基于零信任安全模型的數(shù)據(jù)安全風(fēng)險(xiǎn)治理實(shí)踐

基于零信任安全模型的數(shù)據(jù)安全風(fēng)險(xiǎn)治理實(shí)踐演講人：薛愷

杭州美創(chuàng)科技股份有限公司數(shù)字經(jīng)濟(jì)發(fā)展《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》：數(shù)字經(jīng)濟(jì)是繼農(nóng)業(yè)經(jīng)濟(jì)、工業(yè)經(jīng)濟(jì)之后的主要經(jīng)濟(jì)形態(tài)，是以數(shù)據(jù)資源為關(guān)鍵要素，以現(xiàn)代信息網(wǎng)絡(luò)為主要載體，以信息通信技術(shù)融合應(yīng)用、全要素?cái)?shù)字化轉(zhuǎn)型為重要推動(dòng)力，促進(jìn)公平與效率更加統(tǒng)一的新經(jīng)濟(jì)形態(tài)。八大重點(diǎn)任務(wù)優(yōu)化升級數(shù)字基礎(chǔ)設(shè)施持續(xù)提升公共服務(wù)數(shù)字化水平充分發(fā)揮數(shù)據(jù)要素作用持續(xù)提升公共服務(wù)數(shù)字化水平大力推進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型著力強(qiáng)化數(shù)字經(jīng)濟(jì)安全體系加快推動(dòng)數(shù)字產(chǎn)業(yè)化有效拓展數(shù)字經(jīng)濟(jì)國際合作面對風(fēng)險(xiǎn)的思考高價(jià)值的數(shù)據(jù)資產(chǎn)復(fù)雜的數(shù)據(jù)生態(tài)系統(tǒng)不止入侵防御/攻防數(shù)據(jù)會(huì)流動(dòng)且好流動(dòng)開放的網(wǎng)絡(luò)環(huán)境、復(fù)雜的業(yè)務(wù)數(shù)據(jù)類型、信息融合和共享等挑戰(zhàn)給數(shù)據(jù)安全防護(hù)帶來了挑戰(zhàn)。如何實(shí)現(xiàn)多跨場景下數(shù)據(jù)安全管控，開展面向數(shù)據(jù)安全風(fēng)險(xiǎn)的感知、理解、計(jì)算、預(yù)測和防范的全過程研究變得更為迫切。風(fēng)險(xiǎn)治理-突破認(rèn)知有限無法窮舉動(dòng)態(tài)變化……需要基于業(yè)務(wù)場景，對?、流程、訪問、環(huán)境等多維因素進(jìn)行相應(yīng)的信任評估，通過信任級別動(dòng)態(tài)地調(diào)整權(quán)限，構(gòu)建動(dòng)態(tài)自適應(yīng)的安全防護(hù)閉環(huán)。靜態(tài)的被動(dòng)式風(fēng)險(xiǎn)防護(hù)無法應(yīng)對復(fù)雜的業(yè)務(wù)場景風(fēng)險(xiǎn)以資產(chǎn)和身份為核心的動(dòng)態(tài)風(fēng)險(xiǎn)治理資產(chǎn)身份確認(rèn)你是你確認(rèn)你的訪問基于真實(shí)意圖定義資產(chǎn)定義敏感資產(chǎn)01. 數(shù)據(jù)安全現(xiàn)狀風(fēng)險(xiǎn)治理新戰(zhàn)法實(shí)踐落地目 錄CONTENTS數(shù)據(jù)安全新戰(zhàn)法知合規(guī)認(rèn)知，根據(jù)法律法規(guī)對數(shù)據(jù)安全的要求，整理輸出適合本組織的數(shù)據(jù)安全制度流程和操作指南理對數(shù)據(jù)進(jìn)行梳理，對敏感數(shù)據(jù)進(jìn)行發(fā)現(xiàn)定位、分類分級對風(fēng)險(xiǎn)進(jìn)行梳理，采集日志，輸入風(fēng)險(xiǎn)分析模型，全面了解組織面臨的風(fēng)險(xiǎn)，有的放矢控全面管控，結(jié)合數(shù)據(jù)分級分類的結(jié)果、針對已有風(fēng)險(xiǎn)，采取有針對性的保護(hù)措施，對于違規(guī)操作做到發(fā)現(xiàn)、預(yù)警、攔截監(jiān)持續(xù)監(jiān)管，匯集安全日志，建設(shè)風(fēng)險(xiǎn)預(yù)警大屏；持續(xù)改進(jìn)，結(jié)合安全控制點(diǎn)，定期自評，優(yōu)化安全策略，對安全治理的成果進(jìn)行持續(xù)改進(jìn)動(dòng)態(tài)風(fēng)險(xiǎn)治理路徑以資產(chǎn)為中心、以身份為邊界、以風(fēng)險(xiǎn)為界面資產(chǎn)身份管理風(fēng)險(xiǎn)事件評估響應(yīng)處置更新知識庫更新策略庫訪問控制引擎采?動(dòng)態(tài)變化的度量方法，將訪問主體的訪問行為隨著身份信息、訪問上下文及環(huán)境等因素進(jìn)行動(dòng)態(tài)評估，對每次訪問行為采用最小權(quán)限原則執(zhí)行動(dòng)態(tài)訪問控制解決了傳統(tǒng)靜態(tài)風(fēng)險(xiǎn)治理機(jī)制下，安全策略動(dòng)態(tài)適應(yīng)不?的問題，提升了應(yīng)對風(fēng)險(xiǎn)有效響應(yīng)的能?管理員定義好策略，策略下發(fā)到策略引擎每個(gè)資源請求都會(huì)經(jīng)過策略引擎策略引擎給出一個(gè)放行、阻斷、脫敏等的響應(yīng)定義誰在什么情況下可以訪問什么東西，以及不能訪問什么東西。必須界定每種可能的語境條件組合，以適應(yīng)現(xiàn)實(shí)世界中不斷變化的條件。訪 問控 制風(fēng)險(xiǎn)治理-訪問控制資產(chǎn)、身份動(dòng)態(tài)驗(yàn)證IP地址靜MAX地址動(dòng)態(tài)設(shè)備型號態(tài)屬操作系統(tǒng)屬性數(shù)字證書應(yīng)用hash等性設(shè)備上下文網(wǎng)絡(luò)上下文行為上下文時(shí)空上下文操作上下文風(fēng)險(xiǎn)治理-動(dòng)態(tài)評估風(fēng)險(xiǎn)治理-靜態(tài)轉(zhuǎn)向動(dòng)態(tài)信任引擎信任引擎對請求和活動(dòng)的風(fēng)險(xiǎn)進(jìn)行評估，將這些風(fēng)險(xiǎn)評分傳遞給策略引擎策略引擎根據(jù)具體的策略決定使用哪些評分參與授權(quán)決策信任引擎可以為策略引擎做出正確的訪問判斷提供有力的支撐。靜態(tài)的訪問控制（策略引擎）轉(zhuǎn)向動(dòng)態(tài)的控制風(fēng)險(xiǎn)治理-智能決策資產(chǎn)、身份的行為分析，如時(shí)間上下文，空間上下文等，監(jiān)視上下文信息和活動(dòng)，預(yù)測并建立風(fēng)險(xiǎn)庫/策略庫。智能分析身份信息人員、終端應(yīng)用、帳戶網(wǎng)關(guān)數(shù)據(jù)資產(chǎn)中心引擎模型計(jì)算算法學(xué)習(xí)風(fēng)險(xiǎn)治理-動(dòng)態(tài)體系數(shù)據(jù)清洗數(shù)據(jù)轉(zhuǎn)換數(shù)據(jù)匹配數(shù)據(jù)建模聚合

/

分類分布式計(jì)算風(fēng)險(xiǎn)規(guī)則深度挖掘風(fēng)險(xiǎn)量化人員數(shù)據(jù)終端數(shù)據(jù)應(yīng)用數(shù)據(jù)帳戶數(shù)據(jù)風(fēng)險(xiǎn)告警風(fēng)險(xiǎn)可視化風(fēng)險(xiǎn)治理風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)響應(yīng)數(shù)據(jù)收集數(shù)據(jù)處理數(shù)據(jù)分析規(guī)則引擎風(fēng)險(xiǎn)處置數(shù)據(jù)收集、分析完成后，反饋到策略引擎。策略引擎根據(jù)風(fēng)險(xiǎn)評分因子，進(jìn)行動(dòng)態(tài)策略調(diào)整，解決彌補(bǔ)策略引擎（訪問控制）策略部署難的問題。動(dòng)態(tài)防護(hù)風(fēng)險(xiǎn)治理體系化建設(shè)多層級響應(yīng)看見直接反應(yīng)簡單響應(yīng)條件反射簡單復(fù)雜響應(yīng)復(fù)雜復(fù)雜響應(yīng)人工干預(yù)應(yīng)急響應(yīng)恢復(fù)響應(yīng)風(fēng)險(xiǎn)和響應(yīng)事件的未來整體和局部邊界的開閉網(wǎng)絡(luò)的延展進(jìn)化與突變?nèi)芷谝阎臀粗Y產(chǎn)身份行為數(shù)據(jù)上下文小概率管理結(jié)構(gòu)化體系全生命周期適應(yīng)性進(jìn)化模式和突變特定性進(jìn)化威脅情報(bào)風(fēng)險(xiǎn)治理適應(yīng)性動(dòng)態(tài)風(fēng)險(xiǎn) 安全的界面發(fā)現(xiàn)、感知、看到、看見保護(hù)、檢測、響應(yīng)全流量和日志采集

|數(shù)據(jù)安全中心通過統(tǒng)一的數(shù)據(jù)安全中心構(gòu)建三大跨域能力適應(yīng)性動(dòng)態(tài)風(fēng)險(xiǎn)能力，通過策略的適應(yīng)性進(jìn)化，讓策略能夠隨著身份和資產(chǎn)的變化而不斷進(jìn)化“看見”能力，需要能夠看見身份、資產(chǎn)、風(fēng)險(xiǎn)，實(shí)現(xiàn)復(fù)雜系統(tǒng)的可見性多層級響應(yīng)能力，包括封閉邊界，簡單響應(yīng)，復(fù)雜響應(yīng)，流程干預(yù)，應(yīng)急響應(yīng)，恢復(fù)響應(yīng)等多個(gè)層級的響應(yīng)能力01. 數(shù)據(jù)安全現(xiàn)狀風(fēng)險(xiǎn)治理新戰(zhàn)法實(shí)踐落地目 錄CONTENTS數(shù)據(jù)庫資產(chǎn)人應(yīng)用賬戶終端OracleSQL

ServerDB2HiveMySQLMongoDBRDS......服務(wù)器服務(wù)器API接口終端SQL語句......身份美創(chuàng)動(dòng)態(tài)脫敏暗數(shù)據(jù)發(fā)現(xiàn)數(shù)據(jù)加密訪問控制安全審計(jì)API安全網(wǎng)關(guān)動(dòng)態(tài)鑒權(quán)靜態(tài)脫敏數(shù)據(jù)水印數(shù)據(jù)審計(jì)準(zhǔn)入控制事件溯源數(shù)據(jù)防勒索漏洞掃描端|能力三方數(shù)據(jù)脫敏......治理云｜平臺風(fēng)險(xiǎn)庫知識庫資產(chǎn)身份行為入侵上下文治理策略引擎策略庫風(fēng)險(xiǎn)事件事件庫標(biāo)準(zhǔn)化數(shù)據(jù)標(biāo)簽數(shù)據(jù)分類識別防御檢測響應(yīng) 恢復(fù)資產(chǎn)身份目標(biāo)內(nèi)部安全業(yè)務(wù)安全共享流動(dòng)安全云安全外部安全終端完全連續(xù)性安全新一代安全架構(gòu)統(tǒng)一的云中心收斂各種安全業(yè)務(wù)差異性，云中心展現(xiàn)復(fù)雜業(yè)務(wù)邏輯，輕量級的端點(diǎn)快速適配各種場景；實(shí)現(xiàn)統(tǒng)一的資產(chǎn)治理、全域身份、風(fēng)險(xiǎn)模型、安全數(shù)據(jù)中心、自動(dòng)化響應(yīng)

+