构建零信任数据动态授权能力的关键步骤.

构建零信任数据动态授权能力的关键举措

(一) 基于数据安全治理成果，构建数据视图

1. 数据分类分级

Gartner 将数据安全治理（DSG）定义为“信息治理的一个子集， 基于良好定义的数据策略和流程对企业数据（结构化数据库和基于文 件的非结构化数据）进行保护”，数据分级分类工作是数据安全治理 的首要和基础工作。组织有哪些敏感数据？谁在使用这些数据？这些 数据存储在哪里？如何描述这些数据，组织需要对其数据资产有完整的视图。需要通过数据分级分类活动的成果，为客体资源的库、表以 及字段等要素打上标签，厘清数据资源的属性，建立客体数据资源目 录，并汇聚关联各类数据属性生成数据视图，逐步丰富对数据资产的 全局认知，这是数据动态授权体系建设的基础。

元数据管理及数据视图

数据分级分类标签一般以元数据的方式进行存储和管理。不同
的业务系统、数据系统可能存在多份元数据，或者说存在多个不一致 的元数据孤岛，这样无法基于一个统一的视图梳理组织级的数据访问 策略。需要基于企业的各种元数据形成统一的数据视图，这是数据资 产管理的重要基础，更是数据动态授权体系构建的数据基础，统一而 完备的数据访问策略必须基于高质量的、整合的数据视图进行规划、 实施与控制。

元数据管理及数据视图构建，关键活动包括：定义企业元数据管 理要求、开发和维护企业元数据标准、建设元数据管理工具平台支撑 数据分级分类活动、整合元数据形成数据视图、基于数据视图制定数 据访问策略、持续的元数据跟踪和分析（血缘分析、影响分析、数据 地图等）。

如图 4 所示，通过数据视图，用以驱动企业的数据动态访问策 略，持续地跟踪和分析元数据，元数据一旦变更，驱动访问策略就会 动态调整，这样就将数据安全治理活动与零信任数据动态授权体系有 机结合起来。

图 4.数据视图整体架构

(二) 构建身份视图，明晰数据访问上下文

基于数据安全治理成果构建数据视图，便于组织对数据建立更 全面的认知，也是制定数据访问安全预期和策略的依据。在此基础上， 还需要进行主体身份治理，构建身份视图，对组织范围内的人员、设 备、终端应用等主体进行细致刻画，基于全面的身份视图数据和属性， 丰富访问上下文数据，从而更精准地对主体信任进行评估，更精准地 对数据访问安全预期进行技术控制，从而真正实现对数据的精准访问 控制。

1. 构建主体信任，需要丰富的上下文数据 主体信任本质上是解决“是什么部门的什么人、在什么地方、因为什么任务、访问什么数据里的什么字段”的基本问题。实现这一目 标的最佳方法，是为数据访问添加用户、数据、意图上下文，即将用 户身份、数据类型、访问意图的信息关联起来。这些类型的上下文，通常存在于多个系统中。如组织的身份系统提供有关人员及其群体的 信息；数据目录和主数据管理系统包含有关数据集及其业务上下文的 信息；数据存储维护与访问相关的日志；数据库权限则上下文化授权 访问。假设某个用户通过某台设备正在尝试访问财务数据，需要足够 多的上下文信息才能判断这是员工的合法访问还是潜在威胁。这名员 工是什么岗位的，近期有无任务安排需要访问这个数据，当前的接入 网络是来自国内还是海外，设备是否是在册的，设备的健康度是否合 规，这些信息都是这次数据访问的上下文，上下文越丰富，对访问请 求的决策就会越精准。

所以问题不在于缺乏信息，而是缺乏上下文，因此需要汇聚来自 各个领域的信息，以便生成正确的上下文。基于零信任策略持续的评 估业务访问环境的上下文，评估信任，并基于信任授予数据访问权限， 将零信任策略付诸实践，意味着组织需要管理好制定策略条件所依赖 的各种信息及其上下文关联，并在所有的业务场景中始终如一地运用， 这就需要统一的上下文视图。定义上下文，为企业构建身份、设备、 应用等实体的全局身份视图，跨领域的共享信息，是构建零信任动态 访问控制策略的关键一步……

1. 身份视图：人、设备、应用的数字身份化及整体视图 统一的身份、设备、应用等实体视图，包括了身份、设备、应用

的所有信息，如图 5 所示，身份视图具有如下特性：拥有所有的实体 身份，无论它们存储在何处或如何存储；构建来自每个身份存储库和 信息源的所有实体的全局列表；拥有身份实体唯一标识，将正确的身份与正确的标识符关联到正确的应用程序，以获取并关联身份实体信 息；拥有丰富的身份上下文，拥有全局关联信息，并且可以知晓身份 实体之间的关系，身份、对象等之间的关系；身份实体可持续完善并 扩展，通过建模和多源数据汇聚手段，持续构建新的身份实体模型或 扩展已有身份实体的信息。

图 5.身份视图整体架构

(三) 构建以资源为中心的统一策略管控体系

1. 基于数据视图、身份视图和环境因子构建动态访问策略 经典的访问控制策略都基于主体、客体进行构建，控制主体对客

体的操作。主体是试图对客体执行操作的参与者。客体是一种需要防 止未经授权使用的资源。操作是主体可能对对象执行的任何动作，不 同的操作可能与不同类型的对象相关。所谓的权限是用户对指定对象执行某种操作的集合。在数据访问场景中，主体可以是用户或应用程 序。资源可以是不同类型和不同粒度，例如数据库、表、列等。在这 些资源的上下文中，相关操作对应于数据库的各类访问，例如创建、 读取、更新和删除。最简单的数据访问模型可以用访问控制列表来标 识，指定每个主体的权限清单。其代表访问控制模型：RBAC 基于角 色的访问控制，可以定义与开发人员、会计人员、HR 人员、数据分 析师等相对应的角色，赋予每个这样的角色适当的权限。

以每个用户为基础维护访问控制列表对于用户数量较少的场景下 是可信的，但是随着主体和资源数量的增加，将变得难以管理。如： 大多数组织的数据保存在多个数据库中，本地和云中，不同类型的数 据库，如关系、NoSQL 和数据仓库，每个数据库都有自己的访问控制 模型和策略。新的应用不断添加，现有应用不断变化，导致数据库中 不断创建更新的资源，很难确保这些资源任何时候都由正确的访问控 制策略所覆盖。本质上来说，RBAC 还是主要基于静态信息来控制访 问决策，并且容易形成策略孤岛，这对于当今动态的数据访问坏境是 远远不够的，在零信任架构下，推荐采用 基于属性的访问控制- ABAC），通过各种动态属性来进行策略决策。

设 备状态
安全角色 资源级 别 会计 机密用户 资源

图 6. 基于属性的访问权限决策

这些属性来源于主体视图、资源视图和各种环境属性，比如：用 户的岗位、组织单位，用户当前的工作任务，发出访问请求的 IP 地 址和地理位置，请求设备的属性（例如，该设备是公司签发的还是用 户自有的设备，以及其当前的设备安全状况），用户的历史行为等。 依赖于丰富的上下文信息，利用数据视图、身份视图及环境条件，根 据安全策略和业务要求构建动态的访问策略，属性发生变化，则权限 也会动态调整。

2. 数据脱敏策略 针对数据访问场景，不仅仅要控制访问权限，还需要进一步地为

数据脱敏制定策略，在用户访问信息或数据流转时实时更改信息，任 何未授权用户访问的数据都是被屏蔽的数据，实现数据的可用不可见。 基于各种属性制定不同数据集的脱敏策略，作为数据访问策略的补充， 是实现动态授权策略的一项重要能力。

3. 行过滤策略

行过滤策略主要解决业务合规性问题，对数据进行记录级别的

隔离，比如，限制某些用户查看数据的特定行；限制用户将具有特定 值的新行插入到表中，例如，阻止销售经理为他们不负责的地区插入 交易；限制用户根据某些过滤器对存储的数据进行修改（例如：阻止 一个团队删除其他团队的记录）。对数据访问进行行级安全控制是一 项重要的能力，确保数据管理者能够根据条件对用户的数据访问实施 更细粒度的限制，允许他们查看数据的特定行，而不必限制对特定数 据表的整体访问，或者必须为其创建临时视图或存储过程。

4. 基于任务和事由的权限策略 传统的访问控制模型所述的主体和客体，在实际业务场景下表

征的是数据的请求方和数据的提供方。在数据访问场景下，还需要考 虑数据的授权方，授权方的意图在策略上应显性体现。事实上，对数 据做精细化访问控制时，以最小化权限为准则，而最小权限很大程度 上取决于授权方的授权，比如，访问的事由、访问所关键的任务等。 只有得到授权方明确许可的事由和任务背景下，才能访问数据。在策 略管控维度，需要基于任务和事由进行策略制定和控制，充分体现管 理意图。在技术模型维度，可以将任务和事由作为主体、客体的标签 或属性进行管理，做权限判定时，需要明确控制主体只有执行任务时， 才能访问才任务相关的数据。

5. 零信任动态策略和数据业务平台的内生聚合 零信任数据访问策略需要通过策略执行点才能应用到数据业务场景，实现数据访问策略和数据业务平台之间的内生聚合。在数据访 问场景，典型的策略执行点可以考虑如下三类：一是和数据中台进行 聚合，在规划数据业务时，同步进行安全规划，形成数据中台的安全 规范，通过联动和集成，将动态策略的执行逻辑嵌入到数据中台中实 现。二是通过 API 网关进行聚合，很多场景，数据通过 API 服务对外 开放，API 网关对数据内容进行解析，和动态策略平台联动实现数据 的动态访问控制。三是通过数据过滤网关或插件进行聚合，对数据库 的访问进行拦截，解析数据查询语句，并和动态策略平台联动，实现 数据的动态访问控制。

(四) 持续的信任评估与策略治理

数据访问活动是动态的，需要通过对数据访问活动持续监控确 保访问合规性，对访问主体进行持续感知和分析实现持续信任评估， 对权限进行挖掘并结合访问申请与审批等治理活动，实现策略优化。 首先通过访问合规性分析对可执行的业务规则和控制进行评估，通过 监控访问行为维护数据的完整性及业务安全；其次通过对多源数据分 析，包括了身份分析、行为分析等，实现对每一次访问行为的信任评 估，包括终端安全情况、用户行为信息等，终端、用户行为等若存在 安全风险，信任评估结果将无法满足访问控制要求，不被授予访问资 源的权限或终止权限，倒逼相关人员提升安全意识，保证访问终端的 安全性以及访问合法性；最后访问策略的有效运行离开不开各类上下 文属性的支撑，为主体进行画像，为正常活动生成基线；根据组织内 部的正常活动模式检测威胁，挖掘异常主体、行为属性；关联威胁情报或通过分析发现常见威胁模型无法捕获的独特恶意活动，生成威胁 相关标签属性。对主体、资源、行为属性的持续挖掘与运营，分析所 有数据端点的聚合活动信息，落实持续信任评估和策略治理，提供更 安全的访问保障。

参考资料

2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南