如果你的公司已經(jīng)決定要縮減安全項(xiàng)目，并且負(fù)責(zé)對(duì)用戶訪問(wèn)定期進(jìn)行審查的同事也被解雇了，那么你的經(jīng)理當(dāng)然會(huì)讓留下來(lái)的安全工作人員（也就是你）來(lái)承擔(dān)這方面的工作。但是，在不了解這些關(guān)鍵同事的情況下，怎樣才能保證敏感數(shù)據(jù)不被沒(méi)有授權(quán)的人接觸呢？在這篇文章里，我們將研究一下怎樣才能建立起耗時(shí)少并且有效的定期用戶訪問(wèn)審查政策。

第一步，研究企業(yè)是怎樣管理用戶訪問(wèn)的。訪問(wèn)可以分成兩種類(lèi)型：預(yù)先確定的訪問(wèn)和實(shí)時(shí)訪問(wèn)。預(yù)先確定的訪問(wèn)也被稱(chēng)為供應(yīng)（provisioning），這一過(guò)程包括訪問(wèn)請(qǐng)求、訪問(wèn)維護(hù)，最后是訪問(wèn)清除。這種訪問(wèn)需要在企業(yè)的網(wǎng)絡(luò)、操作系統(tǒng)以及應(yīng)用程序上為最終用戶創(chuàng)建賬戶，允許用戶訪問(wèn)他們需要的信息，以便開(kāi)展工作。實(shí)時(shí)訪問(wèn)是指在用戶實(shí)際登錄自己賬戶的那一瞬間被確定的訪問(wèn)。

使用RBAC訪問(wèn)控制，使供應(yīng)時(shí)間降到最少

對(duì)于預(yù)先確定的訪問(wèn)，根據(jù)以角色為基礎(chǔ)的訪問(wèn)控制（RBAC）來(lái)確定權(quán)限可以為大型經(jīng)濟(jì)體提供訪問(wèn)管理。RBAC的理念是，與其根據(jù)以個(gè)人訪問(wèn)請(qǐng)求為基礎(chǔ)的多個(gè)系統(tǒng)來(lái)創(chuàng)建權(quán)限，還不如根據(jù)功能角色或者責(zé)任來(lái)分配權(quán)限，這樣做更加具有一致性。比如說(shuō)，在一個(gè)企業(yè)中所有的員工都可能有權(quán)進(jìn)行電子郵件活動(dòng)、Windows文件共享、登錄內(nèi)部網(wǎng)絡(luò)門(mén)戶并進(jìn)行福利登記。與其通過(guò)定義每個(gè)員工的角色來(lái)創(chuàng)建個(gè)人訪問(wèn)管理過(guò)程，還不如按不同的角色（role）來(lái)賦予個(gè)人訪問(wèn)權(quán)限，這樣操作起來(lái)更容易些。

RBAC中的各個(gè)角色還可以結(jié)合（combined）起來(lái)，以反應(yīng)出個(gè)人的默認(rèn)訪問(wèn)權(quán)限。比如，一個(gè)企業(yè)安全架構(gòu)中可能有多個(gè)角色，其中包括：架構(gòu)師、安全人員、家庭辦公員工、福利管理員、加利福尼亞居民、IT人員等等。每個(gè)角色都可能有與之相關(guān)的一個(gè)或者多個(gè)賬戶權(quán)限，但是安全職業(yè)人員在很短的時(shí)間內(nèi)就能確認(rèn)被審查的人員在企業(yè)中的角色，從而確保他們有正確的訪問(wèn)權(quán)限。

作為一個(gè)示范，讓我們根據(jù)以上描述的企業(yè)安全架構(gòu)和角色來(lái)進(jìn)行一次非正式的用戶訪問(wèn)審查。假設(shè)你已經(jīng)標(biāo)出了一個(gè)有問(wèn)題的訪問(wèn)許可，一般的企業(yè)安全架構(gòu)師不會(huì)有“福利管理員”這種權(quán)限，那么這個(gè)賬戶應(yīng)該被刪除。

管理實(shí)時(shí)數(shù)據(jù)訪問(wèn)的策略

實(shí)時(shí)訪問(wèn)管理起來(lái)更困難些。雖然預(yù)先確定的訪問(wèn)在單個(gè)控制臺(tái)或單個(gè)界面上就可以進(jìn)行管理，但是在進(jìn)行實(shí)時(shí)訪問(wèn)控制時(shí)必須考慮多個(gè)因素：賬戶是從域的內(nèi)部還是外部登錄的？用來(lái)訪問(wèn)信息的系統(tǒng)是正確的系統(tǒng)嗎？這個(gè)賬戶登錄的頻率是多少？該用戶上一次登錄的時(shí)間？某個(gè)訪問(wèn)活動(dòng)有沒(méi)有異常，比如，在登錄成功之前多次嘗試登錄？進(jìn)行賬戶登錄的設(shè)備是否是企業(yè)允許的設(shè)備（隨著用戶開(kāi)始使用自己的設(shè)備，這個(gè)問(wèn)題會(huì)被大家越來(lái)越多的提起）？雖然，上面所提到的這些并沒(méi)有包括安全職業(yè)人員可能要面臨的所有問(wèn)題，但這已經(jīng)表明實(shí)時(shí)訪問(wèn)核實(shí)起來(lái)會(huì)比較困難。

當(dāng)進(jìn)行實(shí)時(shí)訪問(wèn)審查的時(shí)候，一個(gè)減少賬戶審查數(shù)量的簡(jiǎn)單辦法就是看看是否有未使用的賬戶，這可能是因?yàn)橛行┯脩舨恢蕾~戶的存在、他或她不需要訪問(wèn)信息、他或她已經(jīng)離開(kāi)企業(yè)、或者錯(cuò)誤創(chuàng)建該賬戶等。這些孤立的賬戶至少應(yīng)該被禁用，在許多情況下還應(yīng)該通過(guò)適當(dāng)?shù)墓芾韺徟鷮?duì)其進(jìn)行刪除。與此類(lèi)似，還可以確定一個(gè)賬戶最后登錄的時(shí)間。你可以很容易做出有關(guān)賬戶閑置的簡(jiǎn)單報(bào)告，以確定是否有賬戶或者服務(wù)已經(jīng)不再使用了，比如，一個(gè)用戶可能已經(jīng)晉升，但是并沒(méi)有通知賬戶管理小組他不再需要某些特定的系統(tǒng)訪問(wèn)權(quán)限。

在這種情況下，應(yīng)該制定一個(gè)關(guān)于員工以及其他人員賬戶閑置狀態(tài)的政策。示例策略如下所示：“員工賬戶閑置90天以后，其余人員（包括承包人、合作伙伴以及客戶）的賬戶閑置30天以后會(huì)被禁用?！弊詈螅S多系統(tǒng)會(huì)突出顯示那些失敗的登錄嘗試或者多重登錄嘗試。用這種日志標(biāo)志出來(lái)的賬戶應(yīng)該是攻擊審查或者濫用審查的重點(diǎn)。

獲取幫助，以便進(jìn)行訪問(wèn)控制審查

安全職業(yè)人員還應(yīng)該清楚，他們并不是唯一參與訪問(wèn)審查的人員，而且他們應(yīng)該獲取企業(yè)中其他部門(mén)的幫助。比如說(shuō)，網(wǎng)絡(luò)團(tuán)隊(duì)也能在訪問(wèn)過(guò)程中發(fā)揮一定作用?，F(xiàn)在的外圍控制設(shè)備能夠確定更多試圖訪問(wèn)企業(yè)內(nèi)部或者外部信息的活動(dòng)，而不只是局限于用戶自己的IP地址。許多情況下，如果有需要的話你還可以使用外圍工具進(jìn)行監(jiān)控、識(shí)別并攔截未授權(quán)的設(shè)備類(lèi)型、來(lái)自不友好國(guó)家的訪問(wèn)、病毒和垃圾郵件，甚至設(shè)備上的某些特定用戶（如果工具可以訪問(wèn)身份數(shù)據(jù)庫(kù)的話）等。在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，入侵檢測(cè)以及防御系統(tǒng)(IDSes/IDPes)越來(lái)越普及，而公司管理工具所提供的信息對(duì)訪問(wèn)監(jiān)控和檢查來(lái)說(shuō)是非常寶貴的。

許多企業(yè)可能缺少人手，但是“角色”可以協(xié)助你把成千上萬(wàn)種權(quán)限變成更容易管理的訪問(wèn)對(duì)象，確保從一開(kāi)始就能創(chuàng)建正確的訪問(wèn)管理，從而最大限度的減少審查每個(gè)賬戶請(qǐng)求所需要的時(shí)間。對(duì)于已經(jīng)創(chuàng)建的賬戶，通過(guò)建立禁用或者刪除閑置賬戶的管理策略，你可以把整個(gè)訪問(wèn)環(huán)境清理干凈。最后，雖然可能沒(méi)有安全方面的同事與你一起從事這些活動(dòng)，但是通過(guò)求助于企業(yè)其他部門(mén)并利用好他們的管理工具，訪問(wèn)還是可以控制和管理的，而且不會(huì)讓你（以及那些留下來(lái)的同事）以及安全團(tuán)隊(duì)的工作負(fù)擔(dān)過(guò)于繁重。

【編輯推薦】

1. 我國(guó)網(wǎng)絡(luò)信息安全問(wèn)題分析與建議
2. 淺談網(wǎng)絡(luò)信息安全等級(jí)保護(hù)制度