应对内部威胁：可尝试基于角色的访问控制

基于角色的访问控制可以极大增加企业网络的安全性，尤其可以有效地对付内部的非法入侵和资源使用。由于害怕其漫长而复杂的实施过程，并且会对工作效率带来负作用，所以很多公司往往不愿意实施基于角色的访问控制。其实，企业可以采用几种方法来确保基于角色的访问控制的安全性，同时又不会给雇员的工作效率带来消极影响。

企业往往重视最常见的入侵类型，即入侵者从网络外部访问公司的安全数据。另一种入侵是由企业的雇员在公司内部实施的攻击，其发生的频率往往超过企业的预期。而且，内部危害的发生更容易，企业应当采取积极的措施来减轻这种危害。

访问权问题

大规模入侵也许更引人注目，但小规模的内部“入侵”却每时每刻都在发生。为什么?通常，雇员工作时就得到了特定的授权。在多数情况下，在雇员从事相同的工作时即获得相同的权利，这种用户称为模板用户。在新雇员从模板用户复制权利时，有时会无意中获得过多权利，因为模板用户有可能拥有其它的访问权。另一个常见的问题是，雇员们有时相互借用访问权。例如，一个雇员打算休假，但需要在外出时完成一些工作。这种雇员往往会将其凭据借给其它雇员，在日后却没有撤消这种访问权。

此外，企业往往并不知道雇员获得的这些不恰当的访问权，因而就不能轻松地解决此问题。企业并不清楚哪些用户拥有哪些授权，并且不太可能对访问权进行调查或审计。IT部门通常或多或少地知道，谁拥有和需要哪些权利，但由于时间的限制，IT部门只是增加权利，一般并不能撤销权利。IT部门并不能轻松地知道到底哪些人可以访问安全应用，所以也就无法知道网络中是否存在安全风险。

最后一个常见的安全问题是，企业并没有在网络中禁用前雇员。在雇员离开公司时，很多公司并没有撤销其访问权。这通常是由于管理员必须进入每个系统，并且需要人工禁用用户。这是一个重大的安全问题，特别是如果离职的雇员对公司不满，问题和风险就更大。

基于角色的访问控制

如何确保内部人员不会带来危害呢?企业可以使用身份和访问管理方案来帮助更好地理解其面临的安全问题，确保未来不会发生问题。其中的一种方法就是基于角色的访问控制系统。

基于角色的访问控制可以根据雇员在企业中的工作、角色、位置等来分配授权。企业不妨建立一个授权矩阵，其中可以详细记录雇员应有哪些应用程序和系统的哪些权利。在雇员被雇佣时，他就进入了人力资源系统，具有身份管理系统提供的功能和为其创建的网络账户。身份管理软件可以读取此雇员的授权矩阵，确切地知道将哪些授权分配给此账户。基于角色的用户访问可以确保雇员从一开始就得到适当的而不是过多的权利。

基于角色的访问控制还可以带来其它好处。例如，它还可以确保安全系统和应用的正常使用，确保雇员在被雇佣期间不会积累过多的权利。通过身份和访问管理方案，企业可以生成报告，阐明哪些人可以访问哪个安全系统及其做出的更改。如果在这些访问权利中存在错误，企业就可以轻松地清除这些访问权。

监视访问权的另一种方法是借助认证或验证模块。这种模块可以定期或实时地扫描网络和应用，对照基于角色的访问控制矩阵来检查当前的访问权利。验证公司网络上的所有访问是否正常。如果出现任何不同点，认证或验证模块就会提醒管理员和系统所有者进行审查。如果这个不同点得到了认可，就会得到一个电子签名来确认这个事实，其中还可能要有这个不同权利的终止日期。如果发现此权利未被授权，工作流程就会自动监管这个权利的清除，并通过电子邮件通知有关各方。

为确保雇员的访问权在其离职后能被清除，企业不妨使用自动账户管理系统。自动方案可以使源系统中的任何变化都会在所有连接的系统和应用中反映出来。例如，在雇员离开企业时，管理员只需一个单击操作就可以轻松地在源系统中禁用雇员的账户。

实施基于角色的访问控制

许多企业往往不愿意实施基于角色的访问控制。因为企业担心冗长而复杂的实施过程，并且由于雇员访问权要发生变化，也会对工作效率带来副作用。完成基于角色的矩阵可能是一个需要花费企业几年时间的复杂过程。

有一些新方法可以缩短这个过程，并当即带来好处。企业可以采用人力资源系统作为数据源，收集所有雇员的部门、职位、位置以及企业的层次结构等信息，并将这些信息用于创建每个访问级别的角色。下一步就是从活动目录等位置获得当前的权利，以及与不同角色的雇员有关的数据共享。

下一步，使数据标准化，确保相同角色的雇员拥有相同的访问权。可以通过从人力资源和活动目录、修正报告以及雇员的管理者那里收集数据，用于检查和纠正。基于角色的访问控制应用与身份管理系统结合使用，可以实施管理员在自动模式中做出的变化。此过程可以在包含敏感信息的企业网络的其它应用中多次反复实施，确保访问权的正确性。

这些数据还可以作为定期检查的基础。如果企业对雇员的访问权进行了修改，例如，针对一个临时性的项目或任务修改了雇员的访问权，就可以自动生成一份电子邮件发送给管理员进行检查或纠正。通过利用上述步骤，企业就可以用几周而不是用几年时间实施基于角色的访问控制矩阵。

保证雇员的效率

企业害怕的另一个问题是工作效率问题。实施基于角色的访问控制可能意味着雇员的访问权和对机器的控制权更少了。这可能意味着雇员需要得到允许才能做出变更、下载或访问其它资源，从而导致效率问题。避免此问题的办法之就是在每个部门中指派一个拥有高级访问权的团队领导，例如每个部门的经理或经理指定的某人。雇员需要在变更计算机时，或是需要额外的访问权时，就不必每次都请求IT，而是由直属经理或指定的人员进行处理。

虽然上述措施可以减少效率问题，但对于一个大型企业来说，其部门规模也较大，角色的访问控制仍是不小的负担。解决此问题的另一个更高级的方法是，使用工作流程管理方案。工作流程管理是一种可控的自动化过程，它有预定的任务序列，可以代替多人才能实施的手工过程，从而通过一种简化而高效的过程处理雇员请求。

因而，如果雇员需要请求访问某个项目的某个应用，就可以直接访问Web入口，请求所需要的任何资源(应用、计算机、邮箱、通讯录等)。然后，企业建立一个工作流程，将用户请求传递给预先确定的可以检查和准许此请求的人员。从而使任何访问权的变更成为一个简单而安全的过程，并可以确保其一致性和连续性，而且在此过程中也不会误传或丢失。此外，这个方法还可以保证合适的人员得到适当的许可，从而使终端用户也无法访问受限资源。

基于角色的访问控制与工作流程管理结合起来可以给企业带来巨大的作用。这两种方案协同工作可以确保企业网络的安全性，且不会影响到雇员效率。

作者：赵长林

来源：51CTO