2023基于IAM的数据安全技术研究报告
AI智能总结
©2023云安全联盟大中华区版权所有1 @2023云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印,或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人.信息获取.非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标.版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有2 ©2023云安全联盟大中华区版权所有3 致谢 《基于IAM的数据安全技术研究》由CSA大中华区IAM工作组专家撰写,感谢以下专家的贡献: 工作组联席组长: 戴立伟于继万谢琴 主要贡献者: 谢江蔡国辉林鹭包宏宇郭立文李凌宇 参与贡献者: 崔崟 黄鹏华 鹿淑煜 石瑞生 王亮 于振伟 张彬 张淼 周利斌 研究协调员: 蒋妤希 贡献单位: 安易科技(北京)有限公司北京天融信网络安全技术有限公司北京芯盾时代科技有限公司杭州安恒信息技术股份有限公司华为技术有限公司江苏易安联网络技术有限公司 奇安信网神信息技术(北京)股份有限公司 三未信安科技股份有限公司 上海观安信息技术股份有限公司上海物盾信息科技有限公司深圳竹云科技有限公司 (以上排名不分先后) 关于研究工作组的更多介绍,请在CSA大中华区官网(https://c-csa.cn/research/)上查看。 在此感谢以上专家及单位。如此文有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号 序言 随着数字化进程的加速推进,数据已成为现代企业最重要的资产之一。在大数据.云计算等技术发展以及数据要素市场化流通的背景下,数据的存储和使用方式发生了翻天覆地的变化,同时也带来了新的挑战——如何保护这些敏感的数据资产不被非法访问或者故意泄露?这就需要我们引入IAM(IdentityandAccessManagement)的解决方案。 IAM,即身份与访问管理,是一种用于管理和控制用户对资源访问的体系。它可以帮助企业建立一套完整的数据安全管理框架,确保只有得到授权的人员才能访问相关数据。基于IAM的数据安全管理不仅可以提高企业的信息安全水平,还能降低数据安全风险,提高企业运营效率。 《基于IAM的数据安全技术研究》一文以深入浅出的方式,详细阐述了IAM的基本原理.IAM与数据安全的融合以及典型案例实践。我们将从IAM的基础概念开始,逐步探讨如何构建一个有效的数据安全访问控制体系,并通过案例分析,让大家更直观地理解IAM在数据安全中的应用。 我们希望通过本报告,让读者对IAM有更深入的理解,能够将IAM的理念和技术运用到自己的工作中,更好地保障网络数据和个人信息的安全。同时,我们也期待更多的人加入到IAM赋能数据安全的相关研究和实践中,共同推动数据安全技术的发展,为构建更加安全可靠的数字世界贡献力量。 李雨航YaleLi CSA大中华区主席兼研究院院长 目录 致谢2 序言5 1前言10 1.1研究背景10 1.1.1基础政策导向10 1.1.2数据安全形势严峻10 1.2研究范围11 1.3适用场景11 2数据安全合规12 2.1数据安全面临合规压力12 2.2我国数据安全相关法律法规12 2.2.1《中华人民共和国网络安全法》12 2.2.2《中华人民共和国数据安全法》13 2.2.3《中华人民共和国个人信息保护法》13 2.2.4《关键信息基础设施安全保护条例》13 2.3我国数据安全相关国家标准14 2.3.1安全要求类标准14 2.3.2实施指南类标准18 2.3.3检测评估类标准20 3数据安全风险21 3.1常见数据安全问题分析21 3.1.1数据泄露21 3.1.2数据篡改22 3.1.3数据勒索23 3.2数据处理活动安全风险23 3.2.1数据收集环节的安全风险23 3.2.2数据存储环节的安全风险25 3.2.3数据使用和加工环节的安全风险25 3.2.4数据传输环节的安全风险26 3.2.5数据公开安全风险27 3.2.6数据提供安全风险28 4数据安全与身份安全28 4.1数据处理活动中的数据安全技术措施29 4.2身份与访问管理(IAM)赋能数据安全29 4.2.1身份鉴别29 4.2.2授权管理30 4.2.3数据访问控制31 4.2.4数据安全审计32 4.3与数据安全相关的IAM技术挑战33 4.3.1身份管理挑战33 4.3.2访问控制挑战34 4.3.3审计溯源挑战34 5身份管理35 5.1身份定义35 5.1.1自然人身份35 5.1.2组织身份36 5.1.3设备身份37 5.1.4外部应用身份38 5.2身份数据收集38 5.2.1数据源同步38 5.2.2用户自注册39 5.2.3自动采集40 5.2.4人工录入40 5.2.5自助维护40 5.3身份认证40 5.3.1身份认证凭据40 5.3.2用户认证策略41 5.3.3身份认证技术42 6数据访问控制43 6.1数据权限管理44 6.1.1权限管理的基本要素44 6.1.2权限管理系统设计47 6.1.3用户管理47 6.1.4角色管理48 6.1.5权限管理49 6.2数据访问控制模型50 6.2.1自主访问控制DiscretionaryAccessControl,DAC)50 6.2.2强制访问控制(MandatoryAccessControl,MAC)52 6.2.3基于角色的访问控制(Role-BasedAccessControl,RBAC)55 6.2.4基于属性的访问控制(Attribute-BasedAccessControl,ABAC) ................................................................60 6.2.5风险自适应访问控制((RAdAC,Risk-AdaptableAccessControl)) ................................................................65 6.2.6下一代访问控制(NGAC)66 7数据安全审计69 7.1审计日志分类70 7.1.1单次数据使用审计日志70 7.1.2单会话内多次数据使用审计日志72 7.2审计日志获取能力73 7.2.1精准解析协议能力73 7.2.2加密算法解析能力73 7.2.3用户名补偿审计能力73 7.2.4三层关联能力74 7.3审计分析74 7.3.1自动分析74 7.3.2人工干预分析75 8用零信任实现数据安全76 8.1零信任介绍76 8.2零信任的实现78 8.3发展与展望79 9典型应用场景80 9.1政务领域典型场景80 9.1.1政务领域数据使用场景与访问控制威胁分析80 9.1.2政务领域身份管理与访问控制能力分析80 9.1.3政务领域数据访问控制防护场景与技术说明81 9.2企业领域典型场景82 9.2.1企业领域数据使用场景与访问控制威胁分析82 9.2.2企业领域身份管理与访问控制能力分析86 9.2.3企业领域数据访问控制防护场景与技术说明87 10数据安全新技术展望89 1前言 1.1研究背景 2022年1月12日,国务院发布《“十四五”数字经济发展规划》,强调数 据要素是数字经济深化发展的核心引擎,到2025年数字经济走向全面扩展期,数字经济核心产业增加值占国内生产总值比重达到10%,数据要素市场体系初步建立。2023年1月,工信部等十六部门联合印发《关于促进数据安全产业发展的指导意见》,提出到2025年,数据安全产业规模超过1500亿元,到2035年,数据安全产业进入繁荣成熟期。2023年3月《数字中国建设整体布局规划》要求数字基础设施高效联通,数据资源规模和质量加快提升,数据要素价值有效释放。2023年3月《党和国家机构改革方案》方案提出组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,推进数字中国.数字经济.数字社会规划和建设等,推进数据要素基础制度建设。 数据已被视为国家基础性战略资源,各行各业的大数据应用正迅猛发展,但随之而来的数据安全问题也日益加剧,有时甚至限制了大数据应用的发展。基于此,无论是国家机关还是企事业单位,都在加紧数据安全体系的建设。数据安全是数据经济发展的必要条件,是促进数据分享.产生数据流动价值的基本保障。 1.1.1基础政策导向 《中华人民共和国计算机信息系统安全保护条例》《网络安全法》《信息安全等级保护管理办法》《国家密码法》《关键信息基础设施安全保护条例》《数据安全法》《个人信息保护法》《关于促进数据安全产业发展的指导意见》等法律法规和政策文件也要求推动信息网络空间安全治理,并提出相关的规范与要求,将信息安全检查常态化。完整的识别组织内部的信息资产,并制定覆盖所有网络设备的信息安全策略,只有这样才能尽可能保护数据资产的安全性。 1.1.2数据安全形势严峻 近几年政府.企业数字化转型进程不断加快,但随之而来的数据安全问题愈发严重。如Facebook在2021年曾遭遇数据泄露,其中5.33亿条数据记录被曝 光;印度某政府网站800万核酸检测报告被泄露。同时在国内此类事件也屡见不鲜,2023年某大学学生创建颜值打分平台,学生的照片.姓名.学号.学院.籍贯.生日信息泄露;两名航空公司员工在2020年至2021年间利用职务之便,向粉丝出售明星个人信息;2020年以来,有关电信运营商.航空公司等单位内网和信息系统先后多次出现越权登录.数据外传等异常网络行为。 1.2研究范围 根据国家标准GB/T35274-2023《信息安全技术大数据服务安全能力要求》,数据处理安全能力涵盖数据收集.数据存储.数据使用.数据加工.数据传输.数据提供.数据公开以及数据销毁等活动。而身份管理与访问控制是数据要素安全.合理.合法.合规流动与分享的基础条件,本研究报告重点关注身份与访问管理保障数据使用主客体身份安全.数据权限控制.数据使用身份风险以及事后审计等内容。 (1)数据采集.存储.传输.使用过程中面临的身份安全问题 (2)身份管理与访问控制在数据生命周期管理中可带来作用与价值 (3)重点讨论数据访问控制策略与技术 (4)结合零信任体系探讨数据安全保证模式 (5)描述典型业务场景下,身份管理与访问控制如何保障数据正确安全使用 1.3适用场景 本次研究成果关注身份管理与访问控制在数据安全中主客体身份安全管理.数据访问权限控制.数据使用风险管控等相关内容,可结合数据分级分类.数据加解密.DLP数据防泄漏.数据情报获取等内容形成数据整体安全体系,保障数据安全流转,促进数字经济发展。 2数据安全合规 2.1数据安全面临合规压力 随着数字经济的发展,数据逐渐成为了经济增长的强大动力及核心资产,随着我国乃至全球数字经济的兴起,数据从一种信息的载体,转化成了具有独立经济价值,乃至国家安全价值的一种利益形态。随着国家层面对数据管理和个人信息保护需求的激增,社会公众对隐私及个人信息保护意识的加强,在过去几年中,在全球范围内各国纷纷出台相关法律法规,相关的监管活动也呈现出常态化趋势。 数据安全新监管趋势及行业趋势对数据安全管理提出了新的挑战和要求,政府.企业等组织机构做好数据安全工作面临着较大的合规压力,例如数据处理安全.个人信息保护.数据跨网交换安全及数据出境安全等方面。 2.2我国数据安全相关法律法规 近年来,随着《网络安全法》《数据安全法》《个人信息保护法》等上位法的发布,数据要素掌控和利用过程中面临刚性的数据安全合规要求。 从我们国家来看,从2017年《网络安全法》的施行开始,到2021年《数据安全法》和《个人信息保护法》相继的生效和施行,三部法律法规构成了我国网络安全和数据合规领域的基本法律规则框架
