一位首席信息安全官花费了两年时间来为其网络中15000名用户部署身份识别和访问管理,他将自己的亲身实践归结为10个步骤。
Carlson Wagonlit Travel的首席信息安全官Steve Jensen表示促使他进行身份识别和访问管理项目主要有四个原因:符合合规要求、加强安全性、让安全操作更加有效,让业务线部门可以更容易地与安全工作人员协作。
Steve Jensen推荐选择包括自动配置、密码自助服务、web访问管理、角色管理和自动单点登陆的身份识别和访问管理的解决方案,十个步骤如下:
1. 为已经存在的访问权限特权用户和使用目录服务的联合密码创建一个身份仓库以尽可能地减少手动输入。
2. 购买企业角色管理解决方案来根据具体角色来为用户定义访问权限,这样他们就只可以访问他们需要的内容,而无法访问其他内容。这需要让业务管理人员来帮助定义他们雇员的角色。
3.从业务角度来定义角色,这样管理人员就可以更好地理解角色,所以他们很清楚如何分配访问权限。然后将这些访问权限组映射到应用程序,也就是他们必须需要访问的应用程序。
4. 让业务管理人员来根据应用程序规则来分配应用程序访问权限是正确的,这样做的话,将会有30%到35%的访问权限被移除,因为它们都是不必要的。
5. 部署一个请求系统以根据需要对用户的访问权限进行更改。这些角色可以是非常具体的,例如只能访问在SAP内可接收的帐户。
6. 创建企业范围内的企业角色,这将可以适用于很多部门的用户。
7. 对企业范围内的角色进行另外一种认证程序。这些角色及其依据的访问规则可以便于审计人员的检查,不管访问权限是否符合规则。
8. 调整请求系统以适用于企业角色,这样请求就不必指定所有(用户的访问权限管理更改所需要)的应用程序。
9. 隔离角色,这样就不会有人分配过多的访问权限,而过多访问权限可能会造成利益冲突。
10. 使用自助服务自动化程序为业务合作伙伴和客户部署身份识别和访问管理架构。
原文出处:http://safe.it168.com/a2010/1009/1111/000001111710.shtml
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
关于网络安全授权 你应该知道的……
与认证相对应的是授权。认证确定用户身份;授权指定该用户能做什么。在最终使用过程中,授权甚至能指定特定的用户是否能访问系统……
-
业务合作伙伴安全:管理业务风险
当组织和业务合作伙伴互相联系并且为对方提供对内部系统更多的访问时,更多的信息安全挑战产生了。业务合作伙伴能够绕过为阻挠外部或非信任源访问而设置的安全控制。
-
使用IAM成熟度模型增强身份和访问管理策略
我们收到的两个最常见的问题是:“和我们的伙伴相比,我们作为一个企业的处境如何?”以及“随着我们扩建了我们的IAM基础架构和策略,下一步要做的是什么?”
-
调查发现:企业在IT访问管理方面处于落后局面
Ponemon Institute LLC公司进行的一项新调查表明,随着企业开始采用各种网络应用程序,控制访问管理变得越来越困难。