如果实施得当,访问控制只允许员工访问完成工作所需要的应用和数据库。在许多受到监管的公司,访问控制却往往是人工操作的、过时的、基本上没有效果。本文介绍如何改变你的访问控制计划。
自动化的IT访问控制在受到监管的环境下到底有多重要呢?
不妨以杜邦公司为例:一名即将投奔新公司的研究科学家承认,2005年8月到12月期间,他先后从杜邦的电子资料库下载的敏感文件摘要超过22000份。他还访问了另外16700个文件,其中大多与他的工作职责没有关系。这远远超出了资料库普通用户的权限,据称涉及的商业机密价值达到4亿美元。不过杜邦直到2005年12月才发现了这种不合理的访问,之前这名员工早就事先提出离职。此外,他还已经在2006年2月把一些文档上传到了新的办公笔记本电脑,后来联邦当局把他捉拿归案。
说到公司内部人员滥用访问权,杜邦公司并非个案。据弗雷斯特研究公司对2005年遇到过数据泄密事件的28家公司开展的一项调查显示,罪魁祸首就是"授权用户滥用享有的访问权",39%的安全事件就是由此引起的。
得到的教训就是,仅仅限制访问还不足以阻止不怀好意的内部人员为非作歹。有鉴于此,公司如何才能更有效地管理用户帐户、控制访问、留意不合理访问行为的迹象呢?
不妨从下面十条最佳实践开始着手:
一、建立访问基准。
首先,让IT部门把落实到位的访问级别和控制机制记下来,然后为之建立基准。这样一来,"你会看到现有流程中存在的漏洞,"然后迅速找到任何严重违规人员,譬如"在办公室里头另外开公司的员工",Symark软件公司的产品管理副总裁Ellen Libenson说。"然后你只要检查员工在公司里面的角色;根据需要知晓的访问,就可以规定谁真正需要访问"某些功能。
二、实现用户配置的自动化。
公司必须留意不合理的访问行为的迹象。不过据波耐蒙研究所(Ponemon Institute)针对60家公司展开的身份和访问管理做法的新调查显示,58%的公司使用"基本上手工操作的监控和测试机制"来监控符合访问政策的情况;杜邦案就是个典例;的确,使用人工操作的流程很难发现不寻常的行为。
应当寻求用户配置软件的帮助――弗雷斯特研究公司的分析师Jonathan Penn对这种软件的定义是:"管理及审计用户的帐户和特权".他说,用户配置包括六个部分:管理访问控制政策的框架;通常按角色来管理;与IT系统的相互关系;指导退出系统的工作流;委托管理;密码管理和审计。如果这些流程实现自动化,公司就能确保员工只能访问完成工作所需的那部分信息。如果他们的工作角色出现变化,访问级别也会随之变化。
三、找到实际理由。
专家们认为,如今背后推动大多数访问控制计划的是出于符合法规的考虑,但公司还应当找出实际理由,确保自己能够得到最大的投资回报。譬如说,帐户配置的自动化、取消配置权限和密码管理意味着,公司只需要比较少的IT人员就能处理帐户管理,另外还可节省支持成本。
访问控制还能从整体上提高员工的生产力。冠群公司的解决方案营销主管Sumner Blount指出:"符合法规要求你限制对信息的访问,只允许有权读取的人才能访问;但这样一来,加上进行合理限制,你其实能够更迅速地把相应信息提供给相应人员。"
四、把访问控制与具体环境联系起来。
贵公司具体需要的访问控制取决于你的IT环境以及面临的法规。弗雷斯特研究公司的Michael Rasmussen说:"8个字符的密码总是比6个字符的密码来得安全、总是不如10个字符的密码安全吗?登录访问午餐菜谱网站所需的双因子验证(常常被定义为是最佳实践之一)很可靠吗?未必如此。最终,对你来说效果最好的是适合贵公司控制环境的最佳实践。"
确定实行哪些访问控制机制时,不妨查一下哪些法规适用于贵公司。Securent公司的CEO Rajiv Gupta说:"如果需要遵守《萨班斯-奥克斯利法案》(SOX)和《金融服务现代化法案》,控制机制就要能够审计、评估及声明谁可以访问哪些信息。"同时,《健康保险可携性及责任性法案》(HIPAA)要求在需要知晓的情况下才能访问别人的个人健康信息;而《支付卡行业数据安全标准》对个人财务信息的访问作了限制。《巴塞尔第二号协议》、加拿大的《个人信息保护和电子文档法案》以及《欧盟数据指令》等其他法案也要求对访问进行限制。最后,各州的数据披露法律采取不同手法:如果公司怀疑某人的个人数据被人不合理地访问,就必须通知受到影响的本州每个居民。
五、利用角色隔离访问。
《萨班斯-奥克斯利法案》及其他法规要求职务分离:开发人员不可以直接访问接触企业财务数据的生产系统;有权批准交易的人员不可以访问应付账款应用系统。大多数公司对这个问题的处理办法是,不断改进基于角色的访问控制。譬如说,也许"销售主管"这一角色有权批准交易,但绝对不能访问应付账款应用系统;除了开发人员及直接经理,别人都无权访问开发环境;只有应用软件经理才能接触生产系统。
六、运用最小访问权原则。
不管是哪一项法规,审计人员都越来越想看到"最小特权"原则得到运用。也就是说,"如果你在工作中不需要使用某系统,就不该访问它,"Libenson说。这是制订访问控制机制的一个良好开端。
另一个良好开端就是:立即限制IT人员的访问权,特别是管理访问控制的那些员工,因为他们一旦变成不怀好意的内部攻击者,通常拥有大肆破坏所必要的访问级别和知识。另外,许多IT人员已经觉得数据隐私成问题。据去年开展的针对近650名IT专业人士的一项调查显示,10%的人承认经常滥用安全特权,以不合理的方式访问公司数据。
七、实施必要的监控。
媒体披露的IT员工不合理访问事件表明,要是没有人在监控,员工更有可能试验访问权方面的限制。因此,公司应当审计所有访问,并且提醒员工他们的访问受到监控。Libenson说:"如果员工知道自己的活动受到跟踪,他们就不太可能乱来。"
八、彻底清除"孤立帐户".
前任员工在事先提出辞职或者最后一次离开公司大楼时,他们的访问权是不是到期取消?考虑到满腹牢骚的前任员工带来的威胁,立即取消他们的访问权应当是无需动脑筋的选择。不过在许多公司,取消配置权限的过程仍是人工操作。Libenson说:"我们通常听到的抱怨就是,我们有1万多名员工,单单一名员工在公司工作期间就有可能有权访问10台服务器和20个应用系统,我们必须找到每一台服务器,然后从每个访问控制列表上删除该用户的权限。"
除非从访问列表中删除这些证书,否则前任员工仍拥有内部访问级别,因而带来安全风险。她说:"我们听说有人被公司解雇一年后、他仍可以使用公司的电子邮件这种事情。"简而言之,受监管环境下的公司必须执行自动化的用户配置,尤其要包括配置权限自动取消的功能。
九、主动监控不寻常的活动。
虽然行之有效的安全计划包括密码,可能还包括双因子验证,但密码和密钥卡(key fob)可能也会丢失、失窃或者访问权被滥用。这就是为什么专家们建议公司应当监控访问模式,留意不寻常的活动,譬如用户突然大量访问含有敏感信息的电子资料库。
据波耐蒙研究所声称,如今只有14%的公司"表现积极主动,采取预防方法来管理访问。"不过不寻常的访问模式(基于一天中的时间、一周中的时间或者工作角色)也许能最清楚地表明:不怀好意的内部人员在搞破坏,或者外部攻击者设法窃取某人的访问证书。
十、控制远程访问以及应用和数据库。
还要对所有远程访问运用访问控制和审计机制。的确,随着公司的边界不断向外扩展,它还要为顾问、业务合作伙伴及供应链的成员定义细粒度的角色,以便迅速为他们提供合适的访问权。针对应用和数据库的访问级别也要加以控制,先从接触Web应用的任何系统开始下手,因为它们特别容易受到攻击。
如今,运用这些控制机制需要人工集成或者特定的安全附件。不过在将来,许多公司有望日益能够"把访问控制拿到应用本身的外面,"Gupta说,这归功于结构化信息标准促进组织(OASIS)的可扩展访问控制标记语言(XACML),他称之为是"事实上的授权标准。"虽然与XACML兼容的应用还没有广泛使用,不过他认为XACML最终会让访问控制更容易跨应用、业务合作伙伴以及经由Web服务来进行扩展。
