遵守数据安全法，零信任保驾护航 – 作者:Enlink

2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议表决通过了《中华人民共和国数据安全法》，将于2021年9月1日正式生效。关于数据安全法的解读，网上已有一些，大家可自行某度，本文关注如何才能遵守数据安全法，或者说，组织如何不违法。

本篇主要探讨数据安全法。

关键词：数据安全法  零信任

数据安全法第六章法律责任中指出，组织不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的，由有关主管部门责令改正，警告，并处罚款。因此对于绝大多数的组织来说，主要关注这三条就基本够了。篇幅原因这三条的原文不在这里复述（网上一搜就有），简单小结一下，就是：组织要建立全流程的数据安全管理，要对数据分类分级保护，要对风险有监控和处置措施，要有安全审查和风险评估报告。

这几条法规理解起来很简单，但执行起来却不那么容易。这是因为网络安全领域一直都是碎片化的模式，用海量来形容各类安全产品也不为过，而且基本上都是各管各的，每个安全产品只解决某个领域的问题甚至只是针对某个特殊攻击的防御。“鸡犬之声相闻，老死不相往来”，是他们之间关系的真实写照。因此想要建立分类分级的、可测可控可审的、全流程的数据安全管理并非易事。

零信任网络安全解决方案，可助力组织快速满足数据安全法的要求。

▲零信任安全理念

任何访问都需要经过认证和授权、基于动态最小权限的访问控制要求组织对每一次访问都要授权用户本次访问的安全等级并对所有的应用和数据设置访问的安全级别，每一次的用户访问都要比较用户的安全等级得分和访问对象的安全级别分数，从而判断用户是否有访问该对象的资格，这遵循了数据安全法对数据分类分级保护的规定；对身份、行为的持续信任评估要求对数据的全流程进行安全管控，从用户访问请求、系统授权访问，安全通道建立，接口调用和数据读取，到用户行为分析，应用访问分析，以及权限的动态调整，零信任都有对应的管理机制，这遵循了数据安全法对数据全流程安全管理的规定；安全可视化和可溯源要求对用户的每一次应用访问和数据读取都要进行安全验证和行为记录，对于可能的风险给出安全预警，对于已经发生的异常行为溯源追踪，动态调控有潜在风险或存在异常的数据访问行为，实时给出各类审计分析报告，这遵循了数据安全法对网络安全可测可控可审的的规定。

▲零信任安全解决方案全产品簇

零信任安全解决方案全产品簇，采用SDP架构作为应用访问的核心授权管理，在用户侧提供有端Agent或无端AgentLess两种接入方式，在数据侧补充API微服务网关和数据库审计产品，在控制侧整合终端环境感知、IAM身份管理，和应用访问感知产品。实现了对数据的分类分级、可测可控可审、全流程的安全管理，不仅可以支持绝大多数的组织快速满足数据安全法的要求，同时也保障了组织的信息和数据安全，助力组织持续、稳定、安全的发展。

来源：freebuf.com 2021-06-22 14:45:51 by: Enlink