致力于数据治理领域的持续创新,为用户提升智能安全的价值分享!
联系电话:400 100 6790
公司新闻
数据安全中的“零信任”技术
发布时间:2019-01-11

大数据下的网络安全挑战


大数据环境下,网络安全威胁比以往任何时候都更加复杂。


数据的集中造成了目标和风险的集中,数据也成为黑产最主要的攻击目标。


Verizon在其2018年全球数据泄露分析报告中指出:


内部威胁(包括有意或无意)是数据泄露的第二大原因。非授权访问、雇员犯错、外包员工犯错等原因直接导致“合法用户”可以非法访问特定的业务和数据资源,造成组织内部数据泄露;


外部攻击是数据泄露的主要原因,黑客突破边界后,往往能够轻易实现内网渗透。


Gartner预测,2018年全球信息安全产品及服务支出将超过1140亿美元,预计2019年安全市场将达1240亿美元。


企业的安全意识在不断提高,网络安全防护体系建设的投入也在不断加大,为什么类似数据泄露这样的安全事件并没有得到很好的遏制,反而愈演愈烈?


传统的网络安全架构理念是基于边界的安全架构,默认内网是安全的。


随着数据资源的互联互通、共享开放,消除了物理界限,我们应该重新审视现有的安全防护模式,找到更为严格和创新的安全防护技术。

“零”信任思想


“零信任”方法由Forrester Research首席分析师约翰·金德维格(John Kindervag)首次提出。


其策略就是不信任任何人/事/物:

打破了旧式的“网络边界防护”思维,对边界内部或外部的网络统统采取不信任的态度;

必须经过验证才能完成授权,实现访问。

零信任遵循“永不信任且始终验证”原则,其本质是确保用户身份安全、保护应用程序,Google的BeyondCorp项目在超大网络中率先实现零信任,业界各大厂商大力跟进。


实施零信任带来的影响


1. 工作量巨大


零信任实施的首要步骤是定义访问策略,对用户和访问权限进行细粒度分析,定义并开发一个在整个企业范围内一致的数据访问策略需要花费大量时间,且极具挑战性;

其次是实现授权和访问控制系统的统一,识别提供关键数据的应用也是一项重大且艰巨的任务;

还有一些非Web应用程序,由于无法支持MFA等功能,需要花费大量时间构建处理此类应用程序的功能。


2. 影响用户体验


零信任模式,要求知道系统的用户是谁,他们正在访问哪些应用程序,他们是如何连接到应用程序的,以及为保护访问权限需要采取的控制措施等。

零信任模型将会改变用户与系统和数据交互的方式,对用户体验造成的影响。


3. 无法一步到位


零信任模型的实施需要进行小范围“踩点试验”,针对最危险的用例实现零信任模型,并花时间不断完善并正确实施该模型。

随着时间的推移,小范围的“踩点”胜利将最终融合成一个完整的转型。

更多内容参考:安全牛《创建零信任安全模型不可忽略的5大因素》

(https://www.aqniu.com/learn/39501.html)


世平零信任技术


世平提出基于“零信任”中心思想的数据安全解决方案,采用数据分类分级、访问控制、数据鉴权、数据脱敏、审计监控、数据加密等多种关键技术实现对企业数据的防护。


数据分类分级

依据法规标准、结合行业业务场景对用户信息系统中的资产和数据进行梳理,在业务系统、流程、事项等业务维度及数据重要性、敏感性、风险性等安全维度上对资产和数据进行分类分级,发现敏感数据,并且根据不同级别对数据进行相应的保护。


访问控制

采用角色挖掘、风险访问控制、半/非结构化数据的访问控制、针对隐私保护的访问控制、世系数据相关的访问控制、基于密码学的访问控制等关键技术实现对数据可信的访问控制,依据控制策略对资源进行的不同授权访问,从而保障数据资源在合法范围内得以有效使用和管理。


数据鉴权

验证用户是否拥有访问数据的权利,对用户发出的请求进行实时匹配,实现对用户访问数据权限的控制。


数据脱敏

采用替换、随机脱敏、模糊脱敏、数据格式化脱敏等多种算法对敏感数据的进行脱敏处理。


审计监控

基于UEBA(User and Entity Behavior Analytics,用户实体行为分析)技术的审计监控,用机器学习算法和预定义规则对照行为基线判断用户行为是否异常,通过动态学习不断提高数据监控的效率以及准确率,并且实现了策略配置定义、更新、维护的自动化执行。


数据加密

采用AES和代理重加密算法对云平台存储的数据进行加密,节省开销,提高云存储数据加密的效率。


数据安全落地解决方案


世平数据泄露防护系统(SIMP-DLP)


终端数据防泄露(终端DLP)

使用数据的安全防护,对使用终端出现的和传输的各类敏感数据进行监控,包括对敏感数据进入邮件收发及各种外接设备如U盘、光盘、打印机、照相机、截屏等等渠道的监测和阻断。


网络数据防泄露(网络DLP)

分享和传输数据的安全防护,对经过网络交换设备的各类敏感数据进行监测、阻断。


存储数据防泄露(存储DLP)

存储数据的安全防护,对数据库、应用服务器、大数据存储、云存储等设备中存储的数据内容进行监控,确保各类敏感信息存储合规性。


数据脱敏系统(SDM)

能够对敏感数据的跨部门、跨业务及开发、运维人员分享进行脱敏处理,实现开发、测试所需测试数据的敏感信息剥离或变型,防止正常业务过程中隐私信息、商业秘密等信息的暴露。


隐私数据保护系统

自动识别大数据环境下的隐私数据, 对于已知的隐私数据针对具体的特征进行智能脱敏,自适应隐私感知、敏感信息智能清洗,最终实现面向动态安全需求的、自适应的用户隐形隐私保护系统,提供个性化、可定制的隐私保护服务。


数据鉴权管理系统

对使用者发出的各项请求按鉴权规则进行使用者部门级别与所请求的数据内容分类分级之间的身份权限实时匹配,判定允许还是拒绝请求,并对允许通过后响应返回的数据同样按鉴权规则进行匹配辨别,实现对信息系统各使用人员访问数据的细粒度权限控制。


返回上级

  浙ICP备12037013号    浙公网安备 33010602004144号   版权所有:2010-2019 | 杭州世平信息科技有限公司  网站地图