方式進行，前者屬于靜態訪問控制模型，后者通過動態計算一個或一組屬性是否滿足某種條件來進行授權判斷，控制粒度更細，結合RBAC角色管理的優點和ABAC的靈活性一起使用效果更好。

（7）主體所有連接到數據庫的操作，將數據中的敏感信息，遵循數據抽取、脫敏和裝載的思路進行數據脫敏，按照脫敏規則進行脫敏數據處理后，再把數據返回給主體。

3.3.3.5 ?數據共享階段

數據共享安全與網絡邊界密不可分，采用零信任技術，將能夠實施訪問控制決策的任何位置看成網絡邊界，這道邊界可以是由傳統防火墻或交換機劃分，也可以是個人身份訪問應用程序，應用程序訪問數據庫層面。如在登錄第三方應用程序時，使用個人身份與使用企業身份之間的區別不僅決定了哪些安全決策適用，還決定了這些決策由誰來制定。應用程序訪問數據庫的地方，可以看作邊界;用戶為執行敏感操作而提高權限時，也可以看作邊界。

采用零信任技術后，在每一次共享訪問請求時都要對用戶、設備、網絡和應用程序的安全狀態、合法身份進行驗證，以便確認信任連接，可通過細分資源以及僅批準必要權限和流量的方式來縮小企業的受攻擊面，同時采用更多身份驗證因素、加密措施并對已知和受信任設備進行標記，就能有效增大惡意攻擊者收集所需資料（如用戶憑證、網絡訪問權限和橫向移動能力等）的難度。

3.3.3.6 ?數據銷毀階段

通過對刪除的數據多次覆蓋重寫，避免敏感文件通過介質被非法恢復導致的數據泄露。對于已經處理的存儲介質，需要對存儲介質的數據進行安全銷毀，采用“不可信”管理策略，使用消磁的手段，完成敏感數據銷毀存儲介質的銷毀。

4 ?結 ?論

零信任是一種全新的安全技術理念，在數據成為新的生產要素的環境下，傳統基于網絡邊界構筑安全體系無法滿足對數據的保護要求，本文在分析了當前零信任技術理論，在零信任技術實踐已經成熟的前提下，提出了一種以零信任技術為指導的數據安全體系，將零信任技術思路融入數據生命周期安全支撐技術中，重點強調數據流動關鍵路徑上運用零信任技術進行安全能力疊加，以提高數據安全使用的安全性。

零信任放寬了大家對網絡安全關注的視角，與此同時也提高了使用此項技術的門檻，如何在企業數據安全建設和零信任技術運用上從風險評估、技術投入和資源投資成本中達到平衡，這是今后以零信任技術為指導的數據安全體系需要更加深入研究的一個問題。

參考文獻：

[1] SUNDRA E. COVID-19 Should Prompt Enterprises to Move Quickly to Zero Trust [J].Nextgov.com（Online），2020：1-3.

[2] Verizons. 2020 Data Breach Investigations Report Energy and Utilities [R/OL].[2020-06-13].https：//enterprise.verizon.com/resources/reports/2020/2020-data-breach-investigations-report-energy-utilities.pdf.

[3] 埃文·吉爾曼，道格·巴斯.零信任網絡：在不可信網絡中構建安全系統 [M].奇安信身份安全實驗室，譯.北京：人民郵電出版社，2019：1-2.

[4] 左英男.零信任架構在關鍵信息基礎設施安全保護中的應用研究 [J].保密科學技術，2019（11）：33-38.

[5] LOWANS B. A Data Risk Assessment Is the Foundation of Data Security Governance [EB/OL].（2020-06-03）.https：//www.gartner.com/en/documents/3985917.

[6] MACDONALD N.Zero Trust Is an Initial Step on the Roadmap to CARTA [EB/OL].（2018-12-10）.https：//www.gartner.com/en/documents/3895267.

作者簡介：呂波（1982—），男，漢族，四川成都人，安全咨詢顧問，工學學士，研究方向：網絡安全、數據安全、身份安全。