數(shù)據(jù)訪問(wèn)控制是數(shù)據(jù)安全中的一個(gè)重要概念，因?yàn)樗顷P(guān)于根據(jù)精心設(shè)計(jì)的策略來(lái)限制對(duì)數(shù)據(jù)的訪問(wèn)。數(shù)據(jù)訪問(wèn)控制的兩個(gè)主要組成部分是身份驗(yàn)證和授權(quán)。身份驗(yàn)證驗(yàn)證用戶的身份，而授權(quán)確定他們的訪問(wèn)級(jí)別和他們可以執(zhí)行的操作。

為什么需要數(shù)據(jù)訪問(wèn)控制？

訪問(wèn)控制對(duì)于維護(hù)安全性、遵守監(jiān)管標(biāo)準(zhǔn)和加強(qiáng)問(wèn)責(zé)制至關(guān)重要。通過(guò)限制對(duì)授權(quán)人員的訪問(wèn)，組織可以防止盜竊、損壞或未經(jīng)授權(quán)使用資源，有效地管理員工訪問(wèn)，為合法目的創(chuàng)建審計(jì)跟蹤，并通過(guò)自動(dòng)驗(yàn)證節(jié)省時(shí)間和資源。訪問(wèn)控制是任何有效的安全和風(fēng)險(xiǎn)管理策略的重要組成部分。

根據(jù)Varonis 的2018 年全球數(shù)據(jù)風(fēng)險(xiǎn)報(bào)告，41% 的公司擁有超過(guò) 1,000 個(gè)敏感文件向所有人（組織內(nèi)的每個(gè)員工）開(kāi)放。允許在未經(jīng)適當(dāng)授權(quán)的情況下訪問(wèn)敏感信息，無(wú)疑會(huì)增加數(shù)據(jù)泄露的風(fēng)險(xiǎn)。根據(jù)上述報(bào)告，IT 專業(yè)人員大約需要 8-6 個(gè)小時(shí)來(lái)識(shí)別和刪除每個(gè)文件夾的全局訪問(wèn)組。花費(fèi)這么長(zhǎng)時(shí)間的原因是他們必須確定哪些用戶需要訪問(wèn)哪些資源，這有時(shí)可能涉及采訪員工以確定他們擁有什么訪問(wèn)權(quán)限以及他們需要什么訪問(wèn)權(quán)限。因此，實(shí)施訪問(wèn)控制應(yīng)該是一個(gè)持續(xù)的過(guò)程。

數(shù)據(jù)訪問(wèn)控制方法

實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)控制有四種主要模型：

1. 自主訪問(wèn)控制 (DAC)：這是限制最少的模型，依靠資源的所有者或管理員來(lái)確定誰(shuí)應(yīng)該有權(quán)訪問(wèn)給定資源。它為設(shè)置權(quán)限提供了完全的自由裁量權(quán)，但使監(jiān)控對(duì)敏感信息的訪問(wèn)變得具有挑戰(zhàn)性。
2. 強(qiáng)制訪問(wèn)控制 (MAC)：此方法依賴于中央授權(quán)機(jī)構(gòu)（例如管理員）來(lái)授予和撤銷訪問(wèn)權(quán)限。最終用戶無(wú)法控制權(quán)限設(shè)置，因此難以管理。MAC 常用于軍事組織。
3. 基于角色的訪問(wèn)控制 (RBAC)：通過(guò)這種方法，員工可以根據(jù)他們的工作職能和職責(zé)獲得不同的訪問(wèn)權(quán)限。它是圍繞由部門(mén)、個(gè)人職責(zé)和權(quán)限等標(biāo)準(zhǔn)定義的預(yù)定角色而設(shè)計(jì)的。
4. 基于屬性的訪問(wèn)控制 (ABAC)：這是一種動(dòng)態(tài)數(shù)據(jù)訪問(wèn)控制模型，其中根據(jù)屬性和環(huán)境條件（例如位置和時(shí)間）授予訪問(wèn)權(quán)限。ABAC 提供了比 RBAC 更大的靈活性，允許在不修改主體/客體關(guān)系的情況下動(dòng)態(tài)更改訪問(wèn)控制。

如何實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)控制

要實(shí)施數(shù)據(jù)訪問(wèn)控制，公司應(yīng)首先確定全局訪問(wèn)組并將其替換為嚴(yán)格管理的安全組，并測(cè)試所有更改以避免出現(xiàn)問(wèn)題。他們必須確保根據(jù)最小權(quán)限 (PoLP) 原則授予訪問(wèn)權(quán)限，該原則規(guī)定用戶只能訪問(wèn)他們履行其職責(zé)所需的資源。這還應(yīng)該包括即時(shí) (JIT) 訪問(wèn)，以確保在不再需要時(shí)立即撤銷訪問(wèn)。

以下是一些額外的提示，可幫助您實(shí)施數(shù)據(jù)訪問(wèn)控制：

制定訪問(wèn)控制策略

策略應(yīng)定義如何授予、批準(zhǔn)、修改、審查和撤銷訪問(wèn)權(quán)限。應(yīng)該記錄組織中存在的角色，以及與這些角色相關(guān)的職責(zé)。還需要記錄組織內(nèi)的賬戶類型，例如來(lái)賓用戶、標(biāo)準(zhǔn)用戶、特權(quán)用戶、系統(tǒng)、服務(wù)等。

對(duì)您的敏感數(shù)據(jù)進(jìn)行分類

準(zhǔn)確了解擁有的數(shù)據(jù)、數(shù)據(jù)所在的位置以及數(shù)據(jù)的敏感程度，將使分配適當(dāng)?shù)脑L問(wèn)控制變得容易得多。數(shù)據(jù)分類軟件將掃描存儲(chǔ)庫(kù)，無(wú)論是內(nèi)部部署的還是基于云的，并對(duì)找到的數(shù)據(jù)進(jìn)行分類。有些解決方案甚至可以在創(chuàng)建/修改時(shí)對(duì)數(shù)據(jù)進(jìn)行分類，有些可以根據(jù)相關(guān)數(shù)據(jù)保護(hù)法對(duì)數(shù)據(jù)進(jìn)行分類。

監(jiān)控對(duì)您數(shù)據(jù)的訪問(wèn)

必須持續(xù)監(jiān)控賬戶是否存在可疑行為。實(shí)時(shí)更改審核軟件將能夠了解賬戶是如何被訪問(wèn)和使用的。許多復(fù)雜的解決方案使用機(jī)器學(xué)習(xí)模型來(lái)識(shí)別異常，并將實(shí)時(shí)警報(bào)發(fā)送到收件箱或移動(dòng)設(shè)備。他們還將提供一個(gè)直觀的儀表板，以幫助審查訪問(wèn)控制，并識(shí)別過(guò)度特權(quán)的賬戶。

使用多重身份驗(yàn)證

多因素身份驗(yàn)證 (MFA) 是一種安全機(jī)制，要求用戶在被授予訪問(wèn)系統(tǒng)或敏感數(shù)據(jù)之前提供多種形式的身份驗(yàn)證。MFA 通常涉及以下至少兩個(gè)因素：用戶知道的東西（例如密碼或 PIN）、用戶擁有的東西（例如智能卡或手機(jī)）或用戶是什么東西（例如生物識(shí)別碼）例如指紋或面部識(shí)別）。MFA 是降低敏感信息未經(jīng)授權(quán)訪問(wèn)風(fēng)險(xiǎn)的有效方法。