十條軍規(guī) 訪問控制的最佳實踐
如果實施得當,訪問控制只允許員工訪問完成工作所需要的應用和數據庫。在許多受到監(jiān)管的公司,訪問控制卻往往是人工操作的、過時的、基本上沒有效果。本文介紹如何改變你的訪問控制計劃。
自動化的IT訪問控制在受到監(jiān)管的環(huán)境下到底有多重要呢?
不妨以杜邦公司為例:一名即將投奔新公司的研究科學家承認,2005年8月到12月期間,他先后從杜邦的電子資料庫下載的敏感文件摘要超過22000份。他還訪問了另外16700個文件,其中大多與他的工作職責沒有關系。這遠遠超出了資料庫普通用戶的權限,據稱涉及的商業(yè)機密價值達到4億美元。不過杜邦直到2005年12月才發(fā)現了這種不合理的訪問,之前這名員工早就事先提出離職。此外,他還已經在2006年2月把一些文檔上傳到了新的辦公筆記本電腦,后來聯邦當局把他捉拿歸案。
說到公司內部人員濫用訪問權,杜邦公司并非個案。據弗雷斯特研究公司對2005年遇到過數據泄密事件的28家公司開展的一項調查顯示,罪魁禍首就是"授權用戶濫用享有的訪問權",39%的安全事件就是由此引起的。
得到的教訓就是,僅僅限制訪問還不足以阻止不懷好意的內部人員為非作歹。有鑒于此,公司如何才能更有效地管理用戶帳戶、控制訪問、留意不合理訪問行為的跡象呢?
不妨從下面十條最佳實踐開始著手:
一、建立訪問基準。
首先,讓IT部門把落實到位的訪問級別和控制機制記下來,然后為之建立基準。這樣一來,"你會看到現有流程中存在的漏洞,"然后迅速找到任何嚴重違規(guī)人員,譬如"在辦公室里頭另外開公司的員工",Symark軟件公司的產品管理副總裁Ellen Libenson說。"然后你只要檢查員工在公司里面的角色;根據需要知曉的訪問,就可以規(guī)定誰真正需要訪問"某些功能。
二、實現用戶配置的自動化。
公司必須留意不合理的訪問行為的跡象。不過據波耐蒙研究所(Ponemon Institute)針對60家公司展開的身份和訪問管理做法的新調查顯示,58%的公司使用"基本上手工操作的監(jiān)控和測試機制"來監(jiān)控符合訪問政策的情況;杜邦案就是個典例;的確,使用人工操作的流程很難發(fā)現不尋常的行為。
應當尋求用戶配置軟件的幫助――弗雷斯特研究公司的分析師Jonathan Penn對這種軟件的定義是:"管理及審計用戶的帳戶和特權"。他說,用戶配置包括六個部分:管理訪問控制政策的框架;通常按角色來管理;與IT系統(tǒng)的相互關系;指導退出系統(tǒng)的工作流;委托管理;密碼管理和審計。如果這些流程實現自動化,公司就能確保員工只能訪問完成工作所需的那部分信息。如果他們的工作角色出現變化,訪問級別也會隨之變化。
三、找到實際理由。
專家們認為,如今背后推動大多數訪問控制計劃的是出于符合法規(guī)的考慮,但公司還應當找出實際理由,確保自己能夠得到最大的投資回報。譬如說,帳戶配置的自動化、取消配置權限和密碼管理意味著,公司只需要比較少的IT人員就能處理帳戶管理,另外還可節(jié)省支持成本。
訪問控制還能從整體上提高員工的生產力。冠群公司的解決方案營銷主管Sumner Blount指出:"符合法規(guī)要求你限制對信息的訪問,只允許有權讀取的人才能訪問;但這樣一來,加上進行合理限制,你其實能夠更迅速地把相應信息提供給相應人員。"
四、把訪問控制與具體環(huán)境聯系起來。
貴公司具體需要的訪問控制取決于你的IT環(huán)境以及面臨的法規(guī)。弗雷斯特研究公司的Michael Rasmussen說:"8個字符的密碼總是比6個字符的密碼來得安全、總是不如10個字符的密碼安全嗎?登錄訪問午餐菜譜網站所需的雙因子驗證(常常被定義為是最佳實踐之一)很可靠嗎?未必如此。最終,對你來說效果最好的是適合貴公司控制環(huán)境的最佳實踐。"
確定實行哪些訪問控制機制時,不妨查一下哪些法規(guī)適用于貴公司。Securent公司的CEO Rajiv Gupta說:"如果需要遵守《薩班斯-奧克斯利法案》(SOX)和《金融服務現代化法案》,控制機制就要能夠審計、評估及聲明誰可以訪問哪些信息。"同時,《健康保險可攜性及責任性法案》(HIPAA)要求在需要知曉的情況下才能訪問別人的個人健康信息;而《支付卡行業(yè)數據安全標準》對個人財務信息的訪問作了限制。《巴塞爾第二號協議》、加拿大的《個人信息保護和電子文檔法案》以及《歐盟數據指令》等其他法案也要求對訪問進行限制。最后,各州的數據披露法律采取不同手法:如果公司懷疑某人的個人數據被人不合理地訪問,就必須通知受到影響的本州每個居民。
五、利用角色隔離訪問。
《薩班斯-奧克斯利法案》及其他法規(guī)要求職務分離:開發(fā)人員不可以直接訪問接觸企業(yè)財務數據的生產系統(tǒng);有權批準交易的人員不可以訪問應付賬款應用系統(tǒng)。大多數公司對這個問題的處理辦法是,不斷改進基于角色的訪問控制。譬如說,也許"銷售主管"這一角色有權批準交易,但絕對不能訪問應付賬款應用系統(tǒng);除了開發(fā)人員及直接經理,別人都無權訪問開發(fā)環(huán)境;只有應用軟件經理才能接觸生產系統(tǒng)。#p#
六、運用最小訪問權原則。
不管是哪一項法規(guī),審計人員都越來越想看到"最小特權"原則得到運用。也就是說,"如果你在工作中不需要使用某系統(tǒng),就不該訪問它,"Libenson說。這是制訂訪問控制機制的一個良好開端。
另一個良好開端就是:立即限制IT人員的訪問權,特別是管理訪問控制的那些員工,因為他們一旦變成不懷好意的內部攻擊者,通常擁有大肆破壞所必要的訪問級別和知識。另外,許多IT人員已經覺得數據隱私成問題。據去年開展的針對近650名IT專業(yè)人士的一項調查顯示,10%的人承認經常濫用安全特權,以不合理的方式訪問公司數據。
七、實施必要的監(jiān)控。
媒體披露的IT員工不合理訪問事件表明,要是沒有人在監(jiān)控,員工更有可能試驗訪問權方面的限制。因此,公司應當審計所有訪問,并且提醒員工他們的訪問受到監(jiān)控。Libenson說:"如果員工知道自己的活動受到跟蹤,他們就不太可能亂來。"
八、徹底清除"孤立帳戶"。
前任員工在事先提出辭職或者最后一次離開公司大樓時,他們的訪問權是不是到期取消?考慮到滿腹牢騷的前任員工帶來的威脅,立即取消他們的訪問權應當是無需動腦筋的選擇。不過在許多公司,取消配置權限的過程仍是人工操作。Libenson說:"我們通常聽到的抱怨就是,我們有1萬多名員工,單單一名員工在公司工作期間就有可能有權訪問10臺服務器和20個應用系統(tǒng),我們必須找到每一臺服務器,然后從每個訪問控制列表上刪除該用戶的權限。"
除非從訪問列表中刪除這些證書,否則前任員工仍擁有內部訪問級別,因而帶來安全風險。她說:"我們聽說有人被公司解雇一年后、他仍可以使用公司的電子郵件這種事情。"簡而言之,受監(jiān)管環(huán)境下的公司必須執(zhí)行自動化的用戶配置,尤其要包括配置權限自動取消的功能。
九、主動監(jiān)控不尋常的活動。
雖然行之有效的安全計劃包括密碼,可能還包括雙因子驗證,但密碼和密鑰卡(key fob)可能也會丟失、失竊或者訪問權被濫用。這就是為什么專家們建議公司應當監(jiān)控訪問模式,留意不尋常的活動,譬如用戶突然大量訪問含有敏感信息的電子資料庫。
據波耐蒙研究所聲稱,如今只有14%的公司"表現積極主動,采取預防方法來管理訪問。"不過不尋常的訪問模式(基于一天中的時間、一周中的時間或者工作角色)也許能最清楚地表明:不懷好意的內部人員在搞破壞,或者外部攻擊者設法竊取某人的訪問證書。
十、控制遠程訪問以及應用和數據庫。
還要對所有遠程訪問運用訪問控制和審計機制。的確,隨著公司的邊界不斷向外擴展,它還要為顧問、業(yè)務合作伙伴及供應鏈的成員定義細粒度的角色,以便迅速為他們提供合適的訪問權。針對應用和數據庫的訪問級別也要加以控制,先從接觸Web應用的任何系統(tǒng)開始下手,因為它們特別容易受到攻擊。
如今,運用這些控制機制需要人工集成或者特定的安全附件。不過在將來,許多公司有望日益能夠"把訪問控制拿到應用本身的外面,"Gupta說,這歸功于結構化信息標準促進組織(OASIS)的可擴展訪問控制標記語言(XACML),他稱之為是"事實上的授權標準。"雖然與XACML兼容的應用還沒有廣泛使用,不過他認為XACML最終會讓訪問控制更容易跨應用、業(yè)務合作伙伴以及經由Web服務來進行擴展。
【編輯推薦】
