【TechTarget中国原创】问:为所有员工和系统执行员工访问审查(access review)的最有效方式是什么?有没有简化这种行为的可用的良好的模板或工具?
答:审查所有员工的访问不只是IT安全的最佳实践,还是遵从萨班斯?奥克斯利法案(Sarbanes-Oxley Act,SOX)和HIPAA(Health Insurance Portability and Accountability Act) 法案的要求。
如果没有这样的审查,很久以前离开公司的员工,不管是主动离开的,还是别的原因离开的,他们仍然可以访问关键系统。这是一项严重的安全风险。另外,随着现有的员工在公司中的移动,改变工作角色,对他们访问的要求也应该相应的改变。特别是,他们不能再可以访问已经不需要访问的系统。
用户访问的定期审计还可以阻止“访问蔓延(access creep)”。访问蔓延是当员工改变工作后,他们的访问权比需要的更大的现象。
访问审查的第一条规则是具备中央访问管理系统。大多数公司都使用标准的目录服务,例如Windows的Active Directory和Unix的LDAP。虽然这些服务提供很多的功能,还可以做一些报告,但是这些可能还不够。如果一个公司需要为审计员和调整人员产生定期报告,还需要更多的功能。
市场上有很多高质量的认证管理产品,比传统的访问管理功能强大,而且提供了报告和审计共能。BMC Software有一套认证管理产品,例如BMC 审计和法规遵从管理(BMC Audit Compliance Management)、BMC认证法规遵从管理5.5(BMC Identity Compliance Manager 5.5 )。这两种产品为法规遵从的目的提供了用户化报告功能,不仅可以限制水可以访问什么,在什么层次,而且可以依据公司的IT安全策略限制访问权限。
其他提供相似的报告和审计功能的产品还包括CA Inc.的认证管理和委任权限安全管理(Identity Manager and Entrust Authority Security Manager)。很多公司都提供认证管理产品。不管你选择哪一个,都要确认它具备中央审计和报告功能。