以构建横向覆盖应用，纵向叠加安全的数据流动安全底座，助力数据要素价值释放

“数据要素+”时代，数据安全面临新挑战

作为新型生产资源，数据不仅在组织内部流动赋能，还在不同主体间流转运营，形成内外部流动的双循环模式，由于数据价值提升、流动性加强、防护边界模糊，以及数据自身海量无序、类型繁杂、场景多样等复杂因素的影响，传统以边界防护为主的网络安全手段已经难以应对内外“双循环”的数据流动场景，“应用规模大、漏洞补不完，访问人员多、行为不可控，外部形势复杂、攻击实时有”，等三大挑战带来的数据泄露、数据滥用、数据窃取等安全风险，导致防而无效、防护过度、防不胜防、防而不实，造成数据安全形势日渐复杂亟待改善。

以数据合法利用为目标，统筹多方诉求

中孚以零信任为理念，强隔离、高隐身、细管控为思路，融合数据流动多方安全诉求，面向“云网数用端”多维覆盖，协助用户完善四个基石建设，构建数据流动安全底座，实现终端隔离威胁进不来、业务隐身漏洞找不到、攻击检测（诱捕）违规走不脱、安全管控数据拿不走、监测预警风险漏不掉五类能力，夯实数据安全治理体系建设。

一是安全访问基石。突破访问束缚，实现无论何时何地均可安全访问内部服务，使用敏感数据。

二是出口边界基石。收缩边界出口，实现纵向隐身业务访问端口，横向隔离业务间的无序依赖。

三是安全通道基石。完善隔离通道，实现公有云、私有云SaaS服务访问“立体”交叉通道，同时满足安全与办公效率。

四是数据链路基石。确保“云网数用端人” 全链路访问安全，满足高风险场景下数据处理、存储、传输安全。

能力一：终端环境强隔离，保障数据安全“最后一公里”

中孚以终端安全沙箱为抓手对终端运行环境实现网络隔离、会话隔离、数据隔离三重隔离，在不安全环境下构建安全工作环境。

🔹网络隔离：在工作区和个人生活区建立独立的网络访问控制策略，分区进行网络权限控制。

🔹会话隔离：工作区和个人生活区分别拥有独立会话桌面，安全隔离彻底，业务兼容性高。

🔹数据隔离：工作区数据加密存储，个人生活区无法访问。

能力二：以终端沙箱为靶向，构建主动防御能力，实现攻击行为与违规行为的诱捕与发现

针对恶意攻击者已获取个人终端最高用户权限、支配权或用户以合法身份进入沙箱内部的场景，通过网络桥接检测、跨会话访问检测、外设访问检测、内存注入检测、磁盘加载检测，从网络、应用、缓存、存储多层面构筑主动防护能力，实现对内部人员违规及恶意攻击行为的发现与诱捕。

能力三：网络与边界侧构建传输链路加密及关键业务高隐身能力，确保暴露面可管可控

以终端安全沙箱组合零信任安全网关，构建可信网络传输通道。融合零信任理念，在双向身份验证的基础上，采取单包认证技术，打造自适应的访问策略、用户鉴别和最小化授权机制，所有业务应用都对未授权访问完全隐身，减少应用系统暴露面，确保暴露面可管可控，保障数据在传输过程中的安全性、完整性。

能力四：应用与数据侧构建细粒度数据安全治理与防护能力，确保数据有效防护及合法利用

从数据安全治理角度出发，在数据与应用侧着手，动静结合，在提供基础防护能力的基础上，结合业务应用，打造细粒度的安全防护能力。

🔹以分类分级为抓手，落实数据安全基本制度

通过数据资产梳理、分类分级、风险评估的一体化工具能力，实现对数据资产的全面核查，实现心中有数，落实数据安全基本制度。

🔹核查“跑冒滴漏”风险，保障数据合法利用

通过多级多模型的接口调用风险监测，实现对违规二次封装、账号混用冒用、数据回流违规落盘、隐蔽攻击窃取等风险的发现。

🔹通过多重数据安全能力，确保数据有效保护

提供脱敏、加密、数据库审计等数据有效防护基础能力。

能力五：管理侧构建数据安全监测预警能力，实现一点违规，全网响应

构建数据安全监测预警平台，纳管已有安全设备，构建多维数据安全风险模型，定义敏感数据特征，对数据全生命周期交互进行监测和告警，并对处置和整改后的情况进行复查，形成重要数据持续常态化的闭环监测工作。

应用场景适配

场景一：工作秘密信息防护

以工作秘密跨网数据混合使用为场景，基于政务外网/互联网/专网混合办公场景，终端作为工作秘密数据的重要存储介质在多网混合访问、大量数据混合存储下，常态面临互联网直接攻击、终端被控、数据泄露等安全问题，且作为重要的工作秘密数据的存储介质，往往终端存在自身“主动防御”能力不足的难题。

中孚以“端到端”的防护体系为建设思考，基于终端接入人员鉴别（谁）、终端工作秘密计算隔离环境建设（通过什么设备）、工作秘密数据传输（什么网络）、数据标识流转管控（对什么数据进行了什么操作）、工作秘密数据流转统一监测完善工作秘密信息防护能力；实现终端工作秘密数据与个人生活数据落盘隔离加密存储能力，解决终端被控状态下，重要数据泄露的问题；实现终端侧基于数据标识的工作秘密流转管控能力，解决终端侧非授权、超范围数据滥用的问题；实现工作秘密数据存储、数据使用、数据共享全过程的融合安全风险监测能力，解决工作秘密全链条流动风险无法全面感知的难题。

场景二：数据安全流动监测预警

以重要数据共享流动为主要场景化思考，围绕重要数据接口数据共享识别不清、备案不完整、全链路监测覆盖不全造成的“僵尸API”数据泄露、“影子账号”数据滥用、“重要数据”API接口二次封装违规使用”等安全风险问题。

中孚以“重要数据不泄露”为总体目标，通过建设全链路API审计监测组件、数据安全态势感知平台，实现全量API接口识别与梳理；基于全链路数据分类分级、自动化API资产发现、基于上下文内容识别、无监督学习算法、内容相似算法等，解决API接口全链路接口识别难题，梳理形成合规API接口清单，对未备案使用的接口及时发现并告警；基于数据内容识别，发现并监测重要数据违规共享滥用的风险；基于上下文关联分析、内容相似性算法识别违规的接口二次封装风险；同时根据数据安全态势感知平台构建统一的安全风险监测模型，解决重要数据流转全链路一体化监测统一分析和监测的难题。

场景三：政务外网终端访问防护与主动防御

针对政务外网终端的混合数据使用场景，围绕终端重要/敏感数据，遭受“钓鱼”、“被控”，难以感知、难以主动防御，造成终端重要数据泄露的安全问题。

中孚以人、设备、网络、应用、数据等构建“诱捕式”终端主动防御能力，以端（用户/设备/应用）到端（业务系统/重要数据）的最小数据访问模型，在终端侧基于人员认证信息、链路传输信息、重要数据标识化流转行为信息为基础防护底座，融合数据安全治理对业务场景化数据处理活动的识别及风险识别为依据，在数据安全监测预警平台中收集并分析终端“攻击诱捕”信息和告警，主动预警终端侧存在的前置攻击行为，解决政务外网终端侧“被控无感知”、终端被控造成数据泄露行为难以监测预警的难题。

中孚数据安全流动底座方案以数据多场景流动面临的不同场景化风险为防护设计依据，旨在支撑用户以重要数据混合使用与流转防护为主要防护建设实践，围绕“云网数用端”形成立体化、场景化防护能力。