2024身份访问管理数据安全技术.docx

《2024身份访问管理数据安全技术.docx》由会员分享，可在线阅读，更多相关《2024身份访问管理数据安全技术.docx（84页珍藏版）》请在优知文库上搜索。

1、身份访问管理数据安全技术研究(IAM)2024目录1前言101.1 研究背景101.1.1 基础政策导向101.1.2 数据安全形势严峻101.2 研究范围111.3适用场景112数据安全合规122.1 数据安全面临合规压力122.2 我国数据安全相关法律法规122.2.1中华人民共和国网络安全法122.2.2中华人民共和国数据安全法132.2.3中华人民共和国个人信息保护法132.2.4关键信息基础设施安全保护条例132.3我国数据安全相关国家标准142 .3.1安全要求类标准143 .3.2实施指南类标准182. 3.3检测评估类标准203数据安全风险213.1常见数据安全问题分析213.

2、1.1 数据泄露213. 1.2数据篡改223. 1.3数据勒索233. 2数据处理活动安全风险233. 2.1数据收集环节的安全风险231.1.1 2.2数据存储环节的安全风险253.2.3 数据使用和加工环节的安全风险253.2.4 数据传输环节的安全风险263. 2.5数据公开安全风险273. 2.6数据提供安全风险284数据安全与身份安全283.1 数据处理活动中的数据安全技术措施293.2 身份与访问管理(IAM)赋能数据安全294. 2.1身份鉴别294. 2.2授权管理304. 2.3数据访问控制314. 2.4数据安全审计324.3与数据安全相关的IAV技术挑战334. 3.1

3、身份管理挑战335. 3.2访问控制挑战346. 3.3审计溯源挑战345身份管理355. 1身份定义355. 1.1自然人身份355. 1.2组织身份365. 1.3设备身份375. 1.4外部应用身份385. 2身份数据收集385. 2.1数据源同步385. 2.2用户自注册395. 2.3自动采集405. 2.4人工录入405. 2.5自助维护405. 3身份认证405. 3.1身份认证凭据405. 3.2用户认证策略415. 3.3身份认证技术426数据访问控制435.1 数据权限管理445.1.1 权限管理的基本要素445.1.2 权限管理系统设计475.1.3 1.3用户管理475

4、.1.4 1.4角色管理485.1.5 权限管理495.2 数据访问控制模型506. 2.1自主访问控制DiSCretiOnaryAccessControl,DAC)507. 2.2强制访问控制(MandatoryAccessControl,MAC)528. 2.3基于角色的访问控制(Role-BasedAccessControl,RBAO.559. 2.4基于属性的访问控制(Attribute-BasedAccessControl,ABAC)6010. 2.5风险自适应访问控制(RAdAC,Risk-AdaptableAccessControl)6511. 2.6下一代访问控制(NGAC)6

5、67数据安全审计6912. 1审计日志分类707.1.1 单次数据使用审计日志707.1.2 单会话内多次数据使用审计日志727.2审计日志获取能力737. 2.1精准解析协议能力738. 2.2加密算法解析能力739. 2.3用户名补偿审计能力7310. 2.4三层关联能力747.3审计分析747.3.1自动分析747. 3.2人工干预分析758用零信任实现数据安全768. 1零信任介绍769. 2零信任的实现7810. 3发展与展望799典型应用场景8010.1 务领域典型场景8011. 1.1政务领域数据使用场景与访问控制威胁分析8012. .2政务领域身份管理与访问控制能力分析8013

6、. 1.3政务领域数据访问控制防护场景与技术说明819.2企业领域典型场景829.2.1企业领域数据使用场景与访问控制威胁分析829.2.2企业领域身份管理与访问控制能力分析869.2.3企业领域数据访问控制防护场景与技术说明8710数据安全新技术展望891前言1-1研究背景2022年1月120,国务院发布“十四五”数字经济发展规划，强调数据要素是数字经济深化发展的核心引擎，到2025年数字经济走向全面扩展期，数字经济核心产业增加值占国内生产总值比重达到10%,数据要素市场体系初步建立。2023年1月，工信部等十六部门联合印发关于促进数据安全产业发展的指导意见，提出到2025年，数据安全产业规

7、模超过1500亿元，到2035年，数据安全产业进入繁荣成熟期。2023年3月数字中国建设整体布局规划要求数字基础设施高效联通，数据资源规模和质量加快提升，数据要素价值有效释放。2023年3月党和国家机构改革方案方案提出组建国家数据局，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，推进数字中国.数字经济.数字社会规划和建设等，推进数据要素基础制度建设。数据已被视为国家基础性战略资源，各行各业的大数据应用正迅猛发展，但随之而来的数据安全问题也日益加剧，有时甚至限制了大数据应用的发展。基于此，无论是国家机关还是企事业单位，都在加紧数据安全体系的建设。数据安全是数据经济发展的必要条件，

8、是促进数据分享.产生数据流动价值的基本保障。1.1.1 基础政策导向中华人民共和国计算机信息系统安全保护条例网络安全法信息安全等级保护管理办法国家密码法关键信息基础设施安全保护条例数据安全法个人信息保护法关于促进数据安全产业发展的指导意见等法律法规和政策文件也要求推动信息网络空间安全治理，并提出相关的规范与要求，将信息安全检查常态化。完整的识别组织内部的信息资产，并制定覆盖所有网络设备的信息安全策略，只有这样才能尽可能保护数据资产的安全性。1.1.2 数据安全形势严峻近几年政府.企.业数字化转型进程不断加快，但随之而来的数据安全问题愈发严重。如Facebook在2021年曾遭遇数据泄露，其中5

9、.33亿条数据记录被曝光；印度某政府网站800万核酸检测报告被泄露。同时在国内此类事件也屡见不鲜,2023年某大学学生创建颜值打分平台，学生的照片.姓名.学号.学院.籍贯.生日信息泄露；两名航空公司员工在2020年至2021年间利用职务之便，向粉丝出售明星个人信息；2020年以来，有关电信运营商.航空公司等单位内网和信息系统先后多次出现越权登录.数据外传等异常网络行为。1.2研究范围根据国家标准GB/T35274-2023信息安全技术大数据服务安全能力要求，数据处理安全能力涵盖数据收集.数据存储.数据使用.数据加工.数据传输.数据提供.数据公开以及数据销毁等活动。而身份管理与访问控制是数据要素

10、安全.合理.合法.合规流动与分享的基础条件，本研究报告重点关注身份与访问管理保障数据使用主客体身份安全.数据权限控制.数据使用身份风险以及事后审计等内容。(1)数据采集.存储.传输.使用过程中面临的身份安全问题(2)身份管理与访问控制在数据生命周期管理中可带来作用与价值(3)重点讨论数据访问控制策略与技术(4)结合零信任体系探讨数据安全保证模式(5)描述典型业务场景下，身份管理与访问控制如何保障数据正确安全使用1.3适用场景本次研究成果关注身份管理与访问控制在数据安全中主客体身份安全管理.数据访问权限控制.数据使用风险管控等相关内容，可结合数据分级分类.数据加解密.DLP数据防泄漏.数据情报获

11、取等内容形成数据整体安全体系，保障数据安全流转，促进数字经济发展。2数据安全合规2.1 数据安全面临合规压力随着数字经济的发展，数据逐渐成为了经济增长的强大动力及核心资产，随着我国乃至全球数字经济的兴起，数据从一种信息的载体，转化成了具有独立经济价值，乃至国家安全价值的一种利益形态。随着国家层面对数据管理和个人信息保护需求的激增，社会公众对隐私及个人信息保护意识的加强，在过去几年中，在全球范围内各国纷纷出台相关法律法规，相关的监管活动也呈现出常态化趋势。数据安全新监管趋势及行业趋势对数据安全管理提出了新的挑战和要求，政府.企业等组织机构做好数据安全工作面临着较大的合规压力，例如数据处理安全.个

12、人信息保护.数据跨网交换安全及数据出境安全等方面。2.2 我国数据安全相关法律法规近年来，随着网络安全法数据安全法个人信息保护法等上位法的发布，数据要素掌控和利用过程中面临刚性的数据安全合规要求。从我们国家来看，从2017年网络安全法的施行开始，到2021年数据安全法和个人信息保护法相继的生效和施行，三部法律法规构成了我国网络安全和数据合规领域的基本法律规则框架，形成中国特色的三法并行的数据安全法律框架。三部法律虽然明确了我国网络安全.数据安全.个人信息保护的顶层设计，但是在具体落地层面还有不少空白和规范细则需要完善。中央网信办.工信部等多个部门针对热点.重点问题，制定了相关领域的规章制度和指

13、导文件，国家和各行业.领域的数据安全标准体系也在不断健全当中。2.2.1 中华人民共和国网络安全法2016年11月，第十二届全国人民代表大会常务委员会通过了网络安全法，2017年6月1日正式施行。网络安全法中将“网络数据”定义为“通过网络收集.存储.传输.处理和产生的各种电子数据。”要求“建设.运营网络或者通过网络提供服务，应当依照法律.行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全.稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性.保密性和可用性。”并“鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发

14、展。”222中华人民共和国数据安全法2021年6月数据安全法发布，将个人.企业和公共机构的数据安全纳入保障体系，确立了对数据领域的全方位监管.治理和保护，既约束了数据的非法采集和滥用，又保护了数据提供方和民众的信息使用，推动以数据开放.数据保护.数据流动等为基础的数据规则进一步完善。作为我国数据安全领域内的基础性法律和我国国家安全领域内的重要法律，给企业数据经营合规.以及进一步的数据资产化治理与发展提供指引。数据安全法中给出了“数据安全”的定义，为“通过采取必要措施，确保数据处于有效保护和合法利用状态，以及具备保障持续安全状态的能力。”数据安全法中对于“数据处理”则定义为“包括收集存储使用.加

15、工.传输.提供公开等”7个环节。2.2.3 中华人民共和国个人信息保护法2021年8月个人信息保护法发布，规定个人信息是以电子或者其他方式记录的与己识别或者可识别的自然人有关的各种信息；个人信息的处理包括个人信息的收集.存储.使用.加工.传输.提供.公开等活动。个人信息保护法确立了个人信息处理应遵循的原则，强调处理个人信息应当采用合法.正当的方式，具有明确.合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等，并将上述原则贯穿于个人信息处理的全过程.各环节。2.2.4 关键信息基础设施安全保护条例2021年7月30日，关键信息基础设施安全保护条例发布。条例涵盖总则.关键信息基础设施认定.运营者责任义务.保障和促进.法律责任等诸多方面，旨在保障关键信息基础设施安全，维护网络安全。