8月25日，中國通信標(biāo)準(zhǔn)化協(xié)會、中國信息通信研究院聯(lián)合主辦的“2023首屆SecGo云和軟件安全大會”在京舉辦。大會上，零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組、云計算開源產(chǎn)業(yè)聯(lián)盟零信任實驗室聯(lián)合發(fā)布《零信任數(shù)據(jù)安全白皮書》（以下簡稱《白皮書》）。

零信任發(fā)展論壇上，零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組秘書長、騰訊標(biāo)準(zhǔn)副總監(jiān)黃超對《白皮書》進(jìn)行了深入解讀，并分享了騰訊零信任iOA在數(shù)據(jù)安全治理中的實踐經(jīng)驗。黃超表示，數(shù)據(jù)安全是零信任理念的深度應(yīng)用，企業(yè)可以從基礎(chǔ)的網(wǎng)絡(luò)層面、到接近業(yè)務(wù)的應(yīng)用層面、最終再到業(yè)務(wù)數(shù)據(jù)層面，實現(xiàn)以數(shù)據(jù)為最小顆粒度的零信任。

（零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組秘書長、騰訊標(biāo)準(zhǔn)副總監(jiān)黃超）

數(shù)據(jù)安全外延擴(kuò)展，企業(yè)數(shù)據(jù)安全治理面臨多重挑戰(zhàn)

隨著數(shù)據(jù)逐漸成為企業(yè)核心資產(chǎn)之一，保障數(shù)據(jù)安全成為重中之重?！栋灼分赋?，當(dāng)前，數(shù)據(jù)安全已成為數(shù)字經(jīng)濟(jì)時代最緊迫和最基礎(chǔ)的安全問題。由于數(shù)字技術(shù)促使數(shù)據(jù)應(yīng)用的場景和參與主體日益多樣化，數(shù)據(jù)安全的外延不斷擴(kuò)展，數(shù)據(jù)安全治理面臨多重困境。

首先是合規(guī)挑戰(zhàn)。國家高度重視數(shù)據(jù)安全的頂層設(shè)計，在相繼發(fā)布的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》（2015）、《科學(xué)數(shù)據(jù)管理辦法》（2018）、《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》（2020）以及“十四五”規(guī)劃（2021）等政策中，均提出應(yīng)把保障數(shù)據(jù)安全放在突出位置的重要思想。同時，《數(shù)據(jù)安全法》等法律法規(guī)不斷出臺落地，對數(shù)據(jù)安全管理提出了新的要求，企業(yè)做好數(shù)據(jù)安全工作面臨著較大的合規(guī)壓力。

其次是攻防風(fēng)險。企業(yè)在運營過程中的數(shù)據(jù)，會面臨黑客竊取和內(nèi)部泄密的雙重風(fēng)險。傳統(tǒng)數(shù)據(jù)安全防護(hù)是基于網(wǎng)絡(luò)邊界的安全防護(hù)模型抵御外部黑客的攻擊，對內(nèi)部人員攻擊和誤操作缺乏有效的監(jiān)控手段，經(jīng)統(tǒng)計發(fā)現(xiàn)數(shù)據(jù)泄露事件中無論是有意泄露還是無意泄露，內(nèi)部人員占到了 60% 以上。因此，想要建立完善的數(shù)據(jù)安全防護(hù)體系，只依靠傳統(tǒng)安全防護(hù)理念是遠(yuǎn)遠(yuǎn)不夠的。

此外，業(yè)務(wù)發(fā)展與安全的平衡性面臨挑戰(zhàn)。數(shù)據(jù)的訪問分析、流通共享、再加工成為業(yè)務(wù)和價值創(chuàng)造的新機(jī)會，數(shù)據(jù)成為生產(chǎn)要素，疫情催生辦公云化新場景，企業(yè)的業(yè)務(wù)開展受限于遠(yuǎn)程和非企業(yè)管控設(shè)備的接入等多元化需求，如何平衡保護(hù)企業(yè)數(shù)據(jù)的安全訪問和辦公效率將成為新的挑戰(zhàn)。

數(shù)據(jù)全生命周期的全鏈條管控復(fù)雜、數(shù)據(jù)應(yīng)用的場景需求多樣、數(shù)據(jù)訪問的主體不斷增加，動靜態(tài)數(shù)據(jù)的屬性多變，數(shù)據(jù)防泄露、防篡改、防濫用等安全挑戰(zhàn)不斷升級。騰訊安全認(rèn)為，做好數(shù)據(jù)安全保護(hù)工作，我們要力爭做到令數(shù)據(jù)“看不見”（數(shù)據(jù)資產(chǎn)隱藏和隔離）、“看不懂”（數(shù)據(jù)加密）、“環(huán)境安全”（環(huán)境安全加固和安全狀態(tài)感知）、“受控操作”（權(quán)限治理和訪問控制），在數(shù)據(jù)全生命周期的各個環(huán)節(jié)、在數(shù)據(jù)留存的各個位置、在數(shù)據(jù)應(yīng)用的各個場景抓住數(shù)據(jù)訪問管控這個“牛鼻子”。

零信任是實現(xiàn)數(shù)據(jù)安全目標(biāo)的“最優(yōu)解”

《白皮書》提到，如果把數(shù)據(jù)安全防護(hù)作為目標(biāo)，那么零信任是實現(xiàn)數(shù)據(jù)安全目標(biāo)的一種好的思路。零信任在誕生的時候，就摒棄了一些相對滯后、固化的安全思維，強(qiáng)調(diào)以數(shù)據(jù)保護(hù)為中心去思考安全風(fēng)險以及安全機(jī)制的建立。

黃超在演講中提到，零信任可以普適性用于數(shù)據(jù)安全保護(hù)工作?！傲阈湃蔚南嚓P(guān)技術(shù)和解決方案面向各類數(shù)據(jù)對象，在數(shù)據(jù)生命周期的多個過程域、無論數(shù)據(jù)的位置以及數(shù)據(jù)的狀態(tài)，在數(shù)據(jù)保護(hù)的各個階段，全面支撐和保障著數(shù)據(jù)安全?！?

具體來說，零信任理念應(yīng)對數(shù)據(jù)安全風(fēng)險有四個關(guān)鍵點：

數(shù)據(jù)訪問權(quán)限最小授權(quán)：訪問主體對數(shù)據(jù)資源的訪問都要經(jīng)過身份認(rèn)證和授權(quán)，且權(quán)限分配遵循最小權(quán)限原則；

數(shù)據(jù)訪問權(quán)限動態(tài)決策：對訪問過程中的關(guān)鍵對象、訪問權(quán)限、上下文環(huán)境安全狀態(tài)因素，進(jìn)行持續(xù)采集和風(fēng)險判斷，進(jìn)行授權(quán)訪問或者實時阻斷；

數(shù)據(jù)傳輸加密：在訪問主體在向數(shù)據(jù)資源發(fā)起訪問請求時，必須通過雙向的交互驗證，實現(xiàn)端到端的加密；

數(shù)據(jù)資源隱藏隔離：數(shù)據(jù)資產(chǎn)對于未經(jīng)認(rèn)證的訪問主體不可見；隔離訪問主體與數(shù)據(jù)資源以及應(yīng)用數(shù)據(jù)資源之間隔離。

零信任作為數(shù)字化背景下的重要安全戰(zhàn)略，給數(shù)據(jù)安全帶來新的變革和機(jī)遇。《白皮書》同時總結(jié)了多個行業(yè)數(shù)據(jù)安全的相關(guān)問題和在零信任解決方案下的應(yīng)對之法，既滿足合規(guī)需要、又滿足網(wǎng)絡(luò)和數(shù)據(jù)技術(shù)發(fā)展要素的實踐經(jīng)驗，為行業(yè)從業(yè)者提供了有價值的參考。

作為《白皮書》的主編者，騰訊是國內(nèi)率先實踐零信任的互聯(lián)網(wǎng)公司之一，2016年便在內(nèi)部上線，騰訊零信任iOA支撐了騰訊全球10W+設(shè)備隨時隨地接入辦公，通過零信任的理念，在全場景、全階段，通過關(guān)鍵技術(shù)手段保障人、行為、設(shè)備的安全，最終保障數(shù)據(jù)安全，實現(xiàn)了安全零事故。

不僅如此，騰訊將 iOA 產(chǎn)品和能力輸出，并推動零信任理念在中國的落地。憑借成熟的產(chǎn)品能力和商業(yè)交付能力，騰訊零信任iOA獲得十幾大行業(yè)數(shù)千家客戶廣泛認(rèn)可，成為了國內(nèi)首個部署終端突破百萬的零信任產(chǎn)品。