1、 零信任数据动态授权 桔皮书 奇安信科技集团股份有限公司 2022 年 1 月 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集奇安信集团团的书面授权许可，不得以任何方式复制或引用本文的任何片段。前 言 随着数字化的深入，数据成为重要生产要素。数据伴随着业务和应

2、用，在不同载体间流动和留存，贯穿信息化和业务系统的各层面、各环节，在复杂的应用环境下，保证重要数据、核心数据以及用户个人隐私数据等敏感数据不发生外泄，是数据安全保障工作的重要挑战。数据安全靠的不是单点技术，而是能力体系。真正做好数据安全防护，需要从零散建设升级到体系化建设，内生安全框架是安全体系化建设的核心，“一中心两体系”是内生安全框架落地的具体方法，即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系，从而打造认知、安全、授权三个重要能力。其中零信任数零信任数据动态授权体系，则是授权能力的落地据动态授权体系，则是授权能力的落地。从实体安全、身份可信、业务合规三个目标出发，抽

3、象出主体、客体、主体环境，通过动态评估主体的数字身份、安全状态和信任、数据安全治理的成果，进行动态细粒度授权及访问控制，并结合数据安全防护体系的技术能力，实现对应用和数据的、服务，API 接口、大数据平台、数据库行、列等级别的精准管控。本报告总结分析了数字化时代数据安全的背景和挑战，结合零信任理念，提出构建数据动态授权能力的建设思路，以及以工程化思维推进零信任架构演进的建设方法，旨在为组织开展数据安全体系化建设提供参考和建议。目目 录录 一、一、数字化时代的数据安全发展现状背景数字化时代的数据安全发展现状背景 .1 1 (一)数据安全成为数字化发展基石.1(二)数据成为关键生产要素加速数据流转

4、.1(三)应用架构演变伴生数据使用场景日趋复杂.2 二、二、数字化时代的数据安全挑战数字化时代的数据安全挑战 .3 3 (一)边界弱化，企业资源暴露面增加.3(二)攻击的目标从网络转向身份、应用和数据.4(三)远程办公增加数据泄漏和权限滥用风险.4(四)内部威胁成数据泄漏主要原因.5 三、三、基于零信任思路构建数据安全保护体系基于零信任思路构建数据安全保护体系 .5 5 (一)数据保护需要新思路新方法.5(二)零信任理念和方法.6(三)在数字化背景下理解和实践零信任.7(四)在“一中心两体系”框架下构建零信任动态授权能力.9 四、四、构建零信任数据动态授权能力的关键举措构建零信任数据动态授权能

5、力的关键举措 .1212 (一)基于数据安全治理成果，构建数据视图.12 1.数据分类分级.12 2.元数据管理及数据视图.13(二)构建身份视图，明晰数据访问上下文.14 1.构建主体信任，需要丰富的上下文数据.14 2.身份视图：人、设备、应用的数字身份化及整体视图.15 (三)构建以资源为中心的统一策略管控体系.16 1.基于数据视图、身份视图和环境因子构建动态访问策略.16 2.数据脱敏策略.18 3.行过滤策略.19 4.基于任务和事由的权限策略.19 5.零信任动态策略和数据业务平台的内生聚合.19(四)持续的信任评估与策略治理.20 五、五、以工程化思维推进零信任架构演进以工程化

6、思维推进零信任架构演进 .2121 (一)以系统思维推进零信任架构演进.21 1.零信任目标及策略.22 2.零信任能力.22 3.零信任技术.22 4.零信任特性.22(二)制定阶段性行动计划.23 1.确立建设思路.23 2.厘清项目性质.23 3.制定分步迭代建设方案.24 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 1 页，共 25 页 一、数字化时代的数据安全发展现状背景(一一)数据安全成为数字化发展基石数据安全成为数字化发展基石 2021 年 9 月 1 日，数据安全法正式颁布实施，明确提出了数据安全保护要求，包括从战略上将数据安全上升到国家

7、总体安全观层面；从组织责任上明确数据流转过程中组织的安全责任与义务，明确监管要求；在安全保护方面完善数据安全保护体系，提升数据安全能力；在安全监管方面建立数据安全应急机制和审查制度。数据安全法同时也阐明了数据安全与发展的关系，即“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”。坚持安全与发展并重，在数据作为生产要素之一的大背景下，探索全新数据安全体系、保障新形势下的数据安全，已成为维护国家安全和国家竞争力的战略需要。(二二)数据成为关键生产要素加速数据流转数据成为关键生产要素加速数据流转 今年是我国“十四五”规划实施的第二年，是迎接数字时代

8、、激活数据要素潜能、推进网络强国建设的重要一年。全球也进入全面数字化转型时期，数据作为关键生产要素发挥着巨大作用，推动着数字经济的发展。传统信息技术开始向以数据和业务为核心的新一代信息技术转变，数据资源的种类数量、对接程度、应用领域、价值实现不断扩张，数据资源逐步走出企业物理边界；大数据、物联网等新业务的开放协同集合企业的业务和数据，多部门、多平台、多业务的数据融合打破了业务之间、部门之间的数据边界。其典型特征是企业间的信息化交互大幅增加，企业与外部合作伙伴的关系也更加密切，通过 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 2 页，共 25 页 业务协同

9、、数据共享实现流程优化、合作共赢已经成为共识。同时，可以预见到，未来数据流转情况将更加开放，业务生态将更加复杂，参与数据处理的角色将更多元，系统、业务、组织边界将进一步模糊，导致数据的产生、流动、处理等过程比以往更加丰富和多样。数据的频繁跨界流动，多环节的信息隐性留存，带来了严峻的数据安全挑战。一方面，数据在各组织、部门之间流动，系统和数据安全的责权边界变得模糊，主体责任划分不清，权限控制不足，导致数据泄漏事件频发；另一方面，数据在跨组织间的流转，导致原本的边界安全机制无法有效保护流转到边界外的数据，基于边界的安全管理和技术措施，已经无法适应当前的安全需要。在数据安全风险与日俱增的新形势下，安

10、全作为发展的前提，数据安全已成为数字经济时代最紧迫和最基础的安全问题。(三三)应用架构演变伴生数据使用场景日趋复杂应用架构演变伴生数据使用场景日趋复杂 随着云计算平台、大数据算力融合平台技术架构的演进，硬件平台和网络体系经过多次结构化重组，以容器、微服务、DevOps 为代表的云原生技术发展，以及边缘计算技术的大规模采用，企业普遍应用新技术，帮助企业提升决策水平、构建新型业务模式，实现产业升级。如微服务架构的盛行，导致数据被调用得更加频繁。单体应用架构下数据只经过单个服务的处理就流向了访问主体（人、应用、终端等），而在微服务架构下，服务的职能被切分得更加细致，数据可能需要经过几个甚至十几个服务

11、的处理才会流向访问主体。同时，组织的数据业务交互变得更加开放，数据的访问可能来源于组织内部，也 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 3 页，共 25 页 可能来自于分支结构，甚至是外部的第三方合作伙伴。另外，新技术、新业态的应用架构带来数据交互日益频繁的同时，业务上云、远程办公、应用程序的频繁调用，数据的流动区域、传输链路、访问行为等都发生了根本性的改变。数据使用场景的日益复杂化，数据安全防护需求随之动态变化，但由于各组织的数据安全能力不一致，属性不同，难以进行有效管控。数据安全的违规行为往往隐藏在正常的应用场景中，如数据 API 滥用数据 AP

12、I 按业务需求开放后，可能有具备权限的第三方服务没有按约定场景使用，或长时间没有使用形成暴露在外的幽灵 API 等；由于从业务视角短期来看这些行为都属于正常行为，但实际上已成为潜在的数据安全风险，需要用动态的安全思路来应对这些新需求、新挑战。二、数字化时代的数据安全挑战(一一)边界弱化，企业资源暴露面增加边界弱化，企业资源暴露面增加 随着新一代信息技术的快速演进，移动互联网、物联网、工业互联网、车联网等新技术新场景的不断涌现，应用架构随技术发展不断演进，打破了传统单体架构部署于数据中心内的模式，由数据中心向云端、终端等各个环节不断延伸，组织的网络环境愈发多样，如移动网络、固定网络接入、虚拟化网

13、络等；接入方式也愈发复杂，如手机、台式机、平板电脑及各类终端等；传统网络安全边界逐渐消失，用户、设备、业务、平台等多样化趋势不可阻挡。新技术态势下的网络安全威胁和风险同样不断涌现、扩散，企业与组织等的数字化系统正在面临来自多方面严峻的安全挑战，对安全防护能力的要求随之提升，传 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 4 页，共 25 页 统安全防护的劣势凸显。(二二)攻击的目标从网络转向身份、应用和数据攻击的目标从网络转向身份、应用和数据 数据的要素化促进了数据的价值体现和价值释放，数据已成为各企业或组织的重要资产。而另一方面，数据价值凸显引来更多的

14、攻击者，从近年来的主要网络安全事件结果来看，由于利益驱使，网络攻击从原来针对平台、网络、系统已经向数据资源转变。据威胁情报公司 Cyble 透露，2021 年 8 月，美国电信巨头 T-Mobile 遭遇重大安全事件，攻击者声称窃取了多个数据库，总计 106GB 的数据，涉及近 1 亿用户数据，其中包括 T-Mobile 的客户关系管理（CRM）数据库，并且攻击者将数据在地下黑产信息售卖赚取高额非法回报。(三三)远程办公增加数据泄漏和权限滥用风险远程办公增加数据泄漏和权限滥用风险 远程办公已经逐步成为一种常态化的工作模式，这也是移动办公延展后的必然结果。办公场景也不再局限于日常工作协同沟通、视

15、频会议等，包括远程办公平台、远程开发、远程运维、远程客服、远程教学等等都已成为现实，远程办公已经成为走出固定地点（如办公室、写字楼），随时随地的办公形态。远程办公常态化以及数据的开放协同增加了数据风险暴露面，各种接入人员的身份和权限管理混乱各种接入设备（BYOD、合作伙伴设备）安全性参差不齐，以及各种远程接入程序的使用，带来了对设备、人员的权限管理难度和不可控安全因素都可能导致数据更容易“意外”泄漏。如何确保数据在流经、留存的各种计算环境、终端设备上的安全变得充满挑战。零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 5 页，共 25 页 (四四)内部威胁成数

16、据泄漏主要原因内部威胁成数据泄漏主要原因 根据 Fortinet内部威胁报告调查显示，90的网络安全组织感到容易受到内部攻击；53的网络安全专业人员确认在过去一年中其组织遭受过内部攻击。内部威胁一方面指内部人员因为安全意识的疏忽或操作的失误暴露了某些安全脆弱环节，从而导致被攻击者利用造成的数据泄漏等安全事件；另一方面指组织内部员工通过滥用访问权限、违规获取访问权限等行为窃取组织数据资源，例如水滴泄密企业内部员工利用自身合法权限每天进行少量敏感数据下载，积累到一定程度后加密压缩外发到个人网盘。历年的“净网行动”曾发现多起内部员工对数据的恶意窃取事件，虽然部分内部人员权限较低，但他们仍可以通过盗用

17、高权限人员的账号密码数字证书登录内网获取敏感数据。三、基于零信任思路构建数据安全保护体系(一一)数据保护需要新思路新方法数据保护需要新思路新方法 传统的信息化环境相对静态，传统的安全防护方法和思路一般在边界或网络层面进行粗粒度的、静态的身份验证和授权，缺乏针对数据的细粒度的、动态的持续验证，难以应对日益变化的安全威胁。数字化时代安全理念和方法需要演进，数字化时代的信息化环境是动态的，业务需求是动态的，风险也是动态的，数据管控需求必然也是动态的，需要用动态的安全思路来应对这些新需求、新挑战，零信任就是这样一种基于动态策略的安全理念和方法。零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股

18、票代码：688561 第 6 页，共 25 页 零信任理念强调以数据资源为中心，针对要保护的数据制定细粒度的授权策略。策略通过主体、客体和环境的多维属性来构建，持续评估，影响策略的属性变了，用户的权限就自动变了，是一种弹性的、敏捷的思路，能有效地对数据实施保护。(二二)零信任理念和方法零信任理念和方法 零信任是一种以资源保护为核心的网络安全理念。认为对资源的访问，无论来自内部还是外部，主体和客体之间信任关系都需要通过持续的评估进行动态构建，遵守最小权限原则，采用多属性动态访问策略，基于动态信任实施访问控制。零信任的实质是在“网络可能或已经被攻陷、存在内部威胁”的环境下，把安全能力从边界，扩展到

19、主体、行为、客体资源，构建“主体身份可信、业务访问动态合规、客体资源安全防护、信任持续评估”的动态综合纵深安全防御能力。图 1.零信任架构 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 7 页，共 25 页 如图 1 所示，零信任架构围绕身份、设备、应用等主体与数据资源、接口等客体通过多个维度的策略管理，构建动态访问控制能力，通过统一的平台，对用户访问应用、应用之间的相互访问、数据访问、特权访问等典型的企业访问场景进行动态策略管控。零信任也是一种持续演进的企业安全策略，在统一的企业安全访问框架下持续规划、构建和运营，持续地提升企业数据安全访问治理、访问可见

20、性与分析、动态策略联动与编排的能力。(三三)在数字化背景下理解和实践零信任在数字化背景下理解和实践零信任 零信任的关键之一在于把控制的执行层面从基础设施扩展到应用和数据层面，如果仅仅把访问控制的执行放在网络通道层面解决，没有从数据和应用角度做细粒度的访问控制，就失去了零信任的初衷，这也是目前实践零信任存在的普遍误区和问题。事实上，美国政府对零信任的应用初衷，也是基于保护数据这一目标开展的，或者说零信任是美国政府在数字现代化道路上的一种策略选择。自 2019 年以来，美国军方、联邦政府加强组织对于零信任的研究和推广，陆续发布了 12 项零信任相关报告、规划等政策、引导性文件，同时安排相关科研机构

21、进行研究、实验，推动零信任进入快速发展期。美国推进零信任的过程可追溯到过去的十多年，美国政府和军方推出的一系列政策、规划、规范和标准都旨在限制对数据和资源的非授权访问，而推行零信任更是旗帜鲜明地将“网络为中心”向以“数据为中心”的网络安全模式转变。美国政府认为在当前的威胁环境下，不能再完全依赖基于传统边界防御（传统的防火墙、入侵 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 8 页，共 25 页 检测等）的手段来保护基础设施、网络和数据。因此，需要通过对网络环境中各方面要素进行充分的安全监控、细粒度基于风险的访问控制、自动化与编排，以便在动态威胁的环境下实

22、时保护数据。我国一些大型政企客户对零信任的应用，大多是始于各类数字化场景的需求，围绕业务和数据的动态细粒度防护展开，其技术成熟度已充分验证，在保护数据和应用方面，取得了很好的效果。比如，某部委基于零信任实施数据和业务访问的细粒度控制，大幅度降低对敏感数据的违规查询；某央企随着数字化转型深入，业务系统集中上云，基于零信任进行互联网出口收缩，增强整体防护水平；某大型银行大规模开展移动业务，基于零信任支撑移动办公常态化，实现业务支撑、降本增效和安全闭环。在政策层面，零信任在数据安全领域的应用也得到广泛重视。2021 年 2 月，北京市“十四五”时期智慧城市发展行动纲要中，在第五项主要任务“把握态势、

23、及时响应，保障安全稳定”中提出“建立健全与智慧城市发展相匹配的数据安全治理体系，探索构建零信任框架下的数据访问安全机制。”将零信任作为“十四五”发展规划中的关键技术之一。2021 年 7 月 12 日，工业和信息化部官网发布网络安全产业高质量发展三年行动计划（20212023 年）（征求意见稿），在第二章重点任务第 5 点发展创新安全技术中，“推动网络安全架构向内生、自适应发展，加快开展基于开发安全运营、主动免疫、零信任等框架的网络安全体系研发。加快发展动态边界防护技术，零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 9 页，共 25 页 鼓励企业深化微隔离

24、、软件定义边界、安全访问服务边缘框架等技术产品应用。”明确了零信任作为网络安全关键技术的定位、方向和作用，再次强调要加快开展基于零信任等的网络安全体系研发。2021 年大数据产业发展试点示范项目中，也有“面向垂直行业的零信任大数据安全访问平台建设及应用”，“基于零信任的大数据安全保护体系”两个零信任项目入选。综上，零信任是数据安全背景下的策略选择，也只有在数字化背景下理解和应用零信任，才能充分发挥零信任的巨大安全价值。(四四)在“一中心两体系”框架下在“一中心两体系”框架下构建零信任动态授权构建零信任动态授权能力能力 数据安全系统必须是内生安全系统，需要用“网络安全建设三部曲”：内生安全的理念

25、、内生安全框架的方法以及经营安全做到动态掌控，而经营安全需建立“一中心两体系”，即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系，从而打造认知、安全、授权三个重要能力，“一中心两体系”的关系如图 2 所示。零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 10 页，共 25 页 图 2.“一中心两体系”是内生安全框架落地的方法 态势感知与管控中心是“大脑”“四肢”“武功”的三合一，将认知能力落地。“大脑”是监管态势、“四肢”是运营态势、“武功”是攻防态势。态势感知与管控中心将监管态势、运营态势、攻防态势合为一体，能确保及时看到威胁、揪出威胁

26、、阻断威胁。网络安全防护体系是安全能力的落地，是对实体进行安全防护的关键能力。建立网络安全防护体系要实现能力、数据和人才的“三聚合”，即将安全能力和 IT 能力聚合、将安全数据和 IT 数据聚合、将安全人才和 IT 人才聚合。而“三聚合”的前提，是把安全产品“三化”：能力化、资源化、服务化。零信任动态授权体系，则是授权能力的落地。数据安全访问的痛点是信任问题，而动态授权体系是数字化时代解决信任问题的手段，通过在数据层面进行分类分级、在访问层面进行精细化访问控制的方 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 11 页，共 25 页 式，“明确是什么部门的

27、什么人、在什么地方、因为什么任务、访问什么数据里的什么字段。”数据保护需要零信任架构与数据安全防护体系结合，做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”，确保合适的人、在合适的时间、以合理的方式，访问合适的数据，如图 3 所示。图 3.将“零信任架构”和“数据安全防护体系”相结合 从上图可以看出，构建零信任动态授权能力，需要对请求方的主体、响应方的客体资源、授权方的访问需求和策略进行抽象，建立一套全链路的纵深防御体系，关键举措包括：基于数据安全治理成果，梳理响应方数据资源清单与属性，构基于数据安全治理成果，梳理响应方数据资源清单与属性，构建数据视图：建数据视图：进行客体资源治

28、理，打上标签，作为数据资源属性；建立客体数据资源目录。通过大数据中台，对原始数据进行处理封装，数据封装成服务，供主体访问。构建身份视图，梳理请求方人员、设备清单与属性，明晰数据访构建身份视图，梳理请求方人员、设备清单与属性，明晰数据访问上下文：问上下文：从设备和用户身份认证开始，进行主体身份治理，采用实 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 12 页，共 25 页 人认证、设备认证加强认证的强度，保证主体身份可信。判定主体属性（如部门、角色、职责）。基于授权方需求，构建以资源为中心的统一策略管控体系：基于授权方需求，构建以资源为中心的统一策略管控体

29、系：对应用、功能、数据的权限进行统一的管理，通过基于属性的访问控制机制进行精细化的业务合规控制，保证数据仅供其工作职责访问之内使用。业务规则使用自然语言方式进行描述，再转化为可以进行属性精细化描述的表述性语言（如 XML、接口）。通过各种代理、服务、微隔离等进行策略的执行。持续的信任评估与策略治理：持续的信任评估与策略治理：采集主体环境感知数据（包括系统环境、网络环境、软件环境、物理环境、时间、地点等），建立环境信任风险等级，同时还采集用户和应用行为数据，持续对访问会话进行评估，动态调整安全策略。第四部分将详细介绍构建零信任数据动态授权能力的几个关键举措。四、构建零信任数据动态授权能力的关键举

30、措(一一)基于数据安全治理成果，构建数据视图基于数据安全治理成果，构建数据视图 1.1.数据分类分级数据分类分级 Gartner 将数据安全治理（DSG）定义为“信息治理的一个子集，基于良好定义的数据策略和流程对企业数据（结构化数据库和基于文件的非结构化数据）进行保护”，数据分级分类工作是数据安全治理的首要和基础工作。组织有哪些敏感数据？谁在使用这些数据？这些数据存储在哪里？如何描述这些数据，组织需要对其数据资产有完整 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 13 页，共 25 页 的视图。需要通过数据分级分类活动的成果，为客体资源的库、表以及字段等

31、要素打上标签，厘清数据资源的属性，建立客体数据资源目录，并汇聚关联各类数据属性生成数据视图，逐步丰富对数据资产的全局认知，这是数据动态授权体系建设的基础。2.2.元数据管理及数据视图元数据管理及数据视图 数据分级分类标签一般以元数据的方式进行存储和管理。不同的业务系统、数据系统可能存在多份元数据，或者说存在多个不一致的元数据孤岛，这样无法基于一个统一的视图梳理组织级的数据访问策略。需要基于企业的各种元数据形成统一的数据视图，这是数据资产管理的重要基础，更是数据动态授权体系构建的数据基础，统一而完备的数据访问策略必须基于高质量的、整合的数据视图进行规划、实施与控制。元数据管理及数据视图构建，关键

32、活动包括：定义企业元数据管理要求、开发和维护企业元数据标准、建设元数据管理工具平台支撑数据分级分类活动、整合元数据形成数据视图、基于数据视图制定数据访问策略、持续的元数据跟踪和分析（血缘分析、影响分析、数据地图等）。如图 4 所示，通过数据视图，用以驱动企业的数据动态访问策略，持续地跟踪和分析元数据，元数据一旦变更，驱动访问策略就会动态调整，这样就将数据安全治理活动与零信任数据动态授权体系有机结合起来。零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 14 页，共 25 页 图 4.数据视图整体架构 (二二)构建身份视图，明晰数据访问上下文构建身份视图，明晰数

33、据访问上下文 基于数据安全治理成果构建数据视图，便于组织对数据建立更全面的认知，也是制定数据访问安全预期和策略的依据。在此基础上，还需要进行主体身份治理，构建身份视图，对组织范围内的人员、设备、终端应用等主体进行细致刻画，基于全面的身份视图数据和属性，丰富访问上下文数据，从而更精准地对主体信任进行评估，更精准地对数据访问安全预期进行技术控制，从而真正实现对数据的精准访问控制。1.1.构建主体信任，需要丰富的上下文数据构建主体信任，需要丰富的上下文数据 主体信任本质上是解决“是什么部门的什么人、在什么地方、因为什么任务、访问什么数据里的什么字段”的基本问题。实现这一目标的最佳方法，是为数据访问添

34、加用户、数据、意图上下文，即将用户身份、数据类型、访问意图的信息关联起来。这些类型的上下文，零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 15 页，共 25 页 通常存在于多个系统中。如组织的身份系统提供有关人员及其群体的信息；数据目录和主数据管理系统包含有关数据集及其业务上下文的信息；数据存储维护与访问相关的日志；数据库权限则上下文化授权访问。假设某个用户通过某台设备正在尝试访问财务数据，需要足够多的上下文信息才能判断这是员工的合法访问还是潜在威胁。这名员工是什么岗位的，近期有无任务安排需要访问这个数据，当前的接入网络是来自国内还是海外，设备是否是在册的

35、，设备的健康度是否合规，这些信息都是这次数据访问的上下文，上下文越丰富，对访问请求的决策就会越精准。所以问题不在于缺乏信息，而是缺乏上下文，因此需要汇聚来自各个领域的信息，以便生成正确的上下文。基于零信任策略持续的评估业务访问环境的上下文，评估信任，并基于信任授予数据访问权限，将零信任策略付诸实践，意味着组织需要管理好制定策略条件所依赖的各种信息及其上下文关联，并在所有的业务场景中始终如一地运用，这就需要统一的上下文视图。定义上下文，为企业构建身份、设备、应用等实体的全局身份视图，跨领域的共享信息，是构建零信任动态访问控制策略的关键一步 2.2.身份视图：人、设备、应用的数字身份化及整体视图身

36、份视图：人、设备、应用的数字身份化及整体视图 统一的身份、设备、应用等实体视图，包括了身份、设备、应用的所有信息，如图 5 所示，身份视图具有如下特性：拥有所有的实体身份，无论它们存储在何处或如何存储；构建来自每个身份存储库和信息源的所有实体的全局列表；拥有身份实体唯一标识，将正确的身 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 16 页，共 25 页 份与正确的标识符关联到正确的应用程序，以获取并关联身份实体信息；拥有丰富的身份上下文，拥有全局关联信息，并且可以知晓身份实体之间的关系，身份、对象等之间的关系；身份实体可持续完善并扩展，通过建模和多源数据

37、汇聚手段，持续构建新的身份实体模型或扩展已有身份实体的信息。图 5.身份视图整体架构(三三)构建以资源为中心的统一策略管控体系构建以资源为中心的统一策略管控体系 1.1.基于数据视图、身份视图和环境因子构建动态访问策略基于数据视图、身份视图和环境因子构建动态访问策略 经典的访问控制策略都基于主体、客体进行构建，控制主体对客体的操作。主体是试图对客体执行操作的参与者。客体是一种需要防止未经授权使用的资源。操作是主体可能对对象执行的任何动作，不同的操作可能与不同类型的对象相关。所谓的权限是用户对指定对象 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 17 页，

38、共 25 页 执行某种操作的集合。在数据访问场景中，主体可以是用户或应用程序。资源可以是不同类型和不同粒度，例如数据库、表、列等。在这些资源的上下文中，相关操作对应于数据库的各类访问，例如创建、读取、更新和删除。最简单的数据访问模型可以用访问控制列表来标识，指定每个主体的权限清单。其代表访问控制模型：RBAC 基于角色的访问控制，可以定义与开发人员、会计人员、HR 人员、数据分析师等相对应的角色，赋予每个这样的角色适当的权限。以每个用户为基础维护访问控制列表对于用户数量较少的场景下是可信的，但是随着主体和资源数量的增加，将变得难以管理。如：大多数组织的数据保存在多个数据库中，本地和云中，不同类

39、型的数据库，如关系、NoSQL 和数据仓库，每个数据库都有自己的访问控制模型和策略。新的应用不断添加，现有应用不断变化，导致数据库中不断创建更新的资源，很难确保这些资源任何时候都由正确的访问控制策略所覆盖。本质上来说，RBAC 还是主要基于静态信息来控制访问决策，并且容易形成策略孤岛，这对于当今动态的数据访问坏境是远远不够的，在零信任架构下，推荐采用基于属性的访问控制（ABAC），通过各种动态属性来进行策略决策。零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 18 页，共 25 页 图 6.基于属性的访问权限决策 这些属性来源于主体视图、资源视图和各种环境属

40、性，比如：用户的岗位、组织单位，用户当前的工作任务，发出访问请求的 IP 地址和地理位置，请求设备的属性（例如，该设备是公司签发的还是用户自有的设备，以及其当前的设备安全状况），用户的历史行为等。依赖于丰富的上下文信息，利用数据视图、身份视图及环境条件，根据安全策略和业务要求构建动态的访问策略，属性发生变化，则权限也会动态调整。2.2.数据脱敏策略数据脱敏策略 针对数据访问场景，不仅仅要控制访问权限，还需要进一步地为数据脱敏制定策略，在用户访问信息或数据流转时实时更改信息，任何未授权用户访问的数据都是被屏蔽的数据，实现数据的可用不可见。基于各种属性制定不同数据集的脱敏策略，作为数据访问策略的补

41、充，是实现动态授权策略的一项重要能力。ABAC引擎用用户张三角角色色会计用用户归属属区区域域西南片区资源源归属属区区域域西南片区资源源员工工资表设备状状态安全资源源级别机密 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 19 页，共 25 页 3.3.行过滤策略行过滤策略 行过滤策略主要解决业务合规性问题，对数据进行记录级别的隔离，比如，限制某些用户查看数据的特定行；限制用户将具有特定值的新行插入到表中，例如，阻止销售经理为他们不负责的地区插入交易；限制用户根据某些过滤器对存储的数据进行修改（例如：阻止一个团队删除其他团队的记录）。对数据访问进行行级安全控

42、制是一项重要的能力，确保数据管理者能够根据条件对用户的数据访问实施更细粒度的限制，允许他们查看数据的特定行，而不必限制对特定数据表的整体访问，或者必须为其创建临时视图或存储过程。4.4.基于任务和事由的权限策略基于任务和事由的权限策略 传统的访问控制模型所述的主体和客体，在实际业务场景下表征的是数据的请求方和数据的提供方。在数据访问场景下，还需要考虑数据的授权方，授权方的意图在策略上应显性体现。事实上，对数据做精细化访问控制时，以最小化权限为准则，而最小权限很大程度上取决于授权方的授权，比如，访问的事由、访问所关键的任务等。只有得到授权方明确许可的事由和任务背景下，才能访问数据。在策略管控维度

43、，需要基于任务和事由进行策略制定和控制，充分体现管理意图。在技术模型维度，可以将任务和事由作为主体、客体的标签或属性进行管理，做权限判定时，需要明确控制主体只有执行任务时，才能访问才任务相关的数据。5.5.零信任动态策略和数据业务平台的内生聚合零信任动态策略和数据业务平台的内生聚合 零信任数据访问策略需要通过策略执行点才能应用到数据业务 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 20 页，共 25 页 场景，实现数据访问策略和数据业务平台之间的内生聚合。在数据访问场景，典型的策略执行点可以考虑如下三类：一是和数据中台进行聚合，在规划数据业务时，同步进行

44、安全规划，形成数据中台的安全规范，通过联动和集成，将动态策略的执行逻辑嵌入到数据中台中实现。二是通过 API 网关进行聚合，很多场景，数据通过 API 服务对外开放，API 网关对数据内容进行解析，和动态策略平台联动实现数据的动态访问控制。三是通过数据过滤网关或插件进行聚合，对数据库的访问进行拦截，解析数据查询语句，并和动态策略平台联动，实现数据的动态访问控制。(四四)持续的信任评估与策略治理持续的信任评估与策略治理 数据访问活动是动态的，需要通过对数据访问活动持续监控确数据访问活动是动态的，需要通过对数据访问活动持续监控确保访问合规性，对访问主体进行持续感知和分析实现持续信任评估保访问合规性

45、，对访问主体进行持续感知和分析实现持续信任评估，对权限进行挖掘并结合访问申请对权限进行挖掘并结合访问申请与审批等治理活动，实现策略优化与审批等治理活动，实现策略优化。首先通过访问合规性分析对可执行的业务规则和控制进行评估，通过监控访问行为维护数据的完整性及业务安全；其次通过对多源数据分析，包括了身份分析、行为分析等，实现对每一次访问行为的信任评估，包括终端安全情况、用户行为信息等，终端、用户行为等若存在安全风险，信任评估结果将无法满足访问控制要求，不被授予访问资源的权限或终止权限，倒逼相关人员提升安全意识，保证访问终端的安全性以及访问合法性；最后访问策略的有效运行离开不开各类上下文属性的支撑，

46、为主体进行画像，为正常活动生成基线；根据组织内部的正常活动模式检测威胁，挖掘异常主体、行为属性；关联威胁情 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 21 页，共 25 页 报或通过分析发现常见威胁模型无法捕获的独特恶意活动，生成威胁相关标签属性。对主体、资源、行为属性的持续挖掘与运营，分析所有数据端点的聚合活动信息，落实持续信任评估和策略治理，提供更安全的访问保障。五、以工程化思维推进零信任架构演进 前文所述零信任数据动态授权能力，是围绕数据本身的库、表、字段构建安全防护能力，需要将零信任能力和数字化业务紧密聚合才能实现，可以说是零信任实践的终极目标

47、。数字化转型和信息化演进都是一段旅程，不可能一蹴而就。同样地，零信任构建也不可能是一日之功，需要结合信息化演进规划、安全现状进行妥善规划，逐步建设。在不具备构建数据级访问控制的情况下，从应用、API 接口的细粒度管控出发，逐步推进也是可行的。实践零信任的过程中，需要切记安全从业者不再是旁观者，而是积极的业务共同建设者，通过同步规划、同步建设和同步运营全程参与到数字化建设中。处理好零信任与现有信任基础、安全手段关系，解决建设信息化系统的各方，在采用零信任体系架构时的规划、协同问题，正确引导零信任安全规划、建设实施。(一一)以系统思维推进零信任架构演进以系统思维推进零信任架构演进 在零信任实践中，

48、特别是对于零信任在数据访问场景的实践，不要脱离目标和业务场景来看所谓的零信任产品和技术。事实上，零信任技术是由需要什么样的零信任能力确定的，而能力需求取决于零信任应用的场景和企业安全策略，策略比技术更为关键，技术的发展驱 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 22 页，共 25 页 动来自于企业的策略。1.1.零信任零信任目标及策略目标及策略 零信任策略是实现特定目标的高层级计划，只有确定了零信任演进策略（结合业务场景）以后，才可以通过规划活动，设计零信任能力模型，采用相关技术组件来推动这些目标的实现，而不是单纯购买零信任安全产品。2.2.零信任能

49、力零信任能力 零信任工程实现需要技术组件来支撑，这些组件包含要实现的特定能力。为支持这些能力，需要定义相应策略、流程和过程。零信任能力是战略实施框架中承上启下，安全能力与业务体系紧耦合，构建具有自适应能力的安全机制。3.3.零信任技术零信任技术 在阐明了战略目标并确定了在每个零信任组件中需要开发的关键功能之后，就可以考虑支持零信任策略的工具、软件项或平台。例如，在评估技术时，将面对这样的思考“此项技术支持哪些功能，具体如何实现我的团队的零信任能力？”因此，在考虑零信任能力实现之外，还要考虑 API 集成支持。4.4.零信任特性零信任特性 使技术能够满足零信任策略的具体特性是什么？这是这个聚焦零

50、信任框架的最后一点和最细粒度点的关键。零信任相关方案的产品都必须描述他们提供的特定功能如何与零信任实施策略所要求的功 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 23 页，共 25 页 能特性保持一致。(二二)制定阶段性行动计划制定阶段性行动计划 1.1.确立建设思路确立建设思路 结合应用场景规划制定阶段性行动计划。首先确立建设思路是能力优先型，还是范围优先型。作为工程实施问题，可以综合协调，梳理安全能力现状、需求，业务现状、优先级后，确定初步的总体建设路径。按照需求迫切度、能力完善程度进行组合。1)能力优先型：针对少量的业务构建从低到高的能力，通过局部

51、业务场景验证零信任的完整能力，然后逐步迁移到更多的业务，扩大业务范围 2)范围优先型：先在一个适中的能力维度上，迁移尽量多的业务，然后再逐步对能力进行提升。2.2.厘清项目性质厘清项目性质 根据需要，确定阶段性零信任建设项目性质：是新建、扩建还是升级改造，考虑对接业务情况，将新建业务和核心业务作为第一优先级考虑。如果零信任架构与新建业务同步规划，则是构建一个纯零信任架构；如果零信任架构是与核心业务升级改造同步规划，则存在混合零信任和传统架构并存的情况，在不同情况下，对于零信任能力要素的规划也将不同。（1）纯零信任架构：从头开始构建一个零信任架构网络。从企业的当前设置和运营方式，确定企业要操作的

52、应用程序和工作流程，为这些工作流程生成基于零信任原则的体系结构。零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 24 页，共 25 页 确定了工作流程，企业就可以缩小所需组件的范围，并开始绘制各个组件的交互方式，构建基础结构和配置组件的工程和组织工作。（2）混合零信任和传统架构共存。一段时间内，零信任工作流与传统企业架构的共存。这是零信任迁移的重点，要保障现有业务和新建业务混合运行，平稳过渡。企业向零信任方法的迁移，可以采取一次迁移一个业务流程的方式。在规划中，企业需要确保公共元素（例如 ID 管理、设备管理、事件日志等）足够灵活，支持零信任在遗留混合安全架

53、构中运行，并且为零信任候选解决方案，限制那些可以与现有组件接口连接的解决方案。3.3.制定分步制定分步迭代迭代建设方案建设方案 制定分布建设方案是零信任从战略规划到行动计划的最后一个步骤，承接规划指导思想，如果是能力优先型建设思路，需要针对少量的业务构建从低到高的能力，通过局部业务场景验证零信任的完整能力，然后逐步迁移更多的业务。范围优先型则先在一个适中的能力维度上，迁移尽量多的业务，然后再逐步对能力进行提升。其主要考虑划分为以下几个迭代的步骤：（1）概念验证 按照技术实施方案，进行基础环境搭建，验证零信任架构自身能力。在最小化可控生产环境进行概念验证，测试验证系统运行。（2）业务接入 在零信任架构自身能力建设通过检测后，进行业务和终端的全 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 25 页，共 25 页 面接入。（3）能力演进 对验证过程的一些可优化点进行能力优化，基于验证结果规划后续能力演进阶段，逐步有序地提升各方面的零信任能力。