CSA发布 | 基于IAM的数据安全技术研究 - 新鲜讯息

随着数字化、智能化的建设与发展，以及云计算、大数据、人工智能等技术的推动，身份与访问管理（Identity and Access Management, IAM）已经成为各种组织（企事业单位及政府部门）的安全体系的基石。合理的规划、部署、应用IAM不仅可以提高组织的安全管理水平，还能降低各类安全风险，提高企业运营效率。

文末附报告获取方式

云安全联盟大中华区发布《基于IAM的数据安全技术研究》（以下简称报告）旨在通过对数据的安全合规需求和安全风险分析，结合对IAM的基本原理、核心模块的阐述，探讨如何构建一个有效的数据安全访问控制体，赋能组织的数据安全。此外，报告通过分析典型应用场景，让读者对IAM在数据安全中的应用有更直观的理解。

合规需求与风险挑战

报告的前三章对数据安全的合规需求和风险挑战进行了整理和阐述。合规与风险应对是各个组织规划、推进并实施应用数据安全项目的根本动力。相继颁布的《网络安全法》、《数据安全法》、《个人信息保护法》以及《关键信息基础设施安全保护条例》明确了我国网络安全、数据安全、个人信息保护的顶层设计。报告梳理了法规中关于数据安全和保护的顶层设计的定义和要求。（表1）

法规	描述
《网络安全法》	定义“网络数据”为“通过网络收集、存储、传输、处理和产生的各种电子数据。” 要求“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。” “鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。”
《数据安全法》	定义“数据安全”为“通过采取必要措施，确保数据处于有效保护和合法利用状态，以及具备保障持续安全状态的能力。” 定义“数据处理”为“包括收集、存储、使用、加工、传输、提供、公开等”7个环节
《个人信息保护法》	强调处理个人信息应当采用合法、正当的方式，具有明确、合理的目的，限于实现处理目的的最小范围，公开处理规则，保证信息准确，采取安全保护措施等
《关键信息基础设施安全保护条例》	要求关键信息基础设施运营者应当“在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。” 应成立专门安全管理机构，负责“履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度。”

表1：法规中关于数据安全和保护的顶层设计的定义和要求

在具体落地层面，国家在加强对数据安全监管的同时，也加大了数据安全相关国家标准的制定和发布速度，方便政府、企业等组织机构在实践中进行参考。数据安全系列国家标准分为三个类别：安全要求类标准、实施指南类标准和检测评估类标准，组织机构可根据实际需要有选择的参考采用。下图是政务信息共享数据安全技术要求框架，展示了共享数据准备、共享数据交换、共享数据使用等三个阶段分别涉及的数据安全技术措施。

图1：政务信息共享数据安全技术要求框架

（摘录自GB/T 39477—2020）

伴随各类组织数字化的持续推进，数据集中化、数据量大、数据价值高等特点的安全风险更加凸显。报告重点梳理了数据泄露、数据篡改以及数据勒索三类常见的安全问题，并依据《数据安全法》定义的“数据处理”的7个环节，即收集、存储、使用、加工、传输、提供以及公开所面临的风险进行了针对性的分析（表2）。

表2：“数据处理”环节面临的风险

应对与实施

报告的第四章到第八章，阐述了如何结合IAM应对数据安全的合规需求和风险挑战。从前三章的分析中，不难认识到，IAM的身份鉴别、授权管理、访问控制、审计溯源等能力对保障数据安全起到至关重要的作用。对于数据和访问的真实性、保密性、合法性以及可追溯性都提供了关键的支撑。即便如此，IAM在应用于数据安全的过程中也会面临一定的挑战。报告从身份管理、访问控制和审计溯源三个方面分析了这些技术挑战。

图2：IAM应用数据安全时面临的挑战

本着以深入浅出的方式为读者将IAM的理念和技术运用到数据安全防护的工作中的目的，报告通过身份管理、数据访问控制和数据安全审计三个章节阐述了IAM的核心理念和技术，并详述了在规划、部署和应用IAM过程中应注重的要点。

IAM作为零信任的关键组成部分，报告也探讨了在数据安全中应用零信任理念的实现路径。零信任理念自提出以来，以其“永不信任、始终验证”的核心原则逐渐从一个理论概念发展为一种被广泛采纳的安全策略。将零信任策略应用于各个安全场景，一直是安全从业者的为之努力的目标。基于零信任安全模型，在面对复杂多变的安全威胁时，我们有能力更加有效地保护数据安全。不过，作为一个仍在持续发展和演变的理念，零信任应用于数据安全防护中也面临不少挑战，报告特别指出如何将现有的IT系统和零信任模型进行有效结合，在做到安全防护的同时保证业务的连续性是一个值得读者深入思考的问题。

应用与展望

报告的第九章分别从政务和企业业务两个方面的典型业务场景进行了数据使用场景与访问控制威胁分析以及身份管理与访问控制能力分析，并对数据访问控制防护场景与技术进行了说明。推荐读者结合第五至七章对身份管理、数据访问控制和数据安全审计的阐述，并根据自身的业务需求阅读。

报告的最后对数据安全的应用和发展进行了展望，包括：分布式的数字身份管理体系、隐私计算、机密计算、身份威胁检测和响应以及数据胶囊技术。

总结

IAM作为安全领域的基石，对其深入理解有助于合理的规划、部署并在各个领域应用IAM技术，提升安全防护能力。本文从数据安全角度展示了这一点。我们也期待更多的人加入以IAM赋能包括数据安全在内的各种安全领域的相关研究和实践的工作中，共同为构建更加安全可靠的数字世界贡献力量。

课程推荐

云安全联盟大中华区于2020年发布推出了零信任认证专家 ( Certified Zero Trust Professional，简称“CZTP”) ，经过3年的发展，零信任课程再度刷新升级零信任认证专家（Certified Zero Trust Professional，CZTP）2.0版本。

2024年1月6-30日，第六届CSA认证年度集训全面启动，深入学习云安全、云渗透、数据安全与零信任。其中2024年1月15-21日为期七天的CZTP2.0公开课报名开启！

零信任认证专家2.0（Certified Zero Trust Professional 2.0，CZTP 2.0 ）持续保持课程国际领先性、知识系统完整性，培养具有数字安全战略思维，架构思维及零信任安全实战能力的产业级专业人才，为数字安全的创新、零信任产业发展，提供人才支撑保障。

第六届CSA认证年度集训更多详情请看下方海报

致谢

《基于IAM的数据安全技术研究》由 CSA 大中华区IAM工作组专家撰写，感谢以下专家的贡献：

工作组联席组长：戴立伟、于继万、谢琴

主要贡献者：谢江、蔡国辉、林鹭、包宏宇、郭立文、李凌宇

参与贡献者: 崔崟、黄鹏华、鹿淑煜、石瑞生、王亮、于振伟、张彬、张淼、周利斌

研究协调员：蒋妤希

感谢以下单位的支持与贡献：

华为、天融信、竹云、安恒信息、奇安信、物盾科技、三未信安、观安信息、安易科技、芯盾时代、易安联

(以上排名不分先后)