零信任体系化能力建设（5）：数据安全与控制跟踪

前言：在数字化世界中，一切皆源于数据。无论任何时候、任何地方和任何环境，组织都需要保护数据免受未经授权的访问和泄露，确保核心资产和业务的连续性，并获得客户的信任和忠诚度。
然而，这些跨领域、相互交叉的数据来自于不同的源头，并由不同机构和人员以不同的方式处理，要确保所有数据在不损失安全、隐私和合规性的前提下，最大限度地传播共享以发挥效用，需要从战略层面对数据进行思考、规划和治理。本文从零信任安全能力的体系化建设入手，讨论数据在收集、使用、传播及处置过程中的安全保护措施，主要包括数据的识别与分类保护、共享与数据血缘、访问与泄露防护，以及勒索与数据弹性。
关键字：零信任；数据分类分级；数据防泄漏；勒索软件

一

零信任数据安全

针对网络的攻击一般以可用性为攻击目标（例如DDoS），主要影响业务运行性能和效率，而针对企业数据的攻击可以同时包含对机密性、完整性和可用性的攻击（例如，窃取、破坏、勒索等），对攻击者具有高额的回报，也更具诱惑力。

此外，数据通常也是零信任实施中最薄弱的环节，它们以结构化或非结构化的文件、碎片（或元数据）等形式，存在于本地（或虚拟环境）系统、设备、网络、应用程序、数据库、基础设施和备份中。在典型的数据安全事件中，除数据损毁所造成的业务影响外，数据非法跨境、个人信息泄露等违规行为也可能会导致诉讼、罚款和声誉损害等损失，对组织产生不良影响。

根据IBM Security《2022年数据泄露成本报告》，全球数据泄露的平均总成本为435万美元，而在受访的550个组织中，仅有17%的组织是首次遭受数据泄露（参看图1）。随着攻击者越来越多地将注意力转向组织的敏感数据，组织迫切需要更强大的数据安全控制和程序。

图1 2022年数据泄露的平均总成本（来源IBM）

零信任数据安全的总体目标是确保关键敏感数据不会暴露和泄露、也不会因数据安全导致组织运营问题，其能力建设不仅要考虑数据的存储安全（例如空间和性能），还要考虑数据的管理方法、流程和工具，以实施有效的安全管控。通常，数据管理中的典型问题包括：● 如何进行数据发现和标记？●如何处理过期数据？●如何进行数据备份和恢复？●如何在数据存储、传输和使用中加密数据？

数据可见性是建立有效控制的前提。随着用户工作方式的变化，复杂而又动态的IT环境将数据置于严重的“蔓延”风险下，组织甚至无法了解数据所在的位置，以及哪些实体正在访问数据。例如，在一个组织中，员工可能使用数十种以不同方式收集、分析和共享数据的SaaS应用，不同应用形成了组织内数据的孤岛。这些“数据孤岛”阻碍了安全措施的实施，组织不仅要关心传统安全边界消失所带来的风险，更要关注数据本身的安全问题，包括数据的流动方式和去向。

图2 适用于不同生命周期阶段的数据安全控制

控制能力不足是现阶段数据安全面临的主要问题。为了实施零信任数据安全，需要数据（业务）所有者理解数据的生命周期，全面规划数据安全策略和控制，包括完善在数据发现、监控、跟踪和审计方面的可见性，强化组织内存储、传输和使用中数据的加密保护，控制对进入/离开组织的数据的访问，并提供快速识别、应对数据安全问题的策略、流程和工具。

二

数据安全的关键能力

在零信任安全框架中，数据安全能力需要从宏观上进行规划建设，覆盖数据在生成、存储、传输和处理过程的全生命周期安全，包括对高价值数据的分类分级保护、数据跟踪控制，敏感数据防泄漏，以及数据弹性能力等。

1

识别与分类保护

数据安全需要将策略控制直接应用于数据对象本身。尽管有些数据看起来更重要一些，但即使是不太关键的信息，如果在错误的时间丢失或泄露，也可能对组织造成损害，例如，待发布产品的性能参数等。

宏观来看，数据安全策略不应仅限于保护最有价值的数据，但也并非所有数据都需要进行平等的保护。组织需要了解持有的数据，识别不同数据的安全风险，以便能够确定重点保护的区域和对象。通常，组织的高价值数据资产可能包括：●组织数据资产，例如CRM数据库中的信息；●业务关键文件，例如战略计划和协议；●合规监管数据，例如未经审计的财务报表；●知识产权文档，例如产品设计和技术规格；●个人隐私信息，例如员工的详细信息。

数据分类是根据数据的类型、敏感性和业务价值对数据进行标记的过程，以便可以在组织内部和外部就如何管理、保护和共享数据做出策略选择。通常，大多数组织需要采用自定义的分类（例如表1）和粒度，以匹配其数据安全解决方案的分类保护和控制能力。

表1 按敏感级别的数据分类示例

数据标签可以作为可视化标记附加在数据上，并嵌入文件的元数据中。通过与数据安全解决方案结合，元数据标签有助于为数据实施基于规则的安全控制或使用。

2

共享与数据血缘

在现代企业的IT环境中，数据不断积累，并高速流入和流出组织，如何清理、组织、存储和维护这些数据对组织至关重要。数据血缘是数据管理领域的重要概念，最早起源于数据仓库和ETL（提取、转换、加载）过程，用于跟踪数据记录从创建、使用和处置的完整过程。

在数据血缘技术中，数据在其生命周期中的每个操作步骤的元数据都会被收集、存储起来（如图3），并通过血缘分析来构建数据映射框架，帮助组织确认数据来自可信来源、并进行了安全转换和存储。

图3数据血缘在数据操作后的更新方式

在使用数据血缘时，不同的组织角色通常有不同的需求，管理层希望理解数据在整个业务流程中的作用，比较关注数据的准确性，而IT和安全团队则更关注数据的血缘关系，以满足运营、合规和流程的要求。

虽然详细记录每个数据的来源非常繁琐，但这些信息使组织能够识别潜在的安全漏洞，并实施适当的保护措施来保护敏感数据，确保遵守数据安全法规。

以数据销毁为例，作为数据安全的一个重要方面，通常组织更擅长（或乐意）创建和聚合数据，而不是删除数据。数据血缘可以使组织了解数据生命周期，提供敏感数据在整个组织中如何处理、存储和访问的精细可见性，有助于提高数据安全和隐私保护能力，例如，识别并确定必须进行数据备份或销毁的时间点。

3

访问与泄露防护

访问控制是安全策略实施的重要组成，细粒度访问控制需要将数据敏感等级纳入决策条件中。可见，数据分类是在零信任中实施细粒度访问控制的先决条件。

在零信任体系化能力建设中，请求者（人类用户或NPE）的身份安全能力主要通过“身份”支柱建设。在实施访问控制时，访问策略引擎需要将“身份”和“设备”信息映射、关联到“数据”支柱所建设的数据清单上，以便限制它们对目标数据的访问，从而降低可疑用户或失陷设备所带来的数据安全风险。

通过加密技术保护存储、传输中的数据是安全团队的通用做法，但有些组织可能会忽视对动态数据的加密（即通信加密）。实际上，即使在部署VLAN、分段或其他隔离措施的网络中，攻击者也可以通过对路由器或网关的攻击，来窥探网络流量，获取敏感信息。因此，对数据（包括传输中的数据）进行加密，是建设零信任数据安全的重要内容。

数据防泄露（DLP）是一项比较成熟的数据安全技术，组织在设计实施DLP时，需要考虑因素主要包括：●数据安全策略和合规监管需求的复杂程度；●持续运营DLP所需要依赖的资源，及其来源；●DLP覆盖的通信渠道，例如，电子邮件、Web、FTP、内容协作平台、云存储等；●数据的多样性和类型情况，例如，结构化、非结构化和半结构化（例如表单数据）；●数据存储的方式，例如，云存储、本地文件服务器等。

DLP的关键能力（例如，数据可见性及与访问位置的关联）对零信任整体数据安全建设非常重要，通过协调零信任策略与DLP策略的一致性，可以集成DLP的产品能力，并根据DLP的输出（例如，敏感数据泄露警告），实现与数据移动上下文相关的安全策略。

4

勒索与数据弹性

无论对组织还是个人，勒索软件都具有不容置疑的巨大危害。根据Statista的报告，自2018年以来，全球组织遭受勒索软件攻击的比例每年持续上升，并于2021年达到峰值68.5%。

在如此普遍的勒索软件攻击趋势之下，组织关心的问题已经从“是否会受到攻击”，转为“何时遭到攻击”。更糟糕的是，勒索软件攻击的重点是备份系统，在传统采用温/热备进行灾难恢复的方法中，由于备份数据已被勒索软件加密，导致最终的恢复失败。在这种情况下，除了从冷备份中进行复杂、耗时的恢复之外，组织别无选择。

按照Gartner的观点，为了应对勒索软件攻击，用于灾难恢复的隔离恢复环境（IRE）应具备写保护、勒索软件检测、即时自动化恢复和隔离部署等能力。在IRE技术成熟之前，用户在运行独立的备份系统时，则应通过实施3-2-1备份规则（每个数据必须至少有3个副本，其中2个副本必须存储在不同位置的系统中，并且至少1个与生产环境隔离），提高数据的可恢复能力。

备份不能阻止勒索软件攻击，但对于事件发生后的恢复至关重要，可以提供一定的数据弹性，使组织在发生数据意外时确保业务连续性。不管组织使用私有化部署的数据灾备系统，还是云原生的数据弹性平台，数据安全建设都需要关注数据的灾难恢复能力，对恢复点目标（RPO）和恢复时间目标（RTO）负责，并将数据备份和恢复连接融入零信任安全能力框架。

三

数据安全的最佳实践

通过保持零信任数据安全策略与业务目标的一致，组织能够安全地生成、处理和存储更有价值的数据，从而使企业改进决策获得竞争优势，并提高业务敏捷性，同时防御日益复杂的安全威胁。

1

自动化分类标记

伴随数据量和产生速度的不断增加，数据可见性对组织来说是一个巨大的挑战。通过利用自动化的数据分类标记工具，可以使数据识别以更快的速度、覆盖更广泛的范围，最重要的是能实现对数据映射的持续更新和维护，以跟上业务、技术和威胁的发展。

自动化的敏感数据发现可以识别数据的位置，并根据预定的敏感度级别对数据进行分类，然后将适当的元数据应用于每个文档（包括电子邮件和文档），为下游的安全生态系统（例如DLP、CASB）提供决策控制信息，包括数据清单、敏感等级、结构类型、数据来源和交换记录等。

2

增量式逐步推进

在面对复杂业务的数据安全场景时，用户可能会因试图发现、分类和保护组织的所有数据，而感到无从下手，特别是在一些数据管理能力不足和技术手段落后的环境中，实施零信任数据安全的任务更加艰巨。

解决该问题的最佳方法是采用循序渐进的实施策略，客观地规划能力目标与进度，将与业务相关的最终产出结果，分解为可实现的里程碑，并在推进过程中，确保能按时间表获得相应的资源或调整时间表。另外，在实施过程中，保持与利益相关者的沟通，保证他们了解当前的进度状态和新变化。

在实施方面，从小事做起，逐步提高。例如，考虑首先保护电子邮件和文件，然后转向SaaS应用和云。安全计划的实施也从基础级别开始，将精细的策略控制应用于电子邮件和非结构化数据，然后从逐步开始扩展到流入和流出企业的数据。

3

持续性审查治理

成功的数据安全计划需要能够循环反馈和定期审查。数据永远存在并持续变化，控制措施也需要紧跟技术发展进行演进，以适应威胁变化。除了定期（例如每年）审查数据安全的实施和计划外，也可以在以下情况下触发审查：●组织管理层发生重大变动；●法律或监管发生重大变化；●内部或外部发生了重大事件或违规；●出现了重大的技术变革。

四

结语

通过将零信任原则应用于数据安全能力建设，组织可以实现更全面、细粒度的数据保护和访问控制，增强对敏感数据的安全性和可控性，减少数据泄露和损失的风险，提高整体的安全防御能力。但数据安全是一个持续的过程，组织需要综合考虑技术实现、用户体验和文化变革等方面的挑战和因素，根据自身情况制定适合的计划和策略。同时，也需要确保与合规要求和业务需求的一致性，以最大程度地提高数据安全性和保护组织的利益。

审核编辑 黄宇