十條軍規(guī) 訪問(wèn)控制的最佳實(shí)踐
如果實(shí)施得當(dāng),訪問(wèn)控制只允許員工訪問(wèn)完成工作所需要的應(yīng)用和數(shù)據(jù)庫(kù)。在許多受到監(jiān)管的公司,訪問(wèn)控制卻往往是人工操作的、過(guò)時(shí)的、基本上沒(méi)有效果。本文介紹如何改變你的訪問(wèn)控制計(jì)劃。
自動(dòng)化的IT訪問(wèn)控制在受到監(jiān)管的環(huán)境下到底有多重要呢?
不妨以杜邦公司為例:一名即將投奔新公司的研究科學(xué)家承認(rèn),2005年8月到12月期間,他先后從杜邦的電子資料庫(kù)下載的敏感文件摘要超過(guò)22000份。他還訪問(wèn)了另外16700個(gè)文件,其中大多與他的工作職責(zé)沒(méi)有關(guān)系。這遠(yuǎn)遠(yuǎn)超出了資料庫(kù)普通用戶的權(quán)限,據(jù)稱涉及的商業(yè)機(jī)密價(jià)值達(dá)到4億美元。不過(guò)杜邦直到2005年12月才發(fā)現(xiàn)了這種不合理的訪問(wèn),之前這名員工早就事先提出離職。此外,他還已經(jīng)在2006年2月把一些文檔上傳到了新的辦公筆記本電腦,后來(lái)聯(lián)邦當(dāng)局把他捉拿歸案。
說(shuō)到公司內(nèi)部人員濫用訪問(wèn)權(quán),杜邦公司并非個(gè)案。據(jù)弗雷斯特研究公司對(duì)2005年遇到過(guò)數(shù)據(jù)泄密事件的28家公司開(kāi)展的一項(xiàng)調(diào)查顯示,罪魁禍?zhǔn)拙褪?授權(quán)用戶濫用享有的訪問(wèn)權(quán)",39%的安全事件就是由此引起的。
得到的教訓(xùn)就是,僅僅限制訪問(wèn)還不足以阻止不懷好意的內(nèi)部人員為非作歹。有鑒于此,公司如何才能更有效地管理用戶帳戶、控制訪問(wèn)、留意不合理訪問(wèn)行為的跡象呢?
不妨從下面十條最佳實(shí)踐開(kāi)始著手:
一、建立訪問(wèn)基準(zhǔn)。
首先,讓IT部門(mén)把落實(shí)到位的訪問(wèn)級(jí)別和控制機(jī)制記下來(lái),然后為之建立基準(zhǔn)。這樣一來(lái),"你會(huì)看到現(xiàn)有流程中存在的漏洞,"然后迅速找到任何嚴(yán)重違規(guī)人員,譬如"在辦公室里頭另外開(kāi)公司的員工",Symark軟件公司的產(chǎn)品管理副總裁Ellen Libenson說(shuō)。"然后你只要檢查員工在公司里面的角色;根據(jù)需要知曉的訪問(wèn),就可以規(guī)定誰(shuí)真正需要訪問(wèn)"某些功能。
二、實(shí)現(xiàn)用戶配置的自動(dòng)化。
公司必須留意不合理的訪問(wèn)行為的跡象。不過(guò)據(jù)波耐蒙研究所(Ponemon Institute)針對(duì)60家公司展開(kāi)的身份和訪問(wèn)管理做法的新調(diào)查顯示,58%的公司使用"基本上手工操作的監(jiān)控和測(cè)試機(jī)制"來(lái)監(jiān)控符合訪問(wèn)政策的情況;杜邦案就是個(gè)典例;的確,使用人工操作的流程很難發(fā)現(xiàn)不尋常的行為。
應(yīng)當(dāng)尋求用戶配置軟件的幫助――弗雷斯特研究公司的分析師Jonathan Penn對(duì)這種軟件的定義是:"管理及審計(jì)用戶的帳戶和特權(quán)"。他說(shuō),用戶配置包括六個(gè)部分:管理訪問(wèn)控制政策的框架;通常按角色來(lái)管理;與IT系統(tǒng)的相互關(guān)系;指導(dǎo)退出系統(tǒng)的工作流;委托管理;密碼管理和審計(jì)。如果這些流程實(shí)現(xiàn)自動(dòng)化,公司就能確保員工只能訪問(wèn)完成工作所需的那部分信息。如果他們的工作角色出現(xiàn)變化,訪問(wèn)級(jí)別也會(huì)隨之變化。
三、找到實(shí)際理由。
專家們認(rèn)為,如今背后推動(dòng)大多數(shù)訪問(wèn)控制計(jì)劃的是出于符合法規(guī)的考慮,但公司還應(yīng)當(dāng)找出實(shí)際理由,確保自己能夠得到最大的投資回報(bào)。譬如說(shuō),帳戶配置的自動(dòng)化、取消配置權(quán)限和密碼管理意味著,公司只需要比較少的IT人員就能處理帳戶管理,另外還可節(jié)省支持成本。
訪問(wèn)控制還能從整體上提高員工的生產(chǎn)力。冠群公司的解決方案營(yíng)銷(xiāo)主管Sumner Blount指出:"符合法規(guī)要求你限制對(duì)信息的訪問(wèn),只允許有權(quán)讀取的人才能訪問(wèn);但這樣一來(lái),加上進(jìn)行合理限制,你其實(shí)能夠更迅速地把相應(yīng)信息提供給相應(yīng)人員。"
四、把訪問(wèn)控制與具體環(huán)境聯(lián)系起來(lái)。
貴公司具體需要的訪問(wèn)控制取決于你的IT環(huán)境以及面臨的法規(guī)。弗雷斯特研究公司的Michael Rasmussen說(shuō):"8個(gè)字符的密碼總是比6個(gè)字符的密碼來(lái)得安全、總是不如10個(gè)字符的密碼安全嗎?登錄訪問(wèn)午餐菜譜網(wǎng)站所需的雙因子驗(yàn)證(常常被定義為是最佳實(shí)踐之一)很可靠嗎?未必如此。最終,對(duì)你來(lái)說(shuō)效果最好的是適合貴公司控制環(huán)境的最佳實(shí)踐。"
確定實(shí)行哪些訪問(wèn)控制機(jī)制時(shí),不妨查一下哪些法規(guī)適用于貴公司。Securent公司的CEO Rajiv Gupta說(shuō):"如果需要遵守《薩班斯-奧克斯利法案》(SOX)和《金融服務(wù)現(xiàn)代化法案》,控制機(jī)制就要能夠?qū)徲?jì)、評(píng)估及聲明誰(shuí)可以訪問(wèn)哪些信息。"同時(shí),《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)要求在需要知曉的情況下才能訪問(wèn)別人的個(gè)人健康信息;而《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》對(duì)個(gè)人財(cái)務(wù)信息的訪問(wèn)作了限制。《巴塞爾第二號(hào)協(xié)議》、加拿大的《個(gè)人信息保護(hù)和電子文檔法案》以及《歐盟數(shù)據(jù)指令》等其他法案也要求對(duì)訪問(wèn)進(jìn)行限制。最后,各州的數(shù)據(jù)披露法律采取不同手法:如果公司懷疑某人的個(gè)人數(shù)據(jù)被人不合理地訪問(wèn),就必須通知受到影響的本州每個(gè)居民。
五、利用角色隔離訪問(wèn)。
《薩班斯-奧克斯利法案》及其他法規(guī)要求職務(wù)分離:開(kāi)發(fā)人員不可以直接訪問(wèn)接觸企業(yè)財(cái)務(wù)數(shù)據(jù)的生產(chǎn)系統(tǒng);有權(quán)批準(zhǔn)交易的人員不可以訪問(wèn)應(yīng)付賬款應(yīng)用系統(tǒng)。大多數(shù)公司對(duì)這個(gè)問(wèn)題的處理辦法是,不斷改進(jìn)基于角色的訪問(wèn)控制。譬如說(shuō),也許"銷(xiāo)售主管"這一角色有權(quán)批準(zhǔn)交易,但絕對(duì)不能訪問(wèn)應(yīng)付賬款應(yīng)用系統(tǒng);除了開(kāi)發(fā)人員及直接經(jīng)理,別人都無(wú)權(quán)訪問(wèn)開(kāi)發(fā)環(huán)境;只有應(yīng)用軟件經(jīng)理才能接觸生產(chǎn)系統(tǒng)。#p#
六、運(yùn)用最小訪問(wèn)權(quán)原則。
不管是哪一項(xiàng)法規(guī),審計(jì)人員都越來(lái)越想看到"最小特權(quán)"原則得到運(yùn)用。也就是說(shuō),"如果你在工作中不需要使用某系統(tǒng),就不該訪問(wèn)它,"Libenson說(shuō)。這是制訂訪問(wèn)控制機(jī)制的一個(gè)良好開(kāi)端。
另一個(gè)良好開(kāi)端就是:立即限制IT人員的訪問(wèn)權(quán),特別是管理訪問(wèn)控制的那些員工,因?yàn)樗麄円坏┳兂刹粦押靡獾膬?nèi)部攻擊者,通常擁有大肆破壞所必要的訪問(wèn)級(jí)別和知識(shí)。另外,許多IT人員已經(jīng)覺(jué)得數(shù)據(jù)隱私成問(wèn)題。據(jù)去年開(kāi)展的針對(duì)近650名IT專業(yè)人士的一項(xiàng)調(diào)查顯示,10%的人承認(rèn)經(jīng)常濫用安全特權(quán),以不合理的方式訪問(wèn)公司數(shù)據(jù)。
七、實(shí)施必要的監(jiān)控。
媒體披露的IT員工不合理訪問(wèn)事件表明,要是沒(méi)有人在監(jiān)控,員工更有可能試驗(yàn)訪問(wèn)權(quán)方面的限制。因此,公司應(yīng)當(dāng)審計(jì)所有訪問(wèn),并且提醒員工他們的訪問(wèn)受到監(jiān)控。Libenson說(shuō):"如果員工知道自己的活動(dòng)受到跟蹤,他們就不太可能亂來(lái)。"
八、徹底清除"孤立帳戶"。
前任員工在事先提出辭職或者最后一次離開(kāi)公司大樓時(shí),他們的訪問(wèn)權(quán)是不是到期取消?考慮到滿腹牢騷的前任員工帶來(lái)的威脅,立即取消他們的訪問(wèn)權(quán)應(yīng)當(dāng)是無(wú)需動(dòng)腦筋的選擇。不過(guò)在許多公司,取消配置權(quán)限的過(guò)程仍是人工操作。Libenson說(shuō):"我們通常聽(tīng)到的抱怨就是,我們有1萬(wàn)多名員工,單單一名員工在公司工作期間就有可能有權(quán)訪問(wèn)10臺(tái)服務(wù)器和20個(gè)應(yīng)用系統(tǒng),我們必須找到每一臺(tái)服務(wù)器,然后從每個(gè)訪問(wèn)控制列表上刪除該用戶的權(quán)限。"
除非從訪問(wèn)列表中刪除這些證書(shū),否則前任員工仍擁有內(nèi)部訪問(wèn)級(jí)別,因而帶來(lái)安全風(fēng)險(xiǎn)。她說(shuō):"我們聽(tīng)說(shuō)有人被公司解雇一年后、他仍可以使用公司的電子郵件這種事情。"簡(jiǎn)而言之,受監(jiān)管環(huán)境下的公司必須執(zhí)行自動(dòng)化的用戶配置,尤其要包括配置權(quán)限自動(dòng)取消的功能。
九、主動(dòng)監(jiān)控不尋常的活動(dòng)。
雖然行之有效的安全計(jì)劃包括密碼,可能還包括雙因子驗(yàn)證,但密碼和密鑰卡(key fob)可能也會(huì)丟失、失竊或者訪問(wèn)權(quán)被濫用。這就是為什么專家們建議公司應(yīng)當(dāng)監(jiān)控訪問(wèn)模式,留意不尋常的活動(dòng),譬如用戶突然大量訪問(wèn)含有敏感信息的電子資料庫(kù)。
據(jù)波耐蒙研究所聲稱,如今只有14%的公司"表現(xiàn)積極主動(dòng),采取預(yù)防方法來(lái)管理訪問(wèn)。"不過(guò)不尋常的訪問(wèn)模式(基于一天中的時(shí)間、一周中的時(shí)間或者工作角色)也許能最清楚地表明:不懷好意的內(nèi)部人員在搞破壞,或者外部攻擊者設(shè)法竊取某人的訪問(wèn)證書(shū)。
十、控制遠(yuǎn)程訪問(wèn)以及應(yīng)用和數(shù)據(jù)庫(kù)。
還要對(duì)所有遠(yuǎn)程訪問(wèn)運(yùn)用訪問(wèn)控制和審計(jì)機(jī)制。的確,隨著公司的邊界不斷向外擴(kuò)展,它還要為顧問(wèn)、業(yè)務(wù)合作伙伴及供應(yīng)鏈的成員定義細(xì)粒度的角色,以便迅速為他們提供合適的訪問(wèn)權(quán)。針對(duì)應(yīng)用和數(shù)據(jù)庫(kù)的訪問(wèn)級(jí)別也要加以控制,先從接觸Web應(yīng)用的任何系統(tǒng)開(kāi)始下手,因?yàn)樗鼈兲貏e容易受到攻擊。
如今,運(yùn)用這些控制機(jī)制需要人工集成或者特定的安全附件。不過(guò)在將來(lái),許多公司有望日益能夠"把訪問(wèn)控制拿到應(yīng)用本身的外面,"Gupta說(shuō),這歸功于結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)的可擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言(XACML),他稱之為是"事實(shí)上的授權(quán)標(biāo)準(zhǔn)。"雖然與XACML兼容的應(yīng)用還沒(méi)有廣泛使用,不過(guò)他認(rèn)為XACML最終會(huì)讓訪問(wèn)控制更容易跨應(yīng)用、業(yè)務(wù)合作伙伴以及經(jīng)由Web服務(wù)來(lái)進(jìn)行擴(kuò)展。
【編輯推薦】
