基于零信任安全模型的數(shù)據(jù)安全風險治理實踐

基于零信任安全模型的數(shù)據(jù)安全風險治理實踐演講人：薛愷

杭州美創(chuàng)科技股份有限公司數(shù)字經(jīng)濟發(fā)展《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》：數(shù)字經(jīng)濟是繼農業(yè)經(jīng)濟、工業(yè)經(jīng)濟之后的主要經(jīng)濟形態(tài)，是以數(shù)據(jù)資源為關鍵要素，以現(xiàn)代信息網(wǎng)絡為主要載體，以信息通信技術融合應用、全要素數(shù)字化轉型為重要推動力，促進公平與效率更加統(tǒng)一的新經(jīng)濟形態(tài)。八大重點任務優(yōu)化升級數(shù)字基礎設施持續(xù)提升公共服務數(shù)字化水平充分發(fā)揮數(shù)據(jù)要素作用持續(xù)提升公共服務數(shù)字化水平大力推進產業(yè)數(shù)字化轉型著力強化數(shù)字經(jīng)濟安全體系加快推動數(shù)字產業(yè)化有效拓展數(shù)字經(jīng)濟國際合作面對風險的思考高價值的數(shù)據(jù)資產復雜的數(shù)據(jù)生態(tài)系統(tǒng)不止入侵防御/攻防數(shù)據(jù)會流動且好流動開放的網(wǎng)絡環(huán)境、復雜的業(yè)務數(shù)據(jù)類型、信息融合和共享等挑戰(zhàn)給數(shù)據(jù)安全防護帶來了挑戰(zhàn)。如何實現(xiàn)多跨場景下數(shù)據(jù)安全管控，開展面向數(shù)據(jù)安全風險的感知、理解、計算、預測和防范的全過程研究變得更為迫切。風險治理-突破認知有限無法窮舉動態(tài)變化……需要基于業(yè)務場景，對?、流程、訪問、環(huán)境等多維因素進行相應的信任評估，通過信任級別動態(tài)地調整權限，構建動態(tài)自適應的安全防護閉環(huán)。靜態(tài)的被動式風險防護無法應對復雜的業(yè)務場景風險以資產和身份為核心的動態(tài)風險治理資產身份確認你是你確認你的訪問基于真實意圖定義資產定義敏感資產01. 數(shù)據(jù)安全現(xiàn)狀風險治理新戰(zhàn)法實踐落地目 錄CONTENTS數(shù)據(jù)安全新戰(zhàn)法知合規(guī)認知，根據(jù)法律法規(guī)對數(shù)據(jù)安全的要求，整理輸出適合本組織的數(shù)據(jù)安全制度流程和操作指南理對數(shù)據(jù)進行梳理，對敏感數(shù)據(jù)進行發(fā)現(xiàn)定位、分類分級對風險進行梳理，采集日志，輸入風險分析模型，全面了解組織面臨的風險，有的放矢控全面管控，結合數(shù)據(jù)分級分類的結果、針對已有風險，采取有針對性的保護措施，對于違規(guī)操作做到發(fā)現(xiàn)、預警、攔截監(jiān)持續(xù)監(jiān)管，匯集安全日志，建設風險預警大屏；持續(xù)改進，結合安全控制點，定期自評，優(yōu)化安全策略，對安全治理的成果進行持續(xù)改進動態(tài)風險治理路徑以資產為中心、以身份為邊界、以風險為界面資產身份管理風險事件評估響應處置更新知識庫更新策略庫訪問控制引擎采?動態(tài)變化的度量方法，將訪問主體的訪問行為隨著身份信息、訪問上下文及環(huán)境等因素進行動態(tài)評估，對每次訪問行為采用最小權限原則執(zhí)行動態(tài)訪問控制解決了傳統(tǒng)靜態(tài)風險治理機制下，安全策略動態(tài)適應不?的問題，提升了應對風險有效響應的能?管理員定義好策略，策略下發(fā)到策略引擎每個資源請求都會經(jīng)過策略引擎策略引擎給出一個放行、阻斷、脫敏等的響應定義誰在什么情況下可以訪問什么東西，以及不能訪問什么東西。必須界定每種可能的語境條件組合，以適應現(xiàn)實世界中不斷變化的條件。訪 問控 制風險治理-訪問控制資產、身份動態(tài)驗證IP地址靜MAX地址動態(tài)設備型號態(tài)屬操作系統(tǒng)屬性數(shù)字證書應用hash等性設備上下文網(wǎng)絡上下文行為上下文時空上下文操作上下文風險治理-動態(tài)評估風險治理-靜態(tài)轉向動態(tài)信任引擎信任引擎對請求和活動的風險進行評估，將這些風險評分傳遞給策略引擎策略引擎根據(jù)具體的策略決定使用哪些評分參與授權決策信任引擎可以為策略引擎做出正確的訪問判斷提供有力的支撐。靜態(tài)的訪問控制（策略引擎）轉向動態(tài)的控制風險治理-智能決策資產、身份的行為分析，如時間上下文，空間上下文等，監(jiān)視上下文信息和活動，預測并建立風險庫/策略庫。智能分析身份信息人員、終端應用、帳戶網(wǎng)關數(shù)據(jù)資產中心引擎模型計算算法學習風險治理-動態(tài)體系數(shù)據(jù)清洗數(shù)據(jù)轉換數(shù)據(jù)匹配數(shù)據(jù)建模聚合

/

分類分布式計算風險規(guī)則深度挖掘風險量化人員數(shù)據(jù)終端數(shù)據(jù)應用數(shù)據(jù)帳戶數(shù)據(jù)風險告警風險可視化風險治理風險評估風險響應數(shù)據(jù)收集數(shù)據(jù)處理數(shù)據(jù)分析規(guī)則引擎風險處置數(shù)據(jù)收集、分析完成后，反饋到策略引擎。策略引擎根據(jù)風險評分因子，進行動態(tài)策略調整，解決彌補策略引擎（訪問控制）策略部署難的問題。動態(tài)防護風險治理體系化建設多層級響應看見直接反應簡單響應條件反射簡單復雜響應復雜復雜響應人工干預應急響應恢復響應風險和響應事件的未來整體和局部邊界的開閉網(wǎng)絡的延展進化與突變全生命周期已知和未知資產身份行為數(shù)據(jù)上下文小概率管理結構化體系全生命周期適應性進化模式和突變特定性進化威脅情報風險治理適應性動態(tài)風險 安全的界面發(fā)現(xiàn)、感知、看到、看見保護、檢測、響應全流量和日志采集

|數(shù)據(jù)安全中心通過統(tǒng)一的數(shù)據(jù)安全中心構建三大跨域能力適應性動態(tài)風險能力，通過策略的適應性進化，讓策略能夠隨著身份和資產的變化而不斷進化“看見”能力，需要能夠看見身份、資產、風險，實現(xiàn)復雜系統(tǒng)的可見性多層級響應能力，包括封閉邊界，簡單響應，復雜響應，流程干預，應急響應，恢復響應等多個層級的響應能力01. 數(shù)據(jù)安全現(xiàn)狀風險治理新戰(zhàn)法實踐落地目 錄CONTENTS數(shù)據(jù)庫資產人應用賬戶終端OracleSQL

ServerDB2HiveMySQLMongoDBRDS......服務器服務器API接口終端SQL語句......身份美創(chuàng)動態(tài)脫敏暗數(shù)據(jù)發(fā)現(xiàn)數(shù)據(jù)加密訪問控制安全審計API安全網(wǎng)關動態(tài)鑒權靜態(tài)脫敏數(shù)據(jù)水印數(shù)據(jù)審計準入控制事件溯源數(shù)據(jù)防勒索漏洞掃描端|能力三方數(shù)據(jù)脫敏......治理云｜平臺風險庫知識庫資產身份行為入侵上下文治理策略引擎策略庫風險事件事件庫標準化數(shù)據(jù)標簽數(shù)據(jù)分類識別防御檢測響應 恢復資產身份目標內部安全業(yè)務安全共享流動安全云安全外部安全終端完全連續(xù)性安全新一代安全架構統(tǒng)一的云中心收斂各種安全業(yè)務差異性，云中心展現(xiàn)復雜業(yè)務邏輯，輕量級的端點快速適配各種場景；實現(xiàn)統(tǒng)一的資產治理、全域身份、風險模型、安全數(shù)據(jù)中心、自動化響應

+