33-數(shù)據(jù)安全05-數(shù)據(jù)處理安全之?dāng)?shù)據(jù)正當(dāng)使用

數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用教學(xué)目標(biāo)理解數(shù)據(jù)正當(dāng)使用的含義理解常見(jiàn)的訪問(wèn)控制模型目錄數(shù)據(jù)正當(dāng)使用的含義訪問(wèn)控制模型數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用數(shù)據(jù)正當(dāng)使用的間接定義國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全能力成熟度模型》：

基于國(guó)家相關(guān)法律法規(guī)對(duì)數(shù)據(jù)分析和利用的要求，建立數(shù)據(jù)使用過(guò)程的責(zé)任機(jī)制、評(píng)估機(jī)制，保護(hù)國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，防止數(shù)據(jù)資源被用于不正當(dāng)目的。2016年某國(guó)總統(tǒng)大選大數(shù)據(jù)“殺熟”數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用數(shù)據(jù)正當(dāng)使用的間接定義大數(shù)據(jù)的高價(jià)值《數(shù)據(jù)安全能力建設(shè)實(shí)施指南》指出，大數(shù)據(jù)時(shí)代中的數(shù)據(jù)價(jià)值越來(lái)越高，容易導(dǎo)致組織內(nèi)部合法人員被數(shù)據(jù)的價(jià)值吸引而違規(guī)、違法的獲取、處理和泄露數(shù)據(jù)。通過(guò)建立數(shù)據(jù)使用過(guò)程中的相關(guān)責(zé)任和管控機(jī)制，保證數(shù)據(jù)的正當(dāng)使用正當(dāng)使用安全的管理對(duì)象如何管理正當(dāng)使用安全的對(duì)象目錄數(shù)據(jù)正當(dāng)使用的含義訪問(wèn)控制模型數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用身份與訪問(wèn)管理（IAM）Gartner對(duì)IAM的定義：“Identityandaccessmanagement(IAM)isthedisciplinethatenablestherightindividualstoaccesstherightresourcesattherighttimesfortherightreason.”IAM是一種身份與訪問(wèn)管理機(jī)制，它能有效控制什么樣的人或物的用戶在什么時(shí)間有權(quán)限訪問(wèn)到什么樣的資源。即控制主體對(duì)客體的訪問(wèn)，防止未經(jīng)授權(quán)的數(shù)據(jù)讀取、修改、外泄。數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用訪問(wèn)控制模型自主訪問(wèn)控制（DAC）強(qiáng)制訪問(wèn)控制（MAC）基于角色的訪問(wèn)控制（RBAC）基于屬性的訪問(wèn)控制（ABAC）數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用訪問(wèn)控制模型-自主訪問(wèn)控制（DAC）自主訪問(wèn)控制（DiscretionaryAccessControl，DAC），是由擁有某一客體資源控制權(quán)的用戶，自行制定訪問(wèn)主體和該客體之間的訪問(wèn)關(guān)系，常見(jiàn)用于記錄訪問(wèn)關(guān)系的載體有訪問(wèn)控制列表、訪問(wèn)控制矩陣、訪問(wèn)控制能力列表。數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用訪問(wèn)控制模型-強(qiáng)制訪問(wèn)控制（MAC）強(qiáng)制訪問(wèn)控制（MandatoryAccessControl，MAC），是分別為主體、客體賦予安全級(jí)別，增加安全標(biāo)簽屬性，通過(guò)訪問(wèn)策略明確訪問(wèn)關(guān)系，高級(jí)別主體可訪問(wèn)低級(jí)別客體，低級(jí)別主體拒絕訪問(wèn)高級(jí)別客體。數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用訪問(wèn)控制模型-基于角色的訪問(wèn)控制（RBAC）基于角色的訪問(wèn)控制（Role-BasedAccessControl,RBAC），是基于某一類(lèi)別的用戶組/崗位角色賦予權(quán)限，不面向個(gè)體賬號(hào)設(shè)置權(quán)限。用戶被分配適當(dāng)?shù)慕巧?，該用戶就獲得對(duì)應(yīng)角色的所有權(quán)限，管理員根據(jù)業(yè)務(wù)角色劃分組別和權(quán)限后，對(duì)角色設(shè)定最小特權(quán)。相比于面向用戶的權(quán)限調(diào)整，基于角色的訪問(wèn)控制維護(hù)成本大大降低，即簡(jiǎn)化了用戶的權(quán)限管理方式。數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用訪問(wèn)控制模型-基于屬性的訪問(wèn)控制（ABAC）基于屬性的訪問(wèn)控制（Attribute-BasedAccessControl,ABAC），是基于能區(qū)別實(shí)體的屬性，制定相關(guān)的訪問(wèn)控制策略。在訪問(wèn)控制模型中，涉及的實(shí)體包括主客體、環(huán)境、行為、對(duì)象等，各自有著獨(dú)特的屬性。主體屬性包括用戶名、部門(mén)名、職務(wù)、年齡、機(jī)器編碼等環(huán)境屬性包括訪問(wèn)者的IP、訪問(wèn)時(shí)間等行為屬性包括修改、添加、刪除、讀取等對(duì)象屬性包括文件、數(shù)據(jù)庫(kù)表、URL地址等數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用零信任體系零信任假設(shè)a) 內(nèi)部威脅是客觀存在的；b) 訪問(wèn)主體不局限于用戶，還包括設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)等類(lèi)別；c) 安全是動(dòng)態(tài)的，不是靜態(tài)的。每個(gè)對(duì)象的安全狀態(tài)是相對(duì)的，不是靜態(tài)不變的?！皬牟恍湃危冀K驗(yàn)證”數(shù)據(jù)處理安全-數(shù)據(jù)正當(dāng)使用零信任體系零信任3類(lèi)技術(shù)方案軟件定義邊界（SDP）身份和訪問(wèn)管理（IAM）微隔離（MSG）數(shù)據(jù)處理安全