雖然已經(jīng)部署了周全的網(wǎng)絡(luò)安全措施，但數(shù)據(jù)安全事件依然不斷發(fā)生。步入數(shù)據(jù)安全時(shí)代，那些原先有效的安全措施開(kāi)始失效甚至于無(wú)效，這個(gè)世界究竟發(fā)生了什么變化？

互聯(lián)網(wǎng)的飛速發(fā)展打破了常規(guī)的時(shí)間、空間限制，使我們可以服務(wù)的人群變得無(wú)限多。當(dāng)然，互聯(lián)網(wǎng)帶來(lái)無(wú)限多客戶的同時(shí)也帶來(lái)了無(wú)限多的黑客。在海量的黑客面前，任何細(xì)微漏洞都可以被捕獲，導(dǎo)致安全風(fēng)險(xiǎn)被無(wú)限放大。特別是兩個(gè)基本假設(shè)的成立讓我們無(wú)所適從：

1. 任何應(yīng)用程序都會(huì)存在漏洞；
 

2. 黑客總是比用戶更早地發(fā)現(xiàn)漏洞。

伴隨著移動(dòng)互聯(lián)網(wǎng)的興起，社交網(wǎng)絡(luò)有了新的顛覆性轉(zhuǎn)變。從電子郵件到QQ、微博、微信等，徹底打通了內(nèi)外部網(wǎng)絡(luò)，網(wǎng)絡(luò)邊界變得越來(lái)越模糊。每個(gè)人在社交網(wǎng)絡(luò)上都存在大量的“最熟悉的陌生人”，他們可以利用我們的信賴輕而易舉地進(jìn)入我們的網(wǎng)絡(luò)。

從網(wǎng)絡(luò)安全到數(shù)據(jù)安全轉(zhuǎn)變的根本原因是數(shù)據(jù)價(jià)值的無(wú)限提高。在很多機(jī)構(gòu)，數(shù)據(jù)已經(jīng)成為其核心財(cái)富甚至是最大財(cái)富，甚至有“搶銀行不如搶數(shù)據(jù)”的說(shuō)法。在數(shù)據(jù)財(cái)富無(wú)限快速放大的過(guò)程中，數(shù)據(jù)財(cái)富的管理并沒(méi)有發(fā)生本質(zhì)的變化，基本處于裸奔狀態(tài)。因此，那些缺乏保護(hù)的數(shù)據(jù)財(cái)富在不斷誘惑企業(yè)的員工、合作伙伴犯錯(cuò)，不斷誘惑黑客來(lái)攫取。

在現(xiàn)實(shí)生活中，我們不會(huì)把海量現(xiàn)金放在客廳、廣場(chǎng)等公共場(chǎng)合，我們總是小心翼翼地為這些財(cái)富施加眾多的保護(hù)措施，或者委托給更加專業(yè)的信用機(jī)構(gòu)（如銀行）進(jìn)行保管。然而，我們現(xiàn)在對(duì)于數(shù)據(jù)財(cái)富的處理方式，無(wú)異于是把它放在客廳里，甚至是廣場(chǎng)上。在數(shù)據(jù)世界里，我們尚未發(fā)現(xiàn)類似于銀行之類的機(jī)構(gòu)來(lái)保障我們的數(shù)據(jù)財(cái)富安全。

隨著數(shù)據(jù)價(jià)值的凸顯，特別是人工智能的興起，我們正在把現(xiàn)實(shí)社會(huì)發(fā)生的一切進(jìn)行數(shù)字化和數(shù)據(jù)化�？梢灶A(yù)見(jiàn)，在不遠(yuǎn)的將來(lái)，數(shù)據(jù)世界很快就會(huì)成為現(xiàn)實(shí)世界的一個(gè)投影或鏡像，現(xiàn)實(shí)生活中的搶劫、殺人等犯罪行為會(huì)映射為數(shù)字世界中的“數(shù)據(jù)破壞”。

人們大部分時(shí)間生活在可信任驗(yàn)證體系中，每個(gè)人可以自由處理自身?yè)碛械呢?cái)富以及其他物資。比如：我花錢買了個(gè)茶杯，可以用來(lái)喝茶，也可以用來(lái)喝咖啡，或者把它閑置起來(lái)，或者干脆作為垃圾處理掉，我擁有處理這個(gè)茶杯的權(quán)利。在大部分生活場(chǎng)景下，我們都采用類似方式來(lái)處理財(cái)富、物資甚至關(guān)系。

但是，當(dāng)財(cái)富或者物資的影響力大到一定程度時(shí)，我們往往需要采用另一種形式來(lái)處理。比如：價(jià)值連城的古董，雖然你花錢購(gòu)買了它，但是你并沒(méi)有權(quán)利隨意將它打碎；山林綠化，雖然山和林都是你的，但是你并沒(méi)有自由砍伐權(quán)�？梢�(jiàn)，當(dāng)涉及到大宗利益和公共利益的時(shí)候，往往是另一種機(jī)制在發(fā)揮作用：零信任機(jī)制。比如戰(zhàn)略情報(bào)、重大選舉、法律規(guī)章制訂、多重鑒權(quán)（權(quán)限審批）等，都是基于零信任體系的運(yùn)行機(jī)制，其前提假設(shè)就是沒(méi)有人可以被天然信任。

傳統(tǒng)IT系統(tǒng)（如操作系統(tǒng)、數(shù)據(jù)庫(kù)以及其他各類信息化系統(tǒng)）幾乎都嚴(yán)格遵循了類似生活中可信任驗(yàn)證的安全設(shè)計(jì)理念：每個(gè)人對(duì)于自己所擁有的一切具有任意處置權(quán)。比如：在Oracle數(shù)據(jù)庫(kù)中，Schema賬戶對(duì)于存儲(chǔ)在Schema下的所有對(duì)象擁有任意處置權(quán)，可以任意查詢、更新、刪除和清除。DBA賬戶作為整個(gè)數(shù)據(jù)庫(kù)的擁有者，對(duì)數(shù)據(jù)庫(kù)的所有對(duì)象具有任意處置權(quán)。

這種處置理論看似正確，細(xì)思極恐，你會(huì)發(fā)現(xiàn)這種處置方式非常“荒唐”，在很大程度上依賴于人性，即遵紀(jì)守法的自覺(jué)性等。DBA只是一個(gè)管理數(shù)據(jù)庫(kù)的人，而不是處置數(shù)據(jù)的人。正如一個(gè)倉(cāng)庫(kù)管理員，僅僅只是負(fù)責(zé)倉(cāng)庫(kù)的清潔、溫濕度、安全等事宜，而對(duì)于倉(cāng)庫(kù)中的谷物、物資等并不具有處置權(quán)。而Schema賬戶則類似于一個(gè)倉(cāng)庫(kù)，數(shù)據(jù)和代碼只是需要一個(gè)倉(cāng)庫(kù)存放而已，倉(cāng)庫(kù)管理員不應(yīng)該對(duì)放置在倉(cāng)庫(kù)中的物資具有任意處置權(quán)。

雖然這套基于傳統(tǒng)賬戶的安全體系在相對(duì)可信任的內(nèi)網(wǎng)環(huán)境具有很好的生存空間，但是在本質(zhì)上存在著概念混淆。這套體系很容易混淆了賬戶和身份的區(qū)別，賬戶只是信息系統(tǒng)的一個(gè)登錄憑證和引用憑證，而身份則是現(xiàn)實(shí)生活中的人，兩者之間基本上是割裂的。在真實(shí)的數(shù)據(jù)庫(kù)實(shí)踐中，賬戶更多的僅僅是作為數(shù)據(jù)庫(kù)對(duì)象存儲(chǔ)的容器，而不是作為身份。這種混淆最終使生活中可信任驗(yàn)證體系中的核心身份模糊化�，F(xiàn)代網(wǎng)絡(luò)環(huán)境中的身份安全性越來(lái)越差，這種模糊性最終導(dǎo)致了傳統(tǒng)網(wǎng)絡(luò)安全體系的不可延續(xù)。

當(dāng)數(shù)據(jù)構(gòu)成我們的財(cái)富和核心競(jìng)爭(zhēng)力時(shí)，傳統(tǒng)的可信任體系面臨巨大挑戰(zhàn)，無(wú)法滿足用戶數(shù)據(jù)安全的需求。我們需要構(gòu)建零信任體系，以管理戰(zhàn)略情報(bào)的思維來(lái)管理數(shù)據(jù)。

零信任安全（或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任）最早由約翰·金德維格（John Kindervag）在2010年提出。而美創(chuàng)科技也在2010年并行地提出了零信任安全體系并加以實(shí)踐，是全球最早的零信任安全體系架構(gòu)構(gòu)建者和實(shí)踐者。美創(chuàng)科技在多年的零信任實(shí)踐中形成了系列的零信任安全體系的基本原則和實(shí)踐原則。

很難想象，在連保護(hù)目標(biāo)都不知道的情況下如何保證安全性。當(dāng)你不知道保護(hù)目標(biāo)的時(shí)候或者保護(hù)目標(biāo)雖然知道但是不可描述的時(shí)候，你只能竭力去識(shí)別可能的“壞人”，你只能進(jìn)行面面俱到的通用防護(hù)，或者對(duì)于臆想中的攻擊進(jìn)行場(chǎng)景式防御。

數(shù)據(jù)安全不同于網(wǎng)絡(luò)安全，它定義了一個(gè)明確的保護(hù)目標(biāo)：數(shù)據(jù)。每一份數(shù)據(jù)都有其固有的特征和行為，我們可以圍繞著這些固有的特征和行為來(lái)構(gòu)建保護(hù)和防御體系。

當(dāng)我們明確定義了數(shù)據(jù)是保護(hù)目標(biāo)時(shí)，由內(nèi)而外的保護(hù)就成為我們自然的選擇。越靠近數(shù)據(jù)的地方，保護(hù)措施就越健壯，這是一個(gè)常識(shí)性認(rèn)知。由內(nèi)而外的層層保護(hù)都本著相同的目的——更加有效地保護(hù)數(shù)據(jù)安全。

定義數(shù)據(jù)本身訪問(wèn)的時(shí)候，并非以賬戶為基礎(chǔ)。賬戶僅僅是一個(gè)信息化符號(hào)，是訪問(wèn)數(shù)據(jù)庫(kù)、業(yè)務(wù)、操作系統(tǒng)等的一個(gè)憑證，但并非是訪問(wèn)數(shù)據(jù)的憑證。我們總是盡可能以接近于人的真實(shí)身份來(lái)定義數(shù)據(jù)的訪問(wèn)，定義某個(gè)人或者某個(gè)身份可以訪問(wèn)特定的數(shù)據(jù)�；蛘叨�義特定的數(shù)據(jù)可以被特定的代表身份的規(guī)則所訪問(wèn)。

當(dāng)我們明確了保護(hù)目標(biāo)的數(shù)據(jù)時(shí)，發(fā)現(xiàn)訪問(wèn)數(shù)據(jù)的正常行為是可以被定義和窮盡的。因此，所有在窮盡的訪問(wèn)定義列表之外的訪問(wèn)都是不合規(guī)、不安全的。而且，通過(guò)對(duì)于歷史訪問(wèn)行為的學(xué)習(xí)，可以刻畫出正常訪問(wèn)的特征，不符合正常訪問(wèn)特征的訪問(wèn)行為都是不合規(guī)的、不安全的。

消除特權(quán)賬戶是零信任安全體系建設(shè)的前提條件。引進(jìn)多方聯(lián)動(dòng)監(jiān)督制約機(jī)制，是零信任安全的基礎(chǔ)實(shí)踐。

（本文作者：美創(chuàng)科技 柳遵梁）