《数据安全实践指南》- 通用安全实践-鉴别与访问控制

鉴别与访问控制

• 随着企业业务的不断发展，满足组织内部的数据安全合规性需求正变得越来越迫切和重要。建立合适的身份鉴别与访问控制机制，可以有效消除组织机构内部的核心敏感数据被未授权访问的风险。

建立负责鉴别与访问控制的职能部门

• 为了避免组织内部出现敏感数据被未授权访问的安全事件，同时也为了进一步满足数据安全合规性需求，在条件允许的情况下，组织机构应该设立负责鉴别与访问控制管理的岗位，并招募相关的管理人员和技术人员，负责为公司提供必要的技术能力支持和统一管理，负责为组织机构制定整体的针对用户身份鉴别、访问控制和权限管理的策略，负责对组织机构内部的身份鉴别场景、访问控制场景、权限管理场景等进行风险评估，负责为技术人员建立数据权限授权审批流程，负责为技术人员建立规范统一的身份鉴别管理系统、访问控制管理系统、权限管理系统，确保任何人的身份鉴别、访问控制、权限管理的操作都可以追踪溯源。除此之外，鉴别与访问控制部门还需要为技术人员进行专门的安全意识培训，并推动以上相关要求在组织机构中切实可靠地执行。

明确鉴别与访问控制岗位的能力要求

• 组织机构在设立了专门负责鉴别与访问控制管理的岗位之后，还需要招募负责该项工作的专项人员。鉴别与访问控制部门的管理人员必须具备良好的数据安全风险意识，熟悉国家网络安全法律法规，以及组织机构所属行业的政策和监管要求，在进行身份鉴别、访问控制、权限管理和制定相应的管理策略时，能够严格按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规和行业规范执行。同时，相关的管理人员还需要具备一定的鉴别与访问控制管理经验，拥有良好的鉴别与访问控制管理专业知识基础，且通过了岗位能力测试，熟悉主流的身份鉴别、访问控制、权限管理制度、管理流程、管理要求和技术工具，能够根据不同的管理要求对鉴别与访问控制场景进行相应的风险评估，能够根据鉴别与访问控制管理和审核的整体需求明确应使用的鉴别与访问控制管理工具。除此之外，管理人员还需要能够主动根据行业及政策变化更新相关的知识和技能，以及能够结合业界标准、合规准则和业务场景制定标准化鉴别与访问控制的管理制度。
• 鉴别与访问控制管理部门的技术人员必须具备良好的鉴别与访问控制管理安全风险意识，熟悉相关的法律法规和政策要求，熟悉主流厂商的身份鉴别、访问控制、权限管理案例，熟悉主流的鉴别与访问控制管理工具及其使用方法，熟悉相关的数据访问控制的技术知识，拥有一年以上的鉴别与访问控制执行经验，能够充分理解并执行由管理人员制定的鉴别与访问控制管理策略，能够根据组织数据安全管理制度对数据权限进行审批管理，能够充分理解鉴别与访问控制场景下的业务需求，能够主动根据政策变化和技术发展更新自身的相关知识和技能，具备对突发的鉴别与访问控制事件进行应急处理的能力。

鉴别与访问控制岗位的建设及人员能力的评估方法

1. 调研访谈

• 鉴别与访问控制阶段的调研访谈，主要包含对公司鉴别与访问控制部门的管理人员和技术人员的访谈两部分，具体访谈内容如下。
• 对鉴别与访问控制部门管理人员的访谈内容为：确认其在制定整体的鉴别与访问控制管理策略上，在明确对身份标识与鉴别、访问控制及权限的分配、变更、撤销等权限管理的要求上，在建立组织机构统一的身份鉴别管理系统、访问控制管理系统、权限管理系统上，在明确数据权限授权审批流程和对数据权限进行定期审核上，在明确鉴别与访问控制的管理场景和管理流程上，在对鉴别与访问控制管理场景进行风险评估上，在明确鉴别与访问控制的管理要求上，在规定统一标准的鉴别与访问控制管理工具上，是否符合相关的法律规定，是否具备足够的能力胜任该职业。同时，调研访谈还应该确认鉴别与访问控制管理人员是否熟悉相关的鉴别与访问控制管理的技术知识。
• 对鉴别与访问控制部门技术人员的访谈内容为：确认其是否具有一年以上的鉴别与访问控制执行经验；是否熟悉鉴别与访问控制管理的相关合规要求；是否能够按照国家相关法律法规和管理人员制定的鉴别与访问控制管理策略进行统一管理；是否能够准确理解组织机构内部的身份鉴别、访问控制、权限管理的业务需求；是否能够准确地实施由鉴别与访问控制管理人员建立的数据权限授权审批流程；是否能够对突发情况进行及时的应急处置与追踪溯源。

2. 问卷调查

• 鉴别与访问控制阶段的问卷调查通常是以纸面问卷的形式，向公司鉴别与访问控制管理部门的技术人员调研该部门管理人员的工作情况，具体调研内容如下。
• 鉴别与访问控制管理人员是否制定了针对组织机构内部的、有效的鉴别与访问控制管理策略及管理流程；是否明确定义了身份鉴别、访问控制、权限管理的场景及要求；是否建立了组织机构统一的身份鉴别管理系统、访问控制管理系统、权限管理系统；是否建立了对数据权限授权审批的流程及审批机制；是否可以对不同的鉴别与访问控制管理场景进行风险评估；是否能够依据国家的相关法律法规对鉴别与访问控制管理的过程进行严格规范的监督；是否规定了在不同场景下应使用的管理工具；是否制定了统一的鉴别与访问控制审查工具及其相关的使用标准，以用于应对突发情况下的应急处置与追责溯源。

3. 流程观察

• 鉴别与访问控制阶段的流程观察，主要是观察公司鉴别与访问控制部门的管理人员和技术人员两方的工作流程，并从中寻找可能的问题点和改善点，具体观察内容如下。
• 以中立的视角观察公司鉴别与访问控制管理人员的工作流程，包括在为公司制定整体的鉴别与访问控制管理策略及管理要求时，为组织机构建立统一的身份鉴别管理系统、访问控制管理系统、权限管理系统时，为不同的鉴别与访问控制管理场景提供安全风险评估时，为技术人员建立身份鉴别、访问控制、权限管理的审核机制时，为技术人员指定统一的鉴别与访问控制管理工具并制定相应的标准操作流程时，是否可以识别出其中可能存在的数据安全风险，是否贴合组织机构的内部框架，是否能够满足不同业务场景的安全需求，是否符合国家相关法律法规的要求。
• 以中立的视角观察公司鉴别与访问控制技术人员的工作流程，包括在对身份鉴别、访问控制、权限管理进行审核时，对鉴别与访问控制管理的工作流程进行记录时，实施由管理人员制定的鉴别与访问控制管理策略时，是否可以识别出其中可能存在的安全风险，方法流程是否符合标准的流程，是否符合国家相关法律法规的要求。

4. 技术检测

• 鉴别与访问控制阶段的技术检测，需要使用技术工具检测鉴别与访问控制管理的工作流程是否符合安全规范与法律规定；检测身份鉴别、访问控制、权限管理和审核过程中，没有出现任何超出鉴别与访问控制管理授权范围的情况；检测身份鉴别、访问控制、权限管理的审核机制是否正常，确保当出现突发情况时组织机构能够快速进行应急处置；检测鉴别与访问控制管理的方式是否符合标准，以及鉴别与访问控制管理的安全需求是否能够得到满足。

明确鉴别与访问控制管理的目的和内容

• 鉴别与访问控制管理的目的是通过基于组织的数据安全需求和合规性要求建立身份鉴别和数据访问控制机制，以防范对数据的未授权访问风险。
• 组织机构应建立负责鉴别与访问控制管理的部门，并制定鉴别与访问控制管理规范，对组织机构内所有的操作系统、数据库系统、应用系统、开发测试系统及网络系统所提供的服务的访问进行合理控制，以确保数据能够得到合法使用。

制定身份鉴别措施

• 系统中的所有用户终端、操作系统、应用程序的远程登录和本地登录操作，均应设置身份鉴别措施。常用的身份鉴别技术包括基于口令的鉴别方式、基于智能卡的鉴别方式、基于生物特征的鉴别方式、一次性口令鉴别方式等，下面就来具体讲解这些鉴别方式。

  • 1.基于口令的鉴别方式

    • 基于口令的鉴别方式最常见、应用最广。它是一种单因素的认证方式，安全性仅依赖于口令，一旦口令泄露，用户就很有可能会被冒充。因此，鉴别与访问控制部门在采用用户名+口令的鉴别方式时，应满足以下要求。
    • 口令长度不少于8位。
    • 采用高强度且无规律的口令，要求包括数字、大小写字母、特殊字符。
    • 定期更换口令。
    • 采用相应的措施保证口令存储和传输的安全性。

  • 2.基于智能卡的鉴别方式

    • 智能卡具有硬件加密的功能，有较高的安全性。它是一种双因素认证方式（个人身份识别码+智能卡），即使个人身份识别码或智能卡遭到窃取，用户也不会被冒充。

  • 3.基于生物特征的鉴别方式

    • 生物特征认证方式以人体唯一的、可靠的、稳定的生物特征（如指纹、虹膜、脸部、掌纹等）为依据，利用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性、可靠性和有效性。

  • 4.一次性口令鉴别方式

    • 在登录过程中加入不确定因素，使每次登录过程中传送的信息都不相同，以提高登录过程的安全性。
    • 当用户身份鉴别成功后，如果其空闲操作的时间超过十分钟，则应该对该用户重新进行身份鉴别。
    • 当用户身份鉴别尝试失败次数达到五次时，系统应采取以下措施。
      • 对于本地登录的用户进行登录锁定，同时形成审计事件并告警。
      • 对于远程登录的用户进行登录锁定，并且只能由系统管理员恢复，同时形成审计事件并告警。
      • 对于通过应用程序进行登录的情况，应禁止使用该程序，或者延长一定时间后再允许该用户尝试，同时形成审计事件并告警。

明确数据权限授权审批流程

• 组织机构应明确数据权限授权审批流程，针对数据权限的申请和变更进行审核，避免数据使用权限失控，并防止组织内部合法人员利用违规或违法取得的权限进行不正当的操作。
• 提交信息资源访问申请-评估信息资源使用范围及内容-审批-授权-记录存档
• 数据授权审批流程需要注意如下几点内容。
  • 首先，用户应明确需要访问的信息资源，然后向鉴别与访问控制部门提交《信息资源访问申请表》，其中需要填写的内容包括申请人、所在部门、岗位、申请日期、访问有效期、申请内容和申请理由等。
  • 鉴别与访问控制部门在收到《信息资源访问申请表》之后，组织内的相关人员应开展信息资源访问评审会议，对所申请的信息资源访问范围及内容进行风险评估。对于通过评审的信息资源访问申请，鉴别与访问控制部门在审查无误后，方可对使用的信息资源的范围和内容进行授权。同时，鉴别与访问控制部门有权对不规范的授权事宜提出否决意见、对授权范围和内容的变更或终止提出意见。
  • 鉴别与访问控制部门应配置成熟的数据权限管理平台，限定用户可访问的数据范围。在信息资源的授权过程中，应遵循“最小够用”、职权分离等原则，授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。同时，鉴别与访问控制部门需要确定授权的有效期，并在期满后重新进行授权操作。
  • 鉴别与访问控制部门完成用户权限的设置后，必须对各类授权书进行存档备案管理。

实施访问控制管理

• 鉴别与访问控制部门应制定数据和操作系统的访问规则，用户必须按规则访问操作系统。
• 对于需要进行访问控制的操作系统、数据库系统、应用系统、开发测试系统及网络系统，组织机构需要对这些系统进行设置，保证在进入系统之前必须执行登录操作，并且记录登录成功与失败的日志。对于生产网和办公网则要实现物理隔离，核心设备需要设置特别的物理访问控制，并建立访问日志。

建立安全审计机制

• 鉴别与访问控制部门必须定期检查数据和系统的访问权限，及时删除或停用多余的、过期的账户角色，避免共享账户与角色权限发生冲突，防止出现权限滥用的情况，同时将检查的情况记录在案。
• 鉴别与访问控制部门还需要配置成熟的信息资源使用日志记录或审计产品，对信息资源的访问和使用进行严格、详细地记录。同时，监视信息资源的访问和使用情况，一旦发现可疑授权或可疑使用的情况，就及时进行通报修正。

使用技术工具

• 在组织机构的信息系统中，身份鉴别与访问控制是保证信息系统数据安全最有效的技术措施。身份鉴别和访问控制是分不开的，彼此之间配合工作。当用户访问信息系统或数据时，首先需要通过身份鉴别技术的鉴别和认证，认证通过后，访问控制系统会根据鉴别出的用户身份判断该身份是否拥有访问所需资源和数据的权限，如果该身份具备对应的访问权限，则访问控制系统就会放行用户的访问。反之，访问控制系统将会阻断用户的访问。身份鉴别和访问控制技术可用于防范对数据的未授权访问风险。

身份标识与鉴别技术

• 身份标识是指能够证明用户身份的用户所独有的标志特征。这个标志特征必须具备唯一性，如现实生活中的身份证、户口本、护照、工作证、实名认证的手机号等。在信息系统中，用户的身份标识可以是账号密码、动态校验码、机器码、IP地址、令牌（token）等。身份标识是进行身份鉴别的依据和凭证。

• 身份鉴别其实就是用户在访问受限信息系统和数据时，进行身份确认的一个过程，也称为身份认证。身份鉴别系统一般由四个组件构成：用户组件、输入组件、传输组件和验证组件。身份认证一般分为单向认证和双向认证，单向认证只需要信息系统对用户进行认证即可；而双向认证除了信息系统要对用户进行认证之外，用户还需要对信息系统进行验证。单向认证的实现方式比较简单，资源消耗小；双向认证的实现方式则较为复杂，且需要消耗较多的资源，但是安全性要比单向认证高。身份特征标识需要与鉴别技术结合使用，常见的鉴别方式有基于静态身份特征标识的鉴别技术、基于动态身份特征标识的鉴别技术，以及基于生物识别的身份特征标识的鉴别技术。下面就来介绍这几种鉴别技术。

• 1.基于静态身份特征标识的鉴别技术

  • 静态身份特征标识指的是在一定时间内一直有效的特征标识，最具代表性的示例是账号口令。除了口令之外，机器码、MAC地址等也属于静态身份特征标识。相应的鉴别技术也较为简单，只需要从事先构建好的身份特征标识库中取出对应的标识进行比对即可。基于静态身份特征标识的鉴别技术虽然逻辑简单，但安全性较低。

• 2.基于动态身份特征标识的鉴别技术

  • 动态特征通常是基于信任物体的，如短信验证码、邮箱验证码、手机令牌及手机扫码等，相应的信任物体通常就是手机号码、邮箱账号、手机等。信任的逻辑就是手机号、邮箱、手机均为本人使用。如图11-28所示，鉴别时动态鉴别系统会向相应身份绑定的信任物体发送一次性的动态标识，用户只有持有信任物体并可以正常访问才能读取该动态标识，用户输入动态标识后系统会进行比对。动态鉴别一般会与静态鉴别搭配使用，这也是常见的多因素认证的鉴别模式。

• 3.基于生物识别的身份特征标识的鉴别技术

  • 生物特征一般是指人身上的生物特征，如DNA、面容、指纹、虹膜、声音等，这些都可以唯一指定某一个具体的人。生物特征鉴别技术是指为身份绑定上与其对应的生物标识，如指纹录入、面容录入等，录入后根据特征生成一个复杂的、不可伪造和破解的特征值，以备鉴别时进行比对。生物鉴别通常需要与静态鉴别搭配使用，如刷脸登录等。
  • 在这些鉴别技术的实现和使用过程中，安全通信信道、加密、数字证书、数字签名和时间戳等技术手段可用于保证鉴别过程的安全性，保证鉴别信息不会被窃取和伪造。

访问控制技术

• 访问控制过程是在身份鉴别通过之后进行的。访问控制是指对通过鉴别的不同身份在受限的资源中分配不同的访问权限。限制对关键资源的访问，可以防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏，从而保证网络资源的使用是受控且合法的，是针对越权使用资源的防御措施。一套完整的访问控制系统应包含主体、客体和访问控制策略三大部分。
• 主体：是指发起访问请求的对象，这个对象可以是一个用户，也可以是一个信息系统。
• 客体：是指被主体访问的对象，主体在未得到授权之前，无法对客体进行访问。
• 访问控制策略：用于控制主体对客体的访问权限，规定主体能够访问哪些客体，客体能被哪些主体访问，是一系列规定的合集。访问控制策略遵循的最基本原则是最小够用权限原则，即当主体访问客体时，按照主体所需要的最小化访问需求来分配权限。
• 访问控制策略一般可分为基于身份的安全策略、基于规则的安全策略和综合访问控制策略（HAC）。
• 基于身份的安全策略：主要是指主体对客体发起的访问进行过滤，只有通过身份鉴别的主体才可以访问客体。这种安全策略既可以是针对一个特定的身份，也可以是针对一组身份。基于身份的安全策略是一种较为粗粒度的安全策略，通过身份认证的所有主体都能访问客体。
• 基于规则的安全策略：该策略不是从主体权限的角度出发，而是先对所有的客体资源都打上安全规则标签，已通过鉴别的主体身份也会带有一个安全级别标签，当主体对客体进行访问时，访问控制策略会比较主体安全级别与客体资源的安全级别，当主体的安全级别高于客体的安全级别时允许访问，反之，则拒绝。
• 综合访问控制策略：该策略继承和吸取了多种主流访问控制技术的优点，有效地解决了信息安全领域的访问控制问题，保护了数据的保密性和完整性，保证授权主体能够访问客体和拒绝非授权访问。综合访问控制策略具有良好的灵活性、可维护性、可管理性、更细粒度的访问控制性和更高的安全性。
• 访问控制可以分为两个层面，一个是物理访问控制，另外一个是逻辑访问控制。主要的访问控制类型有3种模式：自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）。

技术工具的使用目标和工作流程

• 身份鉴别管理：支持组织主要应用的接入，以实现对人员访问数据资源的统一身份鉴别。
• 访问权限管理：支持组织主要应用的接入，以实现对人员访问数据资源的访问控制和权限管理。
• 鉴别与访问控制统一：应采用技术手段实现身份鉴别和权限管理的联动控制。
• 多因素身份鉴别：应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。
• 细粒度控制：访问控制的粒度应达到主体为用户级，客体为系统、文件、数据库表级或字段的要求。