【美創科技 薛愷】基于零信任安全模型的數據安全風險治理實踐.pdf

《【美創科技 薛愷】基于零信任安全模型的數據安全風險治理實踐.pdf》由會員分享，可在線閱讀，更多相關《【美創科技 薛愷】基于零信任安全模型的數據安全風險治理實踐.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、基于零信任安全模型的數據安全風險治理實踐演講人：薛愷 杭州美創科技股份有限公司 01.數據安全現狀02.風險治理新戰法03.實踐落地CONTENTSCONTENTS目錄數字經濟發展“十四五”數字經濟發展規劃：數字經濟是繼農業經濟、工業經濟之后的主要經濟形態，是以數據資源為關鍵要素，以現代信息網絡為主要載體，以信息通信技術融合應用、全要素數字化轉型為重要推動力，促進公平與效率更加統一的新經濟形態。八大重點任務優化升級數字基礎設施持續提升公共服務數字化水平充分發揮數據要素作用持續提升公共服務數字化水平大力推進產業數字化轉型著力強化數字經濟安全體系加快推動數字產業化有效拓展數字經濟國際合作面對風險的

2、思考高價值的數據資產復雜的數據生態系統不止入侵防御/攻防數據會流動且好流動開放的網絡環境、復雜的業務數據類型、信息融合和共享等挑戰給數據安全防護帶來了挑戰。如何實現多跨場景下數據安全管控，開展面向數據安全風險的感知、理解、計算、預測和防范的全過程研究變得更為迫切。風險治理-突破 認知有限 無法窮舉 動態變化 需要基于業務場景，對、流程、訪問、環境等多維因素進行相應的信任評估，通過信任級別動態地調整權限，構建動態自適應的安全防護閉環。靜態的被動式風險防護無法應對復雜的業務場景風險以資產和身份為核心的動態風險治理資產身份1.確認你是你2.確認你的訪問基于真實意圖1.定義資產2.定義敏感資產01.數

3、據安全現狀02.風險治理新戰法03.實踐落地CONTENTSCONTENTS目錄數據安全新戰法合規認知，根據法律法規對數據安全的要求，整理輸出適合本組織的數據安全制度流程和操作指南對數據進行梳理，對敏感數據進行發現定位、分類分級對風險進行梳理，采集日志，輸入風險分析模型，全面了解組織面臨的風險，有的放矢全面管控，結合數據分級分類的結果、針對已有風險，采取有針對性的保護措施，對于違規操作做到發現、預警、攔截持續監管，匯集安全日志，建設風險預警大屏；持續改進，結合安全控制點，定期自評，優化安全策略，對安全治理的成果進行持續改進知理控監動態風險治理路徑以資產為中心、以身份為邊界、以風險為界面資產身份

4、管理風險事件評估響應處置更新知識庫更新策略庫訪問控制引擎采動態變化的度量方法，將訪問主體的訪問行為隨著身份信息、訪問上下文及環境等因素進行動態評估，對每次訪問行為采用最小權限原則執行動態訪問控制解決了傳統靜態風險治理機制下，安全策略動態適應不的問題，提升了應對風險有效響應的能1.管理員定義好策略，策略下發到策略引擎2.每個資源請求都會經過策略引擎3.策略引擎給出一個放行、阻斷、脫敏等的響應定義誰在什么情況下可以訪問什么東西，以及不能訪問什么東西。必須界定每種可能的語境條件組合，以適應現實世界中不斷變化的條件。訪 問 控 制風險治理-訪問控制資產、身份動態驗證IP地址MAX地址設備型號操作系統數

5、字證書應用hash等靜態屬性設備上下文網絡上下文行為上下文時空上下文操作上下文動態屬性風險治理-動態評估風險治理-靜態轉向動態信任引擎1.信任引擎對請求和活動的風險進行評估，將這些風險評分傳遞給策略引擎2.策略引擎根據具體的策略決定使用哪些評分參與授權決策3.信任引擎可以為策略引擎做出正確的訪問判斷提供有力的支撐。靜態的訪問控制（策略引擎）轉向動態的控制風險治理-智能決策資產、身份的行為分析，如時間上下文，空間上下文等，監視上下文信息和活動，預測并建立風險庫/策略庫。智能分析身份信息人員、終端應用、帳戶網關數據資產中心引擎模型計算算法學習風險治理-動態體系數據清洗數據轉換數據匹配數據建模聚合/

6、分類分布式計算風險規則深度挖掘風險量化人員數據終端數據應用數據帳戶數據風險告警風險可視化風險治理風險評估風險響應數據收集數據處理數據分析規則引擎風險處置數據收集、分析完成后，反饋到策略引擎。策略引擎根據風險評分因子，進行動態策略調整，解決彌補策略引擎（訪問控制）策略部署難的問題。動態防護風險治理體系化建設 多層級響應 適應性動態風險 看見直接反應簡單響應條件反射簡單復雜響應復雜復雜響應人工干預應急響應恢復響應風險和響應事件的未來整體和局部邊界的開閉網絡的延展進化與突變全生命周期已知和未知資產身份行為數據上下文小概率管理結構化體系全生命周期適應性進化模式和突變特定性進化威脅情報風險治理安全的界面

7、發現、感知、看到、看見保護、檢測、響應全流量和日志采集|數據安全中心通過統一的數據安全中心構建三大跨域能力 適應性動態風險能力，通過策略的適應性進化，讓策略能夠隨著身份和資產的變化而不斷進化“看見”能力，需要能夠看見身份、資產、風險，實現復雜系統的可見性 多層級響應能力，包括封閉邊界，簡單響應，復雜響應，流程干預，應急響應，恢復響應等多個層級的響應能力01.數據安全現狀02.風險治理新戰法03.實踐落地CONTENTSCONTENTS目錄新一代安全架構數據庫OracleDB2MongoDBSQL Server資 產MySQLRDS人API接口應用賬戶終端SQL語句.Hive.身 份服務器終端服

8、務器美創動態脫敏端|能力靜態脫敏暗數據發現數據水印數據加密數據審計訪問控制準入控制安全審計事件溯源API安全網關數據防勒索動態鑒權漏洞掃描三方數據脫敏.治理云平臺風險庫知識庫資產身份入侵行為上下文治理策略引擎策略庫風險事件事件庫標準化數據標簽數據分類識別防御檢測響應恢復資產身份目標內部安全業務安全共享流動安全云安全外部安全終端完全連續性安全統一的云中心收斂各種安全業務差異性，云中心展現復雜業務邏輯，輕量級的端點快速適配各種場景；實現統一的資產治理、全域身份、風險模型、安全數據中心、自動化響應+輕量級快速擴展的端點數據流動場景風險治理實踐從數據訪問到數據流動的全過程對資產暴露面進行有效管控，并對數據流轉鏈路進行全面的風險監測，精準識別風險并進行有效的響應處置構建全時全域全面的數據流動風險監測與防護能力，讓數據在流動過程中實現現狀可知、安全可管、風險可視、事件可溯。