行业研究公司研究宏观策略财报招股书会议纪要中央经济工作会议低空经济 DeepSeek AIGC 大模型

企业数据隐私保护权限管控水位刻画与提升

信息技术2023-07-13DataFunSummit2023：数据治理在线峰会墨

AI智能总结

企业权限管控水位刻画

隐私数据权限管控行业现状

行业发展背景：国家陆续出台《数据安全能力成熟度模型》、《等保2.0》、《数据安全法》、《个人信息保护法》等标准，推动企业加强隐私数据权限管控。
权限模型演进：从1992年RBAC模型发展到PBAC、TBAC、ABAC、NGAC等，结合零信任思想，形成IdaaS企业身份标准。
数据泄露态势：2022年全球重大数据安全事件中，数据泄露事件占比51.7%，互联网行业泄露数据量最大（447.5亿条，占比47.1%），个人信息数据占比91.4%。
泄露分析：个人信息量最大，内网管理信息泄露导致内部人员成为攻击突破口；勒索软件盗取身份权限攻击数据；社会工程学攻击凸显人员安全意识薄弱。
典型事件：某社交平台账号劫持、多平台被黑、征信公司、医疗保险巨头、云通讯公司等数据泄露事件，均因权限管理不当和安全意识薄弱。

企业权限管理水位评估方法

传统权限模型局限：覆盖不全、授权不清晰、管理难度大、职责不合理、异构模型水位差异、第三方软件权限管理复杂。
多主体权限管控：实现多主体权限申请管控和智能闲置权限回收。

企业权限管理水位提升方案

结合零信任实现统一覆盖：解决传统权限接入覆盖不足、审计日志不全、风险看不清、成本高时效低等问题。
身份权限与零信任结合：在网络边界融合零信任防护能力与身份权限，完整刻画操作链路，沉淀身份权限接入能力。
全生命周期管理策略：实现极致安全体验和极速登录体验。

演讲人：曾子豪蚂蚁集团安全技术专家目录Contents 01企业权限管控水位刻画隐私数据权限管控行业现状行业发展国家标准和法律陆续出台 2019.08《数据安全能力成熟度模型》权限模型 1992年第一个RBAC模型发布，随后产生了PBAC,TBAC,ABAC,NGAC等多种权限模型概念 PA28鉴别与访问控制PA27监控与审计 2019.12《等保2.0》提出控制最小权限,主体访问客体策略等要求平台定位 2021.09《数据安全法》身份与访问控制，从4A体系演变为云基础设施IAM，到Idaas企业身份标准第四章第二十七条提出应采取相应的技术措施和其他必要措施，保障数据安全。 2021.11《个人信息保护法》技术思想2010年提出零信任思想2022年国家颁布《零信任参考体系架构》标准第五章第五十一条明确要求处理者应合理确定个人信息处理的操作权限隐私数据权限管控行业现状 2022隐私数据泄露态势数据泄露事件占51.7 全球重大数据安全事件量境外非法交易泄露数据量互联网占比47.1% 从泄露数据的数量来看，互联网行业仍然排名第一，泄露数据447.5亿条，占比47.1% 全球政企机构重大数据安全报道180起，其中数据泄露相关安全事件高达93起，占51.7% 2022年相较前三年全球重大数据安全相关事件数量有小幅下降，略低于2020年与2021年按照泄露数据的数量来看，个人信息数据约有868.8亿条，占比为91.4% 隐私数据权限管控行业现状隐私数据泄露分析非法交易数据类型分布攻击威胁从量看个人信息量最大，同时内网管理信息泄露会导致企业内部人员成为攻击的重要突破口。勒索软件还会盗取企业内部人员身份，利用其身份已绑定的操作权限攻击隐私数据;除了漏洞利用外，其他几项都与内部人员的安全意识密切相关。隐私数据权限管控行业现状国际某社交平台爆出最大规模账号劫持问题 2020年7月15日，某社交平台发生了比特币诈骗事件，多个拥有数百万关注者的知名账号遭他人盗用宣传比特币骗局的事件。入侵者吸引用户向特定的密码货币钱包发送比特币.诈骗犯利用社会工程学手段取得后台管理工具，利用工具修改账号，并直接发布推文，而他们可能是从带薪休假的员工或是被入侵的员工账户处直接取得该工具。 2022年多平台被黑突显社会工程攻击的危险性API通信提供商和知名网络技术巨头先后遭遇黑客社会工程攻击并发生数据泄露，两家公司的员工成了黑客的突破口，这再次凸显了人员依然是当今网络安全最难以修补的“漏洞”。多名知名人士账号被劫持隐私数据权限管控行业现状多事件暴露安全意识薄权限管理不当某征信公司个人信息泄露某医疗保险巨头美国征信公司的南非公司遭巴西黑客团伙袭击，5400万消费者征信数据泄露，绝大多数为南非公民。巴西黑客团伙N4aughtysecTU声称对此次攻击负责，表示已经成功访问到5400万消费者的个人信息，总数据量约达4TB 医疗保险巨头警告客户勒索软件组织已经开始泄露从该公司窃取的数百万用户数据。包括Medibank客户的个人信息和健康数据。离职员工泄露820万人云通讯公司遭钓鱼攻击某公司一名前员工在未经许可的情况下，下载了公司内部的报告，导致超过800万客户的个人数据可能遭到泄露。有攻击者利用短信网络钓鱼攻击窃取了员工凭证，并潜入内部系统泄露了部分客户数据。隐私数据权限管控行业现状隐私数据权限管控行业现状企业权限管理水位评估方法 02最小权限原则实践权限管控模型升级传统权限模型局限覆盖不全授权不清晰授权不清晰管理难度大传统的权限模型对授权的数据约束不足，容易造成水平越权通过组织、用户组等获取的权限，容易造成授权人员范围扩大当客体数据发生变化，授权数据范围容易与实际数据范围不匹配管理职责不合理人员权限数据量大，难管理安全与体验难以平衡企业内存在多种异构权限模型，容易导致多个平台各自管理权限，水位差异大三方采购软件权限深度场景化，对权限模型场景化要求高，切换难度大权限管控模型升级企业多主体权限管控企业多主体权限管控多主体权限申请管控智能闲置权限回收权限闲置回收 03企业权限管理水位提升方案结合零信任实现统一覆盖传统权限接入覆盖不足审计日志不全风险看不清成本高时效低数据安全风险依赖人工推进风险修复，开发改造、运营推进成本高对应急场景缺少快速止血手段，依赖业务配合响应时效历史没有严控研发流程，对未接入鉴权未有效治理。依赖业务系统自主保障审计数据埋点，数据质量和数据完整性不足未认证、未鉴权、水位越权、权限滥用等风险看不全，没有全域视角审计日志对完整操作访问链路刻画不全，事件溯源难度大存在未识别风险敞口，未能形成自动发现运营治理有效治理结合零信任实现统一覆盖身份权限与零信任结合在网络边界上，将零信任的防护能力与身份权限深度融合，一方面将流量日志全关联身份完整刻画所有操作；另一方面基于网络边界沉淀一整套身份权限接入能力。结合零信任实现统一覆盖全生命周期管理策略全生命周期管理策略极致安全体验极速登录体验 —THANKS— 感谢您的观看

点击免费查看完整报告