数据访问安全域能力白皮书.docx

101 101 101010 101010101 0101010101010101 1010 01010 0101 0 1010 101 0101 1010 0101 1010 101 10 101010 数据访问安全域 能力白皮书 目 录 前 言 1 团队角色及需求 3 主要场景与痛点 4 BYOD 设备数据管控难 4 组织分支机构协同场景复杂 4 数据泄露审计与溯源难 5 技术现状 6 数据安全 6 访问安全 8 终端安全 9 数据访问安全域 11 定义 11 数据访问安全域方法论 12 关键能力 13 安全的数据使用终端环境 13 安全的数据传输通路 14 目录有机的数据治理 目 录 技术要点 16 虚拟化技术 16 终端侧攻防对抗技术 16 零信任访问技术 17 数据标签技术 17 数据访问安全域代表企业 19 Citrix 19 Vmware 20 Hysolate 20 一知安全 21 数据访问安全域的价值 23 前 言 数字安全时代，数据安全成为继信息安全、网络安全之后新的安全产业轴心。《数据安全法》的颁布实施纲举目张，数据安全各个细分领域开始全面落地。2021 年 12 月世界信息安全大会，数世咨询发布《中国数字安全能力图谱》，涵盖了数据资产安全，数据访问安全，数据共享安全与数据安全综合治理四大数据安全分类，这其中传统的文档安全、数据库安全，数据防泄漏以及新兴的数据应用安全与隐私计算等多个细分领域都收录在内，但仍然存在一些薄弱环节。例如，在机构用户向机构内部发起某个敏感数据（本报告中“数据”一般指用户或机构拥有的核心业务数据、商业敏感信息、知识产权信息、客户隐私信息等高价值业务数据资产）的访问请求后，数据从机构内部数据中心，通过安全的数据通路，落盘到用户终端侧，在这个过程中，机构如何落实整个访问过程的安全管控，特别是数据在用户终端侧落盘后的更进一步安全管控，目前并没有一个与之适配较强且行之有效的较好的解决方案。 据数世咨询近两年发布的“大事记”中数据泄露事件粗略统计可以看到，数据的采集、传输、存储、使用、交换、销毁等几个阶段中，发生在使用和交换阶段的数据泄漏占比呈递增趋势，发生在存储阶段的数据泄露占比呈下降趋势。此外，在众多数据泄漏事件中，内部人员、合作伙伴导致的数据泄漏事件占据了事件的多数，这其中既包括员工主动的泄密、由于失误造成的泄密，也有合作伙伴提供运维服务、业务外包和供应链等过程中发生的数据泄密。 因此，数世咨询认为，目前的数据安全正在由数据资产安全迈入数据访问和使用安全的时代——针对存储阶段的数据安全防护固然重要，其他阶段的数据安全也需要给予更多的重视；数据泄漏要面对的也不再仅仅是外部的黑客攻击，还包括内部员工、合作伙伴使用和交换数据时的数据失泄密行为。 鉴于此，数世咨询提出一个全新的细分领域——“数据访问安全域”，主 要关注的是数据访问过程中如何实现对数据的安全管控这一需求。本白皮书从场景与痛点、角色需求、技术现状、关键能力、技术要点等方面对其进行梳理与总结。本报告的内容来自于公开资料的收集、整理与调研，且主要探讨全新的数据安全细分领域，必然会有错误或纰漏，欢迎各位读者批评与指正。 团队角色及需求 对用户来说，数据访问安全通常涉及到以下 4 个角色团队： 1、业务团队 作为数据生产和消费的角色。希望通过数据挖掘出新的业务增长点，更快地进行创新并为其组织创造更多价值。这意味着数据需要在业务前端、存储节点、计算节点、数据分析节点、服务提供终端等各个节点间不断流转； 2、安全团队 希望对数据的存储、流转、访问、销毁等全过程都能够可视、可控、可查。这意味所有的数据访问请求，无论来自与外部还是内部，无论是纵向还是横向，都需要基于白名单机制进行严格的信任鉴权与控制，整个过程要具备一定程度的自动化与可视化，并定期生成安全运行报告，进而体现安全团队除了“背锅”以外的更大价值； 3、运维团队 希望安全方案尽量不改动现有的网络架构，原有的终端操作系统也不需要升级或打补丁，离线办公、远程办公、协同办公的各个业务单元都不必做出策略配置上的调整，总之就是不要动，谁动坏了谁负责； 4、法务团队 希望确保公司的安全方案遵守数据安全法等相关法律，符合等保、分保等合规要求，万一出现有意或无意的数据泄露事件，机构的法务团队能够首先从内部获取到客观有力的证明信息，避免违法违规导致的声誉受损。这意味着团队需要实现完整的数据加密和分级保护； 除了以上四个关键角色团队，最终的关键角色——老板——希望的是保业务，不出事，少花钱。这也是数据访问安全域