数据访问安全域能力白皮书

数据访问安全域 能力白皮书 ©北京数字世界咨询有限公司 数据访问安全域 能力白皮书 ©北京数字世界咨询有限公司 2020年，数世咨询首创网络安全三元论，今年进化为“数字安全三元论”，该理论由信息技术、网络攻防、业务应用三个支点与数据安全这个核心构成，其中： •信息技术是IT基础，没有保护对象，何谈保护； •网络安全的伴生、服务和对抗本质，决定了它将永远的场景化、碎片化和动态化； •业务应用既是信息技术与网络攻防的成本来源，也是这两者最终的价值所在。 数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。 数字安全以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。 数字世界，安全共生！ 基于此，数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 主笔分析师：刘宸宇综合高级分析师 分析团队：数世智库数字安全能力研究院报告审核：李少鹏首席分析师 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。 任何转载、摘编或利用其他方式使用本报告文字或者观点的，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目录 前言1 团队角色及需求3 主要场景与痛点4 BYOD设备数据管控难4 组织分支机构协同场景复杂4 数据泄露审计与溯源难5 技术现状6 数据安全6 访问安全8 终端安全9 数据访问安全域11 定义11 数据访问安全域方法论12 关键能力13 安全的数据使用终端环境13 安全的数据传输通路14 目 录 有机的数据治理15 技术要点16 虚拟化技术16 终端侧攻防对抗技术16 零信任访问技术17 数据标签技术17 数据访问安全域代表企业19 Citrix19 Vmware20 Hysolate20 一知安全21 数据访问安全域的价值23 前言 数字安全时代，数据安全成为继信息安全、网络安全之后新的安全产业轴心。《数据安全法》的颁布实施纲举目张，数据安全各个细分领域开始全面落地。2021年12月世界信息安全大会，数世咨询发布《中国数字安全能力图谱》，涵盖了数据资产安全，数据访问安全，数据共享安全与数据安全综合治理四大数据安全分类，这其中传统的文档安全、数据库安全，数据防泄漏以及新兴的数据应用安全与隐私计算等多个细分领域都收录在内，但仍然存在一些薄弱环节。例如，在机构用户向机构内部发起某个敏感数据（本报告中“数据”一般指用户或机构拥有的核心业务数据、商业敏感信息、知识产权信息、客户隐私信息等高价值业务数据资产）的访问请求后，数据从机构内部数据中心，通过安全的数据通路，落盘到用户终端侧，在这个过程中，机构如何落实整个访问过程的安全管控，特别是数据在用户终端侧落盘后的更进一步安全管控，目前并没有一个与之适配较强且行之有效的较好的解决方案。 据数世咨询近两年发布的“大事记”中数据泄露事件粗略统计可以看到，数据的采集、传输、存储、使用、交换、销毁等几个阶段中，发生在使用和交换阶段的数据泄漏占比呈递增趋势，发生在存储阶段的数据泄露占比呈下降趋势。此外，在众多数据泄漏事件中，内部人员、合作伙伴导致的数据泄漏事件占据了事件的多数，这其中既包括员工主动的泄密、由于失误造成的泄密，也有合作伙伴提供运维服务、业务外包和供应链等过程中发生的数据泄密。 因此，数世咨询认为，目前的数据安全正在由数据资产安全迈入数据访问和使用安全的时代——针对存储阶段的数据安全防护固然重要，其他阶段的数据安全也需要给予更多的重视；数据泄漏要面对的也不再仅仅是外部的黑客攻击，还包括内部员工、合作伙伴使用和交换数据时的数据失泄密行为。 鉴于此，数世咨询提出一个全新的细分领域——“数据访问安全域”，主 要关注的是数据访问过程中如何实现对数据的安全管控这一需求。本白皮书从场景与痛点、角色需求、技术现状、关键能力、技术要点等方面对其进行梳理与总结。本报告的内容来自于公开资料的收集、整理与调研，且主要探讨全新的数据安全细分领域，必然会有错误或纰漏，欢迎各位读者批评与指正。 团队角色及需求 对用户来说，数据访问安全通常涉及到以下4个角色团队： 1、业务团队作为数据生产和消费的角色。希望通过数据挖掘出新的业务增长点，更快地进行创新并为其组织创造更多价值。这意味着数据需要在业务前端、存储节点、计算节点、数据分析节点、服务提供终端等各个节点间不断流转； 2、安全团队希望对数据的存储、流转、访问、销毁等全过程都能够可视、可控、可查。这意味所有的数据访问请求，无论来自与外部还是内部，无论是纵向还是横向，都需要基于白名单机制进行严格的信任鉴权与控制，整个过程要具备一定程度的自动化与可视化，并定期生成安全运行报告，进而体现安全团队除了“背锅”以外的更大价值； 3、运维团队希望安全方案尽量不改动现有的网络架构，原有的终端操作系统也不需要升级或打补丁，离线办公、远程办公、协同办公的各个业务单元都不必做出策略配置上的调整，总之就是不要动，谁动坏了谁负责； 4、法务团队希望确保公司的安全方案遵守数据安全法等相关法律，符合等保、分保等合规要求，万一出现有意或无意的数据泄露事件，机构的法务团队能够首先从内部获取到客观有力的证明信息，避免违法违规导致的声誉受损。这意味着团队需要实现完整的数据加密和分级保护； 除了以上四个关键角色团队，最终的关键角色——老板——希望的是保业务，不出事，少花钱。这也是数据访问安全域的最主要挑战：如何在数据充分流转推动业务创新的同时，以尽量小的成本投入保证机构核心敏感数据在机构内、外的安全。 主要场景与痛点 BYOD设备数据管控难 为了方便随时随地处理工作，企业中越来越多的员工希望可以使用私人电脑来工作，特别是针对远程办公、外包团队协作等场景，但企业难以对私人电脑终端环境的安全性进行管控，私人终端的潜在威胁可能会危及到企业业务资源，同时，企业业务敏感数据落地到私人终端后，将不受控制。 后疫情时代，普遍的在家办公场景更是如此。目前多采用VPN+虚拟桌面的方式，即私人电脑通过VPN访问虚拟桌面从而访问企业业务数据，但这种方式对带宽的要求较高，网络的中断和卡顿严重影响工作效率和办公体验。 更重要的，由于员工在感情上普遍无法接受个人电脑中安装全局扫描类的安全产品，当需要访问财务信息、客户信息、知识产权以及其他机密信息等企业核心数据资源时，这些数据落地到员工的办公设备后，还是可能通过电子邮件、网页、即时通讯、移动存储介质、刻录、打印等途径进行传输，造成企业内部敏感数据泄露。 组织分支机构协同场景复杂 组织分支机构的数据共享和协同办公安全问题，目前多以DLP、透明加解密、网页Office、云盘等解决，针对研发、测试的科技类场景，还多辅以VDI等解决方案。这些方案，面对复杂的协同场景，各自都有一定的局限性与缺点。 例如透明加解密只能保护限定类型的文档数据，大量非文件保护的场景无法支持，研发类复杂场景无法支持；DLP产品只在网络边界进行数据分析，无 法匹配动态变化的业务边界，无法准确控制数据的共享边界，且DLP需要通过设备特征和复杂的配置策略实现管理，效率与准确性较低，管理员往往为制定规则而疲于奔命。 再比如CI/CD场景下，有些实力较强的机构CSO说服领导，为员工配备了内外网双电脑隔离办公，并通过VDI等方案实现不同地区多团队的协同工作，然而此类方案对于具有较多分支机构的用户而言，VDI的硬件与License采购建设成本、安全团队与业务、研发、运维等部门的沟通成本都比较高。 无论采用哪种方案，始终难免出现诸如数据泄密、倒卖商业情报等有损企业商誉的行为。 数据泄露审计与溯源难 第三个问题是数据泄露事件一旦发生，安全团队难以审计溯源。 首先，数据在多个部门之间流转使用，数据本身会不断衍生出新的数据，原有的数据标签与数据锚点会发生变化。其次，如何从用户对数据的正常访问行为中，甄别出恶意的行为，需要富有经验的安全管理员会同业务部门的同事一起，才有可能发现。最后，更常见的情况是，由于缺少必要的专门针对数据访问安全的审计与溯源技术工具或手段，团队CSO被迫需要考虑技术之外的诸多因素，业务、运维、安全、法务各个团队纠缠为一团，谁也说不清楚到底数据是从哪个环节泄露出去的。 面对上述场景中的各类风险，CSO们要想带领安全团队避免当“背锅侠”，迫切需要构筑数据访问安全的能力。 技术现状 在提炼满足上述需求的技术要点之前，我们先梳理下现有主流的技术方案。目前与数据访问安全域相关的技术方案可以从三个方向来理解：数据安全、访问安全、终端安全。 数据安全 数据安全顾名思义主要围绕“数据”进行安全监测与防护。目前市面上的数据安全产品与解决方案，在用户侧大范围应用较多的是文档安全、数据库安全防护、数据防泄漏DLP等技术方案。 文档安全通过系统接口、驱动、密码及水印等技术，针对Windows、Linux、MacOS等不同的操作系统进行适配后，对敏感文档进行保护。如果是涉密文档，还需要对其进行分类分级、标密加密、权限管控等操作。 数据库安全防护主要围绕数据库进行，例如针对数据库资产的发现、梳理、漏洞检测、脆弱性风险评估、安全加固以及运维管控等，同时，对敏感数据的分类分级、加密解密、动态脱敏等操作也是围绕数据库展开的。 信息安全时代，数据作为固定资产，经过文档安全、数据库安全这两类防护手段，可以满足绝大部分数据安全需求，但是到了数字安全时代，数据的价值是与业务相结合，在使用中发挥出来的，因此，数据访问安全域的核心需求转变为“数据流动”中的安全，数据需要离开硬盘、数据库，来到网络或终端侧，这时，数据的完整性与安全性仅仅依靠这两种数据安全防护手段就有了明显的短板。DLP成为了数据访问安全主要的解决方案。 DLP以统一策略为基础，通过内容识别与分析，对机构的终端、服务器、 网络流量、应用中的各类数据提供监控与防护能力。常见DLP有终端DLP、网络DLP、应用DLP等： ·终端DLP 在机构内部的PC、服务器等终端上运行agent，实现对终端侧敏感数据的发现、阻断等能力； ·网络DLP 在关键路由节点上对机构内部的网络流量进行识别与分析，提供针对流量中数据泄露行为的可见、可查、可控能力； ·邮件DLP 提供邮件传输过程中的邮件数据分析、敏感数据识别审计、邮件数据脱敏、邮件审批管理、阻断策略响应等能力； 除了这三类，还有更多演变进化的DLP类安全产品，这里不再赘述。经过简单的梳理可以看出，针对数据访问安全域的需求，DLP会扫描终端上存储的敏感数据，将其记录或移动至安全位置，防止企业的核心数据资产以违反安全策略规定的形式流出企业。当敏感数据离开终端的安全监控区域时，DLP会以弹窗的方式警告用户的违规情况，当端点不在公司网络内部时，终端DLP会以离线数据防泄漏检测方式，继续提供安全管控。 目前采用DLP类解决方案的优势是，经过多年的发展与实践，厂商积累了大量的数据防泄漏策略，引入AI能力后，能够带来更智能的防护效果；对异常用户进行建模、对内部威胁进行分析，能够形成统一的威胁管理能力。 DLP的不足之处在于，其采用的统一策略机制具有一定的滞后性，同时随着时间推移，策略数量积累到一定程度后会带来只增不减、难以维护等缺点；对于分支结构较多的集团类用户，需要更多的人力投入、时间投入；对于分支机构之间频繁的横向数据流动，还需要额外的数据网关进行把控，这种情况下，数据网关如何与DLP类产品形成统一的防护能力，同时又不影响业务连续性， 甚至如何及时跟进用户的业务发展速度，是一个同时考验业务、运维、安全运营人员的难题，需要长期投入与持续运营。 不仅如此，DLP连同前面提到的文档安全、数据库安全，对数据的管控思路是以固定资产来看待的，即数据是被保护在“保险柜”里，数据离开一个保险柜，通过加密传输等手段放在类似