奇安信数据安全五大桔皮书：从全局视角分享体系化防护思路本文转自：新华日报“特权账

本文转自：新华日报
“特权账号成攻击者首要目标”“内部威胁成数据泄露第二大原因”“API或将成为2022年数字化业务最常见攻击媒介”“兼顾合规与业务的隐私合规建设无从下手”“数据安全感知难”……面对数据安全建设的种种难题， 1月17日，奇安信集团发布《特权账号安全能力建设桔皮书》、《零信任数据动态授权能力建设桔皮书》、《API安全能力建设桔皮书》、《个人信息保护合规建设桔皮书》和《数据安全态势感知运营中心建设桔皮书》五项报告（以下各报告简称《桔皮书》）。
上述报告以数据安全态势感知运营中心建设为核心，涵盖特权账号安全能力建设、零信任数据动态授权能力建设、API安全能力建设和个人信息保护合规建设四个重点方面。报告围绕数据安全各领域现状、风险，分享研究成果与创新探索，配合“数据卫士套件” ，以期为政企组织数据安全建设提供参考和借鉴。
建设重点之一：守好核心数据资产关键之门
特权账号作为直接接触组织关键IT资产和数据资源的入口，是通往企业数据大门的“钥匙” ，但目前国内对特权账号安全的认识仍处于早期阶段。特权账号分布散、数量多、权限大、风险高，内部特权滥用问题难以解决，特权账号成为攻防演练中最大的弱点……日益复杂的IT环境和不断增多的人机交互催生特权账号管理新需求，种种因素推动政企组织需要建立一套行之有效的特权账号安全管理生态系统，以减轻内部和外部威胁。
对此，《桔皮书》强调特权账号安全建设方案应四步走：特权安全风险评估，特权访问治理与控制，特权行为记录与审计和持续改进。政企组织应重视特权账号的管理，通过管理机制和技术能力并重，将特权账号的管理与组织的流程对接，重塑特权账号管理机制，以实现数据与流程的联动，完善特权访问管理的流程。
建设重点之二：构建零信任动态授权能力
“攻击目标从网络转向数据、远程办公带来数据泄露风险、边界弱化和数据流动性增加风险暴露面……”当前，我国正处于“十四五”规划实施阶段，数据成为重要生产要素。可以预见到，未来数据流转情况将更加开放，业务生态将更加复杂，参与数据处理的角色将更多元，系统、业务、组织边界将进一步模糊。

文章图片

文章图片

图：将“零信任架构”和“数据安全防护体系”相结合
如何在日趋多元化、复杂化的背景下守好数据安全？这就需要基于零信任思路构建数据安全防护体系，在“一中心两体系”（即网络安全态势感知与管控中心、网络安全防护体系以及零信任动态授权体系）框架下构建数据动态授权能力。《桔皮书》重点介绍了构建零信任数据动态授权能力的几个关键举措：基于数据安全治理成果，构建数据视图；构建身份视图，明晰数据访问上下文；构建以资源为中心的统一策略管控体系；持续的信任评估与策略治理。
建设重点之三：防住数据交互重要关口
公开数据统计，截至目前，全球有2000万以上的开发者、超过百亿的API 。API是所有数据交互的关口，同时也是企业核心的数字资产，是企业数据、服务输出和获取的唯一渠道。随着API应用场景越来越广泛，近两年来因其导致的数据泄露事件频频发生， API的爆发式增长催生新的安全挑战。