回到20世纪,网络攻击更难实施,因为大多数计算机没有联网,互联网并不普及,只有少数人群可以访问计算机,更重要的是,没有足够的动机来进行攻击。
而今天,情况完全不同。在糟糕的数据收集和迟缓的数据隐私实践的交汇点,有很多钱可以从窃取数据或制造服务中断中获利。事实上,来自马里兰大学的一份报告指出,全球平均每39秒就会发生一次新的网络攻击。而大多数组织只是在赶着赶在网络犯罪分子之前堵住漏洞,而他们应该考虑更好的方法来保护他们的财产。在这方面的第一步应该是建立一个良好的访问控制政策。
一、什么是访问控制?
访问控制确定谁被允许进入组织的网络以及一旦他们进入后谁可以访问什么数据。它设置了访问级别和权限或限制的层次结构,以便只有授权人员可以访问敏感信息。
用一个类比,如果你的公司就像一个夜总会,访问控制就是保镖。它在门口检查身份证,确保它们不是假的,然后才允许人们进入。一旦他们进来了,它在夜总会内部设置了额外的权限。例如,VIP区可能需要一个单独的子列表;厨房员工可能需要进入侧门;收银机只能信任一些高级员工;等等。根据你需要保护的程度,复杂性呈指数级增加。创建和管理如此广泛的访问要求是访问控制政策的工作。
二、为什么访问控制对你的组织至关重要?
通过实施访问控制措施,组织可以保护敏感或机密数据,防止未经授权的访问、修改或披露;遵守法律和法规要求;减轻内部威胁的风险。访问控制措施还可以通过监控和记录访问尝试和操作来增强问责制和调查。
三、访问控制类型
在组织中实施成功的访问控制政策之前,你需要了解市场上不同模型的类型。以下每个模型都满足特定的需求。
1)强制访问控制(MAC):只有当数据的安全标签与用户的安全标签匹配时,才允许访问。如果用户具有最高机密级别的安全标签,他们可以访问最高机密信息。这在军事和情报机构等高度受限制的环境中效果最佳。
2)基于角色的访问控制(RBAC):该模型基于最小权限原则,即用户只能访问与其工作职能相关的数据。这对大型组织最有用,因为单独分配访问权限可能会具有挑战性。拥有相同角色的每个员工可以一次性被授予或拒绝访问权限。
3)自主访问控制(DAC):数据所有者可以根据自己的自主权定义访问策略并根据自己的自主权授予或限制访问权限。这对于小规模组织最有用,因为用户之间的信任水平较高。
4)基于属性的访问控制(ABAC):对数据的访问基于赋予用户的一组属性,例如角色、工作职能、时间或地点。这在需要更加细粒度和灵活的访问控制政策的行业中最有用,如医疗保健或金融行业。
四、如何实施最适合你的访问控制政策?
无论你选择哪种模型,实施和执行它涉及以下步骤:
1)确定范围并识别模型:找出哪些数据对你的组织是敏感的,需要受到保护,以防止未经授权的访问、修改或披露。根据你将开发访问控制政策的基础,选择上述提到的模型之一。
2)制定访问控制政策:制定将规范访问如何授予、修改和撤销的规则和程序。这可以包括身份验证、授权和审计。包括涵盖所有安全需求的个体政策,如密码、物理访问、远程访问和审计政策。
3)实施访问控制措施:通过配置用户帐户、设置权限并启用审计,将你的访问控制政策付诸实践。确保政策中的所有用户和管理员都经过培训,了解他们的角色和责任,以遵循和执行政策。
4)监控和评估政策:确定政策的有效性总是有助于形成反馈循环。审查访问日志,进行安全评估,并识别可能需要更新或修订政策的领域。
五、精简访问控制管理的艺术
无论是简单的DAC模型、更复杂的RBAC模型还是细粒度的ABAC模型,创建和管理访问政策都不是一件容易的事。一点帮助可以大有裨益。这就是ManageEngine DataSecurity Plus发挥作用的地方。通过它,你可以轻松查找权限不一致,确定文件的过度曝光情况,验证最小权限原则是否得到维护,等等。了解更多关于其权限分析功能的信息。立即开始使用DataSecurity Plus,获得免费的30天试用。