十条军规 访问控制的最佳实践(1)

十条军规 访问控制的最佳实践(1)

如果实施得当，访问控制只允许员工访问完成工作所需要的应用和数据库。在许多受到监管的公司，访问控制却往往是人工操作的、过时的、基本上没有效果。本文介绍如何改变你的访问控制计划。

自动化的IT访问控制在受到监管的环境下到底有多重要呢?

不妨以杜邦公司为例：一名即将投奔新公司的研究科学家承认，2005年8月到12月期间，他先后从杜邦的电子资料库下载的敏感文件摘要超过22000份。他还访问了另外16700个文件，其中大多与他的工作职责没有关系。这远远超出了资料库普通用户的权限，据称涉及的商业机密价值达到4亿美元。不过杜邦直到2005年12月才发现了这种不合理的访问，之前这名员工早就事先提出离职。此外，他还已经在2006年2月把一些文档上传到了新的办公笔记本电脑，后来联邦当局把他捉拿归案。

说到公司内部人员滥用访问权，杜邦公司并非个案。据弗雷斯特研究公司对2005年遇到过数据泄密事件的28家公司开展的一项调查显示，罪魁祸首就是"授权用户滥用享有的访问权"，39%的安全事件就是由此引起的。

得到的教训就是，仅仅限制访问还不足以阻止不怀好意的内部人员为非作歹。有鉴于此，公司如何才能更有效地管理用户帐户、控制访问、留意不合理访问行为的迹象呢?

不妨从下面十条最佳实践开始着手：

一、建立访问基准。

首先，让IT部门把落实到位的访问级别和控制机制记下来，然后为之建立基准。这样一来，"你会看到现有流程中存在的漏洞，"然后迅速找到任何严重违规人员，譬如"在办公室里头另外开公司的员工"，Symark软件公司的产品管理副总裁Ellen Libenson说。"然后你只要检查员工在公司里面的角色;根据需要知晓的访问，就可以规定谁真正需要访问"某些功能。

二、实现用户配置的自动化。

公司必须留意不合理的访问行为的迹象。不过据波耐蒙研究所(Ponemon Institute)针对60家公司展开的身份和访问管理做法的新调查显示，58%的公司使用"基本上手工操作的监控和测试机制"来监控符合访问政策的情况;杜邦案就是个典例;的确，使用人工操作的流程很难发现不寻常的行为。

应当寻求用户配置软件的帮助――弗雷斯特研究公司的分析师Jonathan Penn对这种软件的定义是："管理及审计用户的帐户和特权"。他说，用户配置包括六个部分：管理访问控制政策的框架;通常按角色来管理;与IT系统的相互关系;指导退出系统的工作流;委托管理;密码管理和审计。如果这些流程实现自动化，公司就能确保员工只能访问完成工作所需的那部分信息。如果他们的工作角色出现变化，访问级别也会随之变化。

三、找到实际理由。

专家们认为，如今背后推动大多数访问控制计划的是出于符合法规的考虑，但公司还应当找出实际理由，确保自己能够得到最大的投资回报。譬如说，帐户配置的自动化、取消配置权限和密码管理意味着，公司只需要比较少的IT人员就能处理帐户管理，另外还可节省支持成本。

访问控制还能从整体上提高员工的生产力。冠群公司的解决方案营销主管Sumner Blount指出："符合法规要求你限制对信息的访问，只允许有权读取的人才能访问;但这样一来，加上进行合理限制，你其实能够更迅速地把相应信息提供给相应人员。"

四、把访问控制与具体环境联系起来。

贵公司具体需要的访问控制取决于你的IT环境以及面临的法规。弗雷斯特研究公司的Michael Rasmussen说："8个字符的密码总是比6个字符的密码来得安全、总是不如10个字符的密码安全吗?登录访问午餐菜谱网站所需的双因子验证(常常被定义为是最佳实践之一)很可靠吗?未必如此。最终，对你来说效果最好的是适合贵公司控制环境的最佳实践。"

确定实行哪些访问控制机制时，不妨查一下哪些法规适用于贵公司。Securent公司的CEO Rajiv Gupta说："如果需要遵守《萨班斯-奥克斯利法案》(SOX)和《金融服务现代化法案》，控制机制就要能够审计、评估及声明谁可以访问哪些信息。"同时，《健康保险可携性及责任性法案》(HIPAA)要求在需要知晓的情况下才能访问别人的个人健康信息;而《支付卡行业数据安全标准》对个人财务信息的访问作了限制。《巴塞尔第二号协议》、加拿大的《个人信息保护和电子文档法案》以及《欧盟数据指令》等其他法案也要求对访问进行限制。最后，各州的数据披露法律采取不同手法：如果公司怀疑某人的个人数据被人不合理地访问，就必须通知受到影响的本州每个居民。

五、利用角色隔离访问。

《萨班斯-奥克斯利法案》及其他法规要求职务分离：开发人员不可以直接访问接触企业财务数据的生产系统;有权批准交易的人员不可以访问应付账款应用系统。大多数公司对这个问题的处理办法是，不断改进基于角色的访问控制。譬如说，也许"销售主管"这一角色有权批准交易，但绝对不能访问应付账款应用系统;除了开发人员及直接经理，别人都无权访问开发环境;只有应用软件经理才能接触生产系统。