用零信任重构数据安全：长扬科技参与撰写的《零信任数据安全白皮书》发布

　　2023年8月25日,中国通信标准化协会、中国信息通信研究院联合主办的“2023首届SecGo云和软件安全大会”在京举办。大会上,零信任产业标准工作组和云计算开源产业联盟零信任实验室联合发布《零信任数据安全白皮书》。

　　长扬科技作为专注于工业互联网安全、工控网络安全和工业互联网+安全生产的国家高新技术企业,深度参与了该白皮书的编撰并为《零信任数据安全白皮书》作序。

　　“数据资产作为数字时代的“石油”。在确保数据安全的前提下,合理利用数据资源,挖掘数据价值已经成为全球共识。把数据管的太紧,会形成数字鸿沟;管的太松,数据又容易被滥用,数据权益所有者的权益频频遭到侵害。

　　零信任产业标准工作组和云计算开源产业联盟零信任实验室编写的《零信任数据安全白皮书》,紧跟国内外前沿数据安全前沿需求和技术,通过零信任的先进理念,采用强制实施数据访问控制、身份认证与数字沙箱隔离、数据加密、环境感知资源访问动态授权技术措施来融合保障网络安全和数据安全,白皮书总结了多个行业数据安全的相关问题和在零信任解决方案下的应对之法,既满足合规需要、又满足网络和数据技术发展要素的实践经验,为行业从业者提供了有价值的参考。”

　　—— 汪义舟 长扬科技(北京)股份有限公司副总裁

　　当下,数据已经成为与土地、劳动力、资本、技术并重的第五大生产要素,随着数据要素市场的发展,数据安全面临着诸多严峻挑战。数据资产泄露事件逐年增多,危害持续增大,甚至已经形成了一条黑色产业链。

　　近年来,我国陆续发布了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等一系列关于数据安全的法律法规,为保护国家关键数据资源和个人信息数据安全提供了法律依据。发展数据要素市场是国家重要战略部署,保障数据安全是筑牢数字化转型发展安全底座的重大主线。企业只有紧跟政策,持续完善数据安全体系建设,才能在数字化转型浪潮中保持竞争力,为持续发展奠定坚实基础。

　　01

　　零信任:实现数据安全目标的优秀思路

　　《零信任数据安全白皮书》提到,如果把数据安全防护作为目标,那么零信任是实现数据安全目标的一种优秀思路。

　　《零信任数据安全白皮书》循序渐进,深入浅出地阐述了零信任应对数据安全法律合规、数据泄露等数据安全挑战的解决之道,并从“数据安全面临的严峻挑战”、“零信任的定义和应用场景”、“零信任应对数据安全之道”、“零信任应用于数据安全合规”、“零信任应用于数据安全攻防”和“零信任数据安全应用需求场景”六个方面详细展开。

　　零信任数据安全解决方案可面向各类数据,在数据生命周期多个过程以及数据保护各阶段,如服务端侧及终端侧数据安全保护、数据安全访问控制和数据传输通道安全保护等,全面支撑和保障数据安全。

　　其中,《零信任数据安全白皮书》指出零信任应对数据安全风险的关键点为:

　　1 数据访问权限最小授权

　　2 数据访问权限动态决策

　　3 数据传输加密

　　4 数据资源隐藏

　　5 数据资源隔离

　　02

　　数据权限管控:零信任解决方案的核心特色

　　数据生命周期每个阶段都需要不同防护手段,但数据权限管控贯穿了整个生命周期。

　　权限管控定义了访问、处理及交换数据的前提条件,是整个数据安全解决方案的核心。当下工业互联网安全垂直领域AI大模型如火如荼,如何对AI进行数据权限管控,成为AI数据安全重点。而零信任数据安全解决方案的主要特色恰恰在于数据权限管控,并可以基于身份和数据属性进行细粒度授权。

　　此外,零信任系统还可与数据库防火墙、数据泄密防护、数据库审计、数据态势感知等各类安全产品结合,实现数据整个生命周期的统一身份认证、统一权限管控和统一安全审计。

　　作为《零信任数据安全白皮书》的编撰者及推荐者,长扬科技打造了“数据安全咨询规划—数据安全场景化治理防护—智能化数据安全运营”三位一体的数据安全全生命周期整体解决方案,通过“产品+服务”服务模式,助力企业数据安全治理与防护能力建设。

　　长扬数据安全防治理念简要概括为:“合规咨询+技管结合” ,数据分类分级,以零信任为基础架构,以安全操作系统为基座,以数据安全全生命周期运营为目标,实现数据的可用不可见、可用不可取,激活数据潜能,释放数据价值。

全链条的数据安全合规治理咨询

　　长扬科技零信任访问控制系统是零信任数据安全架构的核心,负责结合用户和资源属性信息,制定管控策略,下发管控指令以及对接各类策略执行点,如终端沙箱、DLP、数盾等数据安全产品。

　　长扬科技零信任数据安全架构基于最小授权原则,通过数据安全网关,实现数据库及API级数据管控,在数据资源隐藏、数据资源隔离及加密等关键方面表现优秀,同时支持对接智能安全运营平台,实现UEBA、流量威胁检测等风险关联分析、多源信任评估及自适应动态访问控制,实现数据全生命周期安全运营。

零信任数据安全架构

　　随着零信任和AI技术不断发展,零信任在数据安全领域的应用将变得更加成熟和广泛。长扬科技参与此次《零信任数据安全白皮书》的内容撰写工作,不仅是对长扬科技在零信任领域专业能力的认可,同时也展示了公司在行业标准建设方面的领先地位。截至目前,长扬科技牵头和参与制定/修订网络安全国家标准、行业标准及团体标准百余项,参与标准研究项目或技术白皮书20余项。

　　未来,长扬科技将投入更多资源和精力,持续深耕零信任数据安全技术,为用户提供更优质的解决方案和最佳实践,以安全协同和AI赋能为客户数字化发展提供强大支持,共同构建可信数字环境,实现数据安全、可靠和可持续运营。