持安参与撰写！工信部公告又一零信任行业标准正式发布

中国信通院于2021年开始牵头制定“面向云计算的零信任体系”系列标准，同年启动“零信任数据保护能力”标准编制工作，在标准制定的过程中汇集了包括持安科技在内的云用户、云厂商、安全厂商的专家建议与实践经验，齐聚行业智慧完成了标准的制定，本系列标准的正式执行，对于推动我国零信任产业有序发展、提升零信任厂商产品服务质量、降低企业零信任部署成本有着重要意义。

零信任数据保护能力是“面向云计算的零信任体系”系列标准的第四部分，目的在于规范云环境下数据保护产品的能力要求，为基于零信任理念进行数据最小化授权和保护提供支撑，总体架构如下图，零信任理念要求对数据访问进行最小化授权和保护，在面向云计算的零信任体系中，需依托多项数据保护工具与零信任逻辑组件协同，以实现数据零信任访问。

数据作为驱动数字经济的关键要素，其安全防护的重要性不言而喻，数据在广泛释放价值的同时，也面临着被泄露、篡改、破坏，滥用的巨大威胁。在当今企业复杂办公环境下，企业数据安全建设面临挑战：

传统数据安全在终端侧以DLP为主解决数据外发问题，服务侧以数据流量监控、数据库审计、数据分类分级和数据加密以及脱敏为主要手段。但数据安全事件中，大多数的数据风险是人的因素导致，比如黑客利用应用系统漏洞获取敏感数据，内部员工利用权限过大获取数据，这些风险大多集中在人对数据访问过程造成的风险，传统数据安全难以解决此类风险，因此如何解决人对数据访问的安全风险已经迫在眉睫。

而零信任SDP方案是基于边界隔离的防护思想，通过网络隔离来阻止攻击者进入网络。但其不足是，攻击者一旦建立进入网络通道后，则无法防范其对应用层的攻击和数据的窃取。而实际上零信任应是站在应用角度，通过人对应用的访问构建零信任，则解决更多的安全风险。目前，谷歌、微软等海外企业也在使用这样的方式帮助企业防范各类攻击。

持安科技的零信任数据安全网关是基于Google Beyondcorp 架构所构建的，创新性地以业务⾝份对业务系统接入，采用零信任实时上下⽂的动态决策引擎，将零信任能力深入至应用和数据，实现了对应用和数据的安全管控闭环。

持安零信任数据安全网关架构

该架构主要有以下特点：

1. 应用零风险防护：基于零信任先验证再访问和实时决策能力，可实现对应用的0day访问和未知风险防护能力；

2. 动态数据访问策略：通过对人的业务身份结合零信任动态策略，实现对数据的获取下载行为的动态管控能力；

3. 精准行为审计：精准还原人的每一步操作和敏感数据获取行为，实现可信任的审计结论；

4. 风险动态脱敏：基于人员的行为风险，使用零信任动态策略来根据风险和场景进行数据的脱敏，可还原脱敏能力，解决传统静态脱敏弊端；

5. 数据泄露溯源：可以根据多重维度精准溯源数据的泄露和溯源，帮助安全人员定位数据泄露的源头和传播路径，尽可能减少损失；

6. 零改造成本：业务无需改造，接入即安全、即合规，让安全助力业务。

通过该架构可以有效地解决传统数据安全和攻防对抗存在的难点，解决核心人员访问所带来的安全和数据风险，实现了只有可信的人员，在可信环境下，对可信应用和数据进行访问，有效将安全前置化，消除核心风险。

持安零信任数据安全产品可在全行业、全场景落地，目前已经在互联网、金融、游戏、消费、能源、科技、高端制造等领域落地，为企业筑牢数据安全防线，保障员工以高效、无感知的方式随时随地安全办公。

持安科技在零信任领域的技术实力、解决方案落地能力也受到了业界的高度认可，多次入选国际权威IT咨询和研究机构GartnerZTNA领域相关报告，并被评为“ZTNA代表厂商”，多款零信任产品方案荣获中国信通院“安全守卫者计划优秀案例奖、中国信通院零信任最佳案例奖、CSA安全金盾奖等奖项。

在不断提升企业技术创新能力及方案落地实力的同时，公司积极将自身的技术优势和实践经验有效输出，参与多项零信任标准与报告的撰写，参与零信任安全领域活动分享等，先后参与编纂中国信通院《面向云计算的零信任体系》系列标准、零信任产业标准工作组《T/CESA1165-2021零信任系统技术规范》《零信任数据安全白皮书》、中国信通院《零信任发展洞察报告》、《勒索软件防护发展报告》等。

梦虽遥，追则能达；愿虽艰，持则可圆。未来，持安科技将在不断精进自身产品技术创新力及方案落地能力的同时，积极参与零信任理念的标准与研究工作的开展，为行业输出有价值的网络安全理念，推动整个行业健康快速、高效发展。