基于角色的訪問控制可以極大增加企業(yè)網(wǎng)絡(luò)的安全性，尤其可以有效地對付內(nèi)部的非法入侵和資源使用。由于害怕其漫長而復雜的實施過程，并且會對工作效率帶來負作用，所以很多公司往往不愿意實施基于角色的訪問控制。其實，企業(yè)可以采用幾種方法來確保基于角色的訪問控制的安全性，同時又不會給雇員的工作效率帶來消極影響。

[[147318]]

企業(yè)往往重視最常見的入侵類型，即入侵者從網(wǎng)絡(luò)外部訪問公司的安全數(shù)據(jù)。另一種入侵是由企業(yè)的雇員在公司內(nèi)部實施的攻擊，其發(fā)生的頻率往往超過企業(yè)的預期。而且，內(nèi)部危害的發(fā)生更容易，企業(yè)應當采取積極的措施來減輕這種危害。

訪問權(quán)問題

大規(guī)模入侵也許更引人注目，但小規(guī)模的內(nèi)部“入侵”卻每時每刻都在發(fā)生。為什么?通常，雇員工作時就得到了特定的授權(quán)。在多數(shù)情況下，在雇員從事相同的工作時即獲得相同的權(quán)利，這種用戶稱為模板用戶。在新雇員從模板用戶復制權(quán)利時，有時會無意中獲得過多權(quán)利，因為模板用戶有可能擁有其它的訪問權(quán)。另一個常見的問題是，雇員們有時相互借用訪問權(quán)。例如，一個雇員打算休假，但需要在外出時完成一些工作。這種雇員往往會將其憑據(jù)借給其它雇員，在日后卻沒有撤消這種訪問權(quán)。

此外，企業(yè)往往并不知道雇員獲得的這些不恰當?shù)脑L問權(quán)，因而就不能輕松地解決此問題。企業(yè)并不清楚哪些用戶擁有哪些授權(quán)，并且不太可能對訪問權(quán)進行調(diào)查或?qū)徲嫛T部門通?；蚨嗷蛏俚刂?，誰擁有和需要哪些權(quán)利，但由于時間的限制，IT部門只是增加權(quán)利，一般并不能撤銷權(quán)利。IT部門并不能輕松地知道到底哪些人可以訪問安全應用，所以也就無法知道網(wǎng)絡(luò)中是否存在安全風險。

最后一個常見的安全問題是，企業(yè)并沒有在網(wǎng)絡(luò)中禁用前雇員。在雇員離開公司時，很多公司并沒有撤銷其訪問權(quán)。這通常是由于管理員必須進入每個系統(tǒng)，并且需要人工禁用用戶。這是一個重大的安全問題，特別是如果離職的雇員對公司不滿，問題和風險就更大。

基于角色的訪問控制

如何確保內(nèi)部人員不會帶來危害呢?企業(yè)可以使用身份和訪問管理方案來幫助更好地理解其面臨的安全問題，確保未來不會發(fā)生問題。其中的一種方法就是基于角色的訪問控制系統(tǒng)。

基于角色的訪問控制可以根據(jù)雇員在企業(yè)中的工作、角色、位置等來分配授權(quán)。企業(yè)不妨建立一個授權(quán)矩陣，其中可以詳細記錄雇員應有哪些應用程序和系統(tǒng)的哪些權(quán)利。在雇員被雇傭時，他就進入了人力資源系統(tǒng)，具有身份管理系統(tǒng)提供的功能和為其創(chuàng)建的網(wǎng)絡(luò)賬戶。身份管理軟件可以讀取此雇員的授權(quán)矩陣，確切地知道將哪些授權(quán)分配給此賬戶。基于角色的用戶訪問可以確保雇員從一開始就得到適當?shù)亩皇沁^多的權(quán)利。

基于角色的訪問控制還可以帶來其它好處。例如，它還可以確保安全系統(tǒng)和應用的正常使用，確保雇員在被雇傭期間不會積累過多的權(quán)利。通過身份和訪問管理方案，企業(yè)可以生成報告，闡明哪些人可以訪問哪個安全系統(tǒng)及其做出的更改。如果在這些訪問權(quán)利中存在錯誤，企業(yè)就可以輕松地清除這些訪問權(quán)。

監(jiān)視訪問權(quán)的另一種方法是借助認證或驗證模塊。這種模塊可以定期或?qū)崟r地掃描網(wǎng)絡(luò)和應用，對照基于角色的訪問控制矩陣來檢查當前的訪問權(quán)利。驗證公司網(wǎng)絡(luò)上的所有訪問是否正常。如果出現(xiàn)任何不同點，認證或驗證模塊就會提醒管理員和系統(tǒng)所有者進行審查。如果這個不同點得到了認可，就會得到一個電子簽名來確認這個事實，其中還可能要有這個不同權(quán)利的終止日期。如果發(fā)現(xiàn)此權(quán)利未被授權(quán)，工作流程就會自動監(jiān)管這個權(quán)利的清除，并通過電子郵件通知有關(guān)各方。

為確保雇員的訪問權(quán)在其離職后能被清除，企業(yè)不妨使用自動賬戶管理系統(tǒng)。自動方案可以使源系統(tǒng)中的任何變化都會在所有連接的系統(tǒng)和應用中反映出來。例如，在雇員離開企業(yè)時，管理員只需一個單擊操作就可以輕松地在源系統(tǒng)中禁用雇員的賬戶。

實施基于角色的訪問控制

許多企業(yè)往往不愿意實施基于角色的訪問控制。因為企業(yè)擔心冗長而復雜的實施過程，并且由于雇員訪問權(quán)要發(fā)生變化，也會對工作效率帶來副作用。完成基于角色的矩陣可能是一個需要花費企業(yè)幾年時間的復雜過程。

有一些新方法可以縮短這個過程，并當即帶來好處。企業(yè)可以采用人力資源系統(tǒng)作為數(shù)據(jù)源，收集所有雇員的部門、職位、位置以及企業(yè)的層次結(jié)構(gòu)等信息，并將這些信息用于創(chuàng)建每個訪問級別的角色。下一步就是從活動目錄等位置獲得當前的權(quán)利，以及與不同角色的雇員有關(guān)的數(shù)據(jù)共享。

下一步，使數(shù)據(jù)標準化，確保相同角色的雇員擁有相同的訪問權(quán)?？梢酝ㄟ^從人力資源和活動目錄、修正報告以及雇員的管理者那里收集數(shù)據(jù)，用于檢查和糾正?；诮巧脑L問控制應用與身份管理系統(tǒng)結(jié)合使用，可以實施管理員在自動模式中做出的變化。此過程可以在包含敏感信息的企業(yè)網(wǎng)絡(luò)的其它應用中多次反復實施，確保訪問權(quán)的正確性。

這些數(shù)據(jù)還可以作為定期檢查的基礎(chǔ)。如果企業(yè)對雇員的訪問權(quán)進行了修改，例如，針對一個臨時性的項目或任務(wù)修改了雇員的訪問權(quán)，就可以自動生成一份電子郵件發(fā)送給管理員進行檢查或糾正。通過利用上述步驟，企業(yè)就可以用幾周而不是用幾年時間實施基于角色的訪問控制矩陣。

保證雇員的效率

企業(yè)害怕的另一個問題是工作效率問題。實施基于角色的訪問控制可能意味著雇員的訪問權(quán)和對機器的控制權(quán)更少了。這可能意味著雇員需要得到允許才能做出變更、下載或訪問其它資源，從而導致效率問題。避免此問題的辦法之就是在每個部門中指派一個擁有高級訪問權(quán)的團隊領(lǐng)導，例如每個部門的經(jīng)理或經(jīng)理指定的某人。雇員需要在變更計算機時，或是需要額外的訪問權(quán)時，就不必每次都請求IT，而是由直屬經(jīng)理或指定的人員進行處理。

雖然上述措施可以減少效率問題，但對于一個大型企業(yè)來說，其部門規(guī)模也較大，角色的訪問控制仍是不小的負擔。解決此問題的另一個更高級的方法是，使用工作流程管理方案。工作流程管理是一種可控的自動化過程，它有預定的任務(wù)序列，可以代替多人才能實施的手工過程，從而通過一種簡化而高效的過程處理雇員請求。

因而，如果雇員需要請求訪問某個項目的某個應用，就可以直接訪問Web入口，請求所需要的任何資源(應用、計算機、郵箱、通訊錄等)。然后，企業(yè)建立一個工作流程，將用戶請求傳遞給預先確定的可以檢查和準許此請求的人員。從而使任何訪問權(quán)的變更成為一個簡單而安全的過程，并可以確保其一致性和連續(xù)性，而且在此過程中也不會誤傳或丟失。此外，這個方法還可以保證合適的人員得到適當?shù)脑S可，從而使終端用戶也無法訪問受限資源。

基于角色的訪問控制與工作流程管理結(jié)合起來可以給企業(yè)帶來巨大的作用。這兩種方案協(xié)同工作可以確保企業(yè)網(wǎng)絡(luò)的安全性，且不會影響到雇員效率。