日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

如果你的公司已經(jīng)決定要縮減安全項目，并且負責(zé)對用戶訪問定期進行審查的同事也被解雇了，那么你的經(jīng)理當(dāng)然會讓留下來的安全工作人員（也就是你）來承擔(dān)這方面的工作。但是，在不了解這些關(guān)鍵同事的情況下，怎樣才能保證敏感數(shù)據(jù)不被沒有授權(quán)的人接觸呢？在這篇文章里，我們將研究一下怎樣才能建立起耗時少并且有效的定期用戶訪問審查政策。

公司主營業(yè)務(wù)：成都網(wǎng)站制作、網(wǎng)站建設(shè)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)建站是一支青春激揚、勤奮敬業(yè)、活力青春激揚、勤奮敬業(yè)、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴(yán)謹、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)建站推出市中免費做網(wǎng)站回饋大家。

第一步，研究企業(yè)是怎樣管理用戶訪問的。訪問可以分成兩種類型：預(yù)先確定的訪問和實時訪問。預(yù)先確定的訪問也被稱為供應(yīng)（provisioning），這一過程包括訪問請求、訪問維護，最后是訪問清除。這種訪問需要在企業(yè)的網(wǎng)絡(luò)、操作系統(tǒng)以及應(yīng)用程序上為最終用戶創(chuàng)建賬戶，允許用戶訪問他們需要的信息，以便開展工作。實時訪問是指在用戶實際登錄自己賬戶的那一瞬間被確定的訪問。

使用RBAC訪問控制，使供應(yīng)時間降到最少

對于預(yù)先確定的訪問，根據(jù)以角色為基礎(chǔ)的訪問控制（RBAC）來確定權(quán)限可以為大型經(jīng)濟體提供訪問管理。RBAC的理念是，與其根據(jù)以個人訪問請求為基礎(chǔ)的多個系統(tǒng)來創(chuàng)建權(quán)限，還不如根據(jù)功能角色或者責(zé)任來分配權(quán)限，這樣做更加具有一致性。比如說，在一個企業(yè)中所有的員工都可能有權(quán)進行電子郵件活動、Windows文件共享、登錄內(nèi)部網(wǎng)絡(luò)門戶并進行福利登記。與其通過定義每個員工的角色來創(chuàng)建個人訪問管理過程，還不如按不同的角色（role）來賦予個人訪問權(quán)限，這樣操作起來更容易些。

RBAC中的各個角色還可以結(jié)合（combined）起來，以反應(yīng)出個人的默認訪問權(quán)限。比如，一個企業(yè)安全架構(gòu)中可能有多個角色，其中包括：架構(gòu)師、安全人員、家庭辦公員工、福利管理員、加利福尼亞居民、IT人員等等。每個角色都可能有與之相關(guān)的一個或者多個賬戶權(quán)限，但是安全職業(yè)人員在很短的時間內(nèi)就能確認被審查的人員在企業(yè)中的角色，從而確保他們有正確的訪問權(quán)限。

作為一個示范，讓我們根據(jù)以上描述的企業(yè)安全架構(gòu)和角色來進行一次非正式的用戶訪問審查。假設(shè)你已經(jīng)標(biāo)出了一個有問題的訪問許可，一般的企業(yè)安全架構(gòu)師不會有“福利管理員”這種權(quán)限，那么這個賬戶應(yīng)該被刪除。

管理實時數(shù)據(jù)訪問的策略

實時訪問管理起來更困難些。雖然預(yù)先確定的訪問在單個控制臺或單個界面上就可以進行管理，但是在進行實時訪問控制時必須考慮多個因素：賬戶是從域的內(nèi)部還是外部登錄的？用來訪問信息的系統(tǒng)是正確的系統(tǒng)嗎？這個賬戶登錄的頻率是多少？該用戶上一次登錄的時間？某個訪問活動有沒有異常，比如，在登錄成功之前多次嘗試登錄？進行賬戶登錄的設(shè)備是否是企業(yè)允許的設(shè)備（隨著用戶開始使用自己的設(shè)備，這個問題會被大家越來越多的提起）？雖然，上面所提到的這些并沒有包括安全職業(yè)人員可能要面臨的所有問題，但這已經(jīng)表明實時訪問核實起來會比較困難。

當(dāng)進行實時訪問審查的時候，一個減少賬戶審查數(shù)量的簡單辦法就是看看是否有未使用的賬戶，這可能是因為有些用戶不知道賬戶的存在、他或她不需要訪問信息、他或她已經(jīng)離開企業(yè)、或者錯誤創(chuàng)建該賬戶等。這些孤立的賬戶至少應(yīng)該被禁用，在許多情況下還應(yīng)該通過適當(dāng)?shù)墓芾韺徟鷮ζ溥M行刪除。與此類似，還可以確定一個賬戶最后登錄的時間。你可以很容易做出有關(guān)賬戶閑置的簡單報告，以確定是否有賬戶或者服務(wù)已經(jīng)不再使用了，比如，一個用戶可能已經(jīng)晉升，但是并沒有通知賬戶管理小組他不再需要某些特定的系統(tǒng)訪問權(quán)限。

在這種情況下，應(yīng)該制定一個關(guān)于員工以及其他人員賬戶閑置狀態(tài)的政策。示例策略如下所示：“員工賬戶閑置90天以后，其余人員（包括承包人、合作伙伴以及客戶）的賬戶閑置30天以后會被禁用?！弊詈?，許多系統(tǒng)會突出顯示那些失敗的登錄嘗試或者多重登錄嘗試。用這種日志標(biāo)志出來的賬戶應(yīng)該是攻擊審查或者濫用審查的重點。

獲取幫助，以便進行訪問控制審查

安全職業(yè)人員還應(yīng)該清楚，他們并不是唯一參與訪問審查的人員，而且他們應(yīng)該獲取企業(yè)中其他部門的幫助。比如說，網(wǎng)絡(luò)團隊也能在訪問過程中發(fā)揮一定作用?，F(xiàn)在的外圍控制設(shè)備能夠確定更多試圖訪問企業(yè)內(nèi)部或者外部信息的活動，而不只是局限于用戶自己的IP地址。許多情況下，如果有需要的話你還可以使用外圍工具進行監(jiān)控、識別并攔截未授權(quán)的設(shè)備類型、來自不友好國家的訪問、病毒和垃圾郵件，甚至設(shè)備上的某些特定用戶（如果工具可以訪問身份數(shù)據(jù)庫的話）等。在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，入侵檢測以及防御系統(tǒng)(IDSes/IDPes)越來越普及，而公司管理工具所提供的信息對訪問監(jiān)控和檢查來說是非常寶貴的。

許多企業(yè)可能缺少人手，但是“角色”可以協(xié)助你把成千上萬種權(quán)限變成更容易管理的訪問對象，確保從一開始就能創(chuàng)建正確的訪問管理，從而最大限度的減少審查每個賬戶請求所需要的時間。對于已經(jīng)創(chuàng)建的賬戶，通過建立禁用或者刪除閑置賬戶的管理策略，你可以把整個訪問環(huán)境清理干凈。最后，雖然可能沒有安全方面的同事與你一起從事這些活動，但是通過求助于企業(yè)其他部門并利用好他們的管理工具，訪問還是可以控制和管理的，而且不會讓你（以及那些留下來的同事）以及安全團隊的工作負擔(dān)過于繁重。

分享題目：信息安全人員不足如何進行用戶訪問審查
文章來源：http://www.dlmjj.cn/article/dphsjdj.html