在數字化世界中，一切皆源于數據。無論任何時候、任何地方和任何環境，組織都需要保護數據免受未經授權的訪問和泄露，確保核心資產和業務的連續性，并獲得客戶的信任和忠誠度。

然而，這些跨領域、相互交叉的數據來自于不同的源頭，并由不同機構和人員以不同的方式處理，要確保所有數據在不損失安全、隱私和合規性的前提下，最大限度地傳播共享以發揮效用，需要從戰略層面對數據進行思考、規劃和治理。本文從零信任安全能力的體系化建設入手，討論數據在收集、使用、傳播及處置過程中的安全保護措施，主要包括數據的識別與分類保護、共享與數據血緣、訪問與泄露防護，以及勒索與數據彈性。

關鍵字：零信任；數據安全；數據分類分級；數據防泄漏；勒索軟件

一、零信任數據安全

針對網絡的攻擊一般以可用性為攻擊目標（例如DDoS），主要影響業務運行性能和效率，而針對企業數據的攻擊可以同時包含對機密性、完整性和可用性的攻擊（例如，竊取、破壞、勒索等），對攻擊者具有高額的回報，也更具誘惑力。

此外，數據通常也是零信任實施中最薄弱的環節，它們以結構化或非結構化的文件、碎片（或元數據）等形式，存在于本地（或虛擬環境）系統、設備、網絡、應用程序、數據庫、基礎設施和備份中。在典型的數據安全事件中，除數據損毀所造成的業務影響外，數據非法跨境、個人信息泄露等違規行為也可能會導致訴訟、罰款和聲譽損害等損失，對組織產生不良影響。

根據IBM Security《2022年數據泄露成本報告》，全球數據泄露的平均總成本為435萬美元，而在受訪的550個組織中，僅有17%的組織是首次遭受數據泄露（參看圖1）。隨著攻擊者越來越多地將注意力轉向組織的敏感數據，組織迫切需要更強大的數據安全控制和程序。

圖1 2022年數據泄露的平均總成本（來源IBM）

零信任數據安全的總體目標是確保關鍵敏感數據不會暴露和泄露、也不會因數據安全導致組織運營問題，其能力建設不僅要考慮數據的存儲安全（例如空間和性能），還要考慮數據的管理方法、流程和工具，以實施有效的安全管控。通常，數據管理中的典型問題包括：

l  如何進行數據發現和標記？

l  如何處理過期數據？

l  如何進行數據備份和恢復？

l  如何在數據存儲、傳輸和使用中加密數據？

數據可見性是建立有效控制的前提。隨著用戶工作方式的變化，復雜而又動態的IT環境將數據置于嚴重的“蔓延”風險下，組織甚至無法了解數據所在的位置，以及哪些實體正在訪問數據。例如，在一個組織中，員工可能使用數十種以不同方式收集、分析和共享數據的SaaS應用，不同應用形成了組織內數據的孤島。這些“數據孤島”阻礙了安全措施的實施，組織不僅要關心傳統安全邊界消失所帶來的風險，更要關注數據本身的安全問題，包括數據的流動方式和去向。

圖2 適用于不同生命周期階段的數據安全控制

控制能力不足是現階段數據安全面臨的主要問題。為了實施零信任數據安全，需要數據（業務）所有者理解數據的生命周期，全面規劃數據安全策略和控制，包括完善在數據發現、監控、跟蹤和審計方面的可見性，強化組織內存儲、傳輸和使用中數據的加密保護，控制對進入/離開組織的數據的訪問，并提供快速識別、應對數據安全問題的策略、流程和工具。

二、數據安全的關鍵能力

在零信任安全框架中，數據安全能力需要從宏觀上進行規劃建設，覆蓋數據在生成、存儲、傳輸和處理過程的全生命周期安全，包括對高價值數據的分類分級保護、數據跟蹤控制，敏感數據防泄漏，以及數據彈性能力等。

1．識別與分類保護

數據安全需要將策略控制直接應用于數據對象本身。盡管有些數據看起來更重要一些，但即使是不太關鍵的信息，如果在錯誤的時間丟失或泄露，也可能對組織造成損害，例如，待發布產品的性能參數等。

宏觀來看，數據安全策略不應僅限于保護最有價值的數據，但也并非所有數據都需要進行平等的保護。組織需要了解持有的數據，識別不同數據的安全風險，以便能夠確定重點保護的區域和對象。通常，組織的高價值數據資產可能包括：

l  組織數據資產，例如CRM數據庫中的信息；

l  業務關鍵文件，例如戰略計劃和協議；

l  合規監管數據，例如未經審計的財務報表；

l  知識產權文檔，例如產品設計和技術規格；

l  個人隱私信息，例如員工的詳細信息。

數據分類是根據數據的類型、敏感性和業務價值對數據進行標記的過程，以便可以在組織內部和外部就如何管理、保護和共享數據做出策略選擇。通常，大多數組織需要采用自定義的分類（例如表1）和粒度，以匹配其數據安全解決方案的分類保護和控制能力。

表1 按敏感級別的數據分類示例

數據標簽可以作為可視化標記附加在數據上，并嵌入文件的元數據中。通過與數據安全解決方案結合，元數據標簽有助于為數據實施基于規則的安全控制或使用。

2．共享與數據血緣

在現代企業的IT環境中，數據不斷積累，并高速流入和流出組織，如何清理、組織、存儲和維護這些數據對組織至關重要。數據血緣是數據管理領域的重要概念，最早起源于數據倉庫和ETL（提取、轉換、加載）過程，用于跟蹤數據記錄從創建、使用和處置的完整過程。

在數據血緣技術中，數據在其生命周期中的每個操作步驟的元數據都會被收集、存儲起來（如圖3），并通過血緣分析來構建數據映射框架，幫助組織確認數據來自可信來源、并進行了安全轉換和存儲。

                圖3數據血緣在數據操作后的更新方式

在使用數據血緣時，不同的組織角色通常有不同的需求，管理層希望理解數據在整個業務流程中的作用，比較關注數據的準確性，而IT和安全團隊則更關注數據的血緣關系，以滿足運營、合規和流程的要求。

雖然詳細記錄每個數據的來源非常繁瑣，但這些信息使組織能夠識別潛在的安全漏洞，并實施適當的保護措施來保護敏感數據，確保遵守數據安全法規。

以數據銷毀為例，作為數據安全的一個重要方面，通常組織更擅長（或樂意）創建和聚合數據，而不是刪除數據。數據血緣可以使組織了解數據生命周期，提供敏感數據在整個組織中如何處理、存儲和訪問的精細可見性，有助于提高數據安全和隱私保護能力，例如，識別并確定必須進行數據備份或銷毀的時間點。

3．訪問與泄露防護

訪問控制是安全策略實施的重要組成，細粒度訪問控制需要將數據敏感等級納入決策條件中?？梢姡瑪祿诸愂窃诹阈湃沃袑嵤┘毩６仍L問控制的先決條件。

在零信任體系化能力建設中，請求者（人類用戶或NPE）的身份安全能力主要通過“身份”支柱建設。在實施訪問控制時，訪問策略引擎需要將“身份”和“設備”信息映射、關聯到“數據”支柱所建設的數據清單上，以便限制它們對目標數據的訪問，從而降低可疑用戶或失陷設備所帶來的數據安全風險。

通過加密技術保護存儲、傳輸中的數據是安全團隊的通用做法，但有些組織可能會忽視對動態數據的加密（即通信加密）。實際上，即使在部署VLAN、分段或其他隔離措施的網絡中，攻擊者也可以通過對路由器或網關的攻擊，來窺探網絡流量，獲取敏感信息。因此，對數據（包括傳輸中的數據）進行加密，是建設零信任數據安全的重要內容。

數據防泄露（DLP）是一項比較成熟的數據安全技術，組織在設計實施DLP時，需要考慮因素主要包括：

l  數據安全策略和合規監管需求的復雜程度；

l  持續運營DLP所需要依賴的資源，及其來源；

l  DLP覆蓋的通信渠道，例如，電子郵件、Web、FTP、內容協作平臺、云存儲等；

l  數據的多樣性和類型情況，例如，結構化、非結構化和半結構化（例如表單數據）；

l  數據存儲的方式，例如，云存儲、本地文件服務器等。

DLP的關鍵能力（例如，數據可見性及與訪問位置的關聯）對零信任整體數據安全建設非常重要，通過協調零信任策略與DLP策略的一致性，可以集成DLP的產品能力，并根據DLP的輸出（例如，敏感數據泄露警告），實現與數據移動上下文相關的安全策略。

4．勒索與數據彈性

無論對組織還是個人，勒索軟件都具有不容置疑的巨大危害。根據Statista的報告，自2018年以來，全球組織遭受勒索軟件攻擊的比例每年持續上升，并于2021年達到峰值68.5%。

在如此普遍的勒索軟件攻擊趨勢之下，組織關心的問題已經從“是否會受到攻擊”，轉為“何時遭到攻擊”。更糟糕的是，勒索軟件攻擊的重點是備份系統，在傳統采用溫/熱備進行災難恢復的方法中，由于備份數據已被勒索軟件加密，導致最終的恢復失敗。在這種情況下，除了從冷備份中進行復雜、耗時的恢復之外，組織別無選擇。

按照Gartner的觀點，為了應對勒索軟件攻擊，用于災難恢復的隔離恢復環境（IRE）應具備寫保護、勒索軟件檢測、即時自動化恢復和隔離部署等能力。在IRE技術成熟之前，用戶在運行獨立的備份系統時，則應通過實施3-2-1備份規則（每個數據必須至少有3個副本，其中2個副本必須存儲在不同位置的系統中，并且至少1個與生產環境隔離），提高數據的可恢復能力。

備份不能阻止勒索軟件攻擊，但對于事件發生后的恢復至關重要，可以提供一定的數據彈性，使組織在發生數據意外時確保業務連續性。不管組織使用私有化部署的數據災備系統，還是云原生的數據彈性平臺，數據安全建設都需要關注數據的災難恢復能力，對恢復點目標（RPO）和恢復時間目標（RTO）負責，并將數據備份和恢復連接融入零信任安全能力框架。

三、數據安全的最佳實踐

通過保持零信任數據安全策略與業務目標的一致，組織能夠安全地生成、處理和存儲更有價值的數據，從而使企業改進決策獲得競爭優勢，并提高業務敏捷性，同時防御日益復雜的安全威脅。

1．自動化分類標記

伴隨數據量和產生速度的不斷增加，數據可見性對組織來說是一個巨大的挑戰。通過利用自動化的數據分類標記工具，可以使數據識別以更快的速度、覆蓋更廣泛的范圍，最重要的是能實現對數據映射的持續更新和維護，以跟上業務、技術和威脅的發展。

自動化的敏感數據發現可以識別數據的位置，并根據預定的敏感度級別對數據進行分類，然后將適當的元數據應用于每個文檔（包括電子郵件和文檔），為下游的安全生態系統（例如DLP、CASB）提供決策控制信息，包括數據清單、敏感等級、結構類型、數據來源和交換記錄等。

2．增量式逐步推進

在面對復雜業務的數據安全場景時，用戶可能會因試圖發現、分類和保護組織的所有數據，而感到無從下手，特別是在一些數據管理能力不足和技術手段落后的環境中，實施零信任數據安全的任務更加艱巨。

解決該問題的最佳方法是采用循序漸進的實施策略，客觀地規劃能力目標與進度，將與業務相關的最終產出結果，分解為可實現的里程碑，并在推進過程中，確保能按時間表獲得相應的資源或調整時間表。另外，在實施過程中，保持與利益相關者的溝通，保證他們了解當前的進度狀態和新變化。

在實施方面，從小事做起，逐步提高。例如，考慮首先保護電子郵件和文件，然后轉向SaaS應用和云。安全計劃的實施也從基礎級別開始，將精細的策略控制應用于電子郵件和非結構化數據，然后從逐步開始擴展到流入和流出企業的數據。

3．持續性審查治理

成功的數據安全計劃需要能夠循環反饋和定期審查。數據永遠存在并持續變化，控制措施也需要緊跟技術發展進行演進，以適應威脅變化。除了定期（例如每年）審查數據安全的實施和計劃外，也可以在以下情況下觸發審查：

l  組織管理層發生重大變動；

l  法律或監管發生重大變化；

l  內部或外部發生了重大事件或違規；

l  出現了重大的技術變革。

四、結語

通過將零信任原則應用于數據安全能力建設，組織可以實現更全面、細粒度的數據保護和訪問控制，增強對敏感數據的安全性和可控性，減少數據泄露和損失的風險，提高整體的安全防御能力。但數據安全是一個持續的過程，組織需要綜合考慮技術實現、用戶體驗和文化變革等方面的挑戰和因素，根據自身情況制定適合的計劃和策略。同時，也需要確保與合規要求和業務需求的一致性，以最大程度地提高數據安全性和保護組織的利益。

最后，本系列文章從零信任成熟度模型的五個能力支柱，討論了在零信任實施過程中，組織需要關注和建設的關鍵能力集，包括建立多層次的身份驗證和訪問控制、采用加密和加密技術、實施持續監控和分析等措施。

零信任并非一勞永逸的解決方案，而是一個持續的過程和理念，它需要組織在不斷演化的威脅環境中保持警惕，并根據實際情況和需求調整和改進零信任策略，以逐步達到更高水平的安全性和成熟度。