十条军规访问控制的最佳实践.docVIP

　　十条军规 访问控制的最佳实践～教育资源库 　　如果实施得当，访问控制只允许员工访问完成工作所需要的应用和数据库。在许多受到监管的公司，访问控制却往往是人工操作的、过时的、基本上没有效果。本文介绍如何改变你的访问控制计划。 　　自动化的IT访问控制在受到监管的环境下到底有多重要呢? 　　不妨以杜邦公司为例：一名即将投奔新公司的研究科学家承认，2005年8月到12月期间，他先后从杜邦的电子资料库下载的敏感文件摘要超过22000份。他还访问了另外16700个文件，其中大多与他的工作职责没有关系。这远远超出了资料库普通用户的权限，据称涉及的商业机密价值达到4亿美元。不过杜邦直到2005年12月才发现了这种不合理的访问，之前这名员工早就事先提出离职。此外，他还已经在2006年2月把一些文档上传到了新的办公笔记本电脑，后来联邦当局把他捉拿归案。 　　说到公司内部人员滥用访问权，杜邦公司并非个案。据弗雷斯特研究公司对2005年遇到过数据泄密事件的28家公司开展的一项调查显示，罪魁祸首就是授权用户滥用享有的访问权，39%的安全事件就是由此引起的。 　　得到的教训就是，仅仅限制访问还不足以阻止不怀好意的内部人员为非作歹。有鉴于此，公司如何才能更有效地管理用户帐户、控制访问、留意不合理访问行为的迹象呢? 　　不妨从下面十条最佳实践开始着手： 　　一、建立访问基准。 　　首先，让IT部门把落实到位的访问级别和控制机制记下来，然后为之建立基准。这样一来，你会看到现有流程中存在的漏洞，然后迅速找到任何严重违规人员，譬如在办公室里头另外开公司的员工，Symark软件公司的产品管理副总裁Ellen Libenson说。然后你只要检查员工在公司里面的角色;根据需要知晓的访问，就可以规定谁真正需要访问某些功能。 　　二、实现用户配置的自动化。 　　公司必须留意不合理的访问行为的迹象。不过据波耐蒙研究所(Ponemon Institute)针对60家公司展开的身份和访问管理做法的新调查显示，58%的公司使用基本上手工操作的监控和测试机制来监控符合访问政策的情况;杜邦案就是个典例;的确，使用人工操作的流程很难发现不寻常的行为。 　　应当寻求用户配置软件的帮助――弗雷斯特研究公司的分析师Jonathan Penn对这种软件的定义是：管理及审计用户的帐户和特权。他说，用户配置包括六个部分：管理访问控制政策的框架;通常按角色来管理;与IT系统的相互关系;指导退出系统的工作流;委托管理;密码管理和审计。如果这些流程实现自动化，公司就能确保员工只能访问完成工作所需的那部分信息。如果他们的工作角色出现变化，访问级别也会随之变化。 　　三、找到实际理由。 　　专家们认为，如今背后推动大多数访问控制计划的是出于符合法规的考虑，但公司还应当找出实际理由，确保自己能够得到最大的投资回报。譬如说，帐户配置的自动化、取消配置权限和密码管理意味着，公司只需要比较少的IT人员就能处理帐户管理，另外还可节省支持成本。 　　访问控制还能从整体上提高员工的生产力。冠群公司的解决方案营销主管Sumner Blount指出：符合法规要求你限制对信息的访问，只允许有权读取的人才能访问;但这样一来，加上进行合理限制，你其实能够更迅速地把相应信息提供给相应人员。 　　四、把访问控制与具体环境联系起来。 　　贵公司具体需要的访问控制取决于你的IT环境以及面临的法规。弗雷斯特研究公司的Michael Rasmussen说：8个字符的密码总是比6个字符的密码来得安全、总是不如10个字符的密码安全吗?登录访问午餐菜谱网站所需的双因子验证(常常被定义为是最佳实践之一)很可靠吗?未必如此。最终，对你来说效果最好的是适合贵公司控制环境的最佳实践。 　　确定实行哪些访问控制机制时，不妨查一下哪些法规适用于贵公司。Securent公司的CEO Rajiv Gupta说：如果需要遵守《萨班斯-奥克斯利法案》(SOX)和《金融服务现代化法案》，控制机制就要能够审计、评估及声明谁可以访问哪些信息。同时，《健康保险可携性及责任性法案》(HIPAA)要求在需要知晓的情况下才能访问别人的个人健康信息;而《支付卡行业数据安全标准》对个人财务信息的访问作了限制。《巴塞尔第二号协议》、加拿大的《个人信息保护和电子文档法案》以及《欧盟数据指令》等其他法案也要求对访问进行限制。最后，各州的数据披露法律采取不同手法：如果公司怀疑某人的个人数据被人不合理地访问，就必须通知受到影响的本州每个居民。 　　五、利用角色隔离访问。 　　《萨班斯-奥克斯利法案》及其他法规要求职务分离：开发人员不可以直接访问接触企业财务数据的生产系统;有权批准交易的人员不可以访问应付账款应用系统。