2023基于IAM的数据安全技术研究报告

@2023云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途；（b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 致谢 《基于IAM的数据安全技术研究》由CSA大中华区IAM工作组专家撰写，感谢以下专家的贡献： 工作组联席组长： 戴立伟于继万谢琴 主要贡献者： 参与贡献者: 崔崟黄鹏华鹿淑煜石瑞生王亮于振伟张彬张淼周利斌 研究协调员： 蒋妤希 贡献单位： 安易科技（北京）有限公司北京天融信网络安全技术有限公司北京芯盾时代科技有限公司杭州安恒信息技术股份有限公司华为技术有限公司江苏易安联网络技术有限公司奇安信网神信息技术（北京）股份有限公司三未信安科技股份有限公司上海观安信息技术股份有限公司上海物盾信息科技有限公司深圳竹云科技有限公司 (以上排名不分先后) 关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。 在此感谢以上专家及单位。如此文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号 序言 随着数字化进程的加速推进，数据已成为现代企业最重要的资产之一。在大数据.云计算等技术发展以及数据要素市场化流通的背景下，数据的存储和使用方式发生了翻天覆地的变化，同时也带来了新的挑战——如何保护这些敏感的数据资产不被非法访问或者故意泄露？这就需要我们引入IAM（Identity andAccessManagement）的解决方案。 IAM，即身份与访问管理，是一种用于管理和控制用户对资源访问的体系。它可以帮助企业建立一套完整的数据安全管理框架，确保只有得到授权的人员才能访问相关数据。基于IAM的数据安全管理不仅可以提高企业的信息安全水平，还能降低数据安全风险，提高企业运营效率。 《基于IAM的数据安全技术研究》一文以深入浅出的方式，详细阐述了IAM的基本原理.IAM与数据安全的融合以及典型案例实践。我们将从IAM的基础概念开始，逐步探讨如何构建一个有效的数据安全访问控制体系，并通过案例分析，让大家更直观地理解IAM在数据安全中的应用。 我们希望通过本报告，让读者对IAM有更深入的理解，能够将IAM的理念和技术运用到自己的工作中，更好地保障网络数据和个人信息的安全。同时，我们也期待更多的人加入到IAM赋能数据安全的相关研究和实践中，共同推动数据安全技术的发展，为构建更加安全可靠的数字世界贡献力量。 李雨航YaleLi CSA大中华区主席兼研究院院长 目录 致谢....................................................................2 1.1.1基础政策导向.............................................101.1.2数据安全形势严峻.........................................10 1.3适用场景........................................................11 2数据安全合规.........................................................12 2.2.1《中华人民共和国网络安全法》..............................122.2.2《中华人民共和国数据安全法》..............................132.2.3《中华人民共和国个人信息保护法》..........................132.2.4《关键信息基础设施安全保护条例》..........................13 2.3我国数据安全相关国家标准........................................14 2.3.1安全要求类标准............................................142.3.2实施指南类标准............................................182.3.3检测评估类标准............................................20 3数据安全风险.........................................................21 3.1常见数据安全问题分析............................................21 3.1.1数据泄露..................................................213.1.2数据篡改..................................................223.1.3数据勒索..................................................23 3.2数据处理活动安全风险............................................23 3.2.1数据收集环节的安全风险...................................233.2.2数据存储环节的安全风险...................................253.2.3数据使用和加工环节的安全风险.............................253.2.4数据传输环节的安全风险...................................263.2.5数据公开安全风险.........................................273.2.6数据提供安全风险.........................................28 4.1数据处理活动中的数据安全技术措施................................294.2身份与访问管理（IAM）赋能数据安全...............................294.2.1身份鉴别..................................................294.2.2授权管理..................................................304.2.3数据访问控制..............................................314.2.4数据安全审计..............................................324.3与数据安全相关的IAM技术挑战....................................334.3.1身份管理挑战.............................................334.3.2访问控制挑战..............................................34 5身份管理.............................................................35 5.1.1自然人身份................................................355.1.2组织身份..................................................365.1.3设备身份..................................................375.1.4外部应用身份..............................................38 5.2.1数据源同步................................................385.2.2用户自注册................................................395.2.3自动采集..................................................405.2.4人工录入..................................................405.2.5自助维护..................................................40 5.3.1身份认证凭据..............................................405.3.2用户认证策略..............................................415.3.3身份认证技术..............................................42 6数据访问控制.........................................................43 6.1.1权限管理的基本要素........................................446.1.2权限管理系统设计.........................................476.1.3用户管理.................................................476.1.4角色管理.................................................486.1.5权限管理.................................................49 6.2数据访问控制模型................................................50 6.2.1自主访问控制DiscretionaryAccessControl，DAC）.........506.2.2强制访问控制（MandatoryAccessControl，MAC）............526.2.3基于角色的访问控制（Role-BasedAccessControl,RBAC）....556.2.4基于属性的访问控制（Attribute-BasedAccessControl,ABAC）................................................................606.2.5风险自适应访问控制（(RAdAC,Risk-AdaptableAccessControl)）................................................................656.2.6下一代访问控制（NGAC）...................................66 7数据安全审计.........................................................69 7.1审计日志分类..................................................