分类:
2008-09-11 14:42:28
如果实施得当,访问控制只允许员工访问完成工作所需要的应用和数据库。在许多受到监管的公司,访问控制却往往是人工操作的、过时的、基本上没有效果。本文介绍如何改变你的访问控制计划。
自动化的IT访问控制在受到监管的环境下到底有多重要呢?
不妨以杜邦公司为例:一名即将投奔新公司的研究科学家承认,2005年8月到12月期间,他先后从杜邦的电子资料库的敏感文件摘要超过22000份。他还访问了另外16700个文件,其中大多与他的工作职责没有关系。这远远超出了资料库普通用户的权限,据称涉及的商业机密价值达到4亿美元。不过杜邦直到2005年12月才发现了这种不合理的访问,之前这名员工早就事先提出离职。此外,他还已经在2006年2月把一些文档上传到了新的办公笔记本电脑,后来联邦当局把他捉拿归案。
说到公司内部人员滥用访问权,杜邦公司并非个案。据弗雷斯特研究公司对2005年遇到过数据泄密事件的28家公司开展的一项调查显示,罪魁祸首就是"授权用户滥用享有的访问权",39%的事件就是由此引起的。
得到的教训就是,仅仅限制访问还不足以阻止不怀好意的内部人员为非作歹。有鉴于此,公司如何才能更有效地管理用户帐户、控制访问、留意不合理访问行为的迹象呢?
不妨从下面十条最佳实践开始着手:
一、建立访问基准。
首先,让IT部门把落实到位的访问级别和控制机制记下来,然后为之建立基准。这样一来,"你会看到现有流程中存在的漏洞,"然后迅速找到任何严重违规人员,譬如"在办公室里头另外开公司的员工",Symark软件公司的产品管理副总裁Ellen Libenson说。"然后你只要检查员工在公司里面的角色;根据需要知晓的访问,就可以规定谁真正需要访问"某些功能。
二、实现用户配置的自动化。
公司必须留意不合理的访问行为的迹象。不过据波耐蒙研究所(Ponemon Institute)针对60家公司展开的身份和访问管理做法的新调查显示,58%的公司使用"基本上手工操作的监控和测试机制"来监控符合访问政策的情况;杜邦案就是个典例;的确,使用人工操作的流程很难发现不寻常的行为。
应当寻求用户配置软件的帮助――弗雷斯特研究公司的分析师Jonathan Penn对这种软件的定义是:"管理及审计用户的帐户和特权".他说,用户配置包括六个部分:管理访问控制政策的框架;通常按角色来管理;与IT系统的相互关系;指导退出系统的工作流;委托管理;密码管理和审计。如果这些流程实现自动化,公司就能确保员工只能访问完成工作所需的那部分信息。如果他们的工作角色出现变化,访问级别也会随之变化。
三、找到实际理由。
专家们认为,如今背后推动大多数访问控制计划的是出于符合法规的考虑,但公司还应当找出实际理由,确保自己能够得到最大的投资回报。譬如说,帐户配置的自动化、取消配置权限和密码管理意味着,公司只需要比较少的IT人员就能处理帐户管理,另外还可节省支持成本。
访问控制还能从整体上提高员工的生产力。冠群公司的解决方案营销主管Sumner Blount指出:"符合法规要求你限制对信息的访问,只允许有权读取的能访问;但这样一来,加上进行合理限制,你其实能够更迅速地把相应信息提供给相应人员。"
四、把访问控制与具体环境联系起来。
贵公司具体需要的访问控制取决于你的IT环境以及面临的法规。弗雷斯特研究公司的Michael Rasmussen说:"8个字符的密码总是比6个字符的密码来得、总是不如10个字符的密码安全吗?登录访问午餐菜谱网站所需的双因子验证(常常被定义为是最佳实践之一)很可靠吗?未必如此。最终,对你来说效果最好的是适合贵公司控制环境的最佳实践。"
确定实行哪些访问控制机制时,不妨查一下哪些法规适用于贵公司。Securent公司的CEO Rajiv Gupta说:"如果需要遵守《萨班斯-奥克斯利法案》(SOX)和《金融服务现代化法案》,控制机制就要能够审计、评估及声明谁可以访问哪些信息。"同时,《健康保险可携性及责任性法案》(HIPAA)要求在需要知晓的情况下才能访问别人的个人健康信息;而《支付卡行业数据安全标准》对个人财务信息的访问作了限制。《巴塞尔第二号》、加拿大的《个人信息保护和电子文档法案》以及《欧盟数据指令》等其他法案也要求对访问进行限制。最后,各州的数据披露法律采取不同手法:如果公司怀疑某人的个人数据被人不合理地访问,就必须通知受到影响的本州每个居民。
五、利用角色隔离访问。
《萨班斯-奥克斯利法案》及其他法规要求职务分离:开发人员不可以直接访问接触企业财务数据的生产系统;有权批准交易的人员不可以访问应付账款应用系统。大多数公司对这个问题的处理办法是,不断改进基于角色的访问控制。譬如说,也许"销售主管"这一角色有权批准交易,但绝对不能访问应付账款应用系统;除了开发人员及直接经理,别人都无权访问开发环境;只有应用软件经理才能接触生产系统。
[1]