前言：在數(shù)字化世界中，一切皆源于數(shù)據(jù)。無論任何時候、任何地方和任何環(huán)境，組織都需要保護數(shù)據(jù)免受未經(jīng)授權(quán)的訪問和泄露，確保核心資產(chǎn)和業(yè)務(wù)的連續(xù)性，并獲得客戶的信任和忠誠度。
然而，這些跨領(lǐng)域、相互交叉的數(shù)據(jù)來自于不同的源頭，并由不同機構(gòu)和人員以不同的方式處理，要確保所有數(shù)據(jù)在不損失安全、隱私和合規(guī)性的前提下，最大限度地傳播共享以發(fā)揮效用，需要從戰(zhàn)略層面對數(shù)據(jù)進行思考、規(guī)劃和治理。本文從零信任安全能力的體系化建設(shè)入手，討論數(shù)據(jù)在收集、使用、傳播及處置過程中的安全保護措施，主要包括數(shù)據(jù)的識別與分類保護、共享與數(shù)據(jù)血緣、訪問與泄露防護，以及勒索與數(shù)據(jù)彈性。
關(guān)鍵字：零信任；數(shù)據(jù)分類分級；數(shù)據(jù)防泄漏；勒索軟件

一

零信任數(shù)據(jù)安全

針對網(wǎng)絡(luò)的攻擊一般以可用性為攻擊目標(biāo)（例如DDoS），主要影響業(yè)務(wù)運行性能和效率，而針對企業(yè)數(shù)據(jù)的攻擊可以同時包含對機密性、完整性和可用性的攻擊（例如，竊取、破壞、勒索等），對攻擊者具有高額的回報，也更具誘惑力。

此外，數(shù)據(jù)通常也是零信任實施中最薄弱的環(huán)節(jié)，它們以結(jié)構(gòu)化或非結(jié)構(gòu)化的文件、碎片（或元數(shù)據(jù)）等形式，存在于本地（或虛擬環(huán)境）系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)庫、基礎(chǔ)設(shè)施和備份中。在典型的數(shù)據(jù)安全事件中，除數(shù)據(jù)損毀所造成的業(yè)務(wù)影響外，數(shù)據(jù)非法跨境、個人信息泄露等違規(guī)行為也可能會導(dǎo)致訴訟、罰款和聲譽損害等損失，對組織產(chǎn)生不良影響。

根據(jù)IBM Security《2022年數(shù)據(jù)泄露成本報告》，全球數(shù)據(jù)泄露的平均總成本為435萬美元，而在受訪的550個組織中，僅有17%的組織是首次遭受數(shù)據(jù)泄露（參看圖1）。隨著攻擊者越來越多地將注意力轉(zhuǎn)向組織的敏感數(shù)據(jù)，組織迫切需要更強大的數(shù)據(jù)安全控制和程序。

圖1 2022年數(shù)據(jù)泄露的平均總成本（來源IBM）

零信任數(shù)據(jù)安全的總體目標(biāo)是確保關(guān)鍵敏感數(shù)據(jù)不會暴露和泄露、也不會因數(shù)據(jù)安全導(dǎo)致組織運營問題，其能力建設(shè)不僅要考慮數(shù)據(jù)的存儲安全（例如空間和性能），還要考慮數(shù)據(jù)的管理方法、流程和工具，以實施有效的安全管控。通常，數(shù)據(jù)管理中的典型問題包括：● 如何進行數(shù)據(jù)發(fā)現(xiàn)和標(biāo)記？●如何處理過期數(shù)據(jù)？●如何進行數(shù)據(jù)備份和恢復(fù)？●如何在數(shù)據(jù)存儲、傳輸和使用中加密數(shù)據(jù)？

數(shù)據(jù)可見性是建立有效控制的前提。隨著用戶工作方式的變化，復(fù)雜而又動態(tài)的IT環(huán)境將數(shù)據(jù)置于嚴(yán)重的“蔓延”風(fēng)險下，組織甚至無法了解數(shù)據(jù)所在的位置，以及哪些實體正在訪問數(shù)據(jù)。例如，在一個組織中，員工可能使用數(shù)十種以不同方式收集、分析和共享數(shù)據(jù)的SaaS應(yīng)用，不同應(yīng)用形成了組織內(nèi)數(shù)據(jù)的孤島。這些“數(shù)據(jù)孤島”阻礙了安全措施的實施，組織不僅要關(guān)心傳統(tǒng)安全邊界消失所帶來的風(fēng)險，更要關(guān)注數(shù)據(jù)本身的安全問題，包括數(shù)據(jù)的流動方式和去向。

圖2 適用于不同生命周期階段的數(shù)據(jù)安全控制

控制能力不足是現(xiàn)階段數(shù)據(jù)安全面臨的主要問題。為了實施零信任數(shù)據(jù)安全，需要數(shù)據(jù)（業(yè)務(wù)）所有者理解數(shù)據(jù)的生命周期，全面規(guī)劃數(shù)據(jù)安全策略和控制，包括完善在數(shù)據(jù)發(fā)現(xiàn)、監(jiān)控、跟蹤和審計方面的可見性，強化組織內(nèi)存儲、傳輸和使用中數(shù)據(jù)的加密保護，控制對進入/離開組織的數(shù)據(jù)的訪問，并提供快速識別、應(yīng)對數(shù)據(jù)安全問題的策略、流程和工具。

二

數(shù)據(jù)安全的關(guān)鍵能力

在零信任安全框架中，數(shù)據(jù)安全能力需要從宏觀上進行規(guī)劃建設(shè)，覆蓋數(shù)據(jù)在生成、存儲、傳輸和處理過程的全生命周期安全，包括對高價值數(shù)據(jù)的分類分級保護、數(shù)據(jù)跟蹤控制，敏感數(shù)據(jù)防泄漏，以及數(shù)據(jù)彈性能力等。

1

識別與分類保護

數(shù)據(jù)安全需要將策略控制直接應(yīng)用于數(shù)據(jù)對象本身。盡管有些數(shù)據(jù)看起來更重要一些，但即使是不太關(guān)鍵的信息，如果在錯誤的時間丟失或泄露，也可能對組織造成損害，例如，待發(fā)布產(chǎn)品的性能參數(shù)等。

宏觀來看，數(shù)據(jù)安全策略不應(yīng)僅限于保護最有價值的數(shù)據(jù)，但也并非所有數(shù)據(jù)都需要進行平等的保護。組織需要了解持有的數(shù)據(jù)，識別不同數(shù)據(jù)的安全風(fēng)險，以便能夠確定重點保護的區(qū)域和對象。通常，組織的高價值數(shù)據(jù)資產(chǎn)可能包括：●組織數(shù)據(jù)資產(chǎn)，例如CRM數(shù)據(jù)庫中的信息；●業(yè)務(wù)關(guān)鍵文件，例如戰(zhàn)略計劃和協(xié)議；●合規(guī)監(jiān)管數(shù)據(jù)，例如未經(jīng)審計的財務(wù)報表；●知識產(chǎn)權(quán)文檔，例如產(chǎn)品設(shè)計和技術(shù)規(guī)格；●個人隱私信息，例如員工的詳細(xì)信息。

數(shù)據(jù)分類是根據(jù)數(shù)據(jù)的類型、敏感性和業(yè)務(wù)價值對數(shù)據(jù)進行標(biāo)記的過程，以便可以在組織內(nèi)部和外部就如何管理、保護和共享數(shù)據(jù)做出策略選擇。通常，大多數(shù)組織需要采用自定義的分類（例如表1）和粒度，以匹配其數(shù)據(jù)安全解決方案的分類保護和控制能力。

表1 按敏感級別的數(shù)據(jù)分類示例

數(shù)據(jù)標(biāo)簽可以作為可視化標(biāo)記附加在數(shù)據(jù)上，并嵌入文件的元數(shù)據(jù)中。通過與數(shù)據(jù)安全解決方案結(jié)合，元數(shù)據(jù)標(biāo)簽有助于為數(shù)據(jù)實施基于規(guī)則的安全控制或使用。

2

共享與數(shù)據(jù)血緣

在現(xiàn)代企業(yè)的IT環(huán)境中，數(shù)據(jù)不斷積累，并高速流入和流出組織，如何清理、組織、存儲和維護這些數(shù)據(jù)對組織至關(guān)重要。數(shù)據(jù)血緣是數(shù)據(jù)管理領(lǐng)域的重要概念，最早起源于數(shù)據(jù)倉庫和ETL（提取、轉(zhuǎn)換、加載）過程，用于跟蹤數(shù)據(jù)記錄從創(chuàng)建、使用和處置的完整過程。

在數(shù)據(jù)血緣技術(shù)中，數(shù)據(jù)在其生命周期中的每個操作步驟的元數(shù)據(jù)都會被收集、存儲起來（如圖3），并通過血緣分析來構(gòu)建數(shù)據(jù)映射框架，幫助組織確認(rèn)數(shù)據(jù)來自可信來源、并進行了安全轉(zhuǎn)換和存儲。

圖3數(shù)據(jù)血緣在數(shù)據(jù)操作后的更新方式

在使用數(shù)據(jù)血緣時，不同的組織角色通常有不同的需求，管理層希望理解數(shù)據(jù)在整個業(yè)務(wù)流程中的作用，比較關(guān)注數(shù)據(jù)的準(zhǔn)確性，而IT和安全團隊則更關(guān)注數(shù)據(jù)的血緣關(guān)系，以滿足運營、合規(guī)和流程的要求。

雖然詳細(xì)記錄每個數(shù)據(jù)的來源非常繁瑣，但這些信息使組織能夠識別潛在的安全漏洞，并實施適當(dāng)?shù)谋Ｗo措施來保護敏感數(shù)據(jù)，確保遵守數(shù)據(jù)安全法規(guī)。

以數(shù)據(jù)銷毀為例，作為數(shù)據(jù)安全的一個重要方面，通常組織更擅長（或樂意）創(chuàng)建和聚合數(shù)據(jù)，而不是刪除數(shù)據(jù)。數(shù)據(jù)血緣可以使組織了解數(shù)據(jù)生命周期，提供敏感數(shù)據(jù)在整個組織中如何處理、存儲和訪問的精細(xì)可見性，有助于提高數(shù)據(jù)安全和隱私保護能力，例如，識別并確定必須進行數(shù)據(jù)備份或銷毀的時間點。

3

訪問與泄露防護

訪問控制是安全策略實施的重要組成，細(xì)粒度訪問控制需要將數(shù)據(jù)敏感等級納入決策條件中?？梢姡瑪?shù)據(jù)分類是在零信任中實施細(xì)粒度訪問控制的先決條件。

在零信任體系化能力建設(shè)中，請求者（人類用戶或NPE）的身份安全能力主要通過“身份”支柱建設(shè)。在實施訪問控制時，訪問策略引擎需要將“身份”和“設(shè)備”信息映射、關(guān)聯(lián)到“數(shù)據(jù)”支柱所建設(shè)的數(shù)據(jù)清單上，以便限制它們對目標(biāo)數(shù)據(jù)的訪問，從而降低可疑用戶或失陷設(shè)備所帶來的數(shù)據(jù)安全風(fēng)險。

通過加密技術(shù)保護存儲、傳輸中的數(shù)據(jù)是安全團隊的通用做法，但有些組織可能會忽視對動態(tài)數(shù)據(jù)的加密（即通信加密）。實際上，即使在部署VLAN、分段或其他隔離措施的網(wǎng)絡(luò)中，攻擊者也可以通過對路由器或網(wǎng)關(guān)的攻擊，來窺探網(wǎng)絡(luò)流量，獲取敏感信息。因此，對數(shù)據(jù)（包括傳輸中的數(shù)據(jù)）進行加密，是建設(shè)零信任數(shù)據(jù)安全的重要內(nèi)容。

數(shù)據(jù)防泄露（DLP）是一項比較成熟的數(shù)據(jù)安全技術(shù)，組織在設(shè)計實施DLP時，需要考慮因素主要包括：●數(shù)據(jù)安全策略和合規(guī)監(jiān)管需求的復(fù)雜程度；●持續(xù)運營DLP所需要依賴的資源，及其來源；●DLP覆蓋的通信渠道，例如，電子郵件、Web、FTP、內(nèi)容協(xié)作平臺、云存儲等；●數(shù)據(jù)的多樣性和類型情況，例如，結(jié)構(gòu)化、非結(jié)構(gòu)化和半結(jié)構(gòu)化（例如表單數(shù)據(jù)）；●數(shù)據(jù)存儲的方式，例如，云存儲、本地文件服務(wù)器等。

DLP的關(guān)鍵能力（例如，數(shù)據(jù)可見性及與訪問位置的關(guān)聯(lián)）對零信任整體數(shù)據(jù)安全建設(shè)非常重要，通過協(xié)調(diào)零信任策略與DLP策略的一致性，可以集成DLP的產(chǎn)品能力，并根據(jù)DLP的輸出（例如，敏感數(shù)據(jù)泄露警告），實現(xiàn)與數(shù)據(jù)移動上下文相關(guān)的安全策略。

4

勒索與數(shù)據(jù)彈性

無論對組織還是個人，勒索軟件都具有不容置疑的巨大危害。根據(jù)Statista的報告，自2018年以來，全球組織遭受勒索軟件攻擊的比例每年持續(xù)上升，并于2021年達到峰值68.5%。

在如此普遍的勒索軟件攻擊趨勢之下，組織關(guān)心的問題已經(jīng)從“是否會受到攻擊”，轉(zhuǎn)為“何時遭到攻擊”。更糟糕的是，勒索軟件攻擊的重點是備份系統(tǒng)，在傳統(tǒng)采用溫/熱備進行災(zāi)難恢復(fù)的方法中，由于備份數(shù)據(jù)已被勒索軟件加密，導(dǎo)致最終的恢復(fù)失敗。在這種情況下，除了從冷備份中進行復(fù)雜、耗時的恢復(fù)之外，組織別無選擇。

按照Gartner的觀點，為了應(yīng)對勒索軟件攻擊，用于災(zāi)難恢復(fù)的隔離恢復(fù)環(huán)境（IRE）應(yīng)具備寫保護、勒索軟件檢測、即時自動化恢復(fù)和隔離部署等能力。在IRE技術(shù)成熟之前，用戶在運行獨立的備份系統(tǒng)時，則應(yīng)通過實施3-2-1備份規(guī)則（每個數(shù)據(jù)必須至少有3個副本，其中2個副本必須存儲在不同位置的系統(tǒng)中，并且至少1個與生產(chǎn)環(huán)境隔離），提高數(shù)據(jù)的可恢復(fù)能力。

備份不能阻止勒索軟件攻擊，但對于事件發(fā)生后的恢復(fù)至關(guān)重要，可以提供一定的數(shù)據(jù)彈性，使組織在發(fā)生數(shù)據(jù)意外時確保業(yè)務(wù)連續(xù)性。不管組織使用私有化部署的數(shù)據(jù)災(zāi)備系統(tǒng)，還是云原生的數(shù)據(jù)彈性平臺，數(shù)據(jù)安全建設(shè)都需要關(guān)注數(shù)據(jù)的災(zāi)難恢復(fù)能力，對恢復(fù)點目標(biāo)（RPO）和恢復(fù)時間目標(biāo)（RTO）負(fù)責(zé)，并將數(shù)據(jù)備份和恢復(fù)連接融入零信任安全能力框架。

三

數(shù)據(jù)安全的最佳實踐

通過保持零信任數(shù)據(jù)安全策略與業(yè)務(wù)目標(biāo)的一致，組織能夠安全地生成、處理和存儲更有價值的數(shù)據(jù)，從而使企業(yè)改進決策獲得競爭優(yōu)勢，并提高業(yè)務(wù)敏捷性，同時防御日益復(fù)雜的安全威脅。

1

自動化分類標(biāo)記

伴隨數(shù)據(jù)量和產(chǎn)生速度的不斷增加，數(shù)據(jù)可見性對組織來說是一個巨大的挑戰(zhàn)。通過利用自動化的數(shù)據(jù)分類標(biāo)記工具，可以使數(shù)據(jù)識別以更快的速度、覆蓋更廣泛的范圍，最重要的是能實現(xiàn)對數(shù)據(jù)映射的持續(xù)更新和維護，以跟上業(yè)務(wù)、技術(shù)和威脅的發(fā)展。

自動化的敏感數(shù)據(jù)發(fā)現(xiàn)可以識別數(shù)據(jù)的位置，并根據(jù)預(yù)定的敏感度級別對數(shù)據(jù)進行分類，然后將適當(dāng)?shù)脑獢?shù)據(jù)應(yīng)用于每個文檔（包括電子郵件和文檔），為下游的安全生態(tài)系統(tǒng)（例如DLP、CASB）提供決策控制信息，包括數(shù)據(jù)清單、敏感等級、結(jié)構(gòu)類型、數(shù)據(jù)來源和交換記錄等。

2

增量式逐步推進

在面對復(fù)雜業(yè)務(wù)的數(shù)據(jù)安全場景時，用戶可能會因試圖發(fā)現(xiàn)、分類和保護組織的所有數(shù)據(jù)，而感到無從下手，特別是在一些數(shù)據(jù)管理能力不足和技術(shù)手段落后的環(huán)境中，實施零信任數(shù)據(jù)安全的任務(wù)更加艱巨。

解決該問題的最佳方法是采用循序漸進的實施策略，客觀地規(guī)劃能力目標(biāo)與進度，將與業(yè)務(wù)相關(guān)的最終產(chǎn)出結(jié)果，分解為可實現(xiàn)的里程碑，并在推進過程中，確保能按時間表獲得相應(yīng)的資源或調(diào)整時間表。另外，在實施過程中，保持與利益相關(guān)者的溝通，保證他們了解當(dāng)前的進度狀態(tài)和新變化。

在實施方面，從小事做起，逐步提高。例如，考慮首先保護電子郵件和文件，然后轉(zhuǎn)向SaaS應(yīng)用和云。安全計劃的實施也從基礎(chǔ)級別開始，將精細(xì)的策略控制應(yīng)用于電子郵件和非結(jié)構(gòu)化數(shù)據(jù)，然后從逐步開始擴展到流入和流出企業(yè)的數(shù)據(jù)。

3

持續(xù)性審查治理

成功的數(shù)據(jù)安全計劃需要能夠循環(huán)反饋和定期審查。數(shù)據(jù)永遠(yuǎn)存在并持續(xù)變化，控制措施也需要緊跟技術(shù)發(fā)展進行演進，以適應(yīng)威脅變化。除了定期（例如每年）審查數(shù)據(jù)安全的實施和計劃外，也可以在以下情況下觸發(fā)審查：●組織管理層發(fā)生重大變動；●法律或監(jiān)管發(fā)生重大變化；●內(nèi)部或外部發(fā)生了重大事件或違規(guī)；●出現(xiàn)了重大的技術(shù)變革。

四

結(jié)語

通過將零信任原則應(yīng)用于數(shù)據(jù)安全能力建設(shè)，組織可以實現(xiàn)更全面、細(xì)粒度的數(shù)據(jù)保護和訪問控制，增強對敏感數(shù)據(jù)的安全性和可控性，減少數(shù)據(jù)泄露和損失的風(fēng)險，提高整體的安全防御能力。但數(shù)據(jù)安全是一個持續(xù)的過程，組織需要綜合考慮技術(shù)實現(xiàn)、用戶體驗和文化變革等方面的挑戰(zhàn)和因素，根據(jù)自身情況制定適合的計劃和策略。同時，也需要確保與合規(guī)要求和業(yè)務(wù)需求的一致性，以最大程度地提高數(shù)據(jù)安全性和保護組織的利益。

審核編輯 黃宇