1、 零信任数据动态授权 桔皮书 奇安信科技集团股份有限公司 2022 年 1 月 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集奇安信集团团的书面授权许可，不得以任何方式复制或引用本文的任何片段。前 言 随着数字化的深入，数据成为重要生产要素。数据伴随着业务和应

2、用，在不同载体间流动和留存，贯穿信息化和业务系统的各层面、各环节，在复杂的应用环境下，保证重要数据、核心数据以及用户个人隐私数据等敏感数据不发生外泄，是数据安全保障工作的重要挑战。数据安全靠的不是单点技术，而是能力体系。真正做好数据安全防护，需要从零散建设升级到体系化建设，内生安全框架是安全体系化建设的核心，“一中心两体系”是内生安全框架落地的具体方法，即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系，从而打造认知、安全、授权三个重要能力。其中零信任数零信任数据动态授权体系，则是授权能力的落地据动态授权体系，则是授权能力的落地。从实体安全、身份可信、业务合规三个目标出发，抽

3、象出主体、客体、主体环境，通过动态评估主体的数字身份、安全状态和信任、数据安全治理的成果，进行动态细粒度授权及访问控制，并结合数据安全防护体系的技术能力，实现对应用和数据的、服务，API 接口、大数据平台、数据库行、列等级别的精准管控。本报告总结分析了数字化时代数据安全的背景和挑战，结合零信任理念，提出构建数据动态授权能力的建设思路，以及以工程化思维推进零信任架构演进的建设方法，旨在为组织开展数据安全体系化建设提供参考和建议。目目 录录 一、一、数字化时代的数据安全发展现状背景数字化时代的数据安全发展现状背景 .1 1 (一)数据安全成为数字化发展基石.1(二)数据成为关键生产要素加速数据流转

4、.1(三)应用架构演变伴生数据使用场景日趋复杂.2 二、二、数字化时代的数据安全挑战数字化时代的数据安全挑战 .3 3 (一)边界弱化，企业资源暴露面增加.3(二)攻击的目标从网络转向身份、应用和数据.4(三)远程办公增加数据泄漏和权限滥用风险.4(四)内部威胁成数据泄漏主要原因.5 三、三、基于零信任思路构建数据安全保护体系基于零信任思路构建数据安全保护体系 .5 5 (一)数据保护需要新思路新方法.5(二)零信任理念和方法.6(三)在数字化背景下理解和实践零信任.7(四)在“一中心两体系”框架下构建零信任动态授权能力.9 四、四、构建零信任数据动态授权能力的关键举措构建零信任数据动态授权能

5、力的关键举措 .1212 (一)基于数据安全治理成果，构建数据视图.12 1.数据分类分级.12 2.元数据管理及数据视图.13(二)构建身份视图，明晰数据访问上下文.14 1.构建主体信任，需要丰富的上下文数据.14 2.身份视图：人、设备、应用的数字身份化及整体视图.15 (三)构建以资源为中心的统一策略管控体系.16 1.基于数据视图、身份视图和环境因子构建动态访问策略.16 2.数据脱敏策略.18 3.行过滤策略.19 4.基于任务和事由的权限策略.19 5.零信任动态策略和数据业务平台的内生聚合.19(四)持续的信任评估与策略治理.20 五、五、以工程化思维推进零信任架构演进以工程化

6、思维推进零信任架构演进 .2121 (一)以系统思维推进零信任架构演进.21 1.零信任目标及策略.22 2.零信任能力.22 3.零信任技术.22 4.零信任特性.22(二)制定阶段性行动计划.23 1.确立建设思路.23 2.厘清项目性质.23 3.制定分步迭代建设方案.24 零信任数据动态授权桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561 第 1 页，共 25 页 一、数字化时代的数据安全发展现状背景(一一)数据安全成为数字化发展基石数据安全成为数字化发展基石 2021 年 9 月 1 日，数据安全法正式颁布实施，明确提出了数据安全保护要求，包括从战略上将数据安全上升到国家