如果你的公司已經(jīng)決定要縮減安全項(xiàng)目，并且負(fù)責(zé)對(duì)用戶訪問定期進(jìn)行審查的同事也被解雇了，那么你的經(jīng)理當(dāng)然會(huì)讓留下來的安全工作人員（也就是你）來承擔(dān)這方面的工作。但是，在不了解這些關(guān)鍵同事的情況下，怎樣才能保證敏感數(shù)據(jù)不被沒有授權(quán)的人接觸呢？在這篇文章里，我們將研究一下怎樣才能建立起耗時(shí)少并且有效的定期用戶訪問審查政策。

第一步，研究企業(yè)是怎樣管理用戶訪問的。訪問可以分成兩種類型：預(yù)先確定的訪問和實(shí)時(shí)訪問。預(yù)先確定的訪問也被稱為供應(yīng)（provisioning），這一過程包括訪問請(qǐng)求、訪問維護(hù)，最后是訪問清除。這種訪問需要在企業(yè)的網(wǎng)絡(luò)、操作系統(tǒng)以及應(yīng)用程序上為最終用戶創(chuàng)建賬戶，允許用戶訪問他們需要的信息，以便開展工作。實(shí)時(shí)訪問是指在用戶實(shí)際登錄自己賬戶的那一瞬間被確定的訪問。

使用RBAC訪問控制，使供應(yīng)時(shí)間降到最少

對(duì)于預(yù)先確定的訪問，根據(jù)以角色為基礎(chǔ)的訪問控制（RBAC）來確定權(quán)限可以為大型經(jīng)濟(jì)體提供訪問管理。RBAC的理念是，與其根據(jù)以個(gè)人訪問請(qǐng)求為基礎(chǔ)的多個(gè)系統(tǒng)來創(chuàng)建權(quán)限，還不如根據(jù)功能角色或者責(zé)任來分配權(quán)限，這樣做更加具有一致性。比如說，在一個(gè)企業(yè)中所有的員工都可能有權(quán)進(jìn)行電子郵件活動(dòng)、Windows文件共享、登錄內(nèi)部網(wǎng)絡(luò)門戶并進(jìn)行福利登記。與其通過定義每個(gè)員工的角色來創(chuàng)建個(gè)人訪問管理過程，還不如按不同的角色（role）來賦予個(gè)人訪問權(quán)限，這樣操作起來更容易些。

RBAC中的各個(gè)角色還可以結(jié)合（combined）起來，以反應(yīng)出個(gè)人的默認(rèn)訪問權(quán)限。比如，一個(gè)企業(yè)安全架構(gòu)中可能有多個(gè)角色，其中包括：架構(gòu)師、安全人員、家庭辦公員工、福利管理員、加利福尼亞居民、IT人員等等。每個(gè)角色都可能有與之相關(guān)的一個(gè)或者多個(gè)賬戶權(quán)限，但是安全職業(yè)人員在很短的時(shí)間內(nèi)就能確認(rèn)被審查的人員在企業(yè)中的角色，從而確保他們有正確的訪問權(quán)限。

作為一個(gè)示范，讓我們根據(jù)以上描述的企業(yè)安全架構(gòu)和角色來進(jìn)行一次非正式的用戶訪問審查。假設(shè)你已經(jīng)標(biāo)出了一個(gè)有問題的訪問許可，一般的企業(yè)安全架構(gòu)師不會(huì)有“福利管理員”這種權(quán)限，那么這個(gè)賬戶應(yīng)該被刪除。

管理實(shí)時(shí)數(shù)據(jù)訪問的策略

實(shí)時(shí)訪問管理起來更困難些。雖然預(yù)先確定的訪問在單個(gè)控制臺(tái)或單個(gè)界面上就可以進(jìn)行管理，但是在進(jìn)行實(shí)時(shí)訪問控制時(shí)必須考慮多個(gè)因素：賬戶是從域的內(nèi)部還是外部登錄的？用來訪問信息的系統(tǒng)是正確的系統(tǒng)嗎？這個(gè)賬戶登錄的頻率是多少？該用戶上一次登錄的時(shí)間？某個(gè)訪問活動(dòng)有沒有異常，比如，在登錄成功之前多次嘗試登錄？進(jìn)行賬戶登錄的設(shè)備是否是企業(yè)允許的設(shè)備（隨著用戶開始使用自己的設(shè)備，這個(gè)問題會(huì)被大家越來越多的提起）？雖然，上面所提到的這些并沒有包括安全職業(yè)人員可能要面臨的所有問題，但這已經(jīng)表明實(shí)時(shí)訪問核實(shí)起來會(huì)比較困難。

當(dāng)進(jìn)行實(shí)時(shí)訪問審查的時(shí)候，一個(gè)減少賬戶審查數(shù)量的簡單辦法就是看看是否有未使用的賬戶，這可能是因?yàn)橛行┯脩舨恢蕾~戶的存在、他或她不需要訪問信息、他或她已經(jīng)離開企業(yè)、或者錯(cuò)誤創(chuàng)建該賬戶等。這些孤立的賬戶至少應(yīng)該被禁用，在許多情況下還應(yīng)該通過適當(dāng)?shù)墓芾韺徟鷮?duì)其進(jìn)行刪除。與此類似，還可以確定一個(gè)賬戶最后登錄的時(shí)間。你可以很容易做出有關(guān)賬戶閑置的簡單報(bào)告，以確定是否有賬戶或者服務(wù)已經(jīng)不再使用了，比如，一個(gè)用戶可能已經(jīng)晉升，但是并沒有通知賬戶管理小組他不再需要某些特定的系統(tǒng)訪問權(quán)限。

在這種情況下，應(yīng)該制定一個(gè)關(guān)于員工以及其他人員賬戶閑置狀態(tài)的政策。示例策略如下所示：“員工賬戶閑置90天以后，其余人員（包括承包人、合作伙伴以及客戶）的賬戶閑置30天以后會(huì)被禁用。”最后，許多系統(tǒng)會(huì)突出顯示那些失敗的登錄嘗試或者多重登錄嘗試。用這種日志標(biāo)志出來的賬戶應(yīng)該是攻擊審查或者濫用審查的重點(diǎn)。

獲取幫助，以便進(jìn)行訪問控制審查

安全職業(yè)人員還應(yīng)該清楚，他們并不是唯一參與訪問審查的人員，而且他們應(yīng)該獲取企業(yè)中其他部門的幫助。比如說，網(wǎng)絡(luò)團(tuán)隊(duì)也能在訪問過程中發(fā)揮一定作用?，F(xiàn)在的外圍控制設(shè)備能夠確定更多試圖訪問企業(yè)內(nèi)部或者外部信息的活動(dòng)，而不只是局限于用戶自己的IP地址。許多情況下，如果有需要的話你還可以使用外圍工具進(jìn)行監(jiān)控、識(shí)別并攔截未授權(quán)的設(shè)備類型、來自不友好國家的訪問、病毒和垃圾郵件，甚至設(shè)備上的某些特定用戶（如果工具可以訪問身份數(shù)據(jù)庫的話）等。在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，入侵檢測以及防御系統(tǒng)(IDSes/IDPes)越來越普及，而公司管理工具所提供的信息對(duì)訪問監(jiān)控和檢查來說是非常寶貴的。

許多企業(yè)可能缺少人手，但是“角色”可以協(xié)助你把成千上萬種權(quán)限變成更容易管理的訪問對(duì)象，確保從一開始就能創(chuàng)建正確的訪問管理，從而最大限度的減少審查每個(gè)賬戶請(qǐng)求所需要的時(shí)間。對(duì)于已經(jīng)創(chuàng)建的賬戶，通過建立禁用或者刪除閑置賬戶的管理策略，你可以把整個(gè)訪問環(huán)境清理干凈。最后，雖然可能沒有安全方面的同事與你一起從事這些活動(dòng)，但是通過求助于企業(yè)其他部門并利用好他們的管理工具，訪問還是可以控制和管理的，而且不會(huì)讓你（以及那些留下來的同事）以及安全團(tuán)隊(duì)的工作負(fù)擔(dān)過于繁重。

【編輯推薦】

1. 我國網(wǎng)絡(luò)信息安全問題分析與建議
2. 淺談網(wǎng)絡(luò)信息安全等級(jí)保護(hù)制度