基於角色的訪問控制可以極大增加企業網路的安全性,尤其可以有效地對付內部的非法入侵和資源使用。由於害怕其漫長而複雜的實施過程,並且會對工作效率帶來負作用,所以很多公司往往不願意實施基於角色的訪問控制。其實,企業可以採用幾種方法來確保基於角色的訪問控制的安全性,同時又不會給雇員的工作效率帶來消極影響。
企業往往重視最常見的入侵型別,即入侵者從網路外部訪問公司的安全資料。另一種入侵是由企業的雇員在公司內部實施的攻擊,其發生的頻率往往超過企業的預期。而且,內部危害的發生更容易,企業應當採取積極的措施來減輕這種危害。
訪問權問題
大規模入侵也許更引人注目,但小規模的內部「入侵」卻每時每刻都在發生。為什麼?通常,雇員工作時就得到了特定的授權。在多數情況下,在雇員從事相同的工作時即獲得相同的權利,這種使用者稱為模板使用者。在新雇員從模板使用者複製權利時,有時會無意中獲得過多權利,因為模板使用者有可能擁有其它的訪問權。另乙個常見的問題是,雇員們有時相互借用訪問權。例如,乙個雇員打算休假,但需要在外出時完成一些工作。這種雇員往往會將其憑據借給其它雇員,在日後卻沒有撤消這種訪問權。
此外,企業往往並不知道雇員獲得的這些不恰當的訪問權,因而就不能輕鬆地解決此問題。企業並不清楚哪些使用者擁有哪些授權,並且不太可能對訪問權進行調查或審計。it部門通常或多或少地知道,誰擁有和需要哪些權利,但由於時間的限制,it部門只是增加權利,一般並不能撤銷權利。it部門並不能輕鬆地知道到底哪些人可以訪問安全應用,所以也就無法知道網路中是否存在安全風險。
最後乙個常見的安全問題是,企業並沒有在網路中禁用前雇員。在雇員離開公司時,很多公司並沒有撤銷其訪問權。這通常是由於管理員必須進入每個系統,並且需要人工禁用使用者。這是乙個重大的安全問題,特別是如果離職的雇員對公司不滿,問題和風險就更大。
基於角色的訪問控制
如何確保內部人員不會帶來危害呢?企業可以使用身份和訪問管理方案來幫助更好地理解其面臨的安全問題,確保未來不會發生問題。其中的一種方法就是基於角色的訪問控制系統。
基於角色的訪問控制可以根據雇員在企業中的工作、角色、位置等來分配授權。企業不妨建立乙個授權矩陣,其中可以詳細記錄雇員應有哪些應用程式和系統的哪些權利。在雇員被僱傭時,他就進入了人力資源系統,具有身份管理系統提供的功能和為其建立的網路賬戶。身份管理軟體可以讀取此雇員的授權矩陣,確切地知道將哪些授權分配給此賬戶。基於角色的使用者訪問可以確保雇員從一開始就得到適當的而不是過多的權利。
基於角色的訪問控制還可以帶來其它好處。例如,它還可以確保安全系統和應用的正常使用,確保雇員在被僱傭期間不會積累過多的權利。通過身份和訪問管理方案,企業可以生成報告,闡明哪些人可以訪問哪個安全系統及其做出的更改。如果在這些訪問權利中存在錯誤,企業就可以輕鬆地清除這些訪問權。
監視訪問權的另一種方法是借助認證或驗證模組。這種模組可以定期或實時地掃瞄網路和應用,對照基於角色的訪問控制矩陣來檢查當前的訪問權利。驗證公司網路上的所有訪問是否正常。如果出現任何不同點,認證或驗證模組就會提醒管理員和系統所有者進行審查。如果這個不同點得到了認可,就會得到乙個電子簽名來確認這個事實,其中還可能要有這個不同權利的終止日期。如果發現此權利未被授權,工作流程就會自動監管這個權利的清除,並通過電子郵件通知有關各方。
為確保雇員的訪問權在其離職後能被清除,企業不妨使用自動賬戶管理系統。自動方案可以使源系統中的任何變化都會在所有連線的系統和應用中反映出來。例如,在雇員離開企業時,管理員只需乙個單擊操作就可以輕鬆地在源系統中禁用雇員的賬戶。
實施基於角色的訪問控制
許多企業往往不願意實施基於角色的訪問控制。因為企業擔心冗長而複雜的實施過程,並且由於雇員訪問權要發生變化,也會對工作效率帶來***。完成基於角色的矩陣可能是乙個需要花費企業幾年時間的複雜過程。
有一些新方法可以縮短這個過程,並當即帶來好處。企業可以採用人力資源系統作為資料來源,收集所有雇員的部門、職位、位置以及企業的層次結構等資訊,並將這些資訊用於建立每個訪問級別的角色。下一步就是從活動目錄等位置獲得當前的權利,以及與不同角色的雇員有關的資料共享。
下一步,使資料標準化,確保相同角色的雇員擁有相同的訪問權。可以通過從人力資源和活動目錄、修正報告以及雇員的管理者那裡收集資料,用於檢查和糾正。基於角色的訪問控制應用與身份管理系統結合使用,可以實施管理員在自動模式中做出的變化。此過程可以在包含敏感資訊的企業網路的其它應用中多次反覆實施,確保訪問權的正確性。
這些資料還可以作為定期檢查的基礎。如果企業對雇員的訪問權進行了修改,例如,針對乙個臨時性的專案或任務修改了雇員的訪問權,就可以自動生成乙份電子郵件傳送給管理員進行檢查或糾正。通過利用上述步驟,企業就可以用幾周而不是用幾年時間實施基於角色的訪問控制矩陣。
保證雇員的效率
雖然上述措施可以減少效率問題,但對於乙個大型企業來說,其部門規模也較大,角色的訪問控制仍是不小的負擔。解決此問題的另乙個更高階的方法是,使用工作流程管理方案。工作流程管理是一種可控的自動化過程,它有預定的任務序列,可以代替多人才能實施的手工過程,從而通過一種簡化而高效的過程處理雇員請求。
因而,如果雇員需要請求訪問某個專案的某個應用,就可以直接訪問web入口,請求所需要的任何資源(應用、計算機、郵箱、通訊錄等)。然後,企業建立乙個工作流程,將使用者請求傳遞給預先確定的可以檢查和准許此請求的人員。從而使任何訪問權的變更成為乙個簡單而安全的過程,並可以確保其一致性和連續性,而且在此過程中也不會誤傳或丟失。此外,這個方法還可以保證合適的人員得到適當的許可,從而使終端使用者也無法訪問受限資源。
基於角色的訪問控制與工作流程管理結合起來可以給企業帶來巨大的作用。這兩種方案協同工作可以確保企業網路的安全性,且不會影響到雇員效率。
BT攜手思科 應對安全威脅
英國電信 bt 在其資料中心部署思科的安全方案以應對安全威脅,該運營商宣稱在過去的13個月裡,其資料中心的安全威脅上公升了1000 為什麼安全威脅上公升了1000 思科高階產品經理sam rastogi解答了這個問題,他表示 這是因為網路裝置的大規模增長以及物聯網的增長,導致安全的漏洞越來越多。思科...
關於對內部類的理解
關於內部類,由於本人經驗尚淺,在開發過程中幾乎沒用到過,所以我個人對內部類的作用理解就是 減少一些只使用一次的類,優化專案的結構。例如使用內部類作為引數傳遞。內部類按照在類中定義的位置可以劃分為兩大類 再細分可以分為4類,如下圖所示 內部類的共同特點 可以訪問外部類的所有成員,包括私有的 當內部類和...
機器學習與內部威脅
在企業內部,由有各種訪問許可權的員工 合同工 供 承包商和裝置 商構成了企業的內部人員 insider 由他們引起的任何威脅都稱之為內部威脅 insider threats 內部威脅之所以很快引起重視,原因很簡單 其一,在完全被信任的內部一旦產生威脅,造成損失的程度遠遠大於來自外部的攻擊 其二,內部...