信息安全人员不足 如何进行用户访问审查

日期: 2010-05-18 作者:Randall Gamby翻译:Sean 来源:TechTarget中国 英文

如果你的公司已经决定要缩减安全项目,并且负责对用户访问定期进行审查的同事也被解雇了,那么你的经理当然会让留下来的安全工作人员(也就是你)来承担这方面的工作。但是,在不了解这些关键同事的情况下,怎样才能保证敏感数据不被没有授权的人接触呢?在这篇文章里,我们将研究一下怎样才能建立起耗时少并且有效的定期用户访问审查政策。   第一步,研究企业是怎样管理用户访问的。访问可以分成两种类型:预先确定的访问和实时访问。

预先确定的访问也被称为供应(provisioning),这一过程包括访问请求、访问维护,最后是访问清除。这种访问需要在企业的网络、操作系统以及应用程序上为最终用户创建账户,允许用户访问他们需要……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

如果你的公司已经决定要缩减安全项目,并且负责对用户访问定期进行审查的同事也被解雇了,那么你的经理当然会让留下来的安全工作人员(也就是你)来承担这方面的工作。但是,在不了解这些关键同事的情况下,怎样才能保证敏感数据不被没有授权的人接触呢?在这篇文章里,我们将研究一下怎样才能建立起耗时少并且有效的定期用户访问审查政策。

  第一步,研究企业是怎样管理用户访问的。访问可以分成两种类型:预先确定的访问和实时访问。预先确定的访问也被称为供应(provisioning),这一过程包括访问请求、访问维护,最后是访问清除。这种访问需要在企业的网络、操作系统以及应用程序上为最终用户创建账户,允许用户访问他们需要的信息,以便开展工作。实时访问是指在用户实际登录自己账户的那一瞬间被确定的访问。

  使用RBAC访问控制,使供应时间降到最少

  对于预先确定的访问,根据以角色为基础的访问控制(RBAC)来确定权限可以为大型经济体提供访问管理。RBAC的理念是,与其根据以个人访问请求为基础的多个系统来创建权限,还不如根据功能角色或者责任来分配权限,这样做更加具有一致性。比如说,在一个企业中所有的员工都可能有权进行电子邮件活动、Windows文件共享、登录内部网络门户并进行福利登记。与其通过定义每个员工的角色来创建个人访问管理过程,还不如按不同的角色(role)来赋予个人访问权限,这样操作起来更容易些。

  RBAC中的各个角色还可以结合(combined)起来,以反应出个人的默认访问权限。比如,一个企业安全架构中可能有多个角色,其中包括:架构师、安全人员、家庭办公员工、福利管理员、加利福尼亚居民、IT人员等等。每个角色都可能有与之相关的一个或者多个账户权限,但是安全职业人员在很短的时间内就能确认被审查的人员在企业中的角色,从而确保他们有正确的访问权限。

  作为一个示范,让我们根据以上描述的企业安全架构和角色来进行一次非正式的用户访问审查。假设你已经标出了一个有问题的访问许可,一般的企业安全架构师不会有“福利管理员”这种权限,那么这个账户应该被删除。

  管理实时数据访问的策略

  实时访问管理起来更困难些。虽然预先确定的访问在单个控制台或单个界面上就可以进行管理,但是在进行实时访问控制时必须考虑多个因素:账户是从域的内部还是外部登录的?用来访问信息的系统是正确的系统吗?这个账户登录的频率是多少?该用户上一次登录的时间?某个访问活动有没有异常,比如,在登录成功之前多次尝试登录?进行账户登录的设备是否是企业允许的设备(随着用户开始使用自己的设备,这个问题会被大家越来越多的提起)?虽然,上面所提到的这些并没有包括安全职业人员可能要面临的所有问题,但这已经表明实时访问核实起来会比较困难。

  当进行实时访问审查的时候,一个减少账户审查数量的简单办法就是看看是否有未使用的账户,这可能是因为有些用户不知道账户的存在、他或她不需要访问信息、他或她已经离开企业、或者错误创建该账户等。这些孤立的账户至少应该被禁用,在许多情况下还应该通过适当的管理审批对其进行删除。与此类似,还可以确定一个账户最后登录的时间。你可以很容易做出有关账户闲置的简单报告,以确定是否有账户或者服务已经不再使用了,比如,一个用户可能已经晋升,但是并没有通知账户管理小组他不再需要某些特定的系统访问权限。

  在这种情况下,应该制定一个关于员工以及其他人员账户闲置状态的政策。示例策略如下所示:“员工账户闲置90天以后,其余人员(包括承包人、合作伙伴以及客户)的账户闲置30天以后会被禁用。”最后,许多系统会突出显示那些失败的登录尝试或者多重登录尝试。用这种日志标志出来的账户应该是攻击审查或者滥用审查的重点。

  获取帮助,以便进行访问控制审查

  安全职业人员还应该清楚,他们并不是唯一参与访问审查的人员,而且他们应该获取企业中其他部门的帮助。比如说,网络团队也能在访问过程中发挥一定作用。现在的外围控制设备能够确定更多试图访问企业内部或者外部信息的活动,而不只是局限于用户自己的IP地址。许多情况下,如果有需要的话你还可以使用外围工具进行监控、识别并拦截未授权的设备类型、来自不友好国家的访问、病毒和垃圾邮件,甚至设备上的某些特定用户(如果工具可以访问身份数据库的话)等。在企业的内部网络中,入侵检测以及防御系统(IDSes/IDPes)越来越普及,而公司管理工具所提供的信息对访问监控和检查来说是非常宝贵的。

  许多企业可能缺少人手,但是“角色”可以协助你把成千上万种权限变成更容易管理的访问对象,确保从一开始就能创建正确的访问管理,从而最大限度的减少审查每个账户请求所需要的时间。对于已经创建的账户,通过建立禁用或者删除闲置账户的管理策略,你可以把整个访问环境清理干净。最后,虽然可能没有安全方面的同事与你一起从事这些活动,但是通过求助于企业其他部门并利用好他们的管理工具,访问还是可以控制和管理的,而且不会让你(以及那些留下来的同事)以及安全团队的工作负担过于繁重。

翻译

Sean
Sean

相关推荐