如果實施得當，訪問控制只允許員工訪問完成工作所需要的應用和數(shù)據庫。在許多受到監(jiān)管的公司，訪問控制卻往往是人工操作的、過時的、基本上沒有效果。本文介紹如何改變你的訪問控制計劃。

自動化的IT訪問控制在受到監(jiān)管的環(huán)境下到底有多重要呢?

不妨以杜邦公司為例：一名即將投奔新公司的研究科學家承認，2005年8月到12月期間，他先后從杜邦的電子資料庫下載的敏感文件摘要超過22000份。他還訪問了另外16700個文件，其中大多與他的工作職責沒有關系。這遠遠超出了資料庫普通用戶的權限，據稱涉及的商業(yè)機密價值達到4億美元。不過杜邦直到2005年12月才發(fā)現(xiàn)了這種不合理的訪問，之前這名員工早就事先提出離職。此外，他還已經在2006年2月把一些文檔上傳到了新的辦公筆記本電腦，后來聯(lián)邦當局把他捉拿歸案。

說到公司內部人員濫用訪問權，杜邦公司并非個案。據弗雷斯特研究公司對2005年遇到過數(shù)據泄密事件的28家公司開展的一項調查顯示，罪魁禍首就是"授權用戶濫用享有的訪問權"，39%的安全事件就是由此引起的。

得到的教訓就是，僅僅限制訪問還不足以阻止不懷好意的內部人員為非作歹。有鑒于此，公司如何才能更有效地管理用戶帳戶、控制訪問、留意不合理訪問行為的跡象呢?

不妨從下面十條最佳實踐開始著手：

一、建立訪問基準。

首先，讓IT部門把落實到位的訪問級別和控制機制記下來，然后為之建立基準。這樣一來，"你會看到現(xiàn)有流程中存在的漏洞，"然后迅速找到任何嚴重違規(guī)人員，譬如"在辦公室里頭另外開公司的員工"，Symark軟件公司的產品管理副總裁Ellen Libenson說。"然后你只要檢查員工在公司里面的角色;根據需要知曉的訪問，就可以規(guī)定誰真正需要訪問"某些功能。

二、實現(xiàn)用戶配置的自動化。

公司必須留意不合理的訪問行為的跡象。不過據波耐蒙研究所(Ponemon Institute)針對60家公司展開的身份和訪問管理做法的新調查顯示，58%的公司使用"基本上手工操作的監(jiān)控和測試機制"來監(jiān)控符合訪問政策的情況;杜邦案就是個典例;的確，使用人工操作的流程很難發(fā)現(xiàn)不尋常的行為。

應當尋求用戶配置軟件的幫助――弗雷斯特研究公司的分析師Jonathan Penn對這種軟件的定義是："管理及審計用戶的帳戶和特權"。他說，用戶配置包括六個部分：管理訪問控制政策的框架;通常按角色來管理;與IT系統(tǒng)的相互關系;指導退出系統(tǒng)的工作流;委托管理;密碼管理和審計。如果這些流程實現(xiàn)自動化，公司就能確保員工只能訪問完成工作所需的那部分信息。如果他們的工作角色出現(xiàn)變化，訪問級別也會隨之變化。

三、找到實際理由。

專家們認為，如今背后推動大多數(shù)訪問控制計劃的是出于符合法規(guī)的考慮，但公司還應當找出實際理由，確保自己能夠得到最大的投資回報。譬如說，帳戶配置的自動化、取消配置權限和密碼管理意味著，公司只需要比較少的IT人員就能處理帳戶管理，另外還可節(jié)省支持成本。

訪問控制還能從整體上提高員工的生產力。冠群公司的解決方案營銷主管Sumner Blount指出："符合法規(guī)要求你限制對信息的訪問，只允許有權讀取的人才能訪問;但這樣一來，加上進行合理限制，你其實能夠更迅速地把相應信息提供給相應人員。"

四、把訪問控制與具體環(huán)境聯(lián)系起來。

貴公司具體需要的訪問控制取決于你的IT環(huán)境以及面臨的法規(guī)。弗雷斯特研究公司的Michael Rasmussen說："8個字符的密碼總是比6個字符的密碼來得安全、總是不如10個字符的密碼安全嗎?登錄訪問午餐菜譜網站所需的雙因子驗證(常常被定義為是最佳實踐之一)很可靠嗎?未必如此。最終，對你來說效果最好的是適合貴公司控制環(huán)境的最佳實踐。"

確定實行哪些訪問控制機制時，不妨查一下哪些法規(guī)適用于貴公司。Securent公司的CEO Rajiv Gupta說："如果需要遵守《薩班斯-奧克斯利法案》(SOX)和《金融服務現(xiàn)代化法案》，控制機制就要能夠審計、評估及聲明誰可以訪問哪些信息。"同時，《健康保險可攜性及責任性法案》(HIPAA)要求在需要知曉的情況下才能訪問別人的個人健康信息;而《支付卡行業(yè)數(shù)據安全標準》對個人財務信息的訪問作了限制?！栋腿麪柕诙枀f(xié)議》、加拿大的《個人信息保護和電子文檔法案》以及《歐盟數(shù)據指令》等其他法案也要求對訪問進行限制。最后，各州的數(shù)據披露法律采取不同手法：如果公司懷疑某人的個人數(shù)據被人不合理地訪問，就必須通知受到影響的本州每個居民。

五、利用角色隔離訪問。

《薩班斯-奧克斯利法案》及其他法規(guī)要求職務分離：開發(fā)人員不可以直接訪問接觸企業(yè)財務數(shù)據的生產系統(tǒng);有權批準交易的人員不可以訪問應付賬款應用系統(tǒng)。大多數(shù)公司對這個問題的處理辦法是，不斷改進基于角色的訪問控制。譬如說，也許"銷售主管"這一角色有權批準交易，但絕對不能訪問應付賬款應用系統(tǒng);除了開發(fā)人員及直接經理，別人都無權訪問開發(fā)環(huán)境;只有應用軟件經理才能接觸生產系統(tǒng)。#p#

六、運用最小訪問權原則。

不管是哪一項法規(guī)，審計人員都越來越想看到"最小特權"原則得到運用。也就是說，"如果你在工作中不需要使用某系統(tǒng)，就不該訪問它，"Libenson說。這是制訂訪問控制機制的一個良好開端。

另一個良好開端就是：立即限制IT人員的訪問權，特別是管理訪問控制的那些員工，因為他們一旦變成不懷好意的內部攻擊者，通常擁有大肆破壞所必要的訪問級別和知識。另外，許多IT人員已經覺得數(shù)據隱私成問題。據去年開展的針對近650名IT專業(yè)人士的一項調查顯示，10%的人承認經常濫用安全特權，以不合理的方式訪問公司數(shù)據。

七、實施必要的監(jiān)控。

媒體披露的IT員工不合理訪問事件表明，要是沒有人在監(jiān)控，員工更有可能試驗訪問權方面的限制。因此，公司應當審計所有訪問，并且提醒員工他們的訪問受到監(jiān)控。Libenson說："如果員工知道自己的活動受到跟蹤，他們就不太可能亂來。"

八、徹底清除"孤立帳戶"。

前任員工在事先提出辭職或者最后一次離開公司大樓時，他們的訪問權是不是到期取消?考慮到滿腹牢騷的前任員工帶來的威脅，立即取消他們的訪問權應當是無需動腦筋的選擇。不過在許多公司，取消配置權限的過程仍是人工操作。Libenson說："我們通常聽到的抱怨就是，我們有1萬多名員工，單單一名員工在公司工作期間就有可能有權訪問10臺服務器和20個應用系統(tǒng)，我們必須找到每一臺服務器，然后從每個訪問控制列表上刪除該用戶的權限。"

除非從訪問列表中刪除這些證書，否則前任員工仍擁有內部訪問級別，因而帶來安全風險。她說："我們聽說有人被公司解雇一年后、他仍可以使用公司的電子郵件這種事情。"簡而言之，受監(jiān)管環(huán)境下的公司必須執(zhí)行自動化的用戶配置，尤其要包括配置權限自動取消的功能。

九、主動監(jiān)控不尋常的活動。

雖然行之有效的安全計劃包括密碼，可能還包括雙因子驗證，但密碼和密鑰卡(key fob)可能也會丟失、失竊或者訪問權被濫用。這就是為什么專家們建議公司應當監(jiān)控訪問模式，留意不尋常的活動，譬如用戶突然大量訪問含有敏感信息的電子資料庫。

據波耐蒙研究所聲稱，如今只有14%的公司"表現(xiàn)積極主動，采取預防方法來管理訪問。"不過不尋常的訪問模式(基于一天中的時間、一周中的時間或者工作角色)也許能最清楚地表明：不懷好意的內部人員在搞破壞，或者外部攻擊者設法竊取某人的訪問證書。

十、控制遠程訪問以及應用和數(shù)據庫。

還要對所有遠程訪問運用訪問控制和審計機制。的確，隨著公司的邊界不斷向外擴展，它還要為顧問、業(yè)務合作伙伴及供應鏈的成員定義細粒度的角色，以便迅速為他們提供合適的訪問權。針對應用和數(shù)據庫的訪問級別也要加以控制，先從接觸Web應用的任何系統(tǒng)開始下手，因為它們特別容易受到攻擊。

如今，運用這些控制機制需要人工集成或者特定的安全附件。不過在將來，許多公司有望日益能夠"把訪問控制拿到應用本身的外面，"Gupta說，這歸功于結構化信息標準促進組織(OASIS)的可擴展訪問控制標記語言(XACML)，他稱之為是"事實上的授權標準。"雖然與XACML兼容的應用還沒有廣泛使用，不過他認為XACML最終會讓訪問控制更容易跨應用、業(yè)務合作伙伴以及經由Web服務來進行擴展。

【編輯推薦】

1. 實例:網絡訪問控制幫助航空公司減少安全風險
2. 基于PACS的網絡層訪問控制