在90年代末,安全从业人员认为,把分散的操作系统和网络目录集成为一个“企业”目录就可以解决访问控制问题。我们后来发现,虽然使用meta目录进行身份识别和访问控制会使数据面临风险,但是,它们在获得遵守法规所需要的详细控制服务目录方面是很有用的。 Meta目录汇总来自多个数据源的信息,或者与逻辑和过滤器一起把信息从一个目录存储点转移到另一个存储点,同时还可以改变信息传送的方式。使用汇总的目录(meta目录)进行身份识别和访问控制是有风险的。
如果这个目录环境被黑客攻破,这个单一的和统一的目录就是黑客的一个虚拟的金矿。这种落后的(从安全和遵守法规的方面看)目录模式还应该把你的整个访问控制环境当作一……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
在90年代末,安全从业人员认为,把分散的操作系统和网络目录集成为一个“企业”目录就可以解决访问控制问题。我们后来发现,虽然使用meta目录进行身份识别和访问控制会使数据面临风险,但是,它们在获得遵守法规所需要的详细控制服务目录方面是很有用的。
Meta目录汇总来自多个数据源的信息,或者与逻辑和过滤器一起把信息从一个目录存储点转移到另一个存储点,同时还可以改变信息传送的方式。使用汇总的目录(meta目录)进行身份识别和访问控制是有风险的。如果这个目录环境被黑客攻破,这个单一的和统一的目录就是黑客的一个虚拟的金矿。这种落后的(从安全和遵守法规的方面看)目录模式还应该把你的整个访问控制环境当作一个单个的、定义广泛的(也就是对所有用户开放的)的安全区。
然而,Meta目录在获得遵守法规(如SOX法)所需要的详细控制服务目录方面是很有用的。为了遵守外部法规的审计规定,有必要超越职务的范围把最终用户隔离开来,并且认定最终用户的数据输入和申报的财务报告的责任。Meta目录最适合充当每个具体用户的信息发送器和翻译器。采用通过meta目录提供的身份和角色信息可以实现详细的控制,然后与身份识别管理和配置工具一起使用组成一个服务目录,并且在一个合适的目录计划中实施详细的访问控制。
要根据人名识别和控制谁可以访问或者谁可以修改一个具体数据字段中的数据,可以采用具体人口识别和接入服务目录。人口在这里的定义是指一群有同样身份和访问控制要求的用户。例如,这些用户在同一个目录里进行在线采购,访问同一个门户网站,他们者甚至在同一个网络中。这些用户像你的财务部门内部的用户那样是重复出现的用户,因此是不需要的。这里采用的原则是隔离。你隔离的最终用户群越多,你控制他们访问、使用和他们的在线经历的能力就越强。同时,你还将挫败潜在的黑客。
同样,当安全政策的制定和和执行要求实施访问控制的时候,不适当的和无人看管的接入机会就减少了。把这个做法增加到职责分离的财会原则中,人们就可以描绘出设计和实施适当的身份识别和访问控制目录框架的要求。
对于遵守SOX法规来说,第一个重点是创建公司财务报告中的信息的那些最终用户。例如,对于一个大型的espresso咖啡连锁企业来说,那些最终用户就是商店中的咖啡吧员、商店经理、地区工作人员、公司办公室财务官员、审计员和负责财务的副总裁等各种职位的雇员。把这些最终用户隔离开来对于那些甚至让门卫和审计员都在一个接入目录中的公司来说是一个巨大的进步。这里要考虑的问题是这是否足以把其他的雇员隔离开。或者是否需要把与财务报告有关的用户群按照工作的职责进一步细分?请记住,把应用程序和具体数据的访问权限分开可以在LDAP目录计划中进行控制。这个答案仍是肯定的。在一个大型的连锁点公司,商店级的人员不能与他的工作人员在同一个接入服务目录中。对于任何地区性和总公司财务应用程序,他们也不应该能够看到、访问,也不能拥有“只读权限”以外的任何权利。他们只能看复制的“仅供报告使用”的数据。这样可以减少内部破坏的机会。
采用正确的访问控制模式是不容易的。它需要很多细致的工作,要求IT部门采用适当的控制框架,而且其结果要为办公人员提供更多的方便。然而,有一些身份管理和身份识别配置软件工具能够利用meta目录功能在你的理想的框架中做一些事情,并且利用其优势对访问在线资源保持适当的控制。
相关推荐
-
防止数据泄漏 你是否有配套的加密方法和策略?
数据泄露带来的灾难是巨大的。为保护数据,企业可能要在数据中心使用某种加密技术。但加密未必能阻止灾难发生,掌握改善企业加密的方法和策略还是很有必要的。
-
应对内部威胁:可尝试基于角色的访问控制
基于角色的访问控制可以极大增加企业网络的安全性,尤其可以有效地对付内部的非法入侵和资源使用。
-
入云 网络安全管理需要考虑更多
在云时代,要保证网络安全,需要以访问控制为核心构建可信计算基(TCB),实现自主访问、强制访问等分等级访问控制,在信息流程处理中做到控制与管理。
-
访问控制的演进:挖掘基于属性的身份管理的潜能
TechTarget记者采访了Radiant Logic公司销售和业务发展副总裁Dieter Schuller,与其共同探讨了基于属性的身份管理的潜能。