浅谈访问控制与权限管理

身份和访问管理比以往任何时候都更加重要,因为密码可以在几分钟内被破解,数据泄露每天都会发生,网络犯罪分子已经成功渗透到许多政府和大型企业系统中。只需要攻击拿下一个员工账号,犯罪分子即可远程进入企业网络,这简直太容易了。

由蓝盾、天融信、安恒、启明星辰、奇虎360等国内一众网络安全公司联合发布的一项研究指出,与密码相关的网络入侵行为中,有35%使用了与其他帐户相同的密码。剩余的65%可以用常规的强力破解设备破解。因此,组织面临的挑战是突破简单密码的限制,也要在身份和访问控制方面发力,而这就是访问控制与权限管理的用武之地。

访问控制(如指定管理和基于角色的访问控制)是身份和访问管理解决方案所需的关键功能。用户可通过身份认证进入计算机系统,访问计算机系统中的文件和目录等资源。但具体哪些用户能够访问哪些资源,由信息安全中的访问控制机制来决定。

如何实施访问控制呢?昆明亭长朗然科技有限公司网络安全顾问董志军称:这需要因地制宜,具体情况具体分析,也就是说,我们要有个所谓的安全策略,明确规定按照什么方式来允许谁访问什么内容、如何访问,根据策略制定出具体的规则。

是一些涉及敏感信息的使用场景。管理员会为用户和资源指定不同的密级,系统只允许用户访问相同或更低等级的信息,这种方式在信息安全中被称作强制访问控制。反之,前面那些方式被称作自主访问控制,资源的主人有权决定哪些人可以访问。

使用安卓系统的手机和苹果手机也同样有访问控制。例如,某软件要访问用户的位置信息时,苹果手机会弹出提示,询问用户是否允许。而在使用安卓系统的手机上,每次安装新软件时,系统都会询问用户是否授予该软件某些权限,这些权限会作为该软件访问系统资源时的凭据。

对企业级用户而言,有很多成熟的身份和访问管理解决方案,但是仍然要注意,终端用户的安全意识不容忽视。如LDAP等目录服务以及SSO单点登录可以解决让用户少记密码和账号的烦恼,但是也有缺点,就是一但不法分子突破了某员工的账号密码,则可以轻松用它来访问多个信息系统。

有的系统可以通过登录审计或上次登录信息提醒等方式来强化安全性,但是这些功能要发挥安全作用,也需要使用者的了解、支持和配合。比如对关键系统的登录审核往往需要用户以及其部门上司确认,这无疑增加了用户的工作负担,虽然可能只是简单点击或回复,但很多用户不理解此项工作的重要性,便不会积极配合。

总之,搞好身份和访问管理,是保障信息安全的关键技术措施,但是仅仅依靠技术能不能很好解决的。我们建议,在对用户进行信息系统操作培训的同时,强化安全意识教育,比如发现异常登录情况,比如为什么要设置密码复杂度以及密码过期的要求,为什么不能将密码写下来或与他人随意分享密码,在看到并非自己发起的上次登录提示后,为何应该及时报告信息安全部门,以进行必要的安全事件调查和响应。

如果您觉得在进行用户方面的安全意识教育方面缺乏必要的时间和资源,可以找外部专业的援助。昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898