回溯到20世纪,网络攻击不太容易实施,因为大多数计算机没有联网,互联网并不普及,只有少数人能够访问计算机。更为重要的是,没有足够的动机来进行攻击。然而,如今情况截然不同。由于缺乏对数据收集的把控,以及隐私数据的保护,有许多人可以从窃取数据或制造服务中断中获利。实际上,根据马里兰大学的一份报告,全球平均每39秒就会发生一次新的网络攻击。而大多数组织仅仅在试图填补漏洞,而不是赶在网络犯罪分子之前,采用更好的方法来保护其财产。在这一方面,首要步骤应该是建立一个健全的访问控制政策。
一、什么是访问控制?
访问控制确定谁被允许进入组织的网络,以及一旦他们进入后,谁可以访问什么数据。它设置了访问级别和权限或限制的层次结构,以确保只有授权人员可以访问敏感信息。可以用一个类比来理解,如果你将公司比作夜总会,那么访问控制就相当于保镖。它在门口检查身份证,确保它们不是伪造的,然后才允许人们进入。一旦他们进入,它在夜总会内部设置了额外的权限。例如,VIP区可能需要一个单独的名单;厨房员工可能需要进入侧门;收银机只能信任一些高级员工,依此类推。随着需要保护的程度的提高,复杂性也呈指数级增加。创建和管理如此广泛的访问要求就是访问控制策略的任务。
二、为什么访问控制对你的组织至关重要?
通过实施访问控制措施,组织可以保护敏感或机密数据,防止未经授权的访问、修改或披露,遵守法律和法规要求,减轻内部威胁的风险。访问控制措施还可以通过监控和记录访问尝试和操作来增强问责制和调查依据。
三、访问控制类型
在组织中成功实施访问控制政策之前,你需要了解市场上不同类型的模型。以下每个模型都满足特定的需求。
-
强制访问控制(MAC):只有当数据的安全标签与用户的安全标签匹配时,才允许访问。如果用户具有最高机密级别的安全标签,他们可以访问最高机密信息。这在军事和情报机构等高度受限制的环境中效果最佳。
-
基于角色的访问控制(RBAC):该模型基于最小权限原则,即用户只能访问与其工作职能相关的数据。这对大型组织最有用,因为单独分配访问权限可能会具有挑战性。拥有相同角色的每个员工可以一次性被授予或拒绝访问权限。
-
自主访问控制(DAC):数据所有者可以根据自己的自主权定义访问策略并根据自己的自主权授予或限制访问权限。这对于小规模组织最有用,因为用户之间的信任水平较高。
-
基于属性的访问控制(ABAC):对数据的访问基于赋予用户的一组属性,例如角色、工作职能、时间或地点。这在需要更加细粒度和灵活的访问控制政策的行业中最有用,如医疗保健或金融行业。
四、如何实施最适合你的访问控制策略?
无论你选择哪种模型,实施和执行它都涉及以下步骤:
-
确定范围并识别模型:找出哪些数据对你的组织是敏感的,需要受到保护,以防止未经授权的访问、修改或披露。然后根据你将实施访问控制策略的基础,选择上述提到的模型之一。
-
制定访问控制策略:制定规定访问如何授予、修改和撤销的规则和程序,包括身份验证、授权和审计等安全需求的策略。
-
实施访问控制措施:通过配置用户帐户、设置权限并启用审计,将你的访问控制策略付诸实践。确保策略中的所有用户和管理员都经过培训,了解他们的角色和责任,以遵循和执行策略。
-
监控和评估策略:确定策略的有效性总是有助于形成反馈循环。审查访问日志,进行安全评估,并识别可能需要更新或修订策略的领域。
五、精简访问控制管理的艺术
无论是简单的DAC模型、更复杂的RBAC模型还是细粒度的ABAC模型,创建和管理访问政策都不是一件容易的事。这里有一款软件应该可以帮到您,他就是卓豪的DataSecurity Plus。通过它,你可以轻松查找权限不一致,确定文件的过度曝露情况,验证最小权限原则是否得到维护等等。