基于零信任的数据动态授权体系

今年是我国“十四五”规划实施的第二年，是迎接数字时代、激活数据要素潜能、推进网络强国建设的重要一年。随着数字化的深入，数据已然成为重要生产要素。数字化业务的开展，改变了信息化环境，数据由静止转向流动，数据使用场景发生了改变，因此数据安全的应用场景也发生了变化，其保护难度加大；数字化场景下保护对象从云网端和运行环境扩展到数据核心资产，保护对象发生变化，防御措施和手段也需要更新；数据安全管理和技术需要融合，才能有效支撑技术的落地执行。同时，随着数据应用场景和参与角色愈加多样化，在复杂的应用环境下，保证重要数据、核心数据以及用户个人隐私数据等敏感数据不发生外泄，成为数据安全防护的首要需求。

一、数字时代的数据安全挑战

随着数据资产价值的扩大、业务复杂度的增加、业务的开放性、IT 架构复杂性等其他因素，数据所面临的安全风险越来越多元化，来自外部的安全攻击、内部的安全威胁、人为错误都在逐步递增，数据安全主要面临以下四个方面的挑战。

(一）边界弱化，企业资源暴露面增加

随着新一代信息技术的快速演进，应用架构随技术发展不断演进，打破了传统单体架构部署在数据中心的模式，由数据中心向云端、终端等各个环节不断延伸。业务系统面临着多种类型的终端设备接入，组织的网络环境愈发多样，应用架构随基础架构升级不断演进，面临威胁显著增多，企业资源暴露面不断增加。

(二）攻击的目标从网络转向身份、应用和数据

数据价值的凸显引来更多的攻击者，网络攻击从原来的针对平台、网络、系统转变为针对身份、应用和数据。例如，攻击者利用泄露的身份凭证绕过边界防护或者应用和数据的访问权限，可能对组织机构或最终用户造成灾难性损害。据美国威胁情报公司 Cyble 披露，2021 年 8 月，美国电信巨头T-Mobile 遭遇重大安全事件，攻击者声称窃取了总计 106GB 的数据，这些数据涉及近 1 亿名用户，其中包括 T-Mobile 的客户关系管理（CRM）数据库，并且攻击者将数据在地下黑产渠道售卖，非法牟取高额利润。

(三）远程办公增加数据泄漏和权限滥用风险

远程办公已经逐步成为一种常态化的工作模式，这也是移动办公延展后的必然结果。但是，各种接入人员的身份和权限管理混乱，弱密码屡禁不止；接入设备的安全性参差不齐，接入程序漏洞无法避免等。这些都带来极大的风险，可能导致数据更容易“意外”泄露。如何确保数据在流经、留存的各种计算环境、终端设备上的安全，变得充满挑战。

(四）内部威胁成为数据泄漏主要原因

据美国网络安全公司 Fortinet 发布的《2019 年内部威胁报告》显示，90％的网络安全组织感到容易受到内部攻击，53％的网络安全专业人员确认在过去一年中其组织遭受过内部攻击。内部威胁，一方面指内部人员因为安全意识的疏忽或操作的失误暴露了某些安全脆弱环节，导致被攻击者利用而造成的数据泄漏等安全事件，另一方面指组织中内部员工通过滥用访问权限、违规获取访问权限等行为窃取组织数据资源。例如水滴泄密，企业内部员工利用自身合法权限每天下载少量敏感数据，积累到一定程度后加密压缩外发到个人网盘。国家历年的“净网行动”，曾发现多起内部员工对数据的恶意窃取事件。虽然部分内部人员权限较低，但他们仍可以通过盗用高权限人员的账号密码、数字证书登录内网获取敏感数据。

二、基于零信任构建数据动态授权体系

针对数字时代下数据安全风险的变化，数据安全理念和方法需要演进，其核心思路就是从静态到动态的转变。数字时代的信息化环境是动态的，业务需求是动态的，风险也是动态的，数据管控需求必然也是动态的，需要用动态的安全思路来应对这些新需求、新挑战，零信任就是这样一种基于动态策略的安全理念和方法。

零信任理念强调以数据资源为中心，针对要保护的数据制定细粒度的权限策略。策略通过主体、客体和环境的多维属性来构建，持续评估，影响策略的属性变了，用户的权限就自动变了，这是一种弹性的、敏捷的思路，可以对数据实施有效保护。

(一）在数字化背景下理解和实践零信任

零信任是一种以资源保护为核心的网络安全理念，基于动态信任策略实施访问控制。零信任的实质是在“网络可能或已经被攻陷、存在内部威胁”的环境下，把安全能力从边界，扩展到主体、行为、客体资源，构建“主体身份可信、业务访问动态合规、客体资源安全防护、信任持续评估”的动态综合纵深安全防御能力。

零信任架构围绕身份、设备、应用与工作负载、网络与基础设施、数据几个维度，构建动态访问控制能力，通过统一管理平台，对用户访问应用、应用之间的相互访问、数据访问、特权访问等典型的企业访问场景进行动态策略管控。零信任也是一种持续演进的企业安全策略，在统一的企业安全访问框架下持续规划、构建和运营，持续的提升企业数据安全访问治理、访问可见性与分析、动态策略联动与编排的能力。

实施零信任的关键之一，在于把控制的执行层面从基础设施扩展到应用和数据层面，如果仅仅把访问控制的执行放在网络通道层面解决，就失去了实施零信任的初衷，没有从数据和应用角度进行细粒度的访问控制，这也是目前零信任实践中存在的普遍误区和问题。

事实上，美国政府对零信任的应用初衷，也是基于保护数据这一目标开展的，或者说零信任是美国政府在数字现代化道路上的一种策略选择。自 2019 年以来，美国军方、联邦政府不断加强组织对零信任的研究和推广，陆续发布了 12 项零信任相关报告、规划等政策及引导性文件，同时安排相关科研机构进行研究、实验，推动零信任进入快速发展期。

我国一些大型政企客户对零信任的应用，大多是始于各类数字化场景的需求，围绕业务和数据的动态细粒度防护展开，其技术成熟度已充分验证，在保护数据和应用方面，取得了很好的效果。例如，某部委基于零信任实施数据和业务访问的细粒度控制，大幅度降低对敏感数据的违规查询；某央企随着数字化转型深入，业务系统集中上云，基于零信任进行互联网出口收缩，增强整体防护水平；某大型银行大规模开展移动业务，基于零信任支撑移动办公常态化，实现业务支撑、降本增效和安全闭环。

在政策层面，零信任在数据安全领域的应用也得到广泛重视。2021 年 2 月，《北京市“十四五”时期智慧城市发展行动纲要》在第五项主要任务“把握态势、及时响应，保障安全稳定”中提出，“建立健全与智慧城市发展相匹配的数据安全治理体系，探索构建零信任框架下的数据访问安全机制。”将零信任作为北京“十四五”发展规划中的关键技术之一。

2021 年 7 月 12 日，工业和信息化部官网发布《网络安全产业高质量发展三年行动计划(2021-2023 年)(征求意见稿)》，在第二章“重点任务”的第 5 点“发展创新安全技术”中提出，“推动网络安全架构向内生、自适应发展，加快开展基于开发安全运营、主动免疫、零信任等框架的网络安全体系研发。”明确了零信任作为网络安全关键技术的定位、方向和作用，再次强调要加快开展基于零信任等的网络安全体系研发。

2021 年工信部大数据产业发展试点示范项目中，也有“面向垂直行业的零信任大数据安全访问平台建设及应用”“基于零信任的大数据安全保护体系”两个零信任项目入选。

综上，零信任是数据安全背景下的策略选择，在数字化背景下理解和应用零信任，可以充分发挥零信任在数字时代的安全价值。

(二）零信任动态授权体系能力

数据安全系统必须是内生安全系统，需要用“网络安全建设三部曲”：内生安全的理念、内生安全框架的方法以及经营安全做到动态掌控。而经营安全需建立“一中心两体系”，即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系，从而打造认知、安全、授权三个重要能力，“一中心两体系”的关系如图 1 所示。

图1 “一中心两体系”是内生安全框架落地的方法

网络安全态势感知与管控中心是大脑、四肢、武功的三合一，将认知能力落地。“大脑”是监管态势，“四肢”是运营态势，“武功”是攻防态势。态势感知与管控中心将监管态势、运营态势、攻防态势合为一体，能确保及时看到威胁、揪出威胁、阻断威胁。

网络安全防护体系是安全能力的落地，是对实体进行安全防护的关键能力。建立网络安全防护体系要实现能力、数据和人才的“三聚合”，即将安全能力和 IT 能力聚合、将安全数据和 IT 数据聚合、将安全人才和 IT 人才聚合。而“三聚合”的前提，是把安全产品“三化”：能力化、资源化、服务化。

零信任体系，即动态授权能力的落地。数据安全访问的痛点是信任问题，而动态授权体系是数字化时代解决信任问题的手段，通过在数据层面进行分类分级、在访问层面进行精细化访问控制的方式，“明确是什么部门的什么人、在什么地方、因为什么任务、访问什么数据里的什么字段。”

数据保护需要零信任架构与数据安全防护体系结合，做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”，确保合适的人、在合适的时间、以合理的方式，访问合适的数据，如图 2 所示。

图2 将“零信任架构”和“数据安全防护体系”相结合

构建零信任动态授权能力，需要对请求方的主体、响应方的客体资源、授权方的访问需求和策略进行抽象，建立一套全链路的纵深防御体系，关键举措包括以下四个部分。

基于数据安全治理成果，梳理响应方数据资源清单与属性，构建数据视图。进行客体资源治理，打上标签，作为数据资源属性；建立客体数据资源目录。通过大数据中台，对原始数据进行处理封装，数据封装成服务，供主体访问。

构建身份视图，梳理请求方人员、设备清单与属性，明晰数据访问上下文。从设备和用户身份认证开始，进行主体身份治理，采用实人认证、设备认证加强认证的强度，保证主体身份可信。

基于授权方需求，构建以资源为中心的统一策略管控体系。对应用、功能、数据的权限进行统一的管理，通过基于属性的访问控制机制进行精细化的业务合规控制，保证数据仅供其工作职责访问之内使用。业务规则使用自然语言方式进行描述，再转化为可以进行属性精细化描述的表述性语言。通过各种代理、服务、微隔离等进行策略的执行。

持续的信任评估与策略治理。采集主体环境感知数据(包括系统环境、网络环境、软件环境、物理环境、时间、地点等)，建立环境信任风险等级，同时还采集用户和应用行为数据，持续对访问会话进行评估，动态调整安全策略。

三、以工程化思维推进零信任安全架构建设

数字化转型和信息化演进都是长期过程，不可能一蹴而就，其伴生的零信任体系建设也非一日之功，需要结合信息化演进规划、安全现状进行妥善规划，逐步建设。理想情况下，可以通过将零信任能力内生到数据中台或数据仓库，但在现实条件下，从应用功能、应用程序编程接口(API)的细粒度管控出发，逐步推进，是一种较为合适的渐进式建设方法。

零信任动态授权能力建设，需要从实体安全、身份可信、业务合规三个目标出发，抽象出主体、客体、资源环境，通过动态评估主体的数字身份、安全状态和信任，结合数据安全治理的成果，进行动态细粒度授权及访问控制，逐步实现对应用和数据的精准管控，结合数据安全防护体系，做到“主体身份可信、业务行为操作合规、计算环境与数据实体有效防护”。

在实践零信任的过程中，需要切记安全从业者不再是一个旁观者，而是一个积极的业务共同建设者，通过同步规划、同步建设和同步运营全程参与到数字化建设中。要处理好零信任与现有信任基础、安全手段的关系，就要解决好建设信息化系统的各方在采用零信任体系架构时规划、协同的问题，并正确引导零信任安全规划和建设实施。

零信任在数据访问场景的实践，不能脱离目标和业务场景来看所谓的零信任产品和技术。事实上，零信任技术是由需要什么样的零信任能力来确定的，而能力需求取决于零信任应用的场景和企业安全策略，策略比技术更为关键，技术的发展驱动来自企业的安全策略。

数据安全体系建设之路只有起点没有终点，而基于零信任的动态授权体系会是一个不错的起点。零信任架构的出现是安全思维和业务发展融合的必然，其建设路径结合业务发展现状和需求，将零信任架构与数据实体防护相结合，从而构建更易落地、更为有效的数据安全防护体系。