六、运用最小访问权原则。

不管是哪一项法规,审计人员都越来越想看到"最小特权"原则得到运用。也就是说,"如果你在工作中不需要使用某系统,就不该访问它,"Libenson说。这是制订访问控制机制的一个良好开端。

另一个良好开端就是:立即限制IT人员的访问权,特别是管理访问控制的那些员工,因为他们一旦变成不怀好意的内部攻击者,通常拥有大肆破坏所必要的访问级别和知识。另外,许多IT人员已经觉得数据隐私成问题。据去年开展的针对近650名IT专业人士的一项调查显示,10%的人承认经常滥用安全特权,以不合理的方式访问公司数据。

七、实施必要的监控。

媒体披露的IT员工不合理访问事件表明,要是没有人在监控,员工更有可能试验访问权方面的限制。因此,公司应当审计所有访问,并且提醒员工他们的访问受到监控。Libenson说:"如果员工知道自己的活动受到跟踪,他们就不太可能乱来。"

八、彻底清除"孤立帐户"。

前任员工在事先提出辞职或者最后一次离开公司大楼时,他们的访问权是不是到期取消?考虑到满腹牢骚的前任员工带来的威胁,立即取消他们的访问权应当是无需动脑筋的选择。不过在许多公司,取消配置权限的过程仍是人工操作。Libenson说:"我们通常听到的抱怨就是,我们有1万多名员工,单单一名员工在公司工作期间就有可能有权访问10台服务器和20个应用系统,我们必须找到每一台服务器,然后从每个访问控制列表上删除该用户的权限。"

除非从访问列表中删除这些证书,否则前任员工仍拥有内部访问级别,因而带来安全风险。她说:"我们听说有人被公司解雇一年后、他仍可以使用公司的电子邮件这种事情。"简而言之,受监管环境下的公司必须执行自动化的用户配置,尤其要包括配置权限自动取消的功能。

九、主动监控不寻常的活动。

虽然行之有效的安全计划包括密码,可能还包括双因子验证,但密码和密钥卡(key fob)可能也会丢失、失窃或者访问权被滥用。这就是为什么专家们建议公司应当监控访问模式,留意不寻常的活动,譬如用户突然大量访问含有敏感信息的电子资料库。

据波耐蒙研究所声称,如今只有14%的公司"表现积极主动,采取预防方法来管理访问。"不过不寻常的访问模式(基于一天中的时间、一周中的时间或者工作角色)也许能最清楚地表明:不怀好意的内部人员在搞破坏,或者外部攻击者设法窃取某人的访问证书。

十、控制远程访问以及应用和数据库。

还要对所有远程访问运用访问控制和审计机制。的确,随着公司的边界不断向外扩展,它还要为顾问、业务合作伙伴及供应链的成员定义细粒度的角色,以便迅速为他们提供合适的访问权。针对应用和数据库的访问级别也要加以控制,先从接触Web应用的任何系统开始下手,因为它们特别容易受到攻击。

如今,运用这些控制机制需要人工集成或者特定的安全附件。不过在将来,许多公司有望日益能够"把访问控制拿到应用本身的外面,"Gupta说,这归功于结构化信息标准促进组织(OASIS)的可扩展访问控制标记语言(XACML),他称之为是"事实上的授权标准。"虽然与XACML兼容的应用还没有广泛使用,不过他认为XACML最终会让访问控制更容易跨应用、业务合作伙伴以及经由Web服务来进行扩展。

  1. 实例:网络访问控制帮助航空公司减少安全风险
  2. 基于PACS的网络层访问控制


共2页: 上一页12下一页

相关内容