如果你的公司已經決定要縮減安全項目，并且負責對用戶訪問定期進行審查的同事也被解雇了，那么你的經理當然會讓留下來的安全工作人員（也就是你）來承擔這方面的工作。但是，在不了解這些關鍵同事的情況下，怎樣才能保證敏感數據不被沒有授權的人接觸呢？在這篇文章里，我們將研究一下怎樣才能建立起耗時少并且有效的定期用戶訪問審查政策。

第一步，研究企業是怎樣管理用戶訪問的。訪問可以分成兩種類型：預先確定的訪問和實時訪問。預先確定的訪問也被稱為供應（provisioning），這一過程包括訪問請求、訪問維護，最后是訪問清除。這種訪問需要在企業的網絡、操作系統以及應用程序上為最終用戶創建賬戶，允許用戶訪問他們需要的信息，以便開展工作。實時訪問是指在用戶實際登錄自己賬戶的那一瞬間被確定的訪問。

使用RBAC訪問控制，使供應時間降到最少

對于預先確定的訪問，根據以角色為基礎的訪問控制（RBAC）來確定權限可以為大型經濟體提供訪問管理。RBAC的理念是，與其根據以個人訪問請求為基礎的多個系統來創建權限，還不如根據功能角色或者責任來分配權限，這樣做更加具有一致性。比如說，在一個企業中所有的員工都可能有權進行電子郵件活動、Windows文件共享、登錄內部網絡門戶并進行福利登記。與其通過定義每個員工的角色來創建個人訪問管理過程，還不如按不同的角色（role）來賦予個人訪問權限，這樣操作起來更容易些。

RBAC中的各個角色還可以結合（combined）起來，以反應出個人的默認訪問權限。比如，一個企業安全架構中可能有多個角色，其中包括：架構師、安全人員、家庭辦公員工、福利管理員、加利福尼亞居民、IT人員等等。每個角色都可能有與之相關的一個或者多個賬戶權限，但是安全職業人員在很短的時間內就能確認被審查的人員在企業中的角色，從而確保他們有正確的訪問權限。

作為一個示范，讓我們根據以上描述的企業安全架構和角色來進行一次非正式的用戶訪問審查。假設你已經標出了一個有問題的訪問許可，一般的企業安全架構師不會有“福利管理員”這種權限，那么這個賬戶應該被刪除。

管理實時數據訪問的策略

實時訪問管理起來更困難些。雖然預先確定的訪問在單個控制臺或單個界面上就可以進行管理，但是在進行實時訪問控制時必須考慮多個因素：賬戶是從域的內部還是外部登錄的？用來訪問信息的系統是正確的系統嗎？這個賬戶登錄的頻率是多少？該用戶上一次登錄的時間？某個訪問活動有沒有異常，比如，在登錄成功之前多次嘗試登錄？進行賬戶登錄的設備是否是企業允許的設備（隨著用戶開始使用自己的設備，這個問題會被大家越來越多的提起）？雖然，上面所提到的這些并沒有包括安全職業人員可能要面臨的所有問題，但這已經表明實時訪問核實起來會比較困難。

當進行實時訪問審查的時候，一個減少賬戶審查數量的簡單辦法就是看看是否有未使用的賬戶，這可能是因為有些用戶不知道賬戶的存在、他或她不需要訪問信息、他或她已經離開企業、或者錯誤創建該賬戶等。這些孤立的賬戶至少應該被禁用，在許多情況下還應該通過適當的管理審批對其進行刪除。與此類似，還可以確定一個賬戶最后登錄的時間。你可以很容易做出有關賬戶閑置的簡單報告，以確定是否有賬戶或者服務已經不再使用了，比如，一個用戶可能已經晉升，但是并沒有通知賬戶管理小組他不再需要某些特定的系統訪問權限。

在這種情況下，應該制定一個關于員工以及其他人員賬戶閑置狀態的政策。示例策略如下所示：“員工賬戶閑置90天以后，其余人員（包括承包人、合作伙伴以及客戶）的賬戶閑置30天以后會被禁用。”最后，許多系統會突出顯示那些失敗的登錄嘗試或者多重登錄嘗試。用這種日志標志出來的賬戶應該是攻擊審查或者濫用審查的重點。

獲取幫助，以便進行訪問控制審查

安全職業人員還應該清楚，他們并不是唯一參與訪問審查的人員，而且他們應該獲取企業中其他部門的幫助。比如說，網絡團隊也能在訪問過程中發揮一定作用?，F在的外圍控制設備能夠確定更多試圖訪問企業內部或者外部信息的活動，而不只是局限于用戶自己的IP地址。許多情況下，如果有需要的話你還可以使用外圍工具進行監控、識別并攔截未授權的設備類型、來自不友好國家的訪問、病毒和垃圾郵件，甚至設備上的某些特定用戶（如果工具可以訪問身份數據庫的話）等。在企業的內部網絡中，入侵檢測以及防御系統(IDSes/IDPes)越來越普及，而公司管理工具所提供的信息對訪問監控和檢查來說是非常寶貴的。

許多企業可能缺少人手，但是“角色”可以協助你把成千上萬種權限變成更容易管理的訪問對象，確保從一開始就能創建正確的訪問管理，從而最大限度的減少審查每個賬戶請求所需要的時間。對于已經創建的賬戶，通過建立禁用或者刪除閑置賬戶的管理策略，你可以把整個訪問環境清理干凈。最后，雖然可能沒有安全方面的同事與你一起從事這些活動，但是通過求助于企業其他部門并利用好他們的管理工具，訪問還是可以控制和管理的，而且不會讓你（以及那些留下來的同事）以及安全團隊的工作負擔過于繁重。

【編輯推薦】

1. 我國網絡信息安全問題分析與建議
2. 淺談網絡信息安全等級保護制度