1、-1-（2023）零信任產業標準工作組和云計算開源產業聯盟零信任實驗室零信任產業標準工作組和云計算開源產業聯盟零信任實驗室 聯合發布聯合發布-2-引言1.數據安全面臨嚴峻挑戰12.零信任的定義和應用場景32.1 零信任術語 32.2 零信任常見的應用場景概述 43.零信任應對數據安全之道53.1 零信任和數據安全的關系 53.2 零信任視角下的數據安全風險63.3 零信任應對數據安全風險的關鍵點 74.零信任應用于數據安全合規104.1 國外數據合規的現狀104.2 我國數據合規的現狀104.3 零信任數據安全在合規領域的應用場景105.零信任應用于數據安全攻防135.1 零信任理念用于數據安

2、全訪問控制135.2 終端側數據安全保護135.3 數據傳輸通道安全保護155.4 敏感文件流轉過程信任控制165.5 業務訪問信任控制165.6 服務端側數據安全保護176.零信任數據安全應用需求場景196.1 金融證券數據安全管控場景19-3-6.2 證券行業零信任遠程安全接入場景216.3 電網行業多網隔離防護場景246.4 政務文檔跨部門共享數據防泄密場景296.5 關鍵數據識別與保護場景336.6 高科技行業零信任數據安全防護場景356.7 研發場景366.8 工業互聯網場景 406.9 遠程辦公場景 426.10 企業數據服務 API 安全防護場景 477.結束語52-35-1-本

3、白皮書版權屬于零信任產業標準工作組和云計算開源產業聯盟零信任實驗室，并受法律保護。轉載、摘編或利用任何其他方式使用白皮書文字或觀點的，均應注明“來源：零信任產業標準工作組和云計算開源產業聯盟零信任實驗室”。違反以上聲明者，我們將保留追究其相關法律責任的權利。編制人員：黃超、蔡東赟、宋磊、嚴益昌、郭雪、田旭達、鄭振宇、劉現磊、仇瑞晉、劉玉紅、王洋、黃施宇、孔松、劉海濤、蔡曉萍、王冠楠、吳倩琳、康雨辰、黃志旭、焦靖偉、趙華、李安倫、張亞京、王文波、黃瑞、張希禾、洪躍騰、朱偉、王彪、周潮洋、楊正權、張曉東、孫永飛、肖宇、楊志剛、何藝、李俊、劉昌峻、楊仕忠、張照龍、李永超、袁江、馬晉、李睿捷。白皮書在

4、編寫過程中，歷經概念策劃、提綱設計、內容起草、征求意見等階段，得到了諸多單位的大力支持，包括：騰訊科技(深圳)有限公司、騰訊云計算(北京)有限責任公司、中國信息通信研究院、招商基金管理有限公司、國金證券股份有限公司、北京信安世紀科技股份有限公司、廣東一知安全科技有限公司、北京持安科技有限公司、上海派拉軟件股份有限公司、中國軟件評測中心、長揚科技(北京)股份有限公司、北京數安行科技有限公司、綠盟科技集團股份有限公司、北京天融信網絡安全技術有限公司、江蘇易安聯網絡技術有限公司、北京芯盾時代科技有限公司、dromara 開源社區、北京棲安科技有限責任公司、成都域衛科技有限公司、上海觀安信息技術股份有

5、限公司、深信服科技股份有限公司、任子行網絡技術股份有限公司、天翼安全科技有限公司、深圳市網安計算機安全檢測技術有限公司，在此一并致謝。-1-2-“十四五”時期，我國數據要素市場體系將初步建立，數據作為生產要素的三次價值將全面發揮，推動數字經濟蓬勃發展。數據逐漸成為企業核心資產之一，保障數據安全成為重中之重。零信任能夠賦能數據安全：一是，通過數據分類規范化關聯關系，再通過數據分級實現數據防護策略的差異化；二是，通過動態訪問控制實現基于最小權限原則的數據訪問安全；三是，通過數據脫敏、加密、審計等技術手段降低數據泄露的可能性。零信任產業標準工作組和云計算開源產業聯盟零信任實驗室共同編寫的零信任數據安

6、全白皮書解答了零信任與數據的關系，零信任能夠為數據合規和安全攻防提供的價值，以及零信任在數據安全領域的應用場景，相信此白皮書能夠為關注零信任數據安全的各界同仁提供更多思路。未來，零信任在數據安全領域的發展定會愈發成熟，為用戶提供更優質的解決方案。中國信息通信研究院 云計算與大數據研究所開源和軟件安全部主任 郭雪根據國務院發布的關于構建更加完善的要素市場化配置體制機制的意見，數據已經被定義為繼土地、勞動力、資本、技術之后的第五大生產要素。隨著數字經濟的發展，數據的重要性愈加凸顯，數據安全的保護也變得越來越重要。作為通用的解決數據安全問題的方法論，騰訊已將零信任作為重要的安全戰略，并通過零信任相關

7、的技術研發和運營實踐，避免企業遭受 APT 攻擊或內部人員疏忽等原因造成敏感數據的泄露。未來，騰訊將繼續探索和實踐更多新的零信任數據安全技術，以助力企業實現高效、安全的發展。騰訊企業安全中心高級總監 蔡晨隨著數字化時代的到來，數據已經成為企業和組織的核心資產，而數據安全問題也日益凸顯。為了保護數據安全，法律法規提出了一系列嚴格的數據安全要求，其中包括加強數據分類管理、加強數據訪問控制和審計等措施。而零信任安全模型不僅能夠滿足數據安全的要求，還能夠有效應對當前的網絡安全挑戰。本白皮書旨在介紹零信任安全模型的概念、關鍵技術以及應用場景。-3-映射到騰訊公司自身的實踐經驗，騰訊是國內率先實踐零信任的

8、互聯網公司之一，2016 年便在內部上線，騰訊零信任 iOA 支撐了騰訊全球 10W+設備隨時隨地接入辦公，通過零信任的理念，在全場景、全階段，通過關鍵技術手段保障人、行為、設備的安全，最終保障數據安全，實現了安全零事故，并將 iOA 產品和能力輸出，推動零信任理念在中國的落地，獲得十幾大行業數千家客戶廣泛認可，成為了國內首個部署終端突破百萬的零信任產品。因此騰訊參與編寫的這本白皮書不僅僅是理論性的頂層設計，更是具備實用價值的落地指導。本白皮書的發布，為中國企業和組織提供一個更加全面、有效的數據安全保護方案，助力企業數字化進程的順利發展。騰訊安全總經理 王宇數據作新的生產要素，數據安全的重要性

9、不言而喻。數據全生命周期的全鏈條管控復雜、數據應用的場景需求多樣、數據訪問的主體不斷增加，動靜態數據的屬性多變，數據防泄露、防篡改、防濫用等安全挑戰不斷升級。關鍵是要抓住數據訪問管控這個“牛鼻子”，而零信任安全理念正是以數據資源為中心來思考如何做好持續、動態、細粒度的訪問控制，可以在數據安全保護工作中起到很好的作用。零信任產業標準工作組致力于推進我國零信任相關技術、標準、產業應用的規?；?、高質量發展，這次有機會聯合云計算開源產業聯盟零信任實驗室共同研究零信任在數據安全場景下的融合應用，希望能給業界帶來一些新的思考和實踐借鑒。在此特別感謝對于本白皮書做出貢獻的專家以及他們所在的機構。我堅信，只有

10、在保證數據質量和安全性的前提下，不斷推動數據共享開放，才能充分釋放數據價值；讓大家攜手，共同構建安全的數字世界。騰訊標準總監 代威零信任數據安全白皮書是一本探討如何通過零信任理念來保護數據安全的重要參考資料。隨著數字化時代的到來，數據已成為數字經濟發展的核心生產要素之一。-4-然而，數據安全風險不斷增加，數據泄露、非法竊取等問題嚴重威脅著人們的財產安全和個人隱私，傳統的安全防御手段已經無法滿足當今復雜的數據安全威脅。零信任則踐行持續驗證、永不信任的理念，利用用戶身份認證、訪問控制、數據加密等技術，建立可信環境感知機制，對數據進行了全方位的安全保障。本白皮書詳細介紹了零信任在實際應用中的各種場景

11、和解決方案，結合數據安全合規、數據安全攻防深入剖析零信任的安全價值，它的推出為保護數據安全、賦能實體經濟提供了指導，并為數據合規領域的研究者提供了寶貴的參考資料，推動了零信任理念在數據安全領域的廣泛應用。北京信安世紀科技股份有限公司高級副總裁兼 CTO 張慶勇在零信任領域8年的實踐過程中，我深刻認識到零信任在數據防護中的巨大價值。首先，零信任可以幫助企業實現主動防御。以業務資源訪問為目標通過可信驗證來對每一個請求進行識別，從而確保所有的請求和數據傳輸都是合法和可信的。其次，在零信任模式下，所有的數據流轉都需要經過嚴格的身份驗證和授權，并且每次訪問都會被記錄和審計，同時對傳輸過程進行加密，從而確

12、保數據的保密性和完整性。最后，在零信任模式下，每個請求都可以基人的身份來追溯，以及可以協調多組件進行聯動，從而更加靈活和高效地響應各種數據安全事件。綜上所述，我深信零信任將會成為企業數據安全防御的重要能力之一，也激勵到我從甲方投入到創業中成立了持安科技，而本書則是對零信任在數據安全應用上的理解和探討，未來一定會有更多基于零信任的數據安全解決方案。持安科技創始人兼 CEO 何藝（原完美世界集團安全負責人)數字資產作為數字時代的“石油”，確保數據安全的前提下，合理利用數據資源，挖掘數據價值已經成為全球共識。管的太緊，數據形成數字鴻溝；管的太松，數據又被濫用，數據權利者的利用頻頻遭到侵害。零信任產業

13、標準工作組&云計算開源產業聯盟零信任實驗室編寫的零信任數據安全白皮書，緊跟國內外前沿數據安全前沿需求和技術，通過零信任的先進理念，采用強制實施數據訪問控制、身份認證與數字沙箱隔離、數據加密、環境感知資源訪-5-問動態授權技術措施來融合保障網絡安全和數據安全，白皮書總結了多個行業數據安全的相關問題和在零信任解決方案下的應對之法，既滿足合規需要、又滿足網絡和數據技術發展要素的實踐經驗，為行業從業者提供了有價值的參考。長揚科技（北京）股份有限公司副總裁 汪義舟數據是數字經濟的核心關鍵要素，數據安全是數字經濟安全的核心。零信任作為數字化背景下的重要安全戰略，給數據安全帶來新的變革和機遇。零信任數據安全

14、將“永不信任、持續驗證”應用于數據資源，與數據全鏈路處理活動相融合，對數據流動過程進行安全監管，構建零信任數據安全防護體系。白皮書從理論到實踐，深入闡述了零信任的數據安全之道與價值理念。我相信，白皮書的發布將進一步推動零信任在數據安全領域的賦能，讓更多的組織受益。借此機會，謹向主導白皮書編寫的零信任產業標準工作組和云計算開源產業聯盟零信任實驗室以及全體參編人員表示衷心的感謝。北京數安行科技有限公司CEO 王文宇-6-7-如果把數據安全防護作為目標，那么零信任是實現數據安全目標的一種好的思路。零信任在誕生的時候，就摒棄了一些相對滯后、固化的安全思維，強調以數據保護為中心去思考安全風險以及安全機制

15、的建立。在應用零信任保護數據安全的過程中，諸多零信任技術又和數據安全技術相互融合、交織、互為補充。-2-3-在數字技術日新月異的發展趨勢下，數據已成為數字經濟發展的核心生產要素，是國家重要資產和基礎戰略資源。隨著數據價值的愈加凸顯，數據安全風險與日俱增，數據泄露、數據販賣等數據安全事件頻發，對個人隱私、企業商業秘密、國家重要數據等造成了嚴重的安全隱患。當前，數據安全已成為數字經濟時代最緊迫和最基礎的安全問題，加強數據安全治理已成為維護國家安全和國家競爭力的戰略需要。為此，國家高度重視數據安全的頂層設計：在相繼發布的促進大數據發展行動綱要（2015）、科學數據管理辦法（2018）、關于構建更加完

16、善的要素市場化配置體制機制的意見（2020）以及“十四五”規劃（2021）等政策中，均提出發展數字經濟、加快培育發展數據要素市場，應把保障數據安全放在突出位置的重要思想。同時，2021 年 6 月 10 日，十三屆全國人大常委會第二十九次會議表決通過了中華人民共和國數據安全法。作為我國數據安全領域內的“基礎性法律”和國家安全領域內的“重要法律”，數據安全法積極回應了時下國內外數據競爭和保護的關鍵問題，給企業數據經營合規以及進一步的數據資產化安全治理提供了指引。2022 年 6 月，中央全面深化改革委員會第二十六次會議審議通過了關于構建數據基礎制度更好發揮數據要素作用的意見，強調數據基礎制度建設

17、事關國家發展和安全大局，要維護國家數據安全，保護個人信息和商業秘密，促進數據高效流通使用、賦能實體經濟，統籌推進數據產權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系。2023 年 1 月，工業和信息化部等十六部門關于促進數據安全產業發展的指導意見指出“到 2025 年，數據安全產業基礎能力和綜合實力明顯增強。產業生態和創新體系初步建立，標準供給結構和覆蓋范圍顯著優化，產品和服務供給能力大幅提升，重點行業領域應用水平持續深化，人才培養體系基本形成”。2023 年 7 月，為加強中國人民銀行業務領域數據安全管理，中國人民銀行起草了中國人民銀行業務領域數據安全管理辦法（征求意見稿），面向

18、社會公開征求意見。由于數字技術促使數據應用的場景和參與主體日益多樣化，數據安全的外延不斷擴展，數據安全治理面臨多重困境。面對數據安全威脅日益嚴峻的態勢，著力解決數據安全領域的突出問題，有效提升數據安全治理能力迫在眉睫。組織/企業面臨的數據安全挑戰如下：(1)數據安全法律合規面臨挑戰-4-數據安全新監管趨勢對數據安全管理提出了新的要求，企業做好數據安全工作面臨著較大的合規壓力。以個人隱私數據保護為例，在現有隱私保護法規尚未健全、隱私保護技術尚不完善的條件下，網絡中個人隱私泄露管控難度高，如何管理好隱私數據，在保證數據使用效益的同時保護好個人隱私，是數據合規面臨的巨大挑戰之一。(2)數據信息泄露風

19、險在對數據進行數據采集和挖掘的時候，要注重敏感數據的安全問題，在不泄露敏感數據的前提下進行數據挖掘。應尤其考慮在當前常用的分布計算環境下，數據傳輸和交換時保障各個存儲節點的敏感數據不被非法泄露和使用。(3)數據遭受異常流量攻擊在大數據和云計算時代，攻擊流量呈現較強的針對性和復雜性，且攻擊時間很長。一旦攻擊成功，各類數據將遭到竊取，數據類業務將發生拒絕服務等故障，容易造成較大的安全隱患。(4)數據傳輸過程中的安全風險在數據傳輸的各個階段、各個環節，越來越多的安全隱患逐漸暴露出來。比如存在泄露、篡改、被流攻擊者非法利用等風險，同時數據在傳輸中可能出現失真失效等問題。(5)數據存儲管理風險在數據的存

20、儲平臺上，特別是大數據環境，數據量往往是非線性甚至是指數級增長的，各種類型和結構的數據異構存儲，容易引發多種應用進程并發、無序的訪問，造成數據存儲管理混亂，為后期處理帶來安全隱患。(6)數據訪問便利性和安全性的平衡性挑戰當今疫情下，企業的業務開展受限于遠程和非企業管控設備的接入等多元化需求，如何平衡保護企業數據的安全訪問和辦公效率將成為新的挑戰。-5-6-Forrester 的定義零信任(Zero Trust)是一個默認拒絕對應用和數據資源進行訪問的安全模型。通過對用戶和相關設備使用持續的、基于上下文環境的、基于風險驗證的訪問控制策略，只允許對網絡和工作負載的授權訪問，以實現對威脅的防御。注：

21、來源The Definition Of Modern Zero Trust Gartner 的定義零信任網絡訪問(Zero Trust Network Access，ZTNA)是一種圍繞應用的基于身份和上下文環境的邏輯訪問邊界產品或服務。應用將被隱藏無法被公開發現，訪問受到可信代理的嚴格控制?？尚糯碓谑跈嘣L問主體前，會驗證其身份、上下文環境和訪問策略以阻止惡意者在網絡里的橫向移動。通過去除應用的公開可見性可顯著的減少網絡攻擊面。注：來源 Gartner Glossary NIST 的定義零信任(Zero Trust)提供了一系列的安全概念和理念，在面對可能已被攻擊的網絡時，針對對信息系統和服

22、務的每一次訪問請求，通過執行精細化的、基于最小權限原則的訪問控制決策來最小化不確定性。注：來源NIST SP 800-207 Zero Trust Architecture CCSA 的定義零信任(Zero Trust)是一組圍繞資源訪問控制的安全策略、技術與過程的統稱。從對訪問主體的不信任開始，通過持續的身份鑒別和監測評估、最小權限原則等，動態調整訪問策略和權限，實施精細化的訪問控制和安全防護。注：來源零信任安全技術參考框架行業標準(報批稿)綜上可見，零信任的概念和思想在業界已形成了基本共識，零信任可以對所有網絡資源(數據)的訪問過程進行安全防護。對于零信任在數據安全保護中的作用，零信任概念

23、的提出者 Forrester 曾在 A PracticalGuide To A Zero Trust Implementation中描述到：零信任相比于傳統的邊界安全方案，從以網絡位置為中心逐步發展為以數據和身份為中心。無論數據位于終端、應用服務器、數2.1 零信任術語ZERO TRUSTTERMINOLOGY-7-據庫之中，無論數據在企業網絡內部或外部，無論數據是處于流動狀態還是使用狀態，都需要通過一定的技術手段，防止數據的泄露。這需要企業首先明確哪些數據是敏感的和高價值的，同時要全面了解數據的流動過程，并執行一系列安全策略。零信任數據安全的具體考慮包括：識別數據資產：盤點要保護的數據資產，

24、包括數量、類型、位置、價值（分級分類）等。識別數據流和風險：洞察數據全生命周期過程，并分析其受到的安全威脅。使用多種數據安全措施和技術：包括訪問控制、數據使用模式分析、數據合理處置、數據混淆、數據加密等。持續安全監測和調整：通過持續監測惡意行為和風險，自適應的調整安全策略，實現不同的響應手段?；貧w零信任的核心目標，就是聚焦于保護數據的安全，構建以數據為中心的安全體系。具體來說，如何保障數據合規、數據可用，避免數據的未授權訪問、數據泄露、數據篡改等是零信任數據安全需要重點關注的。零信任在所有需要對網絡資源（數據）訪問進行安全防護的場景中都可以使用，根據有沒有用戶直接參與，使用場景可以分為兩大類。

25、用戶對資源(數據)的訪問場景此類有用戶直接參與，常見于遠程辦公、遠程開發運維等。本場景下，如何驗證用戶身份的可信，如何確保訪問來源終端的可信，如何確認訪問主體是否擁有訪問資源權限需要重點關注。服務(數據服務)之間調用場景此類場景沒有用戶直接參與，常見于數據中心內工作負載上各類服務(微服務)之間的互相調用。本場景下，服務之間的調用關系拓撲可見性、調用權限管理、動態訪問控制策略等需要重點關注。2.2 零信任常見的應用場景概述OVERVIEW OF COMMON APPLICATION SCENARIOS-8-9-數據應該在用戶端設備、服務端應用程序和網絡上都得到安全保護。零信任的實施方應加強對數據

26、的分類分級存儲和使用，保護靜止和傳輸過程中的動靜態全域數據，并部署數據外泄檢測和響應等安全機制。數據安全治理框架和數據安全成熟度模型是經典的分析數據安全問題和構建數據安全能力的方法?；谶@些方法，企業可采用自頂向下的方式，圍繞數據的全生命周期，從組織建設、制度建設、技術工具以及人員能力方面，構建數據安全防護體系。在數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀的不同階段，落實相適應的數據安全技術管控目標和數據安全管控措施。從理論的角度來講，零信任可以普適性的用于數據安全保護工作。零信任的相關技術和解決方案面向各類數據對象，在數據生命周期的多個過程域、在數據所處的不同位置以及數據保護

27、的各個階段，全面支撐和保障著數據安全。3.1 零信任和數據安全的關系THE RELATIONSHIP BETWEEN ZERO TRUST AND DATA SECURITY-10-從零信任技術落地的角度，我們下文將重點從數據資源安全訪問的視角，重新審視與解決數據安全問題。零信任將所有數據資源都視為要進行管控的資源客體，且其處于人員、網絡、設備皆不可信的運行環境中。訪問數據資源的主體只有通過動態嚴格的訪問控制，才能夠訪問到數據資源。這種看待數據安全問題的方式更貼近企業數據安全防護的實際環境，且落地執行框架明確，有別于傳統考量數據安全的方式，是具有開拓和實踐意義的?；诹阈湃嗡枷霕嫿ǖ臄祿Y源安

28、全訪問控制措施，不拘于數據安全訪問措施的形式，而是以解決數據資源安全訪問問題為導向。其既采納了傳統數據安全領域的數據安全管控措施，也運用了“以身份為基礎，以信任為核心”的動態、嚴格的數據安全管控措施。零信任數據資源安全訪問控制措施是靜動態數據安全管控措施的有機結合體，能夠系統而有效的解決數據資源安全訪問問題。從數據的整個生命周期的安全防護考慮，零信任數據資源安全訪問控制措施并不能進行全面防護。零信任數據資源安全訪問控制措施可在數據的采集、傳輸、存儲、處理、交換五個階段提供數據安全防護。但應當注意的是，零信任數據資源安全訪問控制措施不能全面解決這五個階段的數據安全問題。其只是在解決數據資源安全訪

29、問這一核心問題時，整合引入了不同階段下傳統的一些數據安全管控手段?？傮w而言，零信任理念及其技術措施能夠廣泛地應用于傳統網絡安全、物聯網安全、數據安全等眾多安全領域。應用于數據安全領域的部分，并未超脫傳統的數據安全治理框架。其可視為在一定程度上，在數據安全治理框架下，重構了特定的數據安全問題分析以及解決方式。這將對確保數據處于有效使用和合法使用的狀態，以及保障數據處于持續安全狀態的目標提供有力支撐。隨著數字經濟的快速發展，數據已經成為基礎性資源和戰略性資源，是決定數字經濟發展水平和競爭力的核心資源。另一方面，近年來隨著企業數字化轉型，數據集中化、數據量大、數據價值高等特點的安全風險更加凸顯。數據

30、安全形勢日益嚴峻，高價值數據泄漏、個人隱私信息濫用情況突出，針對數據的攻擊、竊取、劫持、濫用等惡意事件頻發。根據 Verizon 發布的2021 年數據泄露調查報告可以看到，絕大多數的數據泄露事件是因為數據存儲、數據處理和數據交換這 3 個方面安全措施薄弱，主要面臨以下安全問題：3.2 零信任視角下的數據安全風險DATA SECURITY RISKS FROM A PERSPECTIVE-11-(1)參與數據資源訪問的主體復雜多樣。涉及到數據交互的主體可分為人和非人實體(BYOD、IoT 設備、應用程序等)，業務場景也從用戶訪問資源的場景拓展到泛終端訪問場景、應用訪問應用場景等，業務流程非常復

31、雜。(2)跨業務的數據調用大幅增加。傳統基于網絡邊界的安全防護體系無法對應用層跨業務數據交換，提供足夠的防護能力和細粒度的訪問控制。(3)數據訪問請求的人員可能來自不同部門或者外部，訪問的區域也從內網逐漸擴散到互聯網、云上等多種網絡環境，現有的數據安全防護手段難以判定數據訪問人員的身份可信度，默認信任訪問用戶。(4)數據訪問主體可能隨時隨地在不同的終端設備上發起訪問，現有的數據安全防護手段難以評估訪問終端的設備可信度，默認信任訪問終端。(5)訪問過程中，難以有效地度量訪問過程中可能發生的行為并進行持續信任評估，根據信任程度動態調整訪問權限。(6)缺少對敏感數據流動監控的措施，無法詳細審計敏感數

32、據被終端用戶訪問的情況，對可能存在的敏感數據泄露風險難以預警。零信任的目標是為了降低數據訪問過程中的安全風險，防止在未經授權情況下的數據訪問，其關鍵是打破信任和網絡位置的默認綁定關系。零信任數據安全防護機制是針對數據生命周期和數據流轉過程的，是貼合業務流程并動態調整的。零信任強調對身份和權限的動態管控，根據數據敏感度等級和數據訪問、使用過程中的安全風險情況動態調整訪問主體對數據的訪問權限，從而實現動態訪問控制。防護思路基于數據的全生命周期，依據實際業務場景將訪問主體、客體、環境(上下文)進行關聯，有針對性的設計安全防護措施。為數據訪問的安全防護提供更完善的場景化自適應能力，使企業數據的安全性得

33、到更大的提升。3.3 零信任應對數據安全風險的關鍵點KEY POINTS OF SAFETY RISKS-12-在零信任理念下，授權決策不再僅僅基于網絡位置、用戶角色或屬性等傳統靜態訪問控制模型，而是通過持續的安全監測和信任評估，進行動態、細粒度的授權。任何訪問主體(人/設備/應用等)，在訪問數據被允許之前，都要經過身份認證和授權，避免過度的信任；訪問主體對客體(數據/服務/網絡等)的訪問權限是動態的(非靜止不變的)并且分配訪問權限時遵循最小權限原則。在零信任理念下，資源訪問的過程中涉及到的所有對象(用戶、終端設備、應用、網絡、資源等)默認都不信任。在數據訪問過程中的動態決策包含對訪問過程中的

34、關鍵對象、訪問權限、上下文環境安全狀態因素，進行持續采集；訪問建立、訪問過程中會根據訪問策略做風險判斷，進行授權訪問或者實時阻斷。零信任對鑒權和安全狀態的檢驗是持續動態的過程，即每次對數據的訪問均重新進行鑒權和檢驗；同時獲取訪問過程中關鍵對象、關鍵上下文環境的安全狀態，判定訪問過程是否有風險；如果判定有風險的相關訪問，將及時采取降權、阻斷、告警、二次認證等防護策略。在數據安全傳輸方面采用 TLS 等雙向加密認證傳輸模式，即在訪問主體在向數據資源發起訪問請求時，必須通過雙向的交互驗證，實現端到端的加密，以此來提升網絡傳輸的安全性。默認情況下，數據資產對于未經認證的訪問主體不可見?；谙仁谛耪J證再

35、連接的機制，將數據資產完全隱藏到代理網關后面，實現默認不對外暴露數據資產，僅當訪問行為判斷是由合法的主體、安全的設備發起的，才允許連接到隱藏的數據資產。3.3.1 數據訪問權限最小授權3.3.2 數據訪問權限動態決策3.3.3 數據傳輸加密3.3.4 數據資源隱藏-13-零信任架構實現的資源隔離主要包含訪問主體與數據資源的隔離以及應用數據資源之間的隔離。訪問主體與數據資源隔離采用控制平面和數據平面分離的方式，默認情況下訪問主體無法直接訪問數據平面，而是需要采用先認證，后連接的方式，在通過身份認證、網絡環境感知分析確?？尚藕蟛旁试S對數據資源進行訪問和使用。應用數據資源之間的隔離可以通過微隔離等技

36、術實現，通過對東西向流量進行細粒度的管控，靈活劃分隔離域，從而實現對內部網絡中應用數據資源間的隔離，限制橫向移動攻擊。3.3.5 數據資源隔離-14-15-從國際上看，從 2018 年歐盟出臺 GDPR 開始，數據保護立法相對密集，對全球數字治理格局產生深刻的影響。相對于其他地區，歐洲地區 2021 年針對數據保護的處罰案例和罰款金額都占了約全球一半的比例。為了應對數字經濟的不斷發展，歐盟還在持續的對數據保護的規則進行完善，推出新的合規指南和法律規范，其今后的立法和執法仍將是各國數據保護工作借鑒的標桿。充分了解各國數據保護法規的現狀及立法執法趨勢，對于中國企業順利出海具有重要意義。從我們國家來

37、看，從 2017 年網絡安全法的施行開始，到 2021 年數據安全法和個人信息保護法相繼的生效和施行，三部法律法規構成了我國網絡安全和數據合規領域的基本法律規則框架，形成中國特色的三法并行的數據安全法律框架。三部法律雖然明確了中國數據安全、個人信息保護的頂層，但是在具體落地層面還有不少空白和規范細則需要完善。中央網信辦、工信部等多個部門針對熱點、重點問題，制定了相關的落地參考標準指南和規定，主要包含以下幾個重點方面：個人信息保護，移動互聯網生態治理，人臉識別技術，算法推薦，網絡安全評估，賬號管理等。部分省市根據自己的地區特點，也推出了相關地方數據管理條例，比如 2021 年深圳的深圳經濟特區數

38、據條例和上海的上海市數據條例，其他省市的地方數據條例也在陸續的發布和實施中。針對各級政府機關、企事業單位、企業所面臨的安全合規風險，零信任安全理念可以在多個方面提升網絡和數據安全能力，規避法律風險，保障信息基礎設施和用戶數據的安全。4.1 國外數據合規的現狀FOREIGN DATA COMPLIANCE4.2 我國數據合規的現狀CURRENT SITUATION OF DOMESTIC DATA COMPLIANCE4.3 零信任數據安全在合規領域的應用場景APPLICATION SCENARIOS IN THE FIELD OF COMPLIANCE-16-網絡安全等級保護是國家信息安全保障

39、工作的基本制度，是實現國家對重要網絡、信息系統、數據資源實施安全保護的重要保障。其中要求保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通訊。零信任應對方案：零信任體系中的端口隱藏技術，網關代理技術，先認證后連接的設計，均可以支撐和滿足等保測評的要求。特別是網關代理技術，把資源隱藏在安全代理的后面，根據安全評估結果進行最小化權限的開放，來達到設備受控、數據流受控的安全要求。關鍵信息基礎設施安全保護條例 中明確規定了運營者要對信息基礎設施的安全和穩定負責，強調了基礎設施的數據保密性、完整性和可用性，數據是安全防護的基石。零信任應對方案：零信任體系中的沙盒等技術，可以保護數據不泄露，對數據

40、進行全面的安全防護和生命周期管理，對外發數據進行有效的流程控制，嚴格把關數據出口。每年的網絡安全攻防演練工作，對信息系統基礎設施的安全要求提出了非常高的要求，但是各種應用系統的漏洞防不勝防，還可能遇到有些舊應用系統已經停止維護，無法及時進行漏洞修復的情況。零信任應對方案：零信任體系中的端口隱藏技術和安全隧道加密技術，能在這些場景下提供強有力的安全防護能力，保護應用系統不被發現、免受攻擊和數據不被竊取。個人信息安全規范國家標準中提出，生物信息、網絡身份標識信息、個人上網記錄、個人常用設備信息、個人位置信息屬于用戶個人信息，要加強保護。標準中還指出應采用校4.3.1 網絡安全等級保護的合規應用場景

41、4.3.2 關鍵信息基礎設備安全保護的合規應用場景4.3.3 網絡安全攻防演練的合規應用場景4.3.4 個人信息安全和密碼安全的合規應用場景-17-驗技術或密碼技術保證重要數據在傳輸和存儲過程中的完整性和保密性，尤其是個人信息數據的安全。零信任應對方案：零信任系統在實現身份的持續安全識別和分析時，可能會采集和使用到個人信息相關的數據，在涉及個人信息的全生命周期處理中都應加強關注這方面的合規性，通過技術手段(匿名化處理、傳輸/存儲加密、訪問控制等)和管理措施來加強安全防護和保障。零信任的原則之一是保障通信流量的安全，這就包括通信數據的機密性和完整性要求。因此對涉及用戶個人信息的數據傳輸過程，應注

42、意增加校驗技術、密碼技術，以及傳輸過程中的數據保密性。在密碼使用方面，建議滿足國密的相關要求，可使用 SM2、SM3、SM4等國密算法來實現。隨著相關法律法規的發布，企業數據合規能力肯定也會越來越完善，但數據合規不是為了應對執法，而是應該是創造更大的數據價值。隨著數據安全法的實施，國家對數據治理的布局思路也在逐漸的清晰，既要強調安全管理，在業務經營活動和運行時做到實質合規，也要強調合理利用好現有的數據資源，在合規的基礎上充分挖掘數據對于經濟和社會活動的價值。-18-19-企業在運營過程中的數據，會面臨黑客竊取和內部泄密的雙重風險。傳統數據安全防護是基于網絡邊界的安全防護模型抵御外部黑客的攻擊，

43、對內部人員攻擊和誤操作缺乏有效的監控手段，經統計發現數據泄露事件中無論是有意泄露還是無意泄露，內部人員占到了 60%以上。因此，想要建立完善的數據安全防護體系，只依靠傳統安全防護理念是遠遠不夠的。零信任相比于傳統的邊界安全思路，從以網絡位置為中心逐步發展為以數據和身份為中心。無論數據位于終端、應用服務器、數據庫之中，無論數據在企業網絡內部或外部，無論數據是處于流動狀態還是靜止狀態，都需要通過技術手段防止數據的泄露。其本質還是以圍繞數據安全為目標進行建設的，踐行持續驗證、永不信任的理念，通過對用戶、設備、行為、上下文環境等進行持續分析和安全校驗，在不可信的環境中，以兼顧安全和體驗的方式，實現資源

44、的可信任訪問。移動客戶端存儲的某些身份相關敏感信息是登陸后臺服務器時需要用到的關鍵信息，如果被黑客拿到這些信息會導致身份憑證的泄露。因此，移動客戶端的數據存儲安全、客戶端自身安全如何保障，是解決敏感數據安全風險的重要因素。a.為保證安全空間自身的安全性，需將其設置為獨立空間，該空間與系統層通過專用認證接口進行調用，實現安全空間與移動設備空間分離，防止非法訪問。b.安全空間應采用透明加密等機制，確保任何存儲于系統上的數據都受到有效的保護，避免被黑客進行靜態文件分析。c.安全空間運行時采用內存保護技術，通過擬化技術、內存加擾技術以及反調試技術進行實現，不以任何形式的明文出現在內存中。d.需要在移動

45、設備文件系統中，隨機創建多個錨點文件。防止攻擊者把整個應用程序的文件復制到其他移動端上，進行身份冒用攻擊。5.1 零信任理念用于數據安全訪問控制CONCEPT FOR DATA SECURITY ACCESS CONTROL5.2 終端側數據安全保護TERMINAL SIDE DATA SECURITY PROTECTION5.2.1 移動客戶端安全 本地存儲安全保護-20-a.應對 APP 客戶端進行加殼處理，防止破解者對程序文件的非法修改，同時也可以防止程序被靜態反編譯。b.通過對客戶端的各個組件都進行簽名驗簽的方式，保障客戶端的完整性。c.需要具備移動終端環境威脅感知能力，自動檢測移動端

46、安全狀態。業務信息系統應明確劃分安全域進行安全防護，安全域的防護措施須遵循域中數據的安全防護等級進行設置。不同安全域之間應劃分明確的信任邊界，安全域與安全域之間的所有數據通信應安全可控。對于不同等級的安全域之間的通信，應采取訪問控制措施禁止高密級信息由高等級安全域流向低等級安全域。處理數據的安全域應采取適當的隔離或密碼等措施進行保護。a.應根據安全域劃分情況，明確需進行核心數據安全防護的邊界。b.在明確的安全域邊界實施有效的訪問控制策略和機制。c.應根據終端業務訪問安全級別劃分，對終端采用隔離措施，隔離原則上采用底層隔離為主、上層隔離為輔，系統級隔離為主、桌面級隔離為輔，主要以終端虛擬化隔離、

47、虛擬桌面隔離等技術手段，選用隔離技術應能抵御未知病毒。d.應根據信息安全對抗技術的發展，在系統或安全域邊界的關鍵點采用嚴格的安全防護機制，如嚴格的登錄/訪問控制、信息過濾、邊界完整性檢查等。e.應對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。f.應對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷?？蛻舳俗陨戆踩?終端環境分域信任安全保護 終端環境邊界信任防護5.2.2 PC 端安全防護-21-a.應采用加密等技術措施，對終端上的敏感數據進行保護，并對加密數據做讀寫訪問控制，避免保留在終端上敏感數據被竊取。b.應啟動訪問控制措施，保護

48、終端上的敏感數據不被非授權訪問。c.存儲在終端的敏感數據導出時須履行審批，并在系統中可審計。d.對采用虛擬化技術的終端應進行相關技術防護，防止敏感數據泄露。e.存放有敏感數據的終端使用移動存儲介質時應進行嚴格的授權訪問控制。f.對下載到移動終端設備存儲區域的敏感數據，應采取加密等技術措施進行安全保護，防止存儲的信息被竊取。a.對訪問主體應采取數字簽名、時間戳等技術保障參與通信的雙方或一方對自己行為以及所做的操作(如文件創建、信息發送、信息接收以及批示等)進行部分或全部的信任控制。b.應通過多因子、黑/白名單等方式管理訪問主體使用的設備上的應用程序，對數據的出入站等相關信息進行控制審計。c.應通

49、過黑/白名單等方式管理訪問主體對網頁、FTP、P2P、即時通信等軟件的使用。d.a.數據傳輸網絡連接通道默認關閉，采用 SPA 單包授權等技術建立網絡鏈接。b.數據傳輸網絡連接通道應采用 SSL 或類似技術進行加密。c.數據傳輸網絡連接通道可采用證書認證方式，防中間人竊取或篡改攻擊。5.3 數據傳輸通道安全保護TRANSMISSION CHANNEL SECURITY PROTECTION 終端存儲信任保護 訪問主體身份和行為的統一治理-22-e.a.文件在網絡傳輸時，應采取密碼加密等技術措施進行保護，防止傳輸的信息被竊取，應對文件的外發行為進行審批、授權等控制。b.應對文件知悉范圍和權限進行

50、控制，限制閱讀人員、閱讀次數以及閱讀期限，并且不受網絡連通情況的影響。c.應使用數據加密等安全技術，對外發的文件內容進行安全保護。d.應對文件的外發行為進行審計，對違規操作行為進行報警。e.使用無線網絡傳輸文件時，須對傳輸中的文件采用動態加密技術等保護手段。f.文件如需通過內外部網絡傳輸時，須采用加密等技術手段，防止文件被截獲后被解密或被破解。g.應能夠檢測到文件在傳輸過程中完整性，并采取必要的恢復措施。a.訪問 API 接口時需通過身份認證。b.基于最小授權原則，對功能級和數據級進行細粒度授權。c.依據多維度風險感知，評估訪問的信任等級，動態匹配訪問控制權限，如：放行、二次認證、阻斷等。d.

51、對業務 API 全生命周期進行監控，對于有風險的訪問進行實時上報，作為零信任風險評估的因素之一。e.API 作為訪問連接的重要組件，需要具備超時重試、流量控制、熔斷機制、負載均衡等安全保護能力。5.4 敏感文件流轉過程信任控制PROCESS TRUST CONTROL5.5 業務訪問信任控制BUSINESS ACCESS TRUST CONTROL-23-f.應用前置區實現應用前置的發布及應用安全防護，其中應用前置由業務相關部門負責開發部署。該區域主要部署 WAF 等應用安全檢測類系統，對應用前置的訪問流量進行檢測過濾，實現 Web 應用攻擊防護、非授權訪問防護、惡意代碼防護、應用合規性審計等

52、防護。用戶接入區實現應用訪問控制、環境數據采集及敏感數據隔離；主要部署可信代理控制能力，具備代理轉發、單點登錄、訪問控制、二次認證、流量加密等功能，通過可信代理控制服務完成訪問主體的可信認證，實現應用的訪問控制及通道安全。環境感知通過終端側部署安全 Agent，采集用戶終端設備屬性、可信環境信息，實現對終端可信環境的狀態和變化的實時感知。具體如下：可信環境感知系統，具備安全狀態可信環境感知能力，能夠采集終端上的各種安全狀態信息，如漏洞修復情況、病毒木馬情況、危險項情況、安全配置以及終端各種軟硬件信息。具備設備識別、終端保護、自我保護、安全狀態感知?？尚怒h境感知系統用來識別用戶登錄設備，獲取物理

53、終端、云桌面安全狀態，并根據安全狀態進行安全等級評估，能夠將安全等級信息實時傳送給可信代理控制服務，當環境信息不符合要求時，通過可信代理控制服務進行風險傳遞，并對用戶終端訪問的應用、API 接口進行實時阻斷?？尚怒h境感知采用“可信加權”原則，將所有風險項產生的權值進行相加，可以用百分制、不同權值制定相應的安全策略?？刹捎媚０宓姆绞絹矶x終端的可信程度，該模板由管理者根據自身的情況進行自定義。5.6.1 服務應用前置區5.6.2 終端用戶接入管控5.6 服務端側數據安全保護SERVER SIDE DATA SECURITY PROTECTION5.6.3 環境感知信任-24-5.6.5 可信訪問

54、控制臺接口訪問區實現對應用接口的動態訪問控制。主要部署可信 API 代理具備請求代理轉發、流量管控、訪問控制、API 熔斷機制、流量加密等功能，為應用或服務間的 API 調用提供代理轉發，減少 API 接口服務的風險暴露面，通過可信代理控制服務完成 API 接口的可信認證，實現 API 接口的訪問控制及通道安全。應用 API 接口的訪問控制能力通過可信 API 代理實現：可信 API 代理示意圖可信訪問控制臺服務具備對可信接入代理、可信 API 代理集中配置管理、集群管理、連接會話管理、風險響應等功能，對接零信任體系的認證服務、權限管理服務及安全管理中心的業務安全策略控制，實現對可信接入代理、

55、可信 API 代理的管理及控制指令的下發。5.6.4 接口信任訪問-25-19-6.1.2 現狀和問題對于一個企業主體而言，數據的產生一般分為兩類，一類是外部輸入型數據，一類是內部產生的數據。具體到基金行業，外部輸入型數據一般包括但不限于：一是客服系統接收的數據，這里主要是對客過程中解決問題交互需要的諸如截圖、網頁鏈接、文檔、視頻等非結構化數據；二是直銷平臺在注冊過程中需要客戶上傳的證明個人身份信息的文件；三是由第三方機構互聯所產生的數據，這里又分為通過專線傳輸的數據和通過互聯網傳輸的數據。內部輸入型數據一般包括但不限于：一是研究分析數據，這些數據一般都是基于外部輸入型數據由基金行業內部專業人

56、員結合自身專業能力和系統生成的分析型數據；二是交易類數據，這類數據是非常敏感的，可謂是“紅線”中的“紅線”；三是公開數據，基金公司運營情況需要根據監管要求，進行公開披露的，這類數據也不得擅自篡改。目前對于大多數基金公司而言，在數據安全方面，基本都做了各種數據備份工作，例如針對數據庫的在線和離線備份、針對文件服務器的在線和離線備份、針對虛擬機的在線和離線備份等。而針對把數據本身作為攻擊手段的行為，以及數據的防篡改、防嗅探、數據本身的使用是否合規合理、數據的流轉是否合規合理等這些方面的治理成熟度的提升還有較大空間。具體來說，對于外部輸入型數據(除了通過專線輸入的數據認為其可信度較高外)，如何對這些

57、數據進行安全管控，如何能夠讓消費方放心的使用這些外部數據，是一個有待解決的問題。目前較為常用的做法有幾類，一是通過諸如 WAF 的方式對輸入的非結構化數據 進行過濾，該方式對規則的依賴比較嚴重，容易被繞過；二是通過諸如文件沙箱類的方式對交互的數據進行過濾，該方式由于串行效率太低，大多采用并行部署模式，這樣就只能做到事后發現，無法起到事前攔截的效果，同時對于一些可以反向鏈接并且能自我復制的木馬是很難應對的；三是自研安全控件，這種方式成本高、見效慢，需要投入較多的人力到非功能性需求的開發中，對于大多數基金公司并不適用。對于內部輸入型數據，面臨的數據安全問題是圍繞數據的生命周期展開的，主要分為幾個方

58、面：一是數據是由哪個系統在什么時間產生的，這個數據被生產出來的原因是什么；二是數據被生產出來后，這些數據該通過什么樣的授權方式給下游系統使用；三是下游系統消費這些數據后，是否有新的數據產生，原始數據是否會被篡改；四是數據是以什么樣的方式6.1 金融證券基金數據安全管控場景REMOTE ACCESS AND CONTROL SCENARIOS6.1.1 背 景-20-被消費的，例如是通過 API 調用、數據同步等；五是數據在傳輸過程中是否有被篡改；六 是如果數據在傳輸過程中被嗅探了，該如何防范；七是數據的消費者是否會污染上游數據。當出現疑似數據問題時，數據的消費者往往不知道自己使用的是“幾手”數

59、據，這個數據是否被篡改過，只能“人肉”的找上游，以此類推，沒有一個清晰的數據生命周期脈絡(結構化數據有做血緣分析，相對好些)，效率非常低，影響業務正常運行。更有甚者，由于各種原因，在使用上游數據時，還會對上游數據修改，導致上游數據被污染，從而又污染到其他下游消費者。針對上面提到的問題，考慮從以下幾個方面來解決內部數據輸入帶來的一些問題，一是通過在 CMDB 中建立數據實體模型，該模型能夠記錄數據整個生命周期中相關節點的信息，例如生產者、生產時間、數據屬主、用途、下游消費者、數據主要提供服務的載體(數據庫、文件服務器等)、提供服務模式(API 調用、數據同步、文件交換等)、提供服務時間等；二是在

60、數據的使用上，對于能夠提供數據服務接口的場景建議通過 API 調用的方式使用數據，將數據服務通過 API 的方式發布到 API 服務網關上，在 API 服務網關上引入 IAM 與 SDP 的零信任思路對API網關進行改造；對于不能提供數據服務接口的使用統一的文件同步傳輸平臺，對文件的流轉進行全程留痕操作，這樣有利于排查文件是否真正的被傳輸過，可以實現防抵賴的效果，并且通過文件同步平臺具備的文件流向控制能力可以避免原本使用文件掛載方式帶來的雙向數據污染問題；三是對于重要敏感的數據，一方面對其應用系統日志進行監控，若發現敏感信息進行報警，另一方面對其數據傳輸鏈路進行加密處理，防止數據被嗅探，最后對

61、于提供重要敏感數據的 API 接口調用頻率以及時間段進行監控，例如在非交易時間調用這類 API 接口會觸發報警機制?；谝陨系慕鉀Q思路，可以實現對基金行業多數的外部輸入型數據和內部產生數據全生命周期使用的授權、監控、追溯與防抵賴，可以從數據在企業內部產生那一刻起，有效的監測和管理數據都被那些應用系統以什么樣的方式進行了消費，在哪個節點發生了修改。從而可以從數據安全的角度，減少對敏感數據的“不正當”使用，進一步降低公司面臨的數據合規風險。6.1.3 解決思路6.2 證券行業零信任遠程安全接入場景REMOTE SECURE ACCESS SCENARIO6.1.4 方案價值-21-6.2.1 現狀

62、和問題隨著證券行業信息化發展，越來越多員工通過移動筆記本電腦或者家用 PC 開展移動辦公，比如：在家通過互聯網進行 OA 辦公、流程審批、公文處理、通告查詢、業務處理，營業部員工上門展業，遠程訪問公司內網系統等，雖然遠程接入大大提高員工辦公效率，但是同樣帶來諸多安全風險。由于遠程辦公的應用必須依賴互聯網環境，而辦公的業務系統全部部署在不同的數據中心，終端的接入必須依賴這些業務系統暴露在外的IP和端口或通過VPN來訪問，并且會隨著業務系統的數量和復雜程度成倍增加，勢必對網絡接入側的安全和管理造成極大風險，很容易被不法分子通過各類攻擊手段造成“破壞”。同樣，對于上述業務的載體臺式機、筆記本、PDA

63、 等，由于設備大多是個人設備，運行和存儲在個人設備的文件數據難以得到有效保障，很容易將核心的文件、數據通過復制、下載、轉發、打印等方式泄漏至本地或被不法分子遠程竊取。IT 運維人員通過終端在公司網絡之外進行應急維護時利用 VPN、堡壘機、VDI 等遠程接入系統，完成對后臺服務的運維工作，在業務和運維量少的情況下，問題還不是很突出，隨著業務和信息系統的建設增加，問題越發突出，主要表現為：用戶操作體驗較差，傳統SSLVPN 方式，本身存在對資源的占用，業務處理強度高、并發大的情況下，運維效率就會降低，操作過程有延時、系統響應慢，登錄過程繁瑣，且無法監控遠程移動終端的系統環境狀態和真實用戶身份。-2

64、2-另外，通過 SSL VPN 方式接入系統，會在互聯網側暴露 TCP 端口，不僅業務系統的安全性存在安全隱患，傳統 VPN 設備自身的安全性也不能得到有效保障，因為其自身就會存在 TCP 端口的暴露問題。業務必要性：隨著證券移動業務的建設和發展，傳統的證券業務重心發生了由內向外的轉移。近年來，券商加快數字化轉型，利用金融科技等新興技術快速建設了大量新的信息系統。為提高辦公作業的效率、用戶的體驗，基于互聯網的遠程辦公、運維就變得必不可少。尤其疫情以來，居家辦公成了大部分人的常態，大家也習慣了在家通過自己的移動終端為客戶進行業務辦理、內部辦公，IT 遠程作業運維都變成了遠程訪問接入不可或缺的需求

65、。安全必要性：基于上述原因，遠程作業同樣給安全帶來了極大的挑戰。業務的開展需在互聯網的環境下通過終端載體來完成。此時，需在互聯網側暴露有端口才能保障業務的正常進行。而隨著業務的增加，暴露的端口也會增加，這極大的增加了系統的安全隱患，勢必遇到如端口掃描、DDoS 攻擊、重放攻擊、暴力破解、0day 等攻擊風險。合規要求：對于遠程辦公的互聯網暴露面的收斂，以及終端數據防泄漏問題，不論是從安全合規管理、互聯網資產暴露面收斂、還是應對未來的攻防演練角度來講，都應不斷提高自身安全屬性，提高安全管理能力。終端環境的碎片化，對證券業務系統的數據防護和訪問合規性也帶來了更大的挑戰，如：遠程辦公產生的敏感文件、

66、暴露的管理數據等很容易通過復制、分享、打印、提權 PC 操作系統等方式將這些內容外泄，導致安全和合規風險。通過零信任遠程接入場景主要解決證券行業移動辦公業務應用安全、互聯網暴露面的保護和數據資產安全的問題。通過建立統一接入平臺，提供接入管理、資源訪問控制和應用管理等功能，將分散的移動安全管理整合在一起，降低管理復雜度和成本、提升用戶的 IT 管6.2.2 建設零信任架構的必要性6.2.3 方案效果-23-理效率。將用戶管理、認證授權、資源配置、訪問策略、統一安全接入和輕度數據保護等管理，幫助證券公司實現不同業務、不同安全等級的細粒度安全管理需求。解決方案可以實現安全接入、應用管理以及擴展的移動

67、端安全服務能力，實現從數據到網絡的全面保護，平臺架構可實現如下：集約化集約化建設移動安全管控平臺，針對不同部門、不同應用、不同場景，統一規劃一套安全管控平臺，降低公司安全投入成本，統一安全標準和訪問策略；微服務架構平臺軟件基于微服務架構，可根據實際業務情況靈活拆分部署。通過虛擬化應用實現性能的橫向擴容；-24-基于零信任模型的安全保護安全網關基于零信任模型實現，以基于身份的細粒度訪問代替傳統的 VPN 網絡接入公司統一身份認證平臺，為用戶提供安全可靠的訪問業務系統方案。同時對于授信用戶實現終端綁定認證、企業微信掃碼等一站式認證方式，提升員工訪問的體驗；對于訪問敏感數據的應用系統時，通過終端的沙

68、箱及網絡攔截技術，實現敏感數據不落宿主機，從而實現終端數據隔離。當沙箱內的應用啟動，完成沙箱化的過程中，該應用的一切文件操作行為，都會被沙箱管理驅動和重定向引擎所接管，重定向至不可見空間，保證了不可見空間數據與個人可見空間數據的隔離以及數據安全性。靈活部署平臺可以虛擬化形式部署在傳統數據中心，也可以直接部署在公有云上。與公司具體業務應用場景相結合，平臺客戶端與平臺身份認證綁定，實現安全接入、應用管理、設備管理以及擴展移動端安全服務能力。隨著電網信息化程度的提高，網絡應用的不斷擴大，業務的開放性和信息的保密性越來越矛盾，信息安全威脅越發凸顯。由于網絡結構的復雜度不斷地發展，信息安全面臨的挑戰和實

69、際需求也在持續的升級，信息安全由被動安全向主動防御快速轉型?；谛畔踩膽鹇灾匾?，國家主管部門對不同行業的網絡安全建設分別提出諸如涉及國家秘密網絡與互聯網物理隔離、辦公網/商密網與互聯網安全隔離。等級保護、分級保護等標準指導要求，以確保國家秘密、商業秘密和敏感的重要信息不被泄露。國家工信部、國資委等部門近年來，多次要求國有企業，特別是電力、石油、電信等重要行業，盡快建設商業秘密網，與互聯網必須完全隔離。電網集團，目前普通信息區網絡上大多運行了多個業務系統，如：OA 系統、辦公系統、其他內部使用的業務系統等等，里面有大量的商業秘密，而普通辦公區網絡與互聯網是不隔離的，隨時都有商業秘密泄密事件

70、發生的可能。但是辦公網和互聯網的隔離，按照傳統的辦法只有進行物理隔離，也就是建設兩套物理網絡，一套專門用于綜合網，一套用于互聯網訪6.3 電網行業多網隔離防護場景ISOLATION AND PROTECTION SCENARIOS6.3.1 背 景-25-6.3.2 現狀和問題問。物理隔離的最大的問題是投資巨大、施工復雜，巨大的經濟壓力使得企業對物理隔離的解決方案難以抉擇。而迫切需要尋求一種新的多網隔離解決方案，不需要投資大量的物理設備，就可以形成兩套甚至多套相互隔離、相互獨立的網絡；實現業務專網(綜合辦公網)和互聯網的隔離，杜絕商業秘密泄密事件。業務專網的規劃與隔離：集團公司和各分公司具有的

71、商業秘密的信息系統，全部部署業務專網，將業務專網與互聯網進行隔離；業務專網的安全接入：對于出差等移動接入業務專網的用戶，和通過專網接入的分支機構，部署安全接入方案，要保證接入終端的安全和傳輸過程的安全；核心內網的改造隔離：對除生產網之外的營銷網、監控網、公共設備管理區、核心數據安全區域的核心內網進一步進行隔離，使各個網絡之間形成不同的隔離網絡；核心終端數據傳輸加密：核心網絡中的終端進行數據傳輸要采用加密。通過以上場景分析，電網集團多網隔離需達到以下建設目標：構建電力業務分級安全域針對內網辦公用戶和自有營業廳網點終端，通過多網隔離系統進行安全加固建設，安全接入隔離網關實現終端準入，再結合文檔外發

72、管控系統，安全、快捷、高效的構建業務安全域。依靠對其現有網絡和 PC 機終端對其進行虛擬隔離改造。通過在終端上部署多網隔離系統，將計算機終端虛擬成兩臺虛擬環境，一臺用于訪問互聯網，稱之為“互聯網虛擬機”，另一臺訪問業務網，稱之為“業務專網虛擬機”。根據業務和安全要求，不同的虛擬機有不同的安全策略，可對其進行統一安全管控。建設核心網再分離隔離通過在各個核心網終端上面安裝多網隔離客戶端，使終端在多網隔離后臺控制下只能訪問終端指定的核心網業務，比如終端為營銷網使用終端則只能訪問營銷網，其他如監控網、公共設備管理區、核心數據安全區域也只能訪問對應網絡區域，通過多網隔離后臺可以對核心網各區域終端進行管理

73、、審計、防護。業務現狀 建設目標-26-建設不同安全域的外設管控針對不同的虛擬隔離環境，支持設備和細粒度的權限控制，提供全面的終端外設的訪問權限管理，包括 USB、串口、并口、藍牙、紅外、軟驅、光驅、PCMCIA、外接存儲器等接口的使用權限。建設電力信息數據安全流轉系統通過部署多網隔離文檔外發管控系統能對需要外發的信息數據及文件進行有效控制，傳輸過程全程加密，只有被授權的人才能打開該文件，并且對打開次數、時間、是否可以編輯、有效期、是否可打印等都能夠進行控制。依據零信任的思想，構建多網隔離的智能防護系統，讓電網集團在基于已知網絡環境不增加硬件設備的基礎之上，通過系統級虛擬化隔離技術、虛擬網絡技

74、術、透明加密技術、操作系統整體加密技術、外設管控技術、網絡管控技術、主機審計技術等構建一個或多個獨立、隔離的虛擬網絡平臺，將集團的核心業務數據與其他需要保護的核心資產納入到該虛擬網絡，形成核心數據安全域，不同的核心安全域能達到物理隔離的效果，同時又不改變電網用戶現有使用習慣，可防止內部泄密、外部攻擊和文件流轉管控，可動態組網、分組等功能，虛擬網絡平臺能夠為集團不同要求安全層級環境虛擬出不同的、完全可控的隔離封閉環境，對終端用戶進行多因子認證，在內部人員辦公電腦上構建出不同級別的工作隔離環境，包括運行的程序、文檔、都是隔離、受管控和審計的，從而徹底隔斷外部不同安全層級的病毒入侵和內部業務數據對外

75、交互安全問題，核心功能如下：采用下沉式終端虛擬化隔離技術，將一臺物理終端計算機隔離成多個不同的業務環境(業務虛擬機或虛擬桌面)。不同的環境相互隔離，獨立運行，可以設置不同的網絡訪問策略、不同的安全管理策略，用于訪問不同的網絡、處理不同安全級別的業務?？梢愿鶕枰?，在原有的物理網絡上，通過網絡虛擬化技術，迅速的組建出適應不同安全級別的業務虛擬網絡。把普通信息區終端虛擬出業務隔離環境和互聯網隔離環境，分別用 總體描述 終端一機多用 網絡安全隔離6.3.3 解決方案-27-于訪問業務網和互聯網。不同的網絡訪問控制策略，就好像在同一套網絡中建立的虛擬的兩套網絡，這兩套網絡具有獨立的網絡邊界，建立相互隔

76、離的業務環境。從終端流入流出的所有網絡通信和數據包均要經終端級防火墻，從而保護終端免受非法用戶的侵入。終端防火墻可以控制本地入站和本地出站；可以進行 URL 訪問控制，配置 URL訪問規則；可以針對 IP 網段、ICMP/UDP/TCP 協議、端口進行網絡訪問控制。(1)終端的文件安全可以將各個虛擬環境的文件和真實物理機的文件進行安全的隔離，使得它們完全的獨立，對任意一個虛擬機文件的操作，都不會影響到其他的虛擬機的相同文件。另外，還可以通過后臺的管理服務器進行配置，來控制是否允許虛擬環境用戶查看或使用真實的邏輯磁盤、文件等。(2)虛擬終端的數據交互權限目標可以靈活的管理各個虛擬終端的數據交換權

77、限，包括：是否允許數據導入不同安全級別的業務環境、是否允許數據導出集團網；是否允許不同的虛擬隔離環境之間通過復制、粘貼的方式，來相互拷貝文件；同一臺物理終端上的虛擬環境之間，可以通過策略對文件、數據的交換進行嚴格控制，控制的策略包括完全禁止、允許單向交換；不同終端上的虛擬環境，當移動存儲設備端口封閉后，僅能通過安全加密 U 盤進行數據交互。(3)審計備份提供完整的日志管理，可對登陸過后臺的賬戶所做的所有操作，以及外發文檔的所有操作進行日志審計，便于監督檢查和事后追溯。(4)多種密級管理可以自定義多種密級管理，如：核密文件：密級功能設置為全方面保護，多人審批；內部流傳文件：密級功能設置為不加密；

78、無需審計：密級功能設置為不上傳。數據安全交互-28-日志審計 終端準入控制(5)多種審批方式根據業務需求、密級等級可以分為多種審批方式，各種密級可以采用不同的審批方式：多級審批、一級審批、單人審批、多人審批。按照用戶意愿制定適合的的審批方式。實現終端的準入控制，具有不需改變網絡的特性，并能夠結合用戶已有的交換機、殺毒軟件、AD 域、LDAP 服務器等，實現“入網-在網-出網”的整體化流程。能夠達到“違規不入網、入網必合規”的管理規范。具有完備的日志審計功能，可以審計后臺管理員的操作行為；可以審計終端軟件安裝情況、遠程維護日志、漏洞修復日志、文檔擺渡日志。建設多網隔離的最終目的是保護敏感數據安全

79、，建設的核心思想是將安全等級較高的業務應用從安全保護不夠的網絡環境和計算環境中隔離出來，此方案有以下幾方面綜合價值：a.多維度的安全管控：一個企業的數據安全一定是全方位的安全，安全建設遵循木桶效應，一個企業的安全保密建設高度取決于企業安全管控最弱的管控點。b.終端系統級隔離強度：多網隔離的核心是終端隔離，隔離的效果取決于終端隔離得徹底不徹底，建議廠家在選型產品時從這方面重點考慮，選用一些系統級的隔離方案，如：在不同的環境里裝不同操作系統的隔離方案。c.不改變現在辦公終端的使用習慣：一個好的安全產品既能實現安全管理目標，又能盡可能不改變用戶使用習慣，不增加額外運維成本，使用改變較大，會大大增加培

80、訓成本和后期運維成本同時還會降低工作效率。d.終端軟件 100%兼容：多網隔離改造的核心在終端，用戶終端上安裝軟件非常復雜，方案需全方位兼容終端軟件。6.3.4 方案價值-29-用戶身份和權限問題6.4.2 現狀和問題政務文檔跨部門共享的本質是實現多部門主體間數據的雙向流通，目的是通過多部門主體間的數據共享融合，釋放更大的數據價值，達到 1+12 的效果。政務文檔跨部門共享打破數據孤島，將出現訪問入口和訪問人數增加，發散政府內外網的訪問邊界，各部門員工辦公不再收斂于固定場所，無論在家、在辦公室、在車上還是出差在外，都可隨時隨地使用便攜終端登錄到自己的辦公站點處理事務。政務文檔跨部門共享給政務員

81、工的工作帶來了很大的便捷性，提高了辦公效率。文檔跨部門共享給工作帶來便利的同時也存在數據安全風險，政務文檔跨部門共享當前尚無明確的數據安全保障機制、責任劃定制度，“緩存庫”、“黑產數據”、“敏感數據泄漏”等安全事件層出不窮。據多方專業研究報告顯示，超過 60%的安全問題是由內部泄密引起。從訪問過程來分析存在的泄密風險，主要包括四個方面：用戶身份和權限問題、數據的安全流動問題、訪問終端和業務系統的安全防護問題、用戶的行為審計事后追溯問題。內部泄密一個很關鍵的因素是部分用戶賬號的訪問權限過大，一是在職人員的賬號權限未做嚴格梳理和動態調整，二是已離職的人員賬號未做及時的停用注銷，這些問題都會增加數據

82、內部泄密的風險。同時，雖有相關的安全管理制度，但賬號借用現象依舊存在，缺少相關的技術手段進行規避。文檔跨部門共享后，業務的便捷性不言而喻，但文檔特別是包含敏感數據的文檔的安全流動是需要重點考慮的問題，怎樣保障敏感數據文檔可控的安全流動？如何實現重要文檔不泄露？現有很多技術手段無法完全杜絕通過下載、緩存、截圖、復制、另存等方式將數據落到本地，同時也缺乏相應的泄密震懾和追溯手段。6.4 政務文檔跨部門共享數據防泄密場景CROSS DEPARTMENTAL SHARING OF GOVERNMENT DOCUMENTS TO PREVENT DATALEAKAGE 文檔的安全流動問題6.4.1 背

83、景-30-6.4.3 解決方案訪問終端若存在安全隱患或者被攻陷，用戶訪問業務系統過程中很有可能無意會導致數據泄密，同樣，若業務系統的安全防護存在漏洞，整個服務端的數據存在被內網或者互聯網入侵攻破的風險，造成數據泄密。雖然政府內外網的安全建設按照等保三級的分區分域思想建設，但單位內的安全防護措施有可能會造成信息孤島，安全設備堆疊、各自為政，無法有效發現風險。文檔跨部門共享后，若無用戶操作行為審計的技術手段，當出現內部泄密事件時，無法快速定位出泄密人員和泄密范圍，應急響應措施將會失去方向，可能會進一步加劇泄密帶來的損失或者法律風險。本次方案重點是解決政務文檔跨部門共享場景下政府內部員工安全訪問業務

84、系統、敏感數據防泄露的訴求。解決方案拓撲簡圖及各個組件交互信息如下圖所示：訪問終端和業務系統的安全防護問題 用戶的行為審計事后追溯問題-31-6.4.4 方案價值解決方案主要由零信任產品和文檔云產品組成。零信任產品組件包括安全瀏覽器、零信任網關和安全大腦，安全瀏覽器是業務系統的訪問入口，安裝在用戶 PC 電腦上；零信任網關主要實現業務系統的訪問代理，同時支持對業務系統的訪問進行權限管控，包括敏感文件的下載攔截、文件上傳等；安全大腦作為零信任產品的控制中心，主要從用戶、終端、應用、認證源、策略、日志等多個維度進行管理。三者結合實現了政府內部員工訪問入口的統一、身份和權限的生命周期管理、終端安全管

85、理、業務系統安全防護等需求；文檔云產品主要實現文檔不落地、文檔的在線預覽/編輯/協作、文件的上傳下載攔截等功能。政務文檔跨部門共享場景下政府內部員工安全訪問業務系統敏感數據不泄露解決方案核心交互業務邏輯如下：(1)政府內部員工通過安全瀏覽器訪問授權業務系統，針對業務系統安全瀏覽器可自定義開啟水印、防復制等功能；(2)零信任網關針對授權業務系統的文件下載請求進行攔截，并從業務系統請求下載用戶目標文檔并轉發到文檔云；(3)文檔云針對用戶建立“個人文檔工作中心”，針對個人中心的文檔，用戶可以在線預覽、編輯、保存等；(4)文檔云針對每個用戶會新建一個虛擬磁盤，編輯后的文檔可通過虛擬磁盤的方式上傳到業務

86、系統進行更新；(5)需要流轉或者共享的文檔可以直接在個人文檔工作中心進行權限分享，實現信息的共享，便捷且安全。安全瀏覽器統一政府業務系統的訪問入口，統一門戶頁面，支持對門戶頁面進行定制，安全瀏覽器不僅支持 B/S 架構的發布和訪問，也支持 C/S 架構、遠程桌面、遠程應用的發布和訪問，操作系統支持 Windows、MacOS、麒麟、統信等，支持用戶遠程移動辦公，同時支持 Chrome/IE 雙核切換，兼容性強；權限自助申請功能，讓流程更加簡化；消息中心功能，讓通知更加及時。統一工作門戶，支持遠程移動辦公-32-支持和政府的將組織機構數據、身份信息、賬號數據打通，統一管理、自動同步?；谏矸莸娜?/p>

87、生命周期管理主要包括員工入職、賬號和密鑰創建、賬號權限分配、用戶屬性變更及權限變更、賬號注銷、員工離職、定期審計、賬號歸檔并回收權限。按照“最小化”原則及時對用戶的權限進行調整，對離職員工賬號進行權限回收，有效避免權限過大的風險。支持將用戶身份和終端建立關聯關系，支持一對一，一對多綁定，同時支持智能識別用戶身份常用終端，可自定義下發身份和終端的綁定策略，限制賬號只能在合規的終端進行登錄，杜絕賬號借用的風險。高效采集用戶網絡訪問和操作等行為日志、終端環境日志、網絡流量日志，結合用戶身份信息，智能化持續動態研判用戶與實體的安全風險并將評估結果實時傳輸給零信任安全大腦做響應處置；支持基于終端安裝軟件

88、、運行進程、外接介質、上網行為、上網流量等因素進行管控，動態調整訪問控制策略，更加科學的管理內部網絡資源和規范員工行為，讓用戶的訪問更加安全可信。SPA 單包授權技術，讓業務系統在互聯網上持續靜默保持隱身，避免網絡資產及設施暴露而面臨直各類安全威脅，“黑客”沒辦法在網絡上通過端口掃描的方式感知業務系統的存在，也沒辦法針對性進行類似于 DDOS、暴力破解等攻擊。通過文檔云的云存儲技術，將分散保存在員工辦公電腦中的文件集中存儲在云端，統一備份，文檔不落本地，有效防止文檔泄密風險；在數據交換平臺中建立公司共享文件夾，多副本、統一備份機制，確保文檔永不流失；集中授權管理，禁止擅自復制分發，支持移動訪問

89、，電腦手機隨處辦公，詳盡的操作審計技術，確保文檔可尋跡，事后可追責；同時支持對用戶上傳的文檔進行病毒、非法詞匯、類型進行檢測，違規文檔無法正常上傳。身份生命周期管理，避免權限過大風險 身份和終端綁定，杜絕賬號借用風險 持續信任評估，讓訪問更加可信 SPA 單包授權技術，讓“黑客”無跡可尋 文檔集中管理技術，文檔流通更加安全-33-文檔在線分權操作，安全和協作兼得6.5.2 現狀和問題6.5.3 解決方案6.5 關鍵數據識別與保護場景IDENTIFICATION AND PROTECTION6.5.1 背 景景文檔云中的文件，可以由部門文檔管理員按賬號、部門、職位快速分享給他人，授權即生效?？梢?/p>

90、單項授權，也可以組合或自定義授權，支持對文檔進行預覽、編輯等權限進行精細掌控，同時文檔支持多人同時編輯、獨占編輯等功能，文檔安全管理的同時，也兼顧了文檔協作的訴求。業務敏感數據的準確發現與識別是企業利用零信任思想解決數據安全問題的前提條件。隨著企業數字化轉型的加速建設，業務決策越來越依賴各類數據綜合分析結果，各類信息系統間的互訪、數據交換成為必然。隨著后疫情時代混合辦公模式的開啟，一方面內部數據流動性進一步加大，另一方面開放的業務系統使得企業風險暴漏面增加，導致數據處于風險之中。安全可靠的數據訪問，是業務高質量發展的關鍵基礎，因此安全團隊必須精準識別數據的位置，以創建決定每個訪問請求所需要滿足

91、的條件，持續跟蹤審計。數據發現難，隨著企業對于安全建設能力的提高，當前網絡中傳輸的數據大多采用了加密處理，這給傳統基于流量分析發現敏感數據的解決方案帶來了不小的困難。審計溯源難，雖然企業建立了較為完善的審計系統，但是大多審計的源頭只能追溯到 IP地址，對于違規行為的觸發者和使用的終端設備無法精確定位。數據管控難，企業的安全管理者缺少一個靈活的工具可以對數據泄漏事件快速取證、定位源頭。對于突發的數據泄漏事件，安全團隊無法快速自定義管控策略，鎖定泄漏源頭制定精準管控策略。通常企業內部產生的數據一般存在于兩個位置：應用服務器和終端。因此，數據安全的管控可以從這兩個方面下手。-34-6.5.4 方案價

92、值首先是應用服務器，通常情況下安全部門需要管理全行應用系統，這些系統數量眾多，對于管理側而言很難知道哪些系統存在敏感信息，因此無法做到提前防御。而傳統數據產品，只能做到服務之間的敏感數據發現，但難以根據用戶身份信息精準識別用戶對于敏感數據的訪問，而由于應用安全網關具備 7 層數據解析能力，因此可以看到所有數據，所以具備敏感數據識別能力，可以為安全部門提供一種敏感數據發現工具。同時零信任網關還為用戶數據分類分級提供了行之有效的抓手，安全部門可根據需求自定義敏感數據標簽，配置敏感數據發現策略，當用戶訪問的業務系統匹配關鍵詞后相關的訪問行為將被記錄，并且在訪問日志中打上用戶身份標識，方便運維人員精準

93、識別哪些人訪問了什么敏感數據，利用數據分析平臺可以展示敏感數據訪問地圖，一旦有越權訪問行為發生，管理員可以快速定位都有哪些人訪問過，并實施相關管控措施。其次是終端，終端的數據安全管控相對于應用服務器面臨的情況相對復雜，但核心要素主要包括三個方面：一是數據的外發監控，二是敏感數據的本地留存，三是利用手機或其他設備拍照、錄像、截屏。數據外發監控：零信任安全客戶端可以對硬件外發通道和網絡外發通道實施管控和檢測，通過設置移動設備的訪問授權，控制將敏感數據拷貝到移動介質。當用戶通過 IM 聊天工具或者通過網盤發送數據時，系統會自動進行記錄并截圖，方便后期溯源。敏感數據本地留存：發現終端設備是否存在公司敏

94、感數據是一件相對困難的事情，特別是針對于三方外包人員，在服務到期后離開時，個人電腦是否存在敏感數據?；蛘吆懈郊]件外發時，操作失誤導致郵件發給了不應該接收的人員，需要確認是否下載了附件等。在這種場景下可以利用策略，配置文件發現規則，并下發給終端，零信任客戶端會通過算法利用索引快速檢測，發現規則命中會及時通知管理員，在發生敏感數據泄漏時可以極大的提高溯源效率。手機或其他設備拍照、錄像、截屏：面對這種情況可以通過動態安全水印等技術解決。加強終端敏感數據管控：彌補傳統數據防泄漏解決方案對于數據識別發現不夠靈活的不足，基于零信任的數據安全管控依托終端和網關的聯動機制，可以從業務側和終端側快速準確識別

95、敏感數據，并具備聯動終端 DLP 軟件進行攔截。-35-6.6 高科技行業零信任數據安全防護場景HIGH TECH INDUSTRY SECURITY PROTECTION完善業務敏感數據發現能力：零信任網關作為業務統一訪問入口具備完整的業務層數據識別能力，可以準確的發現和識別其中包含的敏感數據，為企業安全部門在數據治理方面提供了行之有效的抓手。優化基于身份與設備的行為審計：利用數據標簽快速檢測敏感數據訪問試圖，這些數據可以通過標簽或敏感類型的方式進行選，并且利用身份和設備信息可以快速定位數據的訪問者，有效的降低安全團隊對于數據泄漏行為追溯難的問題。某高科技公司主要做數據的開發利用，因業務發展

96、需要，每年的開發項目比較多，有內部開發項目，也有與外部合作的開發項目，涉及內部和外部開發人員數千人。該公司在涉及到數據開發利用的業務中，以前主要是通過規章制度的方式，約束工作人員的操作行為和習慣，以達到數據安全的目的。在以前的業務處理中，涉及數據開發的業務量比較少，接觸數據的人員相對固定，角色和數量也基本可控，一些管理為主的安全措施具有一定的適應性。隨著公司規模的壯大，人員組成越來越復雜，需要對外合作的項目越來越多，接觸數據的人員越來越多，通過數據處理來推動流程的業務越來越普遍，再加上數據量的膨脹、數據形態越來越多樣，依賴規章制度已經難以保障公司業務的安全運轉。在這個背景下，公司也發現了業務自

97、身的變化所帶來的安全訴求越來越強，如果不及時解決數據安全問題，公司業務在未來的發展上將遭遇不可預知的風險?；诠緦底只D型的當前階段的問題以及后續可能出現的情況的預估和了解，公司認為數據安全防護需要先建設，但數據安全防護的建設方面遇到了以下問題：(1)公司考察了傳統的數據安全防護思路，在開始的時候，認為這些傳統的數據安全防護思路能夠幫助公司達到保護數據的目標，但隨著業務場景的進一步模擬，發現這些保護措施生效后，公司的一些數據開發、使用的業務場景會受到限制，影響了業務流程的快速運行；(2)有些場景下為了保證業務的流轉，需要在一定環節解除防護，這就違背了公司保護數據的初衷。6.6.1背 景-3

98、6-在這個背景下，公司啟動了高科技行業零信任數據安全防護項目，期望通過基于零信任數據安全的防護，在保證業務無改造，用戶使用無影響的前提下，達到隱私防護的目標。在某高科技行業零信任數據安全防護項目中，主要采取以下安全技術應對數字化轉型的安全防護問題：(1)開發過程全流程的風險監測對數據處理活動進行全鏈路的監測，覆蓋不同業務用戶對數據的不同的處理過程，發現、預知數據的安全風險，綜合人工智能進行風險的建模和評估。(2)數據開發利用中的自適應防護對開發過程中數據全流程的流動風險進行監測，并采取安全防護措施。通過設備、環境、網絡、數據進行綜合監測和信任評估，形成當前用戶的信任等級。信任等級作為用戶訪問數

99、據時允許獲得的訪問權限的依據。監測感知與信任評估持續、動態進行，實時控制用戶對數據的訪問和使用。鑒于本案例的實施效果，零信任數據安全適宜于數據流動頻繁、數據流動范圍廣、使用數據的角色復雜的場景。在該場景下，數據的安全防護不適應于“一刀切”的防護思路，比如所有用戶使用固定的安全措施，或者同一用戶在所有的業務過程中都采用相同的安全措施。零信任數據安全的防護，有利于保障數據合理開發利用的前提下，有效的保護數據安全。數據安全團隊需要面向不同的業務團隊需求，研發團隊急需要一套統一安全的接入和研發環境。6.7 研發場景R&D SCENARIOS6.7.1 背 景景6.6.3 推薦建設建議6.6.2 解決方

100、案-37-企業內部 HR 管理的部門的業務需求場景業務特征a.涉及內容文件的存儲，傳輸，輸出和審核；b.在自身內容軟件中發布內容文件；c.創作者用戶信息(實名認證信息等)；d.會接觸監管單位發布的監管文件；作業流程a.接收并且按照監管單位文件要求，來審核創作者上傳的內容文件，并且發布在自有的門戶類資訊工具上；b.接收創作者提交的內容(郵箱，內容接收網站等)，存儲并且審核后，至內部業務系統發布。業務風險a.不合規數據外泄導致的政策風險及輿論風險；b.合規數據外泄導致的信任危機等；c.監管文件外泄導致的政策風險；d.用戶數據外泄導致的信任/輿論危機等。風險途徑a.敏感文件外發(IM/云盤/微信/百

101、度網盤等)；b.瀏覽器外發(網站上傳)；c.辦公類軟件云同步(企業微信/office 等)；d.辦公類軟件外部發送(企業郵箱對外發送)；e.遠程辦公時非公司設備外接設備泄漏(USB/藍牙/打印等)；f.外包人員主動泄漏。業務特征a.企業內部員工的招聘信息發布；內容類產出的業務部門的業務需求場景6.7.2 現狀和問題-38-企業通用建設方案b.企業內部在職員工的聯系信息，績效信息，職位信息，薪資信息，簡歷信息，家庭關系等信息的存儲調用傳輸；c.企業內部員工的離職信息(聯系方式等)；d.其他內部員工的信息的調用存儲(證書信息等)。作業流程a.通訊工具/內部郵箱/內部業務站等接收業務部門對于新員工的

102、招聘要求，職級要求等；b.通訊工具/內部郵箱/內部業務站等接收外部應聘人員投遞的簡歷；c.內部人員管理平臺上的新員工信息錄入，調用，傳輸等；d.內部人員管理平臺上的員工考核信息，薪資信息等其他信息的錄入，調用，傳輸等。業務風險a.內部薪資泄漏引起的員工之間的管理風險；b.內部員工信息泄漏引起的政策等；c.招聘信息泄漏引起的業務風險；d.應聘簡歷泄漏引起的政策風險等。風險途徑a.敏感文件外發(IM/云盤/微信/百度網盤等)；b.瀏覽器外發(網站上傳)；c.辦公類軟件云同步(企業微信/office 等)；d.辦公類軟件外部發送(企業郵箱對外發送)；e.遠程辦公時非公司設備外接設備泄漏(USB/藍牙

103、/打印等)；f.外包人員主動泄漏。企業在涉及到常規內部業務生產時，應在內部的網絡環境下進行，避免直接在外部進行作業生產：a.通過零信任架構或者傳統網絡邊界防火墻等隔離的方式，建立內部業務環境和外部互聯網環境的隔離，內部生產業務系統放置在內部業務環境中；6.7.3 解決方案-39-b.內部業務作業直接在內部環境中作業，與外部環境隔離，確保常規的業務作業在內部環境中完成閉環處理；c.企業內部數據與外部數據交互的場景下，應在可控的環境中進行，例如企業對外發布專用的文件接收站點等，避免直接通過 IM，私人郵箱傳輸；d.如業務具備強管控的訴求，應該避免直接在內部生產網絡中直接使用第三方的郵箱/IM等工具

104、，在內部網絡中，應該避免用戶直接在內網中訪問第三方的工具請求；e.企業在遠程辦公的場景下，可以使用零信任作為全量請求接入方案，做到作業中的所有的請求數據劫持，做到外部辦公對于訪問請求的記錄，對互聯網的請求和對內部業務站點的請求。企業在內部員工辦公時，應做到所有員工對于內部業務站點的訪問權限控制，避免員工接觸不符合自身權限的業務站點：a.建立完整的業務站點上線機制，包含業務站點需要面向的用戶屬性，形成所有業務站點的訪問權限列表，實施方式，可以通過網絡策略限制或者業務站點的用戶賬戶權限或者零信任的用戶訪問權限控制來實現所有業務站點訪問權限收斂；b.所有的業務站點訪問必須做到用戶賬號的認證限制，可以

105、通過傳統 3a 實現也可以通過零信任架構中的 iam 統一實現。企業內部業務數據與外部交互的場景中，應做到數據的可記錄，傳輸可控：a.企業內部數據外發，應當做到數據的脫敏和專用工具的建設，避免員工直接通過第三方軟件進行文件的傳輸，企業可以通過文件加密方案或者零信任中的數據沙箱的方式來實現企業內部數據與外部交互的場景，做到內部數據始終是在可控的屬性下進行使用。企業內部工具的使用，應做到使用可控的工具來使用企業內部的數據：a.企業內部數據的使用，需要在可控的設備環境下使用，企業可以通過傳統終端管控軟件或者通過零信任方案中的終端管控與網絡訪問聯動或者零信任沙箱的方案來實現，實現使用內部生產數據或者訪

106、問內部業務網站時的，企業的終端設備處于可控的狀態，包含設備的端口開放，軟件安裝，硬件掛載，軟件通訊，軟件使用等。-40-企業業務方案建設方案內容和內部人員管理部門區別于通用方案，涉及強內容運營業務的企業，應到在業務層做到基于文件類型和內容和動作級別的數據保護方式，有專門針對業務的安全團隊的企業可以選擇：a.建立內容數據的保密級別制度，按照內容的敏感程度，制定數據的敏感級別；b.通過數據防泄漏產品 DLP，針對上述的數據進行數據發現，解析 Office、蘋果等辦公組件(Pages，Key，Numbers)，pdf，文本，壓縮文件內容、數據掃描等；c.文件操作監控：操作審計：文件讀寫、移動等操作審

107、計；外發監控：IM、網盤等外發審計阻斷；囤積監控：文件信息下載審計；d.外設端口控制：外設管控；打印監控；屏幕水印。其他類型企業可以選擇：a.零信任數據沙箱方案建設，只允許在沙箱內進行對內部數據的讀取，傳輸，存儲等動作，配合通用方案建設中的，外部統一文件接收平臺，實現敏感的業務數據在可控的環境中運行；b.VDI，RBI 方案建設，配合零信任訪問接入，實現所有數據只在內部網絡環境中閉環使用。工業互聯網作為我國“新基建”新經濟發展戰略中的重要組成部分，以工業互聯網平臺為代表的“數字新基建”已成為我國數字經濟工作推進的重要抓手。工業互聯網平臺作為制造業數字轉型的基礎支撐，是經濟高質量發展的重要基石，

108、是未來工業數字化經濟產業創新的關鍵引擎，決定了未來產業創新發展的重要戰略地位。隨著工業互聯網戰略地位的不斷提升，工業互聯網平臺作為面向制造業數字化、網絡化、智能化需求，基于海量數據采集、匯聚和分析構建的服務平臺，聚集了海量的工業數據，這些數據存在潛在的挖掘價值，對提升生產效率、降低生產成本、改變生產方式、重構商業模式有著非常重要的商業價值，工業互聯網平臺的重要性不言而喻，其安全防護備受關注，是工業互聯網安全防護的重點。6.8 工業互聯網場景INDUSTRIAL INTERNET6.8.1 背 景-41-海量工業設備、軟件、應用等逐漸上云，泛在互聯，工業互聯網面臨的威脅日益猖狂，攻擊手段多樣復雜

109、。再加上工業互聯網安全有著連接范圍廣、防護對象多、事件危害重等特點，工業互聯網在快速發展過程中面臨著業務安全交互和數據安全傳輸的問題，數據是工業互聯網“核心的核心”，數據安全是工業互聯網安全的核心訴求?；诠I互聯網平臺數據安全建設迫切性分析，可以總結概括工業互聯網平臺的安全需求主要為：訪問安全：通過建立統一的訪問機制，限制用戶的訪問權限和所能使用的計算資源和網絡資源實現對工業互聯網平臺重要資源的訪問控制和管理,防止非法訪問；數據安全：共享數據被逾期使用、共享數據被未授權交易、云平臺數據被泄露和篡改等。需確保防止數據泄漏、被偵聽或篡改，保障數據在源頭、傳輸、存儲等階段的安全；平臺安全：確保工業

110、互聯網平臺的代碼安全、業務和應用安全、數據安全、網站安全。工業互聯網系統規模不斷增大，業務快速發展，應用融合增大，但同時信息系統及其用戶處在一個非常復雜且充滿不確定性的網絡中，需做到整體身份可信，建立動態的信任機制，包括基礎設施與計算環境可信，用戶的身份可信等。傳統的工廠網絡邊界安全架構默認邊界內部是安全的，防火墻、殺毒軟件、入侵檢測系統(IDS)、數據泄露防護系統(DLP)等邊界設備作用在物理邊界上，根據在邊界上的行為開展防護和監視。隨著工業互聯網在計算能力下沉、業務上云等方面的不斷發展，工業互聯網安全邊界發生改變，需要重構網絡安全架構。工業互聯網安全架構著重構建以身份為基石，解決終端的身份

111、認證和訪問控制，允許身份可信、經過動態授權的設備入網，并動態監測，及時發現并處置假冒、偽造的非法連接，形成“云管邊端”一體化零信任安全架構。零信任安全架構對工業互聯網云平臺及工業企業業務動態信任機制的建立，主要通過對來自工業企業工業內網層、邊緣層、云平臺層、互聯網層的所有訪問進行信任評估和動態訪問控制，對所有訪問工業互聯網平臺、邊緣數據、企業資源的請求，進行認證、授權和加密，其中認證包括對用戶環境、終端的全面驗證，對登錄應用系統的用戶在終端可信的基礎上進行基于數字證書、身份標識、生物特征、口令等進行身份識別，保證用戶名的唯一性。且對6.8.3 解決方案6.8.2 現狀和問題-42-每一次訪問請

112、求進行不限于終端環境、用戶操作風險、網絡風險、外部威脅等因素的實時風險評估，根據評估結果進行動態訪問控制，通過零信體系實現對業務應用和終端用戶的身份進行統一管控。零信任技術作為數據安全體系的指導思想，構建的數據安全體系主要在身份可信、終端可信的基礎上，保證數據流轉過程中的路徑可控，流程可管。面對各種復雜的網絡攻擊手法，針對工業敏感數據和用戶信息數據的平臺，通過數據庫審計、防泄漏、脫敏、數據安全運營平臺等產品，對敏感數據資產梳理、數據資產分類分級、數據平臺漏洞管理、數據資產合規、數據安全風險監控、敏感數據流轉建模等功能，實現對數據安全能力的疊加，通過數據安全運營平臺與零信任控制和分析平臺的打通，

113、數據安全體系發現的數據泄露、違規使用、權限失控等風險，可以聯動零信任體系取消授信、授權，并阻斷訪問。通過構建以零信任為基礎的工業互聯網數據安全保障體系，以幫助工業互聯網各相關企業及時發現數據安全短板，借鑒“零信任”網絡安全防護體系建設思想，基于零信任安全訪問模型、威脅可視化、安全編排與自動化響應等安全技術，從平臺邊緣層用戶、設備和數據接入層面，有效提升工業互聯網平臺的接入安全保障水平，提升工業互聯網平臺的安全可視性、合規性、數據安全、態勢感知和安全事件智能響應和處置能力。加快國家、地方、企業三級工業互聯網數據安全生態發展，有效應對工業互聯網發展面臨的數據安全新風險、新挑戰，助力我國制造強國和網

114、絡強國的戰略目標早日實現?；乜催^去二十余年，企事業單位信息化程度不斷加深，IT 系統的復雜度與開放度隨之提升；伴隨云計算、大數據、人工智能等新興技術的飛速發展，數據作為支撐這些前沿技術存在與發展的生產資料，已經成為組織的核心資產，受到前所未有的重視與保護。另一方面，隨著數字化轉型的不斷深化，移動化和云化這兩大趨勢也驅使網絡架構和信6.9 遠程辦公場景REMOTE OFFICE6.8.4 方案效果6.9.1 背 景-43-息安全體系建設時不得不重點考慮更開放的業務訪問需求，如遠程辦公。尤其是隨著COVID-19 疫情的肆虐，為了切實落實疫情防控，保障業務有序開展，各單位紛紛開始推進遠程辦公。遠程

115、辦公逐漸成為了全球企業、組織、政府的一種重要工作模式，朝著常態化、規?；姆较虬l展。遠程辦公打破了傳統辦公“定時、定點”等特性，是充分提高辦公效率并降低辦公成本的一種方式。然而這種辦公方式下，所謂的“內部網絡”越來越多地被共享，而用戶也不清楚在遠程訪問時，內部數據是否也在訪問過程中不斷被共享濫用。因此遠程辦公時，企事業單位要比以往任何時候都更加重視數據的安全問題。來自 IBM 的2021 年數據泄露成本報告顯示“眾多組織在疫情期間迅速轉向遠程辦公，導致數據泄露的成本增加。與未采用遠程辦公的組織相比,采用遠程辦公的組織的數據泄露成本平均高出 100 萬美元(分別為 496 萬美元和 389 萬美

116、元)?！边h程辦公導致辦公環境變得復雜，數據更容易泄密開放遠程辦公后，終端環境會變得復雜，往往從單一的內網的 Windows 終端，變成員工個人終端(Windows、Mac)、移動智能終端(iOS、安卓)等；終端的網絡位置也從封閉的單位內網，變成單位難以掌控的家庭網絡、公共 WiFi、4/5G、酒店 WiFi 等；終端的使用場景也從純辦公使用，變成辦公和個人上網娛樂混用。這些辦公環境的變化，極大的增加了數據在終端側有意或無意的泄密風險，如截屏、社交分享、數據備份、設備丟失等。遠程辦公增加了外部接入風險，從而引起的外部泄露風險的增加攻防對抗下，外部攻擊轉而針對企業遠程辦公的終端，采用釣魚郵件、水坑

117、攻擊等方法入侵終端，利用遠程辦公終端入侵內網，輕松繞過網絡邊界安全防護措施。由于傳統網絡認為內網是可信任的，因此攻擊者一旦突破企業的網絡安全邊界進入內網，就會如入無人之境。同時，在數字化轉型過程中，除了開放遠程辦公帶來的外部攻擊的威脅，信息化建設也增加了數據暴露面，數據打通后，也帶來了高危泄密風險。企業員工、外包人員等內部用戶通常擁有特定業務和數據的合法訪問權限，一旦出現憑證丟失、權限濫用或惡意非授權訪問等問題，同樣會導致企業的數據泄露。6.9.2 現狀和問題-44-終端安全 身份安全 遠程辦公場景下，傳統安全方案難以應對傳統安全方案在解決遠程辦公安全問題時，通常采用 VPN 來實現安全接入，

118、但 VPN 方案不具備數據落地后的保護，用戶登錄 VPN 訪問系統后可以通過下載、截圖等把數據存在本地，這樣就很容易在終端上發生泄密了，比如終端中毒、網絡備份、員工有意外發等。而傳統基于終端的數據安全方案，在遠程辦公場景下也難以適應，一是遠程辦公時終端往往是個人終端，傳統基于終端的數據安全方案如桌管/DLP 等，偏管控，用戶使用體驗差，難以推廣落地；二是單純使用桌管/DLP 也不具備遠程接入能力，還得額外配合 VPN 等遠程接入方案使用。數據不落地的方案如桌面云等，因為建設成本高，后端得準備大量服務器，而且對網絡的依賴性大，網質量不好就沒法使用，也難以適應遠程辦公場景下復雜且不受控的網絡環境。

119、方案主要以零信任技術為框架，構建從用戶終端安全、身份安全、接入安全、權限控制、數據安全各個維度進行規劃建設。主要目的是通過使用零信任訪問控制技術來實現最小化授權、精細化授權和安全稽查，從而鑒別和規范訪問權限、縮小信息暴露面；同時，通過零信任動態訪問控制構建安全基線，實現業務系統的安全邊界清晰化，為信息化安全提供最后一道防線。通過數據隔離沙箱的方式，構建專屬工作空間，來實現如網絡隔離、數據隔離、屏幕水印，操作審計等數據安全管理。通過在終端上安裝零信任客戶端，對接入的終端動態監測，可以靈活地將終端環境、用戶行為、認證方式等進行配置，不僅只是在首次訪問資源時對終端檢測，也對接入后的終端環境進行持續、

120、動態檢測，一旦發現變化，會實時回收訪問授權、阻斷訪問。對終端的進程進行有效監控，僅允許信任進程訪問資源，有效防止木馬入侵系統后攻擊服務器，或非可信應用訪問時進行二次確認，以避免后臺木馬攻擊?；诹阈湃伟踩軜媽祿L問流量身份化，基于身份化實現先認證、再連接，保護業務系統的安全。通過前置可信訪問網關，強制所有訪問都必須經過認證、授權和加密。系統6.9.3 解決方案-45-數據安全 權限安全 接入安全可以選擇短信驗證、手機軟令牌、RADIUS 令牌、安全問題、消息推送確認、生物特征識別等多種二次認證因子。同時，在用戶登錄時候，平臺會檢查用戶與設備的唯一綁定，確保用戶與終端的合法性。通過與 XX

121、統一身份認證平臺對接，實現統一賬號管理、賬號生命周期管理。零信任可信訪問網關架設在用戶與業務系統之間，為業務系統提供統一訪問入口，能夠有效收縮業務系統對外發布時的網絡暴露面。接入過程支持全流量 SSL 傳輸加密，零信任可信訪問網關的控制臺、用戶端數據傳輸默認都是采用 SSL 傳輸加密，防止通信數據被劫持解密風險，SSL 證書加密密鑰大小為至少為 2048 位，顯著增大破解難度，進一步保證傳輸安全性。同時，零信任可信網關還支持商用密碼算法套件進行加密。采用 SPA 單包授權技術保護設備本身安全，做到即使設備在公網發布，也只有可信的終端才允許接入，極大地縮小了設備在互聯網中的暴露面，防止惡意人員對

122、設備本身的攻擊，保護業務安全。零信任可信訪問系統以人為主體、資源為客體管理授權，可以基于組織架構、用戶組、個人用戶、用戶角色等多種方式管理權限，同時可以基于用戶訪問環境屬性、行為屬性、身份屬性、資源屬性的綜合分析來動態調整用戶的訪問權限，以確保業務系統面對風險時，可靈活的調整權限，抵御未知風險。與此同時，系統對應用使用行為、設備狀態、網絡狀態、流量狀態、位置狀態進行持續的監測與驗證，若某一狀態發生變化時，從建立信任到授權訪問的過程之間需重新開始，從而最終建立起一套閉環且持續的動態訪問控制機制。結合數據安全沙箱技術，通過在用戶的終端上生成安全工作空間，對數據進行安全保護：文件隔離/加密在工作空間

123、啟動的程序，其寫入的文件會重定向至沙箱虛擬存儲區，文件讀取會優先從虛擬存儲區讀取，當未找到時根據控制器策略決定是否向本地存儲區讀取。在個人空間啟動的程序，其文件讀寫操作直接與本次存儲區交互，無法讀寫沙箱虛擬存儲區的文件。即個人空間無法查看、搜索、修改工作空間內的文件。-46-采用文件透明加解密技術，在文件系統添加一個加解密過濾層，所有軟件的磁盤寫入操作最終都會經過加解密模塊再到磁盤。加解密模塊會對寫入操作的進程進行判斷，屬于工作空間的進程則寫加密、讀解密，屬于個人空間的進程讀寫均不做額外操作。泄密途徑管控通過沙箱的隔離技術，對泄密途徑進行控制，如剪切板、截屏錄屏、打印、拍照等。對剪切板拷貝進行

124、權限管控，實通過剪切板對數據進行操作時可以通過策略放行、拒絕、截斷剪切板、置空剪切板等操作。截屏錄屏控制則可以限制個人空間進程獲取到工作空間內的畫面，避免終端成為肉雞的情況，攻擊者可遠程查看工作空間的內容導致泄密。同樣，USB 外設、打印等操作也可以通過策略隔離，防止內部數據通過外設轉存或打印泄密。對于無法管控的拍照泄密，可以根據安全需要啟用屏幕水印，開啟后對業務訪問增加屏幕水印，以實現拍照泄密的威懾和泄密追溯。網絡訪問隔離工作空間進程和個人空間進程可訪問的目標地址范圍默認為相互隔離，即工作空間進程只能通過零信任網關訪問給該用戶分配權限的隧道應用，其他請求會被攔截；而個人空間進程只能通過本地網

125、卡訪問本地網絡可達的地址。無痕模式用戶登錄和注銷時，程序會自動遍歷并刪除該用戶對應沙箱下的所有數據，確保終端不保留任何工作數據。移動 APP 后臺模糊針對移動端，還需要提供移動端特有的防護機制，如后臺模糊防護能力，在應用集成后，進入后臺時，用戶通過應用只能看到一個模糊界面，有效防止終端用戶通過后臺截屏的方式竊取數據。采用零信任解決方案進行遠程辦公建設，可以有效的降低數據泄密風險，對產生于外部的數據泄密威脅來說，零信任極大的收斂了系統暴露面，可以有效避免因系統暴露面導致的攻擊和漏洞利用發生；而對產生于內部的泄密風險來說，零信任更好的落地了最小化權限，對訪問行為基于終端環境、身份、訪問行為等持續評

126、估，確保訪問安全；同時在零信任中引6.9.4 方案效果/價值-47-入數據安全沙箱后，可以建立終端上的數據安全邊界，確保數據可管可控，全面提升遠程辦公場景下的數據安全。IBM 的2021 年數據泄露成本報告中數據顯示，未部署零信任方法的組織，其數據泄露的平均成本為 504 萬美元。然而，部署成熟的零信任方法的組織，其數據泄露的平均成本為 328 萬美元，比未部署零信任方法的組織少 176 萬美元。在選擇零信任方案解決遠程辦公的數據安全問題時，首先要考慮方案是否具備遠程接入能力，要能夠控制好接入的用戶什么情況下能訪問什么數據，避免數據被隨意訪問和接觸；其次是要有終端數據保護能力，且能夠適配 BY

127、OD 場景，因為終端是個人的、網絡是公共的，只有系統是單位的，要圍繞業務系統去做，而不是去做終端的管控，避免用戶抵觸，同時也能減少很多運維麻煩，推薦選擇帶有安全沙箱功能的零信任方案。在選擇安全沙箱時，一是關注沙箱自身的安全性，因為沙箱只是加個殼做隔離，一旦被脫殼，數據仍然存在泄密風險。二是要關注沙箱支持的終端類型，現在遠程辦公，什么終端都有，Windows、Mac、手機平臺，避免選擇的方案只滿足部分終端，從而影響遠程辦公效率和用戶體驗。三是要關注沙箱的可用性，與功能相比，沙箱的兼容性和穩定性更為重要，不然系統在沙箱里運行老崩潰、安裝了沙箱后系統藍屏等會嚴重影響使用。隨著企業數字業務多樣化發展，

128、通過 API 進行數據交換和共享成為趨勢。API 的頻繁使用的業務場景場景主要有兩個方面：(1)企業能力開放當今企業面臨巨大的挑戰，企業的發展需要依賴外部合作伙伴的能力，典型的例子如使用第三方平臺支付、合作方帳戶登錄等。企業需要將內部服務能力以標準 API 的形式開放給合作伙伴，與合作伙伴共享服務和數據，達成深度合作，構建企業共贏生態。6.9.5 推薦建設建議6.10 企業數據服務 API 安全防護場景ENTERPRISE DATA SERVICE API SECURITY PROTECTION6.10.1 背 景-48-(2)企業內部系統解耦隨著企業的高速發展、業務的快速變化，要求企業內部系

129、統跟隨業務需求一同變化，但是企業內部系統存在相互依賴關系，為保持系統的通用性與穩定性，很難應對業務的變化。企業有簡化服務架構的需求，通過規范化、標準化的 API 接口，快速完成企業內部系統的解耦及前后端分離，在這個過程中，為使用方便，前端單點登錄服務會置于外網區域，通過API 接口與置于內網的后端業務邏輯服務聯動。隨著 API 應用場景的逐漸增多，對 API 的安全防護成為企業關注的一大焦點，而且 2021年我國數據安全法正式實行，數據安全步入法制化軌道，API 安全也隨之步入依法建設的新階段，無論從業務還是政策角度考慮，企業都應該建立完善的 API 安全防護體系，強化API 安全防護措施。企

130、業內部對外開放 API 服務，會帶來新的安全隱患，API 安全風險主要包括：一是暴露面大，大量 API 接口暴露在外網區域，系統的安全性不足；二是數據泄露，被爬蟲、撞庫等惡意手段獲取商業和隱私信息；三是內容篡改，被批量發布垃圾內容、違法違規內容；四是API 管理難，微服務架構下企業 API 數量多，難以高效的進行 API 資源盤點、API 調用追溯等。企業在 API 安全防護上主要存在以下幾個難點：(1)后端服務安全保障效率低因前端訪問后端的每個服務，需要事先知道每個服務的訪問地址。需要對每一個服務都做好安全措施，避免服務被攻擊，但這需要每一個服務都進行安全升級，對開發人員的要求高，且工作存在

131、大量重復內容，此外，如果發現新的安全風險，修復工作需要在每一個服務中展開，周期長，易出錯。(2)安全運維效率低每個服務需要單獨人員進行監控管理，并沒有對每個服務的訪問流量趨勢、訪問源、請求 IP、參數、響應時間、訪問錯誤率進行統一監控，導致人力成本高，運維效率低。6.10.2 現狀和問題-49-(3)缺乏統一安全訪問控制策略根據業務需要，多個后端服務需要對同一前端的每次請求做認證鑒權、流控、熔斷、管理，不僅增大了后端服務的性能壓力，而且針對某一前端的訪問控制策略的修改，多個后端服務需要進行重新配置，缺乏統一的安全訪問控制機制。(4)缺乏安全流控策略因后端服務的性能不同，可承受的流量壓力存在差異

132、，無法根據服務的性能分配與之相匹配的流量。后端服務無法根據業務需要自主配置訪問流量：如服務提供方根據服務使用方的付費程度分配相匹配的流量范圍，缺乏安全流控策略。圖 API 安全防護解決方案架構圖零信任安全中，利用 API 網關技術，對 API 級的訪問和調用進行鑒權和訪問控制，保證 API 可追溯可管理，減少 API 攻擊和濫用。具體方案如下：API 服務端口收斂：利用反向代理技術，代理所有對外開放的 API 接口，對外的服務 IP和端口統一為 API 網關的 IP 和端口，減少 API 服務 IP 和端口的暴漏風險；API 全生命周期管理：API 服務上架下架均在 API 網關進行，實現 A

133、PI 資源的自動化盤點，同時記錄所有 API 調用日志，保證 API 調用可溯源；6.10.3 解決方案-50-API 資源自學習：基于對 API 訪問行為的記錄分析，梳理完整的可用 API 資源地圖，并對不同的 API 資源訪問次數進行分析，以此作為 API 資源上下架的依據，實現對全量 API資源的細粒度管控。API 健康監測：通過 API 網關周期性檢查 API 接口的可用性，對 API 接口的健康狀態進行評估，對無法使用的 API 接口及時修整，保證業務安全運行。多維度 API 統一鑒權：通過 API 網關實現對所有 API 服務訪問的統一鑒權，采用 RBAC和 ABAC 結合的訪問控

134、制方式，基于“用戶憑證+用戶屬性”對 API 消費者進行認證和授權，嚴格控制訪問數據權限，降低數據泄露的風險；API 訪問持續信任評估：通過 API 網關 agent 持續采集 API 消費者本地信息，對 API 消費者身份進行動態認證授權，根據多種因素評估訪問者的信任級別，在復雜場下提升安全水平。API 數據傳輸細粒度管控(動態脫敏)：采用網絡流量動態識別技術，實時發現 API 流動的敏感數據，通過建立 API 消費細粒度權限，構建豐富的脫敏規則庫，對對低權限 API 消費者的敏感數據訪問行為進行脫敏處理，傳輸真實的“假數據”。API 流控熔斷：通過 API 網關可以控制 API 消費者的訪

135、問流量，實現精細化流控管理，同時對服務流量進行實時監控，當服務異常時可以采取熔斷機制，保證整個體系不會過載。(1)數據安全保障縮減 API 攻擊面，減少 API 數據泄露和攻擊風險，提升企業信息化安全(2)提升后端服務安全保障效率在 API 網關內開發安全策略，即可保障后端所有服務的安全性，大大提升保障后端服務安全的開發效率和維護效率(3)建立 API 管理和規范體系制定企業 API 管理集成規范，實現業務對接自助化，對接自動化(4)構建業務生態以開放 API 技術，打通企業上下游業務，實現企業業務生態建設6.10.4 方案價值-51-(5)滿足應用數據合規要求滿足網絡安全法、數據安全法以及“

136、等保 2.0”等有關法律法規及標準對應用側敏感數據的安全防護要求建設 API 網關管理平臺：在企業內網建設 API 網關平臺，將企業所有對外開放 API服務納入 API 網關管理范圍內，并完成相關配置；建立 API 服務上架管理機制：新的 API 服務有對外開放需求時，需 API 業務系統側向 API網關管理員提交上架申請，獲得審批同意后，由 API 管理員在在后臺管理系統完成相關配置，實現 API 服務上架；建立 API 消費者管理機制：對于有訪問內網 API 服務需求的 API 消費者同樣需要向 API網關管理員提交訪問申請，獲得審批同意后，由 API 管理員向 API 消費者發放 API

137、 客戶端Agent 及 API 消費者憑證，并在后臺管理系統完成相關權限配置；建立重要數據傳輸管理機制：由 API 業務系統側梳理需要進行脫敏的重要數據，由 API網關管理員在后臺管理系統配置相應的規則，在保證正常服務調用的同時，實現重要數據的脫敏。6.10.5 推薦建設建議-53-數據作新的生產要素，只有在保證數據質量和安全性的前提下，不斷推動數據共享開放，才能充分釋放數據價值。這個過程中，我們應最大程度的防止數據遭到泄漏、濫用和破壞。做好數據安全保護工作，我們要力爭做到令數據“看不見”（數據資產隱藏和隔離）、“看不懂”（數據加密）、“環境安全”（環境安全加固和安全狀態感知），“受控操作”（權限治理和訪問控制），在數據全生命周期的各個環節、在數據留存的各個位置、在數據應用的各個場景抓住數據訪問管控這個“牛鼻子”，持續實踐零信任理念和安全技術，從而提升行業的數據安全治理的整體能力和水平。掃碼關注以下官方公眾號獲取更多資訊掃碼關注以下官方公眾號獲取更多資訊云計算開源產業聯盟零信任實驗室微信公眾號零信任產業標準工作組微信公眾號