基于角色的訪問控制可以極大增加企業(yè)網(wǎng)絡(luò)的安全性,尤其可以有效地對(duì)付內(nèi)部的非法入侵和資源使用。由于害怕其漫長(zhǎng)而復(fù)雜的實(shí)施過程,并且會(huì)對(duì)工作效率帶來負(fù)作用,所以很多公司往往不愿意實(shí)施基于角色的訪問控制。其實(shí),企業(yè)可以采用幾種方法來確保基于角色的訪問控制的安全性,同時(shí)又不會(huì)給雇員的工作效率帶來消極影響。
企業(yè)往往重視最常見的入侵類型,即入侵者從網(wǎng)絡(luò)外部訪問公司的安全數(shù)據(jù)。另一種入侵是由企業(yè)的雇員在公司內(nèi)部實(shí)施的攻擊,其發(fā)生的頻率往往超過企業(yè)的預(yù)期。而且,內(nèi)部危害的發(fā)生更容易,企業(yè)應(yīng)當(dāng)采取積極的措施來減輕這種危害。
訪問權(quán)問題
大規(guī)模入侵也許更引人注目,但小規(guī)模的內(nèi)部“入侵”卻每時(shí)每刻都在發(fā)生。為什么?通常,雇員工作時(shí)就得到了特定的授權(quán)。在多數(shù)情況下,在雇員從事相同的工作時(shí)即獲得相同的權(quán)利,這種用戶稱為模板用戶。在新雇員從模板用戶復(fù)制權(quán)利時(shí),有時(shí)會(huì)無意中獲得過多權(quán)利,因?yàn)槟0逵脩粲锌赡軗碛衅渌脑L問權(quán)。另一個(gè)常見的問題是,雇員們有時(shí)相互借用訪問權(quán)。例如,一個(gè)雇員打算休假,但需要在外出時(shí)完成一些工作。這種雇員往往會(huì)將其憑據(jù)借給其它雇員,在日后卻沒有撤消這種訪問權(quán)。
此外,企業(yè)往往并不知道雇員獲得的這些不恰當(dāng)?shù)脑L問權(quán),因而就不能輕松地解決此問題。企業(yè)并不清楚哪些用戶擁有哪些授權(quán),并且不太可能對(duì)訪問權(quán)進(jìn)行調(diào)查或?qū)徲?jì)。IT部門通常或多或少地知道,誰擁有和需要哪些權(quán)利,但由于時(shí)間的限制,IT部門只是增加權(quán)利,一般并不能撤銷權(quán)利。IT部門并不能輕松地知道到底哪些人可以訪問安全應(yīng)用,所以也就無法知道網(wǎng)絡(luò)中是否存在安全風(fēng)險(xiǎn)。
最后一個(gè)常見的安全問題是,企業(yè)并沒有在網(wǎng)絡(luò)中禁用前雇員。在雇員離開公司時(shí),很多公司并沒有撤銷其訪問權(quán)。這通常是由于管理員必須進(jìn)入每個(gè)系統(tǒng),并且需要人工禁用用戶。這是一個(gè)重大的安全問題,特別是如果離職的雇員對(duì)公司不滿,問題和風(fēng)險(xiǎn)就更大。
基于角色的訪問控制
如何確保內(nèi)部人員不會(huì)帶來危害呢?企業(yè)可以使用身份和訪問管理方案來幫助更好地理解其面臨的安全問題,確保未來不會(huì)發(fā)生問題。其中的一種方法就是基于角色的訪問控制系統(tǒng)。
基于角色的訪問控制可以根據(jù)雇員在企業(yè)中的工作、角色、位置等來分配授權(quán)。企業(yè)不妨建立一個(gè)授權(quán)矩陣,其中可以詳細(xì)記錄雇員應(yīng)有哪些應(yīng)用程序和系統(tǒng)的哪些權(quán)利。在雇員被雇傭時(shí),他就進(jìn)入了人力資源系統(tǒng),具有身份管理系統(tǒng)提供的功能和為其創(chuàng)建的網(wǎng)絡(luò)賬戶。身份管理軟件可以讀取此雇員的授權(quán)矩陣,確切地知道將哪些授權(quán)分配給此賬戶。基于角色的用戶訪問可以確保雇員從一開始就得到適當(dāng)?shù)亩皇沁^多的權(quán)利。
基于角色的訪問控制還可以帶來其它好處。例如,它還可以確保安全系統(tǒng)和應(yīng)用的正常使用,確保雇員在被雇傭期間不會(huì)積累過多的權(quán)利。通過身份和訪問管理方案,企業(yè)可以生成報(bào)告,闡明哪些人可以訪問哪個(gè)安全系統(tǒng)及其做出的更改。如果在這些訪問權(quán)利中存在錯(cuò)誤,企業(yè)就可以輕松地清除這些訪問權(quán)。
監(jiān)視訪問權(quán)的另一種方法是借助認(rèn)證或驗(yàn)證模塊。這種模塊可以定期或?qū)崟r(shí)地掃描網(wǎng)絡(luò)和應(yīng)用,對(duì)照基于角色的訪問控制矩陣來檢查當(dāng)前的訪問權(quán)利。驗(yàn)證公司網(wǎng)絡(luò)上的所有訪問是否正常。如果出現(xiàn)任何不同點(diǎn),認(rèn)證或驗(yàn)證模塊就會(huì)提醒管理員和系統(tǒng)所有者進(jìn)行審查。如果這個(gè)不同點(diǎn)得到了認(rèn)可,就會(huì)得到一個(gè)電子簽名來確認(rèn)這個(gè)事實(shí),其中還可能要有這個(gè)不同權(quán)利的終止日期。如果發(fā)現(xiàn)此權(quán)利未被授權(quán),工作流程就會(huì)自動(dòng)監(jiān)管這個(gè)權(quán)利的清除,并通過電子郵件通知有關(guān)各方。
為確保雇員的訪問權(quán)在其離職后能被清除,企業(yè)不妨使用自動(dòng)賬戶管理系統(tǒng)。自動(dòng)方案可以使源系統(tǒng)中的任何變化都會(huì)在所有連接的系統(tǒng)和應(yīng)用中反映出來。例如,在雇員離開企業(yè)時(shí),管理員只需一個(gè)單擊操作就可以輕松地在源系統(tǒng)中禁用雇員的賬戶。
實(shí)施基于角色的訪問控制
許多企業(yè)往往不愿意實(shí)施基于角色的訪問控制。因?yàn)槠髽I(yè)擔(dān)心冗長(zhǎng)而復(fù)雜的實(shí)施過程,并且由于雇員訪問權(quán)要發(fā)生變化,也會(huì)對(duì)工作效率帶來副作用。完成基于角色的矩陣可能是一個(gè)需要花費(fèi)企業(yè)幾年時(shí)間的復(fù)雜過程。
有一些新方法可以縮短這個(gè)過程,并當(dāng)即帶來好處。企業(yè)可以采用人力資源系統(tǒng)作為數(shù)據(jù)源,收集所有雇員的部門、職位、位置以及企業(yè)的層次結(jié)構(gòu)等信息,并將這些信息用于創(chuàng)建每個(gè)訪問級(jí)別的角色。下一步就是從活動(dòng)目錄等位置獲得當(dāng)前的權(quán)利,以及與不同角色的雇員有關(guān)的數(shù)據(jù)共享。
下一步,使數(shù)據(jù)標(biāo)準(zhǔn)化,確保相同角色的雇員擁有相同的訪問權(quán)。可以通過從人力資源和活動(dòng)目錄、修正報(bào)告以及雇員的管理者那里收集數(shù)據(jù),用于檢查和糾正?;诮巧脑L問控制應(yīng)用與身份管理系統(tǒng)結(jié)合使用,可以實(shí)施管理員在自動(dòng)模式中做出的變化。此過程可以在包含敏感信息的企業(yè)網(wǎng)絡(luò)的其它應(yīng)用中多次反復(fù)實(shí)施,確保訪問權(quán)的正確性。
這些數(shù)據(jù)還可以作為定期檢查的基礎(chǔ)。如果企業(yè)對(duì)雇員的訪問權(quán)進(jìn)行了修改,例如,針對(duì)一個(gè)臨時(shí)性的項(xiàng)目或任務(wù)修改了雇員的訪問權(quán),就可以自動(dòng)生成一份電子郵件發(fā)送給管理員進(jìn)行檢查或糾正。通過利用上述步驟,企業(yè)就可以用幾周而不是用幾年時(shí)間實(shí)施基于角色的訪問控制矩陣。
保證雇員的效率
企業(yè)害怕的另一個(gè)問題是工作效率問題。實(shí)施基于角色的訪問控制可能意味著雇員的訪問權(quán)和對(duì)機(jī)器的控制權(quán)更少了。這可能意味著雇員需要得到允許才能做出變更、下載或訪問其它資源,從而導(dǎo)致效率問題。避免此問題的辦法之就是在每個(gè)部門中指派一個(gè)擁有高級(jí)訪問權(quán)的團(tuán)隊(duì)領(lǐng)導(dǎo),例如每個(gè)部門的經(jīng)理或經(jīng)理指定的某人。雇員需要在變更計(jì)算機(jī)時(shí),或是需要額外的訪問權(quán)時(shí),就不必每次都請(qǐng)求IT,而是由直屬經(jīng)理或指定的人員進(jìn)行處理。
雖然上述措施可以減少效率問題,但對(duì)于一個(gè)大型企業(yè)來說,其部門規(guī)模也較大,角色的訪問控制仍是不小的負(fù)擔(dān)。解決此問題的另一個(gè)更高級(jí)的方法是,使用工作流程管理方案。工作流程管理是一種可控的自動(dòng)化過程,它有預(yù)定的任務(wù)序列,可以代替多人才能實(shí)施的手工過程,從而通過一種簡(jiǎn)化而高效的過程處理雇員請(qǐng)求。
因而,如果雇員需要請(qǐng)求訪問某個(gè)項(xiàng)目的某個(gè)應(yīng)用,就可以直接訪問Web入口,請(qǐng)求所需要的任何資源(應(yīng)用、計(jì)算機(jī)、郵箱、通訊錄等)。然后,企業(yè)建立一個(gè)工作流程,將用戶請(qǐng)求傳遞給預(yù)先確定的可以檢查和準(zhǔn)許此請(qǐng)求的人員。從而使任何訪問權(quán)的變更成為一個(gè)簡(jiǎn)單而安全的過程,并可以確保其一致性和連續(xù)性,而且在此過程中也不會(huì)誤傳或丟失。此外,這個(gè)方法還可以保證合適的人員得到適當(dāng)?shù)脑S可,從而使終端用戶也無法訪問受限資源。
基于角色的訪問控制與工作流程管理結(jié)合起來可以給企業(yè)帶來巨大的作用。這兩種方案協(xié)同工作可以確保企業(yè)網(wǎng)絡(luò)的安全性,且不會(huì)影響到雇員效率。