随着5G、云计算、大数据、物联网等技术飞速发展,企业规模日益壮大,随之而来是面临的各种挑战,如业务访问不方便、工具自身安全难以保证、账号管理难、数据泄露难追溯等。本文将从企业数据角度出发,阐述如何维护网络安全,探讨企业数据安全。
关键词:数据安全 零信任SDP
企业数据可分为结构化数据和非结构化数据。企业日常运营管理中,使用办公自动化系统、客户关系管理系统等软件所产生的数据,通常具有良好的数据标签,有序存储在系统相应的数据库中,称之为结构化数据;其他各种不方便使用数据库二维逻辑存储的数据,例如文本、图片、XML、音视频等,则称之为非结构化数据。
根据数据的获取和使用方式的不同,企业数据有着不同的价值。企业通过大量的数据采集和加工掌握了包括用户信息、商品信息、用户行为等具有商业价值的数据,企业通过商业性企业数据的销售和服务产生效益。企业在自身生产经营过程中积累的企业资料,包括生产经营数据、产品源代码、著作权专利等,属于企业的商业机密数据,关系到企业的正常经过和可持续性发展。
数据的传播需具备两大要素,一是数据的介质载体,一是用户使用行为。数据的介质载体主要包括台式机、笔记本、服务器等固定存储设备和移动磁盘、U盘、闪存等移动存储设备;用户使用行为是基于存储介质的数据使用,从日常的邮件外发、即时通讯、在线文件分享、移动设备使用,到访问社交网站、口头信息分享,覆盖了企业员工在工作生活中的各个场景。
数据只有被使用时才能产生价值,而数据被不合理的传播则会产生相应的风险。数据传播的风险主要存在于移动设备的不规范使用和员工的无意识的行为泄露。调查表明,由于黑客入侵所造成的数据失窃只占总数的11%,而大部分的数据安全事故出自于组织内部。
信息化经过长期的发展,在数据安全防御上具有了比较成熟的产品,对数据的非法传播进行阻断,以保护数据的安全。
在用户终端进行数据阻断使用的安全系统主要包括终端管控系统、数据防泄露产品和沙盒机制。
终端管控系统对终端的外设使用进行严格的限制,只有授权的移动设备才允许通过USB等方式进行连接和使用,防止数据随意传播。同时,终端管控软件对系统环境进行限制,强制要求安装必要的杀毒软件,避免数据在终端使用过程中被病毒攻击窃取。
数据防泄露(DLP)则是基于数据的使用过程进行传播的控制,通过对系统及应用上的用户操作进行控制,阻断不合规的数据传播途径。数据防泄露软件主要提供限制截屏、限制剪贴板、限制文件下载与转发等能力,同时,对于外部设备进行拍照的行为,提供水印信息展示,从而能够对泄露的信息进行追溯审计。
沙盒机制则是将数据存储的介质进行了重定向和加密保护,使得系统的数据空间与应用的数据空间之间相互隔离,从而减少系统空间对应用数据可能带来的安全威胁。
在进行数据传播的限制保护的基础上,部署数据库审计产品可以提升数据使用的事后分析功能,对数据的使用进行分析,从而完善数据使用的闭环管理。
数据安全产品种类虽然已经比较齐全,但在信息化快速发展的当下,仍然存在一些不足。
◆ 以传统的边界安全理念构筑防御,管理复杂,无法应对新的信息化发展变化。在数字化快速发展过程中,终端的多样化和企业业务上云步伐的加快,数据安全产品的实际效果无法充分发挥。
◆ 各类数据安全产品分别基于数据传播过程中的单一环节提供安全防御,缺少对数据全流程的使用控制,实施和管理角色分散,不利于统一管理维护。
◆ 通常需要多个数据安全产品组合来实现整体的数据安全保护,由此也将需要用户安装更多的应用程序,耗费终端资源,降低用户使用体验,给企业业务的推广和效率提升带来了阻力。
自2010年SDP零信任架构提出以来,已经得到了各行业的广泛认可,落地实践逐步增多。零信任架构不单以解决数据安全为目标,但其安全能力涵盖了数据安全的范畴。
在数据安全上,SDP同样在数据传播载体介质和用户使用行为上提供了充分的保护能力。使用SDP架构后,对用户身份信息的校验同时包含了账号密码信息、设备绑定信息、系统环境信息、用户行为信息等多方面的因素,从而保证用户只有使用安全的数据载体介质的设备才能正常使用业务;在数据的用户使用行为上,SDP客户端自身可具备或通过第三方能力集成相应的数据防泄露能力,在数据使用上对不规范的行为进行阻断。
相比于数据安全产品,SDP零信任具有更灵活、更全面的安全能力:
业务隐藏:
通过SPA单包授权,默认隐藏业务服务端口,避免业务系统直接在互联网暴露,减少非法攻击。
多因子认证:
以用户账号为基础,结合终端信息、系统环境信息和业务访问行为信息等,进行综合的用户身份验证,同时支持短信、指纹、二维码、人脸等多种因子的辅助认证,用户身份安全更有保障。
最小权限控制:
区别于传统VPN的接入控制,SDP具备更严格的权限授权机制。基于角色的权限控制(RBAC)能够控制用户可以访问的具体地址和端口,而不再连接到内网后所有业务均可访问。
动态信任评估:
SDP对于身份的安全验证采用动态评估的机制,用户在业务访问过程中,一旦产生影响身份安全的风险,SDP将对根据策略对用户的访问进行限制,包括但不限于强制进行二次认证、中断用户访问、进行安全告警等。
兼容传统安全产品:
SDP架构的实施对现有安全体系和IT架构影响较小。SDP可以与大部分的安全产品进行融合,从而将以前分散的安全能力统一到SDP的安全策略中,为业务提供综合的安全保护。SDP支持旁路部署方式,无需修改现有IT架构,推行阻力小,易于实施。
SDP零信任作为相对较新的安全架构,全面普及尚需时日。但其架构对于安全的能力覆盖以及与现有安全产品的兼容,将逐渐为企业用户所接受,必然为企业的信息化发展提供强有力的帮助。