如果實(shí)施得當(dāng)，訪問控制只允許員工訪問完成工作所需要的應(yīng)用和數(shù)據(jù)庫。在許多受到監(jiān)管的公司，訪問控制卻往往是人工操作的、過時(shí)的、基本上沒有效果。本文介紹如何改變你的訪問控制計(jì)劃。

自動(dòng)化的IT訪問控制在受到監(jiān)管的環(huán)境下到底有多重要呢?

不妨以杜邦公司為例：一名即將投奔新公司的研究科學(xué)家承認(rèn)，2005年8月到12月期間，他先后從杜邦的電子資料庫下載的敏感文件摘要超過22000份。他還訪問了另外16700個(gè)文件，其中大多與他的工作職責(zé)沒有關(guān)系。這遠(yuǎn)遠(yuǎn)超出了資料庫普通用戶的權(quán)限，據(jù)稱涉及的商業(yè)機(jī)密價(jià)值達(dá)到4億美元。不過杜邦直到2005年12月才發(fā)現(xiàn)了這種不合理的訪問，之前這名員工早就事先提出離職。此外，他還已經(jīng)在2006年2月把一些文檔上傳到了新的辦公筆記本電腦，后來聯(lián)邦當(dāng)局把他捉拿歸案。

說到公司內(nèi)部人員濫用訪問權(quán)，杜邦公司并非個(gè)案。據(jù)弗雷斯特研究公司對(duì)2005年遇到過數(shù)據(jù)泄密事件的28家公司開展的一項(xiàng)調(diào)查顯示，罪魁禍?zhǔn)拙褪?授權(quán)用戶濫用享有的訪問權(quán)"，39%的安全事件就是由此引起的。

得到的教訓(xùn)就是，僅僅限制訪問還不足以阻止不懷好意的內(nèi)部人員為非作歹。有鑒于此，公司如何才能更有效地管理用戶帳戶、控制訪問、留意不合理訪問行為的跡象呢?

不妨從下面十條最佳實(shí)踐開始著手：

一、建立訪問基準(zhǔn)。

首先，讓IT部門把落實(shí)到位的訪問級(jí)別和控制機(jī)制記下來，然后為之建立基準(zhǔn)。這樣一來，"你會(huì)看到現(xiàn)有流程中存在的漏洞，"然后迅速找到任何嚴(yán)重違規(guī)人員，譬如"在辦公室里頭另外開公司的員工"，Symark軟件公司的產(chǎn)品管理副總裁Ellen Libenson說。"然后你只要檢查員工在公司里面的角色;根據(jù)需要知曉的訪問，就可以規(guī)定誰真正需要訪問"某些功能。

二、實(shí)現(xiàn)用戶配置的自動(dòng)化。

公司必須留意不合理的訪問行為的跡象。不過據(jù)波耐蒙研究所(Ponemon Institute)針對(duì)60家公司展開的身份和訪問管理做法的新調(diào)查顯示，58%的公司使用"基本上手工操作的監(jiān)控和測(cè)試機(jī)制"來監(jiān)控符合訪問政策的情況;杜邦案就是個(gè)典例;的確，使用人工操作的流程很難發(fā)現(xiàn)不尋常的行為。

應(yīng)當(dāng)尋求用戶配置軟件的幫助――弗雷斯特研究公司的分析師Jonathan Penn對(duì)這種軟件的定義是："管理及審計(jì)用戶的帳戶和特權(quán)"。他說，用戶配置包括六個(gè)部分：管理訪問控制政策的框架;通常按角色來管理;與IT系統(tǒng)的相互關(guān)系;指導(dǎo)退出系統(tǒng)的工作流;委托管理;密碼管理和審計(jì)。如果這些流程實(shí)現(xiàn)自動(dòng)化，公司就能確保員工只能訪問完成工作所需的那部分信息。如果他們的工作角色出現(xiàn)變化，訪問級(jí)別也會(huì)隨之變化。

三、找到實(shí)際理由。

專家們認(rèn)為，如今背后推動(dòng)大多數(shù)訪問控制計(jì)劃的是出于符合法規(guī)的考慮，但公司還應(yīng)當(dāng)找出實(shí)際理由，確保自己能夠得到最大的投資回報(bào)。譬如說，帳戶配置的自動(dòng)化、取消配置權(quán)限和密碼管理意味著，公司只需要比較少的IT人員就能處理帳戶管理，另外還可節(jié)省支持成本。

訪問控制還能從整體上提高員工的生產(chǎn)力。冠群公司的解決方案營(yíng)銷主管Sumner Blount指出："符合法規(guī)要求你限制對(duì)信息的訪問，只允許有權(quán)讀取的人才能訪問;但這樣一來，加上進(jìn)行合理限制，你其實(shí)能夠更迅速地把相應(yīng)信息提供給相應(yīng)人員。"

四、把訪問控制與具體環(huán)境聯(lián)系起來。

貴公司具體需要的訪問控制取決于你的IT環(huán)境以及面臨的法規(guī)。弗雷斯特研究公司的Michael Rasmussen說："8個(gè)字符的密碼總是比6個(gè)字符的密碼來得安全、總是不如10個(gè)字符的密碼安全嗎?登錄訪問午餐菜譜網(wǎng)站所需的雙因子驗(yàn)證(常常被定義為是最佳實(shí)踐之一)很可靠嗎?未必如此。最終，對(duì)你來說效果最好的是適合貴公司控制環(huán)境的最佳實(shí)踐。"

確定實(shí)行哪些訪問控制機(jī)制時(shí)，不妨查一下哪些法規(guī)適用于貴公司。Securent公司的CEO Rajiv Gupta說："如果需要遵守《薩班斯-奧克斯利法案》(SOX)和《金融服務(wù)現(xiàn)代化法案》，控制機(jī)制就要能夠?qū)徲?jì)、評(píng)估及聲明誰可以訪問哪些信息。"同時(shí)，《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)要求在需要知曉的情況下才能訪問別人的個(gè)人健康信息;而《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》對(duì)個(gè)人財(cái)務(wù)信息的訪問作了限制?！栋腿麪柕诙?hào)協(xié)議》、加拿大的《個(gè)人信息保護(hù)和電子文檔法案》以及《歐盟數(shù)據(jù)指令》等其他法案也要求對(duì)訪問進(jìn)行限制。最后，各州的數(shù)據(jù)披露法律采取不同手法：如果公司懷疑某人的個(gè)人數(shù)據(jù)被人不合理地訪問，就必須通知受到影響的本州每個(gè)居民。

五、利用角色隔離訪問。

《薩班斯-奧克斯利法案》及其他法規(guī)要求職務(wù)分離：開發(fā)人員不可以直接訪問接觸企業(yè)財(cái)務(wù)數(shù)據(jù)的生產(chǎn)系統(tǒng);有權(quán)批準(zhǔn)交易的人員不可以訪問應(yīng)付賬款應(yīng)用系統(tǒng)。大多數(shù)公司對(duì)這個(gè)問題的處理辦法是，不斷改進(jìn)基于角色的訪問控制。譬如說，也許"銷售主管"這一角色有權(quán)批準(zhǔn)交易，但絕對(duì)不能訪問應(yīng)付賬款應(yīng)用系統(tǒng);除了開發(fā)人員及直接經(jīng)理，別人都無權(quán)訪問開發(fā)環(huán)境;只有應(yīng)用軟件經(jīng)理才能接觸生產(chǎn)系統(tǒng)。#p#

六、運(yùn)用最小訪問權(quán)原則。

不管是哪一項(xiàng)法規(guī)，審計(jì)人員都越來越想看到"最小特權(quán)"原則得到運(yùn)用。也就是說，"如果你在工作中不需要使用某系統(tǒng)，就不該訪問它，"Libenson說。這是制訂訪問控制機(jī)制的一個(gè)良好開端。

另一個(gè)良好開端就是：立即限制IT人員的訪問權(quán)，特別是管理訪問控制的那些員工，因?yàn)樗麄円坏┳兂刹粦押靡獾膬?nèi)部攻擊者，通常擁有大肆破壞所必要的訪問級(jí)別和知識(shí)。另外，許多IT人員已經(jīng)覺得數(shù)據(jù)隱私成問題。據(jù)去年開展的針對(duì)近650名IT專業(yè)人士的一項(xiàng)調(diào)查顯示，10%的人承認(rèn)經(jīng)常濫用安全特權(quán)，以不合理的方式訪問公司數(shù)據(jù)。

七、實(shí)施必要的監(jiān)控。

媒體披露的IT員工不合理訪問事件表明，要是沒有人在監(jiān)控，員工更有可能試驗(yàn)訪問權(quán)方面的限制。因此，公司應(yīng)當(dāng)審計(jì)所有訪問，并且提醒員工他們的訪問受到監(jiān)控。Libenson說："如果員工知道自己的活動(dòng)受到跟蹤，他們就不太可能亂來。"

八、徹底清除"孤立帳戶"。

前任員工在事先提出辭職或者最后一次離開公司大樓時(shí)，他們的訪問權(quán)是不是到期取消?考慮到滿腹牢騷的前任員工帶來的威脅，立即取消他們的訪問權(quán)應(yīng)當(dāng)是無需動(dòng)腦筋的選擇。不過在許多公司，取消配置權(quán)限的過程仍是人工操作。Libenson說："我們通常聽到的抱怨就是，我們有1萬多名員工，單單一名員工在公司工作期間就有可能有權(quán)訪問10臺(tái)服務(wù)器和20個(gè)應(yīng)用系統(tǒng)，我們必須找到每一臺(tái)服務(wù)器，然后從每個(gè)訪問控制列表上刪除該用戶的權(quán)限。"

除非從訪問列表中刪除這些證書，否則前任員工仍擁有內(nèi)部訪問級(jí)別，因而帶來安全風(fēng)險(xiǎn)。她說："我們聽說有人被公司解雇一年后、他仍可以使用公司的電子郵件這種事情。"簡(jiǎn)而言之，受監(jiān)管環(huán)境下的公司必須執(zhí)行自動(dòng)化的用戶配置，尤其要包括配置權(quán)限自動(dòng)取消的功能。

九、主動(dòng)監(jiān)控不尋常的活動(dòng)。

雖然行之有效的安全計(jì)劃包括密碼，可能還包括雙因子驗(yàn)證，但密碼和密鑰卡(key fob)可能也會(huì)丟失、失竊或者訪問權(quán)被濫用。這就是為什么專家們建議公司應(yīng)當(dāng)監(jiān)控訪問模式，留意不尋常的活動(dòng)，譬如用戶突然大量訪問含有敏感信息的電子資料庫。

據(jù)波耐蒙研究所聲稱，如今只有14%的公司"表現(xiàn)積極主動(dòng)，采取預(yù)防方法來管理訪問。"不過不尋常的訪問模式(基于一天中的時(shí)間、一周中的時(shí)間或者工作角色)也許能最清楚地表明：不懷好意的內(nèi)部人員在搞破壞，或者外部攻擊者設(shè)法竊取某人的訪問證書。

十、控制遠(yuǎn)程訪問以及應(yīng)用和數(shù)據(jù)庫。

還要對(duì)所有遠(yuǎn)程訪問運(yùn)用訪問控制和審計(jì)機(jī)制。的確，隨著公司的邊界不斷向外擴(kuò)展，它還要為顧問、業(yè)務(wù)合作伙伴及供應(yīng)鏈的成員定義細(xì)粒度的角色，以便迅速為他們提供合適的訪問權(quán)。針對(duì)應(yīng)用和數(shù)據(jù)庫的訪問級(jí)別也要加以控制，先從接觸Web應(yīng)用的任何系統(tǒng)開始下手，因?yàn)樗鼈兲貏e容易受到攻擊。

如今，運(yùn)用這些控制機(jī)制需要人工集成或者特定的安全附件。不過在將來，許多公司有望日益能夠"把訪問控制拿到應(yīng)用本身的外面，"Gupta說，這歸功于結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)的可擴(kuò)展訪問控制標(biāo)記語言(XACML)，他稱之為是"事實(shí)上的授權(quán)標(biāo)準(zhǔn)。"雖然與XACML兼容的應(yīng)用還沒有廣泛使用，不過他認(rèn)為XACML最終會(huì)讓訪問控制更容易跨應(yīng)用、業(yè)務(wù)合作伙伴以及經(jīng)由Web服務(wù)來進(jìn)行擴(kuò)展。

【編輯推薦】

1. 實(shí)例:網(wǎng)絡(luò)訪問控制幫助航空公司減少安全風(fēng)險(xiǎn)
2. 基于PACS的網(wǎng)絡(luò)層訪問控制