从内部违规、数据安全、合规要求剖析零信任可持续发展之道

随着数据的爆炸式增长，大数据正在成为信息时代的核心战略资源。与此同时，各项技术应用背后的数据安全风险也日益凸显。根据 IBM《2022年数据泄露成本报告》显示，83% 的组织遭受过不止一次的数据泄露事件，其中20%源于企业内部人员的恶意泄露。同时，根据微软《构建企业整体内部风险管理计划》显示，近 40% 的企业称，平均每年要发生近20 次数据泄露事件，因内部造成的单次数据泄露的平均成本超过 500，000 美元。

此外，随着混合式工作模式成为新常态，企业面临日益复杂的数据安全威胁以及逐渐分散的安全解决方案环境，网络安全领导者亟需一种方法来加强并保护不断增长的安全边界，而零信任模型恰好能够满足其主要需求。

零信任框架基本打破了传统边界防护思维及传统思维专注的防御边界，适应复杂的现代环境、远程工作模式并保护位于任何位置的用户、设备、应用程序和数据安全。同时，实施零信任框架还能够帮助企业满足合规性要求，减少因违规造成的业务损害。如今，零信任框架已经成为实现企业安全策略现代化、确保敏感数据的关键组件。

减少因内部或外部不良行为者的违规行为造成的业务损害

零信任基于“假设违规”原则，通过对所有可用数据点实施特定的安全措施并强制实施对数字安全环境的最小特权访问，主动将内部和外部不良行为者的攻击影响降至最低，其主要有以下几种功能：

数据分类和端到端加密；

检测序列及用户上下文，用于检测内部关键风险；

用于防止数据丢失的策略配置；

自动威胁检测和响应；

“假设违规”的施行需要企业首先确定自身是否拥有正确的数据安全策略和控制措施，以及是否可以衡量其违规风险，还涉及了解敏感数据周围的内、外部活动，贯穿其整个生命周期。零信任视角可以帮助企业实施正确的保护，及时采取预防措施来检测和修复不断更迭的网络风险和漏洞。

此外，零信任框架实施冗余安全机制，收集系统遥测数据并检测异常访问，有效提高信息系统的安全性和可靠性，使企业能够有效地预防、响应和修复数据安全事件。同时，还能帮助企业管理内部风险，深入了解可能导致企业内部发生数据盗窃或其他外泄活动的因素。通过配置具有保护操作的动态策略，可以防止跨应用、服务和设备未经授权使用数据，即使在混合工作环境中也同样如此。

零信任体系结构弥合了数据安全性和提高工作效率之间的差距，减少网络攻击的影响范围，并通过适当的访问控制来加强安全态势，以最大限度地减少企业声誉损害、安全漏洞的财务成本、网络保险费和安全团队员工的工作量。

识别并保护敏感业务数据或身份信息

企业要实现更强大的安全态势首先要了解其安全体系结构，之后再跨层集成控制和响应以应用和实施统一策略。而零信任体系结构扩展到企业整个数字资产部分，可被用作集成的统一安全策略，以降低端到端安全性的复杂程度和资源消耗。

对敏感数据的保护必须涉及以下几个关键步骤：

通过内置的、随时可用的机器学习模型，了解敏感数据的使用、访问和共享方式（跨多云、本地和混合环境）及相关风险。

通过深入了解用户如何与敏感数据的交互方式，并利用序列检测来了解用户意图，从而了解内部风险。

通过防止敏感数据在应用程序、服务和设备之间的未经授权使用来防止数据丢失。

利用动态控制来调整数据丢失预防策略，以解决最关键的数据风险。

以上步骤使企业能够实施全面的端到端策略来确保安全性，并应用相关操作（如加密、访问限制和视觉标记）以保护数据，即使数据脱离了企业控制的设备、应用、基础结构和网络。

在了解、分类和识别数据和敏感内容后，企业可以：

尽快实施策略以阻止共享包含敏感数据的电子邮件、附件或文档。

对设备端点上带有敏感度标签的文件进行加密。

通过策略或机器学习对带有敏感度标签的内容进行自动分类。

检测在数字资产内外传输的敏感数据并了解用户上下文，以更好地降低风险或进行后续调查。

根据用户上下文、设备、位置和会话风险信息，对自适应访问控制进行微调（例如要求多因素身份验证或设备安全策略），将安全边界移动到数据所在位置，并对数字身份和身份访问进行严格控制，能够在安全体系结构的每一层都实现安全控制以进一步分段访问，改进企业的无边界协作，才不会将其数据置于风险之中。

通过采用零信任框架，企业可以了解敏感数据周围用户活动的上下文，并防止未经授权的数据使用或丢失。有助于防止数据泄露并满足合规要求的数据安全保护措施包括：

数据丢失防护，防止未经授权使用敏感数据。

加密，使未经授权的用户无法读取文件。

信息保护，有助于对文件和文档中的敏感数据进行分类。

内部风险管理，用于缓解可能造成数据安全事件的潜在用户活动风险。

主动满足合规要求

零信任安全框架可以协助企业满足法规和合规性标准，主要涉及个人身份信息、财务数据、知识产权等，相关的法规条例包括《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等及各级地方法规。

采用零信任体系结构还可以帮助企业超越标准和要求，增强主动预防性安全保护，并实现：

进行更深入、更一致的集成，实施简化统一的策略实施。

提高安全团队能力防范更复杂、更严重的安全攻击。

通过简化配置、整合策略、改进原有安全实践，更有效地进行企业安全态势管理。

增强安全性，防止IT技能和员工能力的短缺，打破安全策略之间的隔阂，使不同规模、不同行业的企业都能够轻松实现零信任。

跨平台、跨云的安全保护，实现所有工作流程的可见性。

国内零信任市场持续升温发展势头良好

零信任作为一种在数字化转型大趋势下的新安全理念，取代了以物理网络边界为中心的传统安全架构，持续推动企业网络安全架构的变革，为企业数字化转型提供敏捷高效的支撑。当前海外零信任市场已走向规模化落地，市场认知度较高，商业模式较为成熟，而国内零信任市场目前正处于快速发展阶段。

持安科技——持安远望办公安全平台

据此前对其创始人&CEO何艺的采访了解到，持安科技提出以甲方零信任实践者的身份为企业提供高效、无感知的安全办公方式，从用户登录终端到业务访问，对期间终端行为、应用访问行为、登录认证、零信任策略执行等过程中的用户行为通过基于精准的身份而非传统检查IP的方式进行安全分析溯源，全链路审计解决人员权限混乱问题，避免因内部或外部不良行为者的违规行为造成的业务损害。

其近期发布的持安远望办公安全平台4.0版本，基于数据平面、应用平面、主机平面、网络平面、身份平面以及IT基础设施等多方架构进行升级，满足企业CEO、安全部门、信息科技部门、业务部门的多样化需求。严格遵循最小权限原则，在有效保障企业业务与核心数据安全的同时，简化工作流程，提高员工办公效率，为甲方企业提供真正可落地、可使用的零信任解决方案。

易安联——“En”系列产品

针对企业的传统网络安全体系是否“一刀切”的问题，易安联方案营销总监张英涛在接受安全419采访时表示，企业应用的零信任转型也不需要一刀切，可以按需逐步转换、灰度升级，实现业务不中断割接转型。在不影响员工办公体验的基础上，在轻量化兼容部署和平滑过渡的前提下，保障企业的应用访问安全和终端数据安全。

易安联基于"零信任"安全基本理论，先后发布了EnSDP（零信任安界防护平台）、EnBox（零信任安全工作空间）、EnCASB（零信任云应用安全接入平台）、EnAppGate（统一资源发布系统）、EnIAM（零信任身份管理平台）、EnNTA（零信任网络流量感知平台）6款网络安全产品，实现"云-管-端"一体化应用访问安全保护，保障组织账户、应用、数据传输的安全，企业可按需选择最适合的产品方案。

云山雾隐——端隐SDP产品

据了解，云山雾隐打造的是一种以“5=4+1+N”理念构建的“开箱即用的零信任安全方案”，提供基于“身份-设备-数据-应用”的访问会话全链路权限管控，在全方位提升企业网络安全能力及安全管理效率的同时，降低企业的实施成本和员工的使用成本。

云山雾隐团队提出的零信任解决方案产品“端隐SDP”，以软件定义安全边界的方式实现零信任。端隐SDP私有化部署，应用内部数据全程多层加密，在保障访问安全的同时保证内部数据不外露，帮助企业解决内部风险管控问题。

参考资料：

END

✦

推荐阅读

✦

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送