在数字化转型的浪潮下，数据已成为企业的核心资产与战略资源。然而，数据价值的释放伴随着泄露、滥用、跨境流动等安全风险的急剧上升。据奇安信安服团队近年来的统计，国内企业数据安全事件中近40%的事件源于内部人员违规操作，30%涉及特权账号滥用。传统基于边界的安全模型已无法适应云化、移动化、远程办公带来的复杂访问场景。

奇安信集团以"数据安全就是国家安全"为使命，自2022年起率先实践了一套覆盖"架构-制度-技术-运营-文化"的全链路数据安全治理体系。该体系的独特之处在于将零信任架构作为技术落地的核心支撑，实现了从"网络信任"到"身份/设备/行为持续验证"的根本转变。截至2025年12月，体系已稳定运行近4年，累计处置内部数据安全风险事件近400起，构建了数据安全的"盾级"防护能力。本文将深度剖析该体系的设计理念、落地路径与运营成效，重点阐述零信任与数据安全治理的深度融合实践。

数据安全治理的成败关键在于责任能否压实到业务末端。奇安信摒弃了传统网络安全部门"大包大揽"的模式，创新建立"战略决策层-管理责任层-执行反馈层"三级治理架构：

• 战略决策层：数据安全委员会

  由分管人力、财务、法务、研发、销售、运营的6位副总裁组成，董事长亲自挂帅担任委员会主任，实现“数据安全一把手责任制”。委员会每半年召开工作会议，听取公司数据安全治理的各项进展，决策数据安全策略，负责数据安全战略方针制定、年度预算审批、重大事件定级裁决及跨部门资源协调。

• 管理责任层：网络安全部

  作为数据安全管理责任部门，下设数据安全与合规组，配置数据安全治理岗、数据安全运营岗、数据安全红队三类岗位。治理岗负责制度制定、技术选型与架构设计；运营岗7×24小时监控告警、事件调查与处置；红队定期对策略有效性进行渗透验证，2024年共发现防护盲区23处，推动策略迭代12次。

• 数据安全事件处置执行委员会

  由人力、法务、集团管理部和网络安全共同组成执行委员会，每周固定会议时间，对运营出的数据安全时间进行定级和处置，事件处置结果与员工的绩效考核、职级晋升、团队考核进行关联，高级别事件需员工签订由人力下发的《违纪单》。实现员工数据违规处理行为与个人利益、组织利益直接挂钩的关系，保障数据安全政策和策略的落地。

• 执行反馈层：安全专员网络

  从各部门选拔100余名安全专员，专员职责包括：组织本部门员工季度安全培训、每月开展数据资产梳理、实时反馈业务痛点。这一机制将安全触角延伸至每个业务单元，形成了"安全部门-业务伙伴"的协同网络。

制度是治理的基石。奇安信构建了一套"一级方针—二级规范—三级细则"的制度金字塔，确保每一层安全要求都有据可依、可操作、可审计：

• 一级制度（战略层，3个）：

  明确数据安全管理委员会的成立、构成和职责；明确数据安全的战略和方针。

• 二级制度（管理层，7个）：

  《集团数据安全管理办法》明确数据安全基本原则与组织架构；

  《集团数据分级分类管理办法》是整套体系的核心，定义四级数据标准；

  《集团员工电脑使用管理办法》《集团服务器安全管理办法》规范终端与基础设施；

  《集团网络安全事件管理办法》《集团产品安全事件响应管理办法》建立事件响应流程。

  《零信任管理办法》明确接入规范、设备基线、权限模型。

• 三级制度（操作层，18个）：

  《数据安全事件处置管理细则》附件包含30 种违规行为的精确描述，其中包括"零信任绕过""设备冒用"等违规行为；《零信任管理细则》细化Windows/Mac/移动端的基线检查项及员工使用规范。

制度体系以《数据分级分类管理办法》为轴心，并与人力制度勾连，关联《员工手册》。例如，同样是"下载3份文件"，内部数据仅需警告，普通商秘记过，核心商秘直接开除。

奇安信创新提出"4端6线"数据安全等级保护模型，并将零信任的"PIP-PDP-PEP"架构贯穿于每条防线，实现无死角防护：

其中，“4端”表示数据存储端、数据应用端、内网访问端、外网访问端这4个核心端点，主要涵盖了数据存储和处理的载体，例如数据库、主机、业务系统、办公终端、云环境等；而“6线”包括L1运维线、L2IDC内网线、L3办公网应用线、L4公网应用线、L5办公网出外网线、L6大数据共享线等，它体现了数据在不同的端之间的流动路径，比如运维人员从数据从数据库读取数据到办公电脑，就是一条从存储端到办公端的数据流动的线。

整个"4端6线"模型，核心是让安全能力跟着数据走，无论是办公、开发、运维还是跨网交互，每一条数据流都有对应的安全措施，通过将安全能力精准嵌到每一个数据流动环节里，达到既不影响业务效率，又能把数据风险堵在各个环节里的安全治理目标。以下为具体落地实施路径：

• 零信任架构核心组件：

  PIP（策略信息点）：采集用户身份、设备状态、环境属性、数据分类标签

  PDP（策略决策点）：基于28条动态策略进行实时授权决策PEP（策略执行点）：在访问路径上强制执行策略，包括零信任客户端、安全网关、API网关
• L1运维线：PAM 堡垒机 零信任三重防护：

  纳管生产区域近2万台主机，切断办公区到IDC的22/3389直连端口。零信任对运维终端进行准入基线检查：必须满足天擎在线、WSO纳管、DLP启用才能访问堡垒机。

• L2 IDC内网线：API卫士 数据库审计 零信任持续验证：

  部署数据库审计探针184个，日均分析SQL日志超千万条。API安全网关识别40万 接口，其中互联网暴露面230个。

• L3办公网应用线：零信任架构实现统一身份与细粒度授权：

  所有业务系统接入需经过设备可信评估（合规状态、安全基线）、身份多因子认证（AD ID 短信）、权限最小化授权（三要素：人-设备-资源）三重检查。

• L4公网应用线：隐私合规、数据采集合规、防止未授权访问：

  通过隐私卫士、API卫士的合理，对外部访问和主动触发的流量进行数据安全隐私合规的检测，进数据采集必要性的检测，确保数据处理行为的合规，同时避免外部对企业内部的未授权访问等风险发生。

• L5办公网出外网线：终端DLP 零信任会话管控：

  终端DLP、邮件DLP、IM外发管控三管齐下。零信任会话策略强制"2小时无流量登出、持续在线12小时登出"，防止离座未锁屏导致的数据泄露。并建设文档交换平台进行外部文件的共享和交换。总体思路是回收互联网途径的文件传输和留存，用公司自建平台进行支撑，拦截和识别非必要外发，数据处理行为均需在合规终端上处理和留存。

• L6大数据共享线：跨境监测 零信任动态权限：

  针对数据跨境、第三方合作场景，部署数据出境合规监测平台。零信任对境外IP接入实施白名单管控，默认禁止访问，需业务按需申请。

终端是数据泄露的主要渠道，占事件总量的58%。奇安信通过零信任PIP终端合规管理模块实现全场景覆盖：

零信任采用"采集-计算-决策-执行"闭环：

• 数据采集：零信任客户端实时采集终端信息（零信任ID、域账号、SN、操作系统、版本号）；

• 基线检查 ：检查天擎在线状态、DLP启用状态、WSO纳管状态、SEC合规状态；

• 标签计算：综合计算设备标签：合规设备（满足全部基线）、非合规设备（部分满足）、拒绝准入设备（虚拟机、无天擎）；

• 策略执行：PDP根据标签下发访问权限，合规设备可访问核心业务，非合规设备仅可访问云桌面，拒绝准入设备直接阻断

• 正式员工 集团配发Win：默认访问OA、Wiki、邮箱等100 系统；访问薪资单、PAM需动态口令二次认证；访问BI、大模型需安全空间（沙箱环境）。

• 合作伙伴研发 集团配发Win：默认仅访问项目管理系统；访问代码库需按需申请；禁止访问财务、HR系统

• 私人终端（BYOD）：无论员工还是外包，默认仅可访问云桌面，所有数据操作在云桌面内进行，本地不落商秘文件；

• 移动终端：仅可查看蓝信消息、审批待办；禁止下载、截屏、转发；

本节重点总结零信任体系分阶段推进过程中面临的主要挑战及应对经验。

零信任体系的改造涉及全网终端与核心业务系统，是一项对组织运行和业务连续性影响极大的系统性工程。为避免一次性切换带来的业务冲击和治理失控风险，奇安信在推进过程中坚持“循序渐进、可验证、可回滚”的总体思路，采用“小步快跑、灰度验证”的实施策略，将零信任建设拆解为多个阶段逐步推进。

在具体实施层面，每一阶段均选取2个业务群（BG）作为试点单位，通过灰度上线、效果验证和风险评估，在确认未对核心业务产生重大影响后再进行全量推广，从而有效避免问题集中暴露和风险叠加。这种分阶段、可控推进的路径，为后续准入基线收紧和访问权限收口奠定了稳定运行的基础。

四阶段渐进式推进路线图

在零信任体系从设计走向全面运行的过程中，技术复杂性、组织惯性与存量环境的制约往往交织叠加，成为影响治理成效的关键因素。实践表明，零信任落地面临的挑战并不主要来自技术本身，而更多源于用户行为改变、资产条件限制以及业务连续性要求等现实约束。基于长期运行经验，奇安信对实施过程中暴露出的共性问题进行了系统梳理，并通过“制度约束、技术优化与运营机制”相结合的方式进行精细化应对，逐步消解阻力，推动零信任从“可用”走向“好用、耐用”。

奇安信的数据安全治理实践的成功，并不依赖于某一单点技术，而源于结构模型、治理制度与技术能力之间的协同演进：结构模型解决“治理范围与治理路径”的问题，制度体系明确“责任边界与行为规则”的问题，技术能力则负责将治理要求转化为“可执行、可反馈”的具体机制。三者相互支撑、共同作用，构成了数据安全治理得以持续运行的基础框架。

在这一体系中，“4端6线”模型并非单纯的技术架构，而是作为总体治理框架，对数据资产在存储、使用、流转与共享等关键环节进行结构化拆解，清晰界定了数据安全治理的对象边界与风险分布格局。通过将复杂、多样的数据流动场景显性化、路径化，安全治理得以沿着数据真实流转路径逐线嵌入，避免了传统以系统或网络为中心的“点状防护”“静态管控”与业务运行实际脱节的问题。在此基础上，不同端点与不同数据流线被赋予差异化的治理目标和防护强度，实现了安全要求与业务效率之间的动态平衡。

零信任架构在体系中承担的是治理能力落地的关键支撑角色。通过持续身份校验、终端合规判定和动态策略执行，零信任将“4端6线”模型中提出的治理要求转化为可操作的访问控制和行为约束机制，弥补了传统制度管理在实时性、精细化和执行闭环方面的不足，使治理逻辑能够有效下沉至具体用户、设备和会话层面。由此，数据安全治理不再停留在合规达标或被动防护阶段，而是具备了持续演进和自我强化的能力，为大型组织构建可复制、可推广的数据安全治理范式提供了现实路径。

• 零信任是治理体系的"技术翻译器"：

  将制度要求（如"核心商秘需加强认证"）转化为可执行的PDP策略，实现制度的技术闭环。2024年策略命中率达99.2%，确保制度不落空。

• 数据分类分级是零信任的"决策依据"：

  零信任所有动态策略（权限、认证、会话）均基于数据级别。BI系统因涉大量商秘数据，启用"安全空间"策略；TESTBED演示系统级别低，采用简化认证。

• 终端合规是零信任的"信任基石"：

  零信任的"信任"建立在终端健康度之上。通过PIP持续采集设备状态，合规率从40%提升至98%，使零信任从"宽进严出"变为"严进严出"，风险前置拦截率达85%。

• 渐进式推进是零信任的"落地保障"：

  四年四阶段路线图，每阶段解决一个核心问题（纳管-替换-基线-收口），避免"休克疗法"导致业务中断。

• 对抗治理是零信任的"威慑底线"：

  对绕过零信任的行为零容忍，技术识别 管理处罚双管齐下，形成"不敢绕、不能绕、不想绕"的文化。2025年对抗事件下降90%，策略权威性确立。

随着 AIGC 技术深度嵌入办公场景，数据流动的形态发生了从“确定性检索”到“生成式交互”的根本转变。奇安信在实践中发现，AI 数据安全治理需在现有体系基础上实现三项演进：

• 数据分类分级的动态化： AI 交互产生的提示词和生成的响应内容往往包含碎片化的商秘信息 。治理体系需结合 NLP 技术，在数据流经 L3 办公网应用线时，实时识别并对提示词进行敏感度分级，确保核心商秘不会在模型训练或推理中无意泄露 。
• 零信任“安全空间”的泛化： 针对大模型业务，应强制采用“安全空间（沙箱）”策略 。员工在调用企业内部大模型时，所有的输入输出均在加密沙箱内闭环，禁止截屏与落地，实现“可用不可带”的严苛管控 。
• 从“结果治理”转向“过程审计”： 传统的 API 审计需向“AI 语义审计”进化 。通过零信任网关（PEP）拦截并解析交互流量，不仅要审计“谁访问了模型”，更要利用 AI 审计 AI，识别是否存在通过诱导手段绕过安全策略的行为 。