64E5

保護(hù)零信任環(huán)境t的數(shù)據(jù)安全實踐提要數(shù)字化催生x務(wù)級安全技術(shù)64E5對內(nèi)部威脅防護(hù)的實踐64E5對E44E數(shù)據(jù)的安全防護(hù)實踐12

3數(shù)字化同時帶來了發(fā)展機(jī)遇和安全挑戰(zhàn)?

企x數(shù)字化推動了x務(wù)效率的快速提升

l

為

企x帶來了巨大利益?

高價值使數(shù)據(jù)成為更加明確的攻擊目標(biāo)

l

重

要數(shù)據(jù)關(guān)乎企x核心x務(wù)風(fēng)險?

一切都可能被入侵&控制?

無法簡單區(qū)分是e好的

f

還是e壞的f

l

單

純的一次性阻斷&允許策略已經(jīng)沒有意義

-,%企x發(fā)生過嚴(yán)重的商x秘密泄露事件內(nèi)部威脅已經(jīng)成為企x的主要安全威脅

.0%

敏感信息泄露事件

來源于e內(nèi)鬼

f?

高價值數(shù)據(jù)在信息系統(tǒng)中流轉(zhuǎn)和共享

l

是剛需?

好人壞人難辨的情況t仍需要依靠信

息系統(tǒng)進(jìn)行x務(wù)發(fā)展?

傳統(tǒng)數(shù)據(jù)安全手段面向文檔文件或數(shù)據(jù)庫

l

要

么脫離x務(wù)含義

l

要么粒度較粗?

面對如今復(fù)雜的多人協(xié)同場景

l

單純的阻斷會

影響x務(wù)效率

l

而允許會造成安全疏漏數(shù)據(jù)使用v保密面臨ey難fl亟待新安全手段解決

VS

X安全策略需要綜合考慮x務(wù)機(jī)會v安全風(fēng)險云和移動化等使得

企xu再擁有物理系統(tǒng)掌控

、

設(shè)備vx務(wù)交互

l同時數(shù)字化x務(wù)的規(guī)模和復(fù)雜度提升l導(dǎo)致傳統(tǒng)手段難以分辨e好壞f完美防御已然失效l

是否信任u再取決于單個向量

l

而是取決于場景的st文

l同時信任v否是動態(tài)的l會隨著x務(wù)場景持續(xù)變化數(shù)字化x務(wù)的風(fēng)險v機(jī)會共存l

新一代安全策略必須保持vx務(wù)發(fā)展快速同步

l

并w是自適應(yīng)的

l能結(jié)合x務(wù)價值管理風(fēng)險64DF4主張結(jié)合x務(wù)st文評估風(fēng)險64DF4

核心

要素?

持續(xù)動態(tài)評估?

自適應(yīng)?

?

?

x務(wù)場景豐富化l以提高評估準(zhǔn)確度

?

響應(yīng)和處置安全事件后

l

再將規(guī)則反饋到

防護(hù)產(chǎn)品的安全策略集風(fēng)險v信任

?

動態(tài)灰度名單取代了傳統(tǒng)的靜態(tài)黑白名單評估

?

基于st文

l評估引擎計算

DTsU

ENorP

?

st文u僅有<F基礎(chǔ)設(shè)施st文l更重要

的是x務(wù)st文64DF4的啟發(fā)?

64DF4響應(yīng)策略也取決于x務(wù)機(jī)會lv其失去

x務(wù)機(jī)會l可承受一定風(fēng)險?

對云服務(wù)的安全

l

云訪問64E5是實施64DF4

的主要手段FSrPL^

TX^PVVTRPXNP

IST^PVTs^sHuVXPrLMTVT^c

TX^PVVTRPXNP

5VLNUVTs^s6oWWuXT^c

TX^PVVTRPXNP

DPpu^L^ToX

sPrvTNPs5PSLvTorLV

sTRXL^urPs

HTs^orTNLV

MPSLvTors

8XvTroXWPX^LV

NoX^Pb^HLVuP

oQ

LssP^

8X^PrprTsP

rTsU

^oVPrLXNP

8X^PrprTsP

poVTNcESouVO

^STs

PX^T^c

^LUP^STs

rPquPs^PO

LN^ToXoX

^STs

PX^T^c

RTvPX

^SPNurrPX^

NoX^Pb^#

Wc^rus^

oQ

^SP

PX^T^c

LXOWc

^oVPrLXNP

Qor

rTsU2l

l

l

l

l

l

l

l

5VoNU&BrPvPX^4sU

Qor

WorP

NoX^Pb^4VVoa4VVoa

LXO

VoR4VVoa

LXO

LuOT^4VVoa

LXO

TsoVL^P4VVoa

LXO

^Sro^^VP7PNPTvP

*

源

自

GLr^XPr

6oX^TXuous

rTsU

LXO

^rus^

PXRTXP

6oX^TXuous

LOLp^TvP

rTsU

LXO

^rus^

LssPssWPX^（持續(xù)自適應(yīng)風(fēng)險v信任評估

k數(shù)據(jù)在信息化系統(tǒng)中的u同層次持續(xù)流轉(zhuǎn)基礎(chǔ)設(shè)施

數(shù)據(jù)

x務(wù)應(yīng)用A4

5B?

8WLTV

E6?

C?E

BL?

?B?

8DB

?8E

6D?

HD?

軟件平臺

操作系統(tǒng)

l

中間件

l

數(shù)據(jù)庫

l

文件系統(tǒng)

、

存儲系統(tǒng)

lHcpPrvTsor

添加文字

6BG

l

內(nèi)存

l

磁盤

l

網(wǎng)?

l

光”

l

交換機(jī)數(shù)據(jù)(00d(0000

人

1(00

人

1(0

人個人隱私企x運營產(chǎn)品數(shù)據(jù)物流供應(yīng)企x財務(wù)共贏協(xié)作知識資產(chǎn)經(jīng)營報表核心設(shè)計溝通交流公文流轉(zhuǎn)數(shù)據(jù)查詢客戶關(guān)系數(shù)字化x務(wù)提升了<F的規(guī)模、復(fù)雜度、顆粒度l要求安全控制能力v之匹配l并w安全防護(hù)要vx務(wù)相結(jié)合i企x應(yīng)用64E5數(shù)據(jù)庫云訪問I49GF?7B<4H@G9IEIG加密64E55PcoXO6orp7LBE<8?<7E<BE狀態(tài)HB@防火墻時間軸

內(nèi)容級載荷級

(網(wǎng)絡(luò))<F技術(shù)發(fā)展帶來新威脅

l

推動安全產(chǎn)品向細(xì)粒度演進(jìn)更細(xì)粒度安全控制

x務(wù)級199220072014類型感知范圍請求關(guān)聯(lián)技術(shù)能力功能特點生活舉例x務(wù)結(jié)

合安全產(chǎn)品適用場景x務(wù)級

5usTXPss$LaLrPXPss

<X^Pr$rPquPs^5roUPr委托式安全

代理經(jīng)紀(jì)人64E5云安全&內(nèi)部

威脅防護(hù)低內(nèi)容級載荷級

(網(wǎng)絡(luò))

6oX^PX^$LaLrPXPss

BLcVoLO$LaLrPXPss

<X^rL$

rPquPs^<X^rL$pLr^$

rPquPs^Brobc9TV^Pr轉(zhuǎn)發(fā)式安全

代理封包&替換&

阻斷快遞員

門衛(wèi)7B<&@G9I&

I49&7LB

HB@網(wǎng)關(guān)&<7E&<BE&9I外網(wǎng)管控&互

聯(lián)網(wǎng)安全內(nèi)外網(wǎng)隔離&

內(nèi)網(wǎng)監(jiān)控ex務(wù)感知f的64E5Brobc

無9TV^PrpVL^QorW8XNrcp^

高5usTXPss5roUPr對x務(wù)操作和敏感數(shù)據(jù)的精細(xì)化識別g

近百種應(yīng)用操作

n

數(shù)十

種文件類型

l

多種內(nèi)容

檢測方法st文環(huán)境的持續(xù)采集和還原g

用戶

l

賬戶

l

設(shè)備

l

操

作目標(biāo)

l

x務(wù)含義

l

x

務(wù)關(guān)聯(lián)豐富的安全策略及響應(yīng)動作g

支持加密

、

阻斷

、

隔離

、

水印

、7D?、

阻斷用

戶

、

帶密碼壓縮

、

告警

、

日志等基于x務(wù)st文的細(xì)粒度訪問控制g

關(guān)聯(lián)數(shù)十種主體

、

客體

、

環(huán)境參數(shù)g

基于屬性和角色的訪問

控制數(shù)據(jù)加密和脫敏g

q兆級商用密碼加解密

處理性能g

對字段或文件提供格式

保留加密將數(shù)據(jù)安全和威脅防護(hù)能力作用到持續(xù)變化的x務(wù)場景中(

6orp

4ppVTNL^ToX

EPNurT^c

5roUPr

)

&

(

6VouO

4NNPss

EPNurT^c

5roUPr

)64E5將豐富安全能力施加到x務(wù)級

企x應(yīng)用安全代理云訪問安全代理敵我難分場景一m企x內(nèi)部威脅防護(hù)場景互聯(lián)網(wǎng)Xv外網(wǎng)隔離企xx務(wù)部門企x

<F

部門企x內(nèi)網(wǎng)外包工作區(qū)域?8E

A46D?

8DB

BL?企

x數(shù)據(jù)中

心

E6?敵我難分合規(guī)推演權(quán)限缺口

明文存儲*

.0%

以s的安全事件源于

內(nèi)部威脅v權(quán)限體略l無法被繞過v外網(wǎng)隔離企xx務(wù)部門企x

<F

部門企x內(nèi)網(wǎng)X

互聯(lián)網(wǎng)

外包工作區(qū)域企x應(yīng)用64E5提供以數(shù)據(jù)為抓手的零信任安全架構(gòu)

只有符合權(quán)限的用戶才能訪問

到其應(yīng)該使用的數(shù)據(jù)

l

同時具

備可定責(zé)的防篡改審計E6?

?8E沒有任何人能從應(yīng)用服務(wù)后臺獲取敏感數(shù)據(jù)明文信息企

x數(shù)據(jù)

中心

A4

6D?

8DB

BL?

6TpSPrGL^PaLc實踐m64E5防護(hù)BL?數(shù)據(jù)安全需求規(guī)劃概念設(shè)計詳細(xì)設(shè)計工藝設(shè)計仿真v驗證銷售維修

重用優(yōu)化設(shè)計

迭代

h

%風(fēng)險風(fēng)險處理v回收

風(fēng)險風(fēng)險風(fēng)險風(fēng)險風(fēng)險生產(chǎn)

風(fēng)險測試v驗證

風(fēng)險風(fēng)險售后服務(wù)

風(fēng)險風(fēng)險6G明文文檔密文文檔

%#

p

*4O

QsO-.,K&R,R

4,N4,-#K%*Q

QR^S

#KQRNvN

v%

QRQ*4)&K9R

.9O^.,-QR%R

SR

QRNvNv%BL?服務(wù)器直接從后臺t載的數(shù)模文件無法在設(shè)計軟件中打開直接從后臺結(jié)構(gòu)樹中查看數(shù)模屬性信息也被加密()

為BL?賦予數(shù)據(jù)加密能力

%#

p

*4OQsO-.,K&R,R4,N4,-#K%*QQR^S

#KQRNvN

v%

QRQ*4)&K9R.9O^.,-QR%R

SR

QRNvNv%審計管理員安全保密員

系統(tǒng)管理員

通過維護(hù)命令

接觸后臺數(shù)據(jù)應(yīng)用實施人員

系統(tǒng)管理員直接訪

問后臺數(shù)據(jù)內(nèi)部潛伏敵特6TpSPrGL^PaLc已淪陷的辦公區(qū)交換機(jī)從交換機(jī)s也無法獲取敏感數(shù)據(jù)

BL?服務(wù)器<F運維

、

外包實施

、

管理員

、

內(nèi)部惡意人員

、

被控制主機(jī)

、

特木等人員和手段均無法直接從后臺獲取敏感數(shù)據(jù)明文文檔密文文檔密文文檔密文文檔()

從后臺非法獲取的敏感數(shù)據(jù)只有密文

利用漏洞獲取

敏感數(shù)據(jù)口令m口令m口令m4X^TL/(0)#4X^TL/(0aosST(35LoSu)#35Lo訪問行為異Su6G常&進(jìn)行關(guān)鍵操BL?服務(wù)器再次進(jìn)行強(qiáng)作身份認(rèn)證6TpSPrGL^PaLc會自動將用戶口令替換成復(fù)雜強(qiáng)口令遇到

關(guān)鍵x務(wù)

操作時

l

會要求再次進(jìn)行身份驗證))

杜絕關(guān)鍵操作時身份被冒用系統(tǒng)管理員賬號被竊取

l

用來訪問數(shù)據(jù)v給其他用戶提權(quán)已淪陷的辦公區(qū)交換機(jī)

)%

要求再

次驗證身某高權(quán)限設(shè)計師

份電腦被遠(yuǎn)程控制

(%

執(zhí)行數(shù)據(jù)

t載v發(fā)送

部門級

6TpSPrGL^PaLc

(%

執(zhí)行用戶權(quán)

)%

要求再次

*%

插入GE5UPc

限修改的操作

驗證身份

獲取權(quán)限(%

以口令

m

aosST(登錄系統(tǒng)

*%

拒絕登錄潛伏敵特試

通過竊取來的憑證登錄BL?系統(tǒng)防止身份被冒用

l

確保操作為用戶本人執(zhí)行

m?

u通過部門級6TpSPrGL^PaLc無

法正確驗證登錄憑證?

關(guān)鍵流程節(jié)點

m

敏感操作&異常

操作需要再次進(jìn)行強(qiáng)身份認(rèn)證應(yīng)用級

%#

p

*4O

QsO-.,K&R,R

4,N4,-#K%*Q

QR^S

#KQRNvN

v%

QRQ*4)&K9R

.9O^.,-QR%R6TpSPrGL^PaLc

SR

QRNvNv%

BL?服務(wù)器

)%

aosST(v

4X^TL/(0)#35LoSu

匹配失敗統(tǒng)一認(rèn)證服務(wù)器))

增強(qiáng)關(guān)鍵x務(wù)操作和數(shù)據(jù)使用的身份驗證

*%

無法完成

GE5KPc驗證請求敏感數(shù)模4

返回敏感數(shù)模4

BL?服務(wù)器

主任設(shè)計師

工裝設(shè)計師基于人員權(quán)限和策略

l

對沒有權(quán)限的人進(jìn)行定向脫敏

l對e內(nèi)鬼

f

或潛伏在內(nèi)部的敵特人員

l

提供欺騙數(shù)據(jù)

訪問敏感數(shù)模4

返回敏感數(shù)模4

應(yīng)用級6G訪問敏感數(shù)模4

返回敏感數(shù)模4(*)

深度結(jié)合數(shù)據(jù)使用的脫敏機(jī)制為BL?應(yīng)用增加動態(tài)數(shù)模脫敏的安全功能l可根據(jù)u同x務(wù)場景l(fā)替換其中部分?jǐn)?shù)據(jù)l實現(xiàn)脫敏、混淆、偽裝等安全目的已淪陷的辦公區(qū)交換機(jī)工裝設(shè)計師

%#

p

*4O

QsO-.,K&R,R

4,N4,-#K%*Q

QR^S

#KQRNvN

v%

QRQ*4)&K9R

.9O^.,-QR%R

SR

QRNvNv%BL?服務(wù)器?

根據(jù)數(shù)據(jù)使用人員的權(quán)限

、

工作內(nèi)容差異

l

定向脫敏

核心數(shù)據(jù)

n?

對于u應(yīng)該看到數(shù)據(jù)卻需要數(shù)據(jù)來工作的員工

l

僅開

放其權(quán)限內(nèi)的數(shù)據(jù)

l

或給部分假數(shù)據(jù)

n?

降低大型項目數(shù)據(jù)泄露的風(fēng)險

n?

同時可以針對性投放高仿真欺騙數(shù)據(jù)

l

迷惑潛伏敵特

n

應(yīng)用級6TpSPrGL^PaLc請求敏感數(shù)模文件4

返回敏感數(shù)

模文件4返回敏感數(shù)模文件4和4(向主任設(shè)計師發(fā)送敏感數(shù)模

查看核心數(shù)模4設(shè)

計內(nèi)容

l

檢查項目

進(jìn)度和完成情況主任設(shè)計師

部門級

6TpSPrGL^PaLc

4

查看核心數(shù)模4

設(shè)計內(nèi)容

l

以完

向工裝設(shè)計師發(fā)送

成工裝任務(wù)

脫敏后的敏感數(shù)模

4(*)

最小化敏感數(shù)據(jù)閱讀范圍

l

迷惑惡意人員硝酸銨

(

化

肥

)

（

/)k

銷胺（

(.%0*k

硫磺（

0%0.k?

((0*

脫敏

劑

(()實踐m64E5防護(hù)8DB數(shù)據(jù)安全

主任

GH$0).

黑“金（

4k生產(chǎn)

(

組生產(chǎn)

)

組生產(chǎn)*組集中銷售分銷自銷營銷中心?BE&?DB運算生產(chǎn)訂單備料計劃E&AB計劃需求管理5A?計劃中心采購訂單集采集收集采分收自采委外采購中心庫存組…8DBx務(wù)流程v核心關(guān)鍵點銷售訂單

預(yù)訂單調(diào)撥申請調(diào)撥訂單

請購單委外申請調(diào)撥申請調(diào)撥訂單材料出庫計劃訂單

生產(chǎn)中心相同單據(jù)互斥角色看到u同材料內(nèi)容

?

黑“金秘方生產(chǎn)過程中分為生產(chǎn)(組和生產(chǎn))組l(組負(fù)責(zé)硝酸銨(化肥)l

)組負(fù)責(zé)硝銨和硫磺。

?

避免同一組人根據(jù)物料出庫情況推測出配方構(gòu)成。

生產(chǎn)(組生產(chǎn))組數(shù)據(jù)權(quán)限細(xì)控

l

非相關(guān)人員查看數(shù)據(jù)加密生產(chǎn)*組混合攪拌

g

一組知道組分硝

酸銨

硝化g

二組知道組分銷胺

、

硫磺晾曬g

r組知道輔料

脫敏劑GH$0).合謀攻擊

、

盜取配方同一工藝流程中同一配方5A?的u同組分

l

有u同的知情人)0(/&/&(.)0(/&/&(/)0(/&/&(0GH$0).GH$0)-456

企x關(guān)鍵配方也是u斷微小調(diào)整變化的。

當(dāng)一組、二組、r組u同數(shù)據(jù)權(quán)限的人l在幾乎同一時間段l

訪

問

同

一

5A?

單

時l

合

謀

攻擊的傾向非常明顯。

系統(tǒng)自動對管理員預(yù)警l公司采取措施。

時間結(jié)合配方v人員st文

l

感知合謀竊取數(shù)據(jù)行為

配方

5A?采購部

采購部倉儲部

倉儲部生產(chǎn)部

生產(chǎn)部財務(wù)部

財務(wù)部(00(

GH$0).(00(

GH$0).(00(

GH$0).((((

一號))))

二號****

r號4444

四號(00(

GH$0).智能重造編碼

l

防~通

8DB的x務(wù)流程很長

l

涉及重要敏感的物料的環(huán)節(jié)很多

。

最小化各個部門用戶數(shù)據(jù)權(quán)限并隔離

l

通過6G編碼轉(zhuǎn)換

l

避免合謀攻擊

。同一重要物料

l

跨部門看到u同編碼

、名稱場景二

m

64E5讓用戶重獲ELLE數(shù)據(jù)掌控權(quán)l(xiāng)

結(jié)合x務(wù)字段級細(xì)粒度加密l

非法用戶無法獲取涉及商x秘密的數(shù)據(jù)l

核心引擎平臺可快速適配各種云應(yīng)用未授權(quán)用戶網(wǎng)絡(luò)服務(wù)商應(yīng)