信息安全人员不足 如何进行用户访问审查

如果你的公司已经决定要缩减安全项目,并且负责对用户访问定期进行审查的同事也被解雇了,那么你的经理当然会让留下来的安全工作人员(也就是你)来承担这方面的工作。但是,在不了解这些关键同事的情况下,怎样才能保证敏感数据不被没有授权的人接触呢?在这篇文章里,我们将研究一下怎样才能建立起耗时少并且有效的定期用户访问审查政策。

第一步,研究企业是怎样管理用户访问的。访问可以分成两种类型:预先确定的访问和实时访问。预先确定的访问也被称为供应(provisioning),这一过程包括访问请求、访问维护,最后是访问清除。这种访问需要在企业的网络、操作系统以及应用程序上为最终用户创建账户,允许用户访问他们需要的信息,以便开展工作。实时访问是指在用户实际登录自己账户的那一瞬间被确定的访问。

使用RBAC访问控制,使供应时间降到最少

对于预先确定的访问,根据以角色为基础的访问控制(RBAC)来确定权限可以为大型经济体提供访问管理。RBAC的理念是,与其根据以个人访问请求为基础的多个系统来创建权限,还不如根据功能角色或者责任来分配权限,这样做更加具有一致性。比如说,在一个企业中所有的员工都可能有权进行电子邮件活动、Windows文件共享、登录内部网络门户并进行福利登记。与其通过定义每个员工的角色来创建个人访问管理过程,还不如按不同的角色(role)来赋予个人访问权限,这样操作起来更容易些。

RBAC中的各个角色还可以结合(combined)起来,以反应出个人的默认访问权限。比如,一个企业安全架构中可能有多个角色,其中包括:架构师、安全人员、家庭办公员工、福利管理员、加利福尼亚居民、IT人员等等。每个角色都可能有与之相关的一个或者多个账户权限,但是安全职业人员在很短的时间内就能确认被审查的人员在企业中的角色,从而确保他们有正确的访问权限。

作为一个示范,让我们根据以上描述的企业安全架构和角色来进行一次非正式的用户访问审查。假设你已经标出了一个有问题的访问许可,一般的企业安全架构师不会有“福利管理员”这种权限,那么这个账户应该被删除。

管理实时数据访问的策略

实时访问管理起来更困难些。虽然预先确定的访问在单个控制台或单个界面上就可以进行管理,但是在进行实时访问控制时必须考虑多个因素:账户是从域的内部还是外部登录的?用来访问信息的系统是正确的系统吗?这个账户登录的频率是多少?该用户上一次登录的时间?某个访问活动有没有异常,比如,在登录成功之前多次尝试登录?进行账户登录的设备是否是企业允许的设备(随着用户开始使用自己的设备,这个问题会被大家越来越多的提起)?虽然,上面所提到的这些并没有包括安全职业人员可能要面临的所有问题,但这已经表明实时访问核实起来会比较困难。

当进行实时访问审查的时候,一个减少账户审查数量的简单办法就是看看是否有未使用的账户,这可能是因为有些用户不知道账户的存在、他或她不需要访问信息、他或她已经离开企业、或者错误创建该账户等。这些孤立的账户至少应该被禁用,在许多情况下还应该通过适当的管理审批对其进行删除。与此类似,还可以确定一个账户最后登录的时间。你可以很容易做出有关账户闲置的简单报告,以确定是否有账户或者服务已经不再使用了,比如,一个用户可能已经晋升,但是并没有通知账户管理小组他不再需要某些特定的系统访问权限。

在这种情况下,应该制定一个关于员工以及其他人员账户闲置状态的政策。示例策略如下所示:“员工账户闲置90天以后,其余人员(包括承包人、合作伙伴以及客户)的账户闲置30天以后会被禁用。”最后,许多系统会突出显示那些失败的登录尝试或者多重登录尝试。用这种日志标志出来的账户应该是攻击审查或者滥用审查的重点。

获取帮助,以便进行访问控制审查

安全职业人员还应该清楚,他们并不是唯一参与访问审查的人员,而且他们应该获取企业中其他部门的帮助。比如说,网络团队也能在访问过程中发挥一定作用。现在的外围控制设备能够确定更多试图访问企业内部或者外部信息的活动,而不只是局限于用户自己的IP地址。许多情况下,如果有需要的话你还可以使用外围工具进行监控、识别并拦截未授权的设备类型、来自不友好国家的访问、病毒和垃圾邮件,甚至设备上的某些特定用户(如果工具可以访问身份数据库的话)等。在企业的内部网络中,入侵检测以及防御系统(IDSes/IDPes)越来越普及,而公司管理工具所提供的信息对访问监控和检查来说是非常宝贵的。

许多企业可能缺少人手,但是“角色”可以协助你把成千上万种权限变成更容易管理的访问对象,确保从一开始就能创建正确的访问管理,从而最大限度的减少审查每个账户请求所需要的时间。对于已经创建的账户,通过建立禁用或者删除闲置账户的管理策略,你可以把整个访问环境清理干净。最后,虽然可能没有安全方面的同事与你一起从事这些活动,但是通过求助于企业其他部门并利用好他们的管理工具,访问还是可以控制和管理的,而且不会让你(以及那些留下来的同事)以及安全团队的工作负担过于繁重。

【编辑推荐】

  1. 我国网络信息安全问题分析与建议
  2. 浅谈网络信息安全等级保护制度

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/125940.html<

(0)
管理的头像管理
上一篇2025-02-23 23:47
下一篇 2025-02-23 23:48

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注