【原】数据安全：什么是数据访问控制？

数据访问控制是数据安全中的一个重要概念，因为它是关于根据精心设计的策略来限制对数据的访问。数据访问控制的两个主要组成部分是身份验证和授权。身份验证验证用户的身份，而授权确定他们的访问级别和他们可以执行的操作。

为什么需要数据访问控制？

访问控制对于维护安全性、遵守监管标准和加强问责制至关重要。通过限制对授权人员的访问，组织可以防止盗窃、损坏或未经授权使用资源，有效地管理员工访问，为合法目的创建审计跟踪，并通过自动验证节省时间和资源。访问控制是任何有效的安全和风险管理策略的重要组成部分。

根据Varonis 的2018 年全球数据风险报告，41% 的公司拥有超过 1,000 个敏感文件向所有人（组织内的每个员工）开放。允许在未经适当授权的情况下访问敏感信息，无疑会增加数据泄露的风险。根据上述报告，IT 专业人员大约需要 8-6 个小时来识别和删除每个文件夹的全局访问组。花费这么长时间的原因是他们必须确定哪些用户需要访问哪些资源，这有时可能涉及采访员工以确定他们拥有什么访问权限以及他们需要什么访问权限。因此，实施访问控制应该是一个持续的过程。

数据访问控制方法

实现数据访问控制有四种主要模型：

1. 自主访问控制 (DAC)：这是限制最少的模型，依靠资源的所有者或管理员来确定谁应该有权访问给定资源。它为设置权限提供了完全的自由裁量权，但使监控对敏感信息的访问变得具有挑战性。

2. 强制访问控制 (MAC)：此方法依赖于中央授权机构（例如管理员）来授予和撤销访问权限。最终用户无法控制权限设置，因此难以管理。MAC 常用于军事组织。

3. 基于角色的访问控制 (RBAC)：通过这种方法，员工可以根据他们的工作职能和职责获得不同的访问权限。它是围绕由部门、个人职责和权限等标准定义的预定角色而设计的。

4. 基于属性的访问控制 (ABAC)：这是一种动态数据访问控制模型，其中根据属性和环境条件（例如位置和时间）授予访问权限。ABAC 提供了比 RBAC 更大的灵活性，允许在不修改主体/客体关系的情况下动态更改访问控制。

如何实现数据访问控制

要实施数据访问控制，公司应首先确定全局访问组并将其替换为严格管理的安全组，并测试所有更改以避免出现问题。他们必须确保根据最小权限 (PoLP) 原则授予访问权限，该原则规定用户只能访问他们履行其职责所需的资源。这还应该包括即时 (JIT) 访问，以确保在不再需要时立即撤销访问。

以下是一些额外的提示，可帮助您实施数据访问控制：

制定访问控制策略

策略应定义如何授予、批准、修改、审查和撤销访问权限。应该记录组织中存在的角色，以及与这些角色相关的职责。还需要记录组织内的账户类型，例如来宾用户、标准用户、特权用户、系统、服务等。

对您的敏感数据进行分类

准确了解拥有的数据、数据所在的位置以及数据的敏感程度，将使分配适当的访问控制变得容易得多。数据分类软件将扫描存储库，无论是内部部署的还是基于云的，并对找到的数据进行分类。有些解决方案甚至可以在创建/修改时对数据进行分类，有些可以根据相关数据保护法对数据进行分类。

监控对您数据的访问

必须持续监控账户是否存在可疑行为。实时更改审核软件将能够了解账户是如何被访问和使用的。许多复杂的解决方案使用机器学习模型来识别异常，并将实时警报发送到收件箱或移动设备。他们还将提供一个直观的仪表板，以帮助审查访问控制，并识别过度特权的账户。

使用多重身份验证

多因素身份验证 (MFA) 是一种安全机制，要求用户在被授予访问系统或敏感数据之前提供多种形式的身份验证。MFA 通常涉及以下至少两个因素：用户知道的东西（例如密码或 PIN）、用户拥有的东西（例如智能卡或手机）或用户是什么东西（例如生物识别码）例如指纹或面部识别）。MFA 是降低敏感信息未经授权访问风险的有效方法。

>>>等级保护<<<

2. 
   
3. 开启等级保护之路：GB 17859网络安全等级保护上位标准
4. 回看等级保护：重要政策规范性文件43号文（上）

5. 网络安全等级保护实施指南培训PPT
   

6. 网络安全等级保护安全物理环境测评培训PPT
   

7. 网络安全等级保护：等级保护测评过程要求PPT

8. 网络安全等级保护：安全管理中心测评PPT
   

9. 网络安全等级保护：安全管理制度测评PPT
   

10. 网络安全等级保护：定级指南与定级工作PPT
    

11. 网络安全等级保护：云计算安全扩展测评PPT
    

12. 网络安全等级保护：工业控制安全扩展测评PPT
    

13. 网络安全等级保护：移动互联安全扩展测评PPT

14. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
15. 网络安全等级保护：等级测评中的渗透测试应该如何做
16. 网络安全等级保护：等级保护测评过程及各方责任
17. 网络安全等级保护：政务计算机终端核心配置规范思维导图
18. 网络安全等级保护：什么是等级保护？
    
19. 网络安全等级保护：信息技术服务过程一般要求

20. 网络安全等级保护：浅谈物理位置选择测评项

21. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
22. 闲话等级保护：什么是网络安全等级保护工作的内涵？
23. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
24. 闲话等级保护：测评师能力要求思维导图
    
25. 闲话等级保护：应急响应计划规范思维导图
    
26. 闲话等级保护：浅谈应急响应与保障
    
27. 闲话等级保护：如何做好网络总体安全规划
    
28. 闲话等级保护：如何做好网络安全设计与实施
    
29. 闲话等级保护：要做好网络安全运行与维护
    
30. 闲话等级保护：人员离岗管理的参考实践

31. 信息安全服务与信息系统生命周期的对应关系

33. >>>工控安全<<<
34. 
    
35. 工业控制系统安全：信息安全防护指南
36. 工业控制系统安全：工控系统信息安全分级规范思维导图
37. 工业控制系统安全：DCS防护要求思维导图
38. 工业控制系统安全：DCS管理要求思维导图
39. 工业控制系统安全：DCS评估指南思维导图
40. 工业控制安全：工业控制系统风险评估实施指南思维导图
41. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
42. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
43. 
    
44. >>>数据安全<<<

45. 数据治理和数据安全

46. 数据安全风险评估清单

47. 成功执行数据安全风险评估的3个步骤

48. 美国关键信息基础设施数据泄露的成本

49. 备份：网络和数据安全的最后一道防线

50. 数据安全：数据安全能力成熟度模型

51. 数据安全知识：什么是数据保护以及数据保护为何重要？

52. 信息安全技术：健康医疗数据安全指南思维导图

53. 金融数据安全：数据安全分级指南思维导图

54. 金融数据安全：数据生命周期安全规范思维导图
    

56. >>>供应链安全<<<

57. 美国政府为客户发布软件供应链安全指南
    

58. OpenSSF 采用微软内置的供应链安全框架
    

59. 供应链安全指南：了解组织为何应关注供应链网络安全
    

60. 供应链安全指南：确定组织中的关键参与者和评估风险
    

61. 供应链安全指南：了解关心的内容并确定其优先级

62. 供应链安全指南：为方法创建关键组件

63. 供应链安全指南：将方法整合到现有供应商合同中

64. 供应链安全指南：将方法应用于新的供应商关系

65. 供应链安全指南：建立基础，持续改进。

66. 思维导图：ICT供应链安全风险管理指南思维导图
    

67. 英国的供应链网络安全评估

68. >>>其他<<<

69. 网络安全十大安全漏洞

70. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

71. 网络安全等级保护：应急响应计划规范思维导图

72. 安全从组织内部人员开始

73. VMware 发布9.8分高危漏洞补丁

74. 影响2022 年网络安全的五个故事

75. 2023年的4大网络风险以及如何应对

76. 网络安全知识：物流业的网络安全

77. 网络安全知识：什么是AAA（认证、授权和记账）？

78. 美国白宫发布国家网络安全战略

79. 开源代码带来的 10 大安全和运营风险

80. 不能放松警惕的勒索软件攻击

81. 10种防网络钓鱼攻击的方法

82. Mozilla通过发布Firefox 111修补高危漏洞

83. Meta 开发新的杀伤链理论

84. 最佳CISO如何提高运营弹性