本文選自《數(shù)據(jù)安全架構(gòu)設(shè)計(jì)與實(shí)戰(zhàn)》一書，介紹從源頭保障產(chǎn)品和數(shù)據(jù)安全的5A方法。

無論是進(jìn)行產(chǎn)品的安全架構(gòu)設(shè)計(jì)或評(píng)估，還是規(guī)劃安全技術(shù)體系架構(gòu)的時(shí)候，有這樣幾個(gè)需要重點(diǎn)關(guān)注的邏輯模塊，可以在邏輯上視為安全架構(gòu)的核心元素。

以應(yīng)用/產(chǎn)品為例，它們包括：

* 身份認(rèn)證（Authentication）：用戶主體是誰？

* 授權(quán)（Authorization）：授予某些用戶主體允許或拒絕訪問客體的權(quán)限。

* 訪問控制（Acccess Control）：控制措施以及是否放行的執(zhí)行者。

* 可審計(jì)（Auditable）：形成可供追溯的操作日志。

* 資產(chǎn)保護(hù)（Asset Protection）：資產(chǎn)的保密性、完整性、可用性保障。

這5個(gè)核心元素，我們將它們稱之為安全架構(gòu)5A（即5個(gè)以A開頭的單詞）。

我們將其進(jìn)一步擴(kuò)展：

* 主體的范圍不局限于用戶，將其擴(kuò)展到所有人員（用戶/員工/合作伙伴/訪客等）、設(shè)備、系統(tǒng)。

* 安全架構(gòu)從應(yīng)用層擴(kuò)展到空間立體，覆蓋物理和環(huán)境層、網(wǎng)絡(luò)和通信層、設(shè)備和主機(jī)層、應(yīng)用和數(shù)據(jù)層。

由此，安全架構(gòu)5A可用下圖來表示：

以身份為中心的安全架構(gòu)5A

安全架構(gòu)的5A方法論將貫穿全書，成為安全架構(gòu)設(shè)計(jì)（無論是產(chǎn)品的架構(gòu)設(shè)計(jì)，還是安全技術(shù)體系的架構(gòu)設(shè)計(jì)）、風(fēng)險(xiǎn)評(píng)估等安全工作的思維方式（或共同語言）。

其中，資產(chǎn)包括但不限于：

* 數(shù)據(jù)：即信息資產(chǎn)，包括結(jié)構(gòu)化數(shù)據(jù)（數(shù)據(jù)庫(kù)、緩存、Key-Value存儲(chǔ)系統(tǒng)等）、非結(jié)構(gòu)化數(shù)據(jù)（文檔、圖片、音頻、視頻等），不僅包括存儲(chǔ)的數(shù)據(jù)，也包括使用、傳輸、流轉(zhuǎn)中的數(shù)據(jù)。

* 資源：網(wǎng)絡(luò)資源、計(jì)算資源、存儲(chǔ)資源、進(jìn)程、產(chǎn)品功能、網(wǎng)絡(luò)服務(wù)、系統(tǒng)文件等。

資產(chǎn)包括數(shù)據(jù)和資源

為什么資源也是需要保護(hù)的資產(chǎn)呢？讓我們來看幾個(gè)例子：

* DDOS攻擊會(huì)占滿網(wǎng)絡(luò)帶寬資源或主機(jī)計(jì)算資源，導(dǎo)致業(yè)務(wù)不可用。

* 病毒、木馬會(huì)造成主機(jī)計(jì)算資源破壞或權(quán)限被外部控制，或造成攻擊范圍擴(kuò)大，數(shù)據(jù)泄露等嚴(yán)重后果。

相關(guān)概念：IAM（Identity andAccess Management，身份與訪問管理），主要覆蓋了安全架構(gòu)中的身份認(rèn)證（Authentication）、授權(quán)（Authorization）、可審計(jì)（Auditable）這三個(gè)要素，可稱之為3A。

身份認(rèn)證、授權(quán)、訪問控制、可審計(jì)這4個(gè)要素也可稱之為4A。

在這幾個(gè)核心元素中，用戶訪問資產(chǎn)的主線為：

用戶訪問資產(chǎn)的主線

訪問控制的依據(jù)是授權(quán)，查詢授權(quán)表或者基于設(shè)定的權(quán)限規(guī)則，擁有訪問權(quán)限才允許繼續(xù)訪問。

用戶首先需要通過身份認(rèn)證，也就是要讓系統(tǒng)知道用戶是誰。

用戶需要具備訪問目標(biāo)資產(chǎn)的權(quán)限。

訪問控制模塊會(huì)基于授權(quán)以及事先設(shè)定的訪問控制規(guī)則，判斷是否放行。

在訪問到資產(chǎn)之前，經(jīng)過必要的資產(chǎn)保護(hù)措施，如數(shù)據(jù)解密、加密傳輸、脫敏展示、防攻擊以及防批量拉取措施、隱私保護(hù)等。

可審計(jì)一般是指可供追溯的操作審計(jì)記錄（操作日志記錄等），沒有直接體現(xiàn)在上述主線中，但會(huì)覆蓋到每一個(gè)模塊：

可審計(jì)的范圍

* 身份認(rèn)證方面：SSO系統(tǒng)需要記錄用戶的登錄時(shí)間、源IP地址、用戶ID、訪問的目標(biāo)應(yīng)用。

* 授權(quán)方面：需要記錄權(quán)限申請(qǐng)流程的每個(gè)審批環(huán)節(jié)的時(shí)間、IP地址、用戶ID、理由、通過或駁回權(quán)限申請(qǐng)的動(dòng)作。

* 訪問控制方面：訪問控制執(zhí)行的結(jié)果是放行或駁回，通常來說，需要記錄所有的駁回動(dòng)作，以及對(duì)敏感資產(chǎn)的每一個(gè)請(qǐng)求及動(dòng)作，便于追溯。

* 資產(chǎn)保護(hù)方面：記錄用戶訪問的資產(chǎn)（特別是敏感資產(chǎn)）及操作（查詢、添加、修改、刪除等）。

小結(jié)一下，5A，是五個(gè)以A開頭的單詞的簡(jiǎn)寫，是《數(shù)據(jù)安全架構(gòu)設(shè)計(jì)與實(shí)戰(zhàn)》一書提出的從源頭保障一款產(chǎn)品（一般指互聯(lián)網(wǎng)產(chǎn)品或服務(wù)）數(shù)據(jù)安全的方法。

附錄：

書籍《數(shù)據(jù)安全架構(gòu)設(shè)計(jì)與實(shí)戰(zhàn)》作者：鄭云文（U2），長(zhǎng)期從事數(shù)據(jù)安全與隱私保護(hù)工作，同時(shí)也是開源應(yīng)用網(wǎng)關(guān)Janusec Application Gateway的作者（https://github.com/Janusec/janusec ，提供WAF、CC攻擊防御、統(tǒng)一Web化管理入口、證書私鑰保護(hù)，Web路由以及可擴(kuò)展的負(fù)載均衡等功能）。

對(duì)數(shù)據(jù)安全有興趣的朋友，歡迎加入QQ群：879622682 （數(shù)據(jù)安全交流），或關(guān)注微信公眾號(hào)：數(shù)據(jù)安全架構(gòu)與治理（Data-Security）。