數據訪問控制是數據安全中的一個重要概念，因為它是關于根據精心設計的策略來限制對數據的訪問。數據訪問控制的兩個主要組成部分是身份驗證和授權。身份驗證驗證用戶的身份，而授權確定他們的訪問級別和他們可以執行的操作。

為什么需要數據訪問控制？

訪問控制對于維護安全性、遵守監管標準和加強問責制至關重要。通過限制對授權人員的訪問，組織可以防止盜竊、損壞或未經授權使用資源，有效地管理員工訪問，為合法目的創建審計跟蹤，并通過自動驗證節省時間和資源。訪問控制是任何有效的安全和風險管理策略的重要組成部分。

根據Varonis 的2018 年全球數據風險報告，41% 的公司擁有超過 1,000 個敏感文件向所有人（組織內的每個員工）開放。允許在未經適當授權的情況下訪問敏感信息，無疑會增加數據泄露的風險。根據上述報告，IT 專業人員大約需要 8-6 個小時來識別和刪除每個文件夾的全局訪問組。花費這么長時間的原因是他們必須確定哪些用戶需要訪問哪些資源，這有時可能涉及采訪員工以確定他們擁有什么訪問權限以及他們需要什么訪問權限。因此，實施訪問控制應該是一個持續的過程。

數據訪問控制方法

實現數據訪問控制有四種主要模型：

1. 自主訪問控制 (DAC)：這是限制最少的模型，依靠資源的所有者或管理員來確定誰應該有權訪問給定資源。它為設置權限提供了完全的自由裁量權，但使監控對敏感信息的訪問變得具有挑戰性。
2. 強制訪問控制 (MAC)：此方法依賴于中央授權機構（例如管理員）來授予和撤銷訪問權限。最終用戶無法控制權限設置，因此難以管理。MAC 常用于軍事組織。
3. 基于角色的訪問控制 (RBAC)：通過這種方法，員工可以根據他們的工作職能和職責獲得不同的訪問權限。它是圍繞由部門、個人職責和權限等標準定義的預定角色而設計的。
4. 基于屬性的訪問控制 (ABAC)：這是一種動態數據訪問控制模型，其中根據屬性和環境條件（例如位置和時間）授予訪問權限。ABAC 提供了比 RBAC 更大的靈活性，允許在不修改主體/客體關系的情況下動態更改訪問控制。

如何實現數據訪問控制

要實施數據訪問控制，公司應首先確定全局訪問組并將其替換為嚴格管理的安全組，并測試所有更改以避免出現問題。他們必須確保根據最小權限 (PoLP) 原則授予訪問權限，該原則規定用戶只能訪問他們履行其職責所需的資源。這還應該包括即時 (JIT) 訪問，以確保在不再需要時立即撤銷訪問。

以下是一些額外的提示，可幫助您實施數據訪問控制：

制定訪問控制策略

策略應定義如何授予、批準、修改、審查和撤銷訪問權限。應該記錄組織中存在的角色，以及與這些角色相關的職責。還需要記錄組織內的賬戶類型，例如來賓用戶、標準用戶、特權用戶、系統、服務等。

對您的敏感數據進行分類

準確了解擁有的數據、數據所在的位置以及數據的敏感程度，將使分配適當的訪問控制變得容易得多。數據分類軟件將掃描存儲庫，無論是內部部署的還是基于云的，并對找到的數據進行分類。有些解決方案甚至可以在創建/修改時對數據進行分類，有些可以根據相關數據保護法對數據進行分類。

監控對您數據的訪問

必須持續監控賬戶是否存在可疑行為。實時更改審核軟件將能夠了解賬戶是如何被訪問和使用的。許多復雜的解決方案使用機器學習模型來識別異常，并將實時警報發送到收件箱或移動設備。他們還將提供一個直觀的儀表板，以幫助審查訪問控制，并識別過度特權的賬戶。

使用多重身份驗證

多因素身份驗證 (MFA) 是一種安全機制，要求用戶在被授予訪問系統或敏感數據之前提供多種形式的身份驗證。MFA 通常涉及以下至少兩個因素：用戶知道的東西（例如密碼或 PIN）、用戶擁有的東西（例如智能卡或手機）或用戶是什么東西（例如生物識別碼）例如指紋或面部識別）。MFA 是降低敏感信息未經授權訪問風險的有效方法。