33-数据安全05-数据处理安全之数据正当使用

数据处理安全-数据正当使用教学目标理解数据正当使用的含义理解常见的访问控制模型目录数据正当使用的含义访问控制模型数据处理安全-数据正当使用数据正当使用的间接定义国家标准《数据安全能力成熟度模型》：

基于国家相关法律法规对数据分析和利用的要求，建立数据使用过程的责任机制、评估机制，保护国家秘密、商业秘密和个人隐私，防止数据资源被用于不正当目的。2016年某国总统大选大数据“杀熟”数据处理安全-数据正当使用数据正当使用的间接定义大数据的高价值《数据安全能力建设实施指南》指出，大数据时代中的数据价值越来越高，容易导致组织内部合法人员被数据的价值吸引而违规、违法的获取、处理和泄露数据。通过建立数据使用过程中的相关责任和管控机制，保证数据的正当使用正当使用安全的管理对象如何管理正当使用安全的对象目录数据正当使用的含义访问控制模型数据处理安全-数据正当使用身份与访问管理（IAM）Gartner对IAM的定义：“Identityandaccessmanagement(IAM)isthedisciplinethatenablestherightindividualstoaccesstherightresourcesattherighttimesfortherightreason.”IAM是一种身份与访问管理机制，它能有效控制什么样的人或物的用户在什么时间有权限访问到什么样的资源。即控制主体对客体的访问，防止未经授权的数据读取、修改、外泄。数据处理安全-数据正当使用访问控制模型自主访问控制（DAC）强制访问控制（MAC）基于角色的访问控制（RBAC）基于属性的访问控制（ABAC）数据处理安全-数据正当使用访问控制模型-自主访问控制（DAC）自主访问控制（DiscretionaryAccessControl，DAC），是由拥有某一客体资源控制权的用户，自行制定访问主体和该客体之间的访问关系，常见用于记录访问关系的载体有访问控制列表、访问控制矩阵、访问控制能力列表。数据处理安全-数据正当使用访问控制模型-强制访问控制（MAC）强制访问控制（MandatoryAccessControl，MAC），是分别为主体、客体赋予安全级别，增加安全标签属性，通过访问策略明确访问关系，高级别主体可访问低级别客体，低级别主体拒绝访问高级别客体。数据处理安全-数据正当使用访问控制模型-基于角色的访问控制（RBAC）基于角色的访问控制（Role-BasedAccessControl,RBAC），是基于某一类别的用户组/岗位角色赋予权限，不面向个体账号设置权限。用户被分配适当的角色后，该用户就获得对应角色的所有权限，管理员根据业务角色划分组别和权限后，对角色设定最小特权。相比于面向用户的权限调整，基于角色的访问控制维护成本大大降低，即简化了用户的权限管理方式。数据处理安全-数据正当使用访问控制模型-基于属性的访问控制（ABAC）基于属性的访问控制（Attribute-BasedAccessControl,ABAC），是基于能区别实体的属性，制定相关的访问控制策略。在访问控制模型中，涉及的实体包括主客体、环境、行为、对象等，各自有着独特的属性。主体属性包括用户名、部门名、职务、年龄、机器编码等环境属性包括访问者的IP、访问时间等行为属性包括修改、添加、删除、读取等对象属性包括文件、数据库表、URL地址等数据处理安全-数据正当使用零信任体系零信任假设a) 内部威胁是客观存在的；b) 访问主体不局限于用户，还包括设备、应用程序、网络等类别；c) 安全是动态的，不是静态的。每个对象的安全状态是相对的，不是静态不变的。“从不信任，始终验证”数据处理安全-数据正当使用零信任体系零信任3类技术方案软件定义边界（SDP）身份和访问管理（IAM）微隔离（MSG）数据处理安全