压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

訪(fǎng)問(wèn)控制驗(yàn)證用戶(hù)身份，并授予用戶(hù)訪(fǎng)問(wèn)許可范圍內(nèi)信息的權(quán)限。

誰(shuí)能訪(fǎng)問(wèn)公司的數(shù)據(jù)？怎樣確保嘗試訪(fǎng)問(wèn)的人切實(shí)得到授權(quán)？何種情況下拒絕有權(quán)限用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求？

為有效保護(hù)數(shù)據(jù)，公司訪(fǎng)問(wèn)控制策略必須解決這些（但不局限于這些）問(wèn)題。以下內(nèi)容便是訪(fǎng)問(wèn)控制基礎(chǔ)知識(shí)導(dǎo)引：訪(fǎng)問(wèn)控制是什么？為什么訪(fǎng)問(wèn)控制很重要？哪些組織機(jī)構(gòu)最需要訪(fǎng)問(wèn)控制？安全人員將面對(duì)何種挑戰(zhàn)？

訪(fǎng)問(wèn)控制是什么？

訪(fǎng)問(wèn)控制是一套身份驗(yàn)證和權(quán)限管理機(jī)制，用于保證用戶(hù)是其所聲稱(chēng)的身份，以及授予用戶(hù)訪(fǎng)問(wèn)公司數(shù)據(jù)的恰當(dāng)權(quán)限。

從高級(jí)層面上看，訪(fǎng)問(wèn)控制是數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限的選擇性限制。訪(fǎng)問(wèn)控制由兩個(gè)主要部分組成：身份驗(yàn)證與授權(quán)。

身份驗(yàn)證是核實(shí)某人為其所宣稱(chēng)身份的一種技術(shù)，其本身并不足以保證數(shù)據(jù)安全。想要保證數(shù)據(jù)安全，還需要添加額外的安全層——授權(quán)。授權(quán)用以確定用戶(hù)是否能夠訪(fǎng)問(wèn)其所要求的數(shù)據(jù)，或者執(zhí)行其所嘗試的交易。

沒(méi)有身份驗(yàn)證與授權(quán)，就沒(méi)有數(shù)據(jù)安全。每一起數(shù)據(jù)泄露事件中，訪(fǎng)問(wèn)控制總是最先被調(diào)查的策略。無(wú)論是敏感數(shù)據(jù)意外暴露而被終端用戶(hù)不當(dāng)獲取，還是敏感數(shù)據(jù)經(jīng)由公開(kāi)服務(wù)器上軟件漏洞而暴露的 Equifax 數(shù)據(jù)泄露事件，訪(fǎng)問(wèn)控制都是其中的關(guān)鍵部分。只要沒(méi)有恰當(dāng)實(shí)現(xiàn)或維護(hù)好訪(fǎng)問(wèn)控制，其結(jié)果都有可能是災(zāi)難性的。

凡是員工需要連接互聯(lián)網(wǎng)的公司企業(yè)——也就是當(dāng)今所有公司企業(yè)，都需要某種程度的訪(fǎng)問(wèn)控制。有員工在外工作，且需要訪(fǎng)問(wèn)公司數(shù)據(jù)資源與服務(wù)的公司企業(yè)，更應(yīng)重視訪(fǎng)問(wèn)控制策略實(shí)現(xiàn)。

換句話(huà)說(shuō)，但凡你的數(shù)據(jù)對(duì)沒(méi)有恰當(dāng)授權(quán)的人有任何價(jià)值，那你的公司就需要強(qiáng)訪(fǎng)問(wèn)控制。

強(qiáng)訪(fǎng)問(wèn)控制的另一原因：訪(fǎng)問(wèn)挖掘

在暗網(wǎng)上收集與售賣(mài)訪(fǎng)問(wèn)描述文件的問(wèn)題正變得越來(lái)越嚴(yán)重。舉個(gè)例子，Carbon Black 最近發(fā)布的報(bào)告描述了 Smominru 加密貨幣挖掘僵尸網(wǎng)絡(luò)，但該僵尸網(wǎng)絡(luò)不僅挖掘加密貨幣，還挖掘各類(lèi)敏感信息，包括內(nèi)部 IP 地址、域信息、用戶(hù)名和密碼。Carbon Black 的研究人員認(rèn)為，該黑客組織 “極有可能” 將這些信息放到 “訪(fǎng)問(wèn)市場(chǎng)” 上售賣(mài)，以便買(mǎi)家此后運(yùn)用遠(yuǎn)程訪(fǎng)問(wèn)發(fā)起自己的攻擊。

這些訪(fǎng)問(wèn)市場(chǎng)為網(wǎng)絡(luò)罪犯購(gòu)買(mǎi)系統(tǒng)和公司的訪(fǎng)問(wèn)權(quán)限/憑證提供了一條便捷通道。該報(bào)告的作者稱(chēng)：“訪(fǎng)問(wèn)權(quán)失竊的系統(tǒng)可能會(huì)被當(dāng)做僵尸主機(jī)用在大規(guī)模攻擊中，或者被當(dāng)成針對(duì)性攻擊的入口點(diǎn)。”終極匿名服務(wù) (UAS: Ultimate Anonymity Services) 就是這樣一個(gè)訪(fǎng)問(wèn)市場(chǎng)，平均 6.75 美元就能買(mǎi)到一個(gè)訪(fǎng)問(wèn)憑證，而整個(gè)市場(chǎng)上提供有 3.5 萬(wàn)個(gè)憑證。

Carbon Black 研究人員表示，網(wǎng)絡(luò)罪犯將會(huì)更善加利用訪(fǎng)問(wèn)市場(chǎng)和訪(fǎng)問(wèn)挖掘技術(shù)，因?yàn)檫@實(shí)在是“太有利可圖”了。如果被盜用戶(hù)憑證擁有高于所需的權(quán)限，那公司面臨的風(fēng)險(xiǎn)也會(huì)隨之上升。

訪(fǎng)問(wèn)控制策略：重點(diǎn)考慮

絕大多數(shù)安全人員都清楚訪(fǎng)問(wèn)控制對(duì)自家公司的重要性。但訪(fǎng)問(wèn)控制該如何實(shí)施，就沒(méi)那么容易取得共識(shí)了。訪(fǎng)問(wèn)控制要求在沒(méi)有傳統(tǒng)邊界的動(dòng)態(tài)世界中實(shí)現(xiàn)一致的策略。我們絕大多數(shù)人都在混合環(huán)境中工作，數(shù)據(jù)從公司服務(wù)器或云端流向辦公室、家里、酒店、車(chē)中，以及提供開(kāi)放 WiFi 熱點(diǎn)的咖啡館。這就令訪(fǎng)問(wèn)控制的實(shí)施很是棘手了。

除此之外，設(shè)備種類(lèi)和數(shù)量的暴增也增加了風(fēng)險(xiǎn)暴露面，比如 PC、筆記本電腦、智能手機(jī)、平板電腦、智能音箱和其他物聯(lián)網(wǎng) (IoT) 設(shè)備。設(shè)備多樣性讓創(chuàng)建和保持訪(fǎng)問(wèn)策略一致性成為了非常現(xiàn)實(shí)的難題。

過(guò)去，訪(fǎng)問(wèn)控制方法常常是靜態(tài)的。如今，網(wǎng)絡(luò)訪(fǎng)問(wèn)必須是動(dòng)態(tài)和流動(dòng)的，要支持身份和基于應(yīng)用的用例。

高級(jí)訪(fǎng)問(wèn)控制策略應(yīng)可動(dòng)態(tài)調(diào)整，以響應(yīng)不斷進(jìn)化的風(fēng)險(xiǎn)因素，使已被入侵的公司能夠隔離相關(guān)員工和數(shù)據(jù)資源以控制傷害。

企業(yè)必須確保其訪(fǎng)問(wèn)控制技術(shù)受到云資產(chǎn)和應(yīng)用的一致支持，并能夠無(wú)縫遷移到私有云等虛擬環(huán)境。訪(fǎng)問(wèn)控制規(guī)則必須依據(jù)風(fēng)險(xiǎn)因素而改變，也就是說(shuō)，公司企業(yè)應(yīng)在現(xiàn)有網(wǎng)絡(luò)及安全配置基礎(chǔ)之上，部署運(yùn)用人工智能 (AI) 和機(jī)器學(xué)習(xí)的安全分析層。實(shí)時(shí)識(shí)別威脅并相應(yīng)自動(dòng)化調(diào)整訪(fǎng)問(wèn)控制規(guī)則也是公司企業(yè)應(yīng)努力實(shí)現(xiàn)的。

四種訪(fǎng)問(wèn)控制

公司企業(yè)應(yīng)根據(jù)所處理數(shù)據(jù)的類(lèi)型及敏感程度，確定應(yīng)采用哪種訪(fǎng)問(wèn)控制模型。舊有訪(fǎng)問(wèn)控制模型包括自主訪(fǎng)問(wèn)控制 (DAC) 和強(qiáng)制訪(fǎng)問(wèn)控制 (MAC)，基于角色的訪(fǎng)問(wèn)控制 (RBAC) 模型是現(xiàn)金最常用的，而最新的模型是基于屬性的訪(fǎng)問(wèn)控制 (ABAC)。

1. 自主訪(fǎng)問(wèn)控制 (DAC)

DAC 模型中，數(shù)據(jù)擁有者決定訪(fǎng)問(wèn)權(quán)。DAC 是基于用戶(hù)指定的規(guī)則分配訪(fǎng)問(wèn)權(quán)限的一種方式。

2. 強(qiáng)制訪(fǎng)問(wèn)控制 (MAC)

MAC 采用非自主模型發(fā)展而來(lái)，基于信息許可授予用戶(hù)訪(fǎng)問(wèn)權(quán)限。MAC 是基于中央權(quán)威的規(guī)則分配訪(fǎng)問(wèn)權(quán)限的一種策略。

3. 基于角色的訪(fǎng)問(wèn)控制 (RBAC)

RBAC 基于用戶(hù)的角色授予訪(fǎng)問(wèn)權(quán)限，并實(shí)現(xiàn)關(guān)鍵安全原則，比如“最小權(quán)限原則”和“權(quán)限分離原則”。因此，嘗試訪(fǎng)問(wèn)信息的用戶(hù)只能訪(fǎng)問(wèn)其角色所需的必要數(shù)據(jù)。

4. 基于屬性的訪(fǎng)問(wèn)控制 (ABAC)

ABAC 模型中，每個(gè)資源和用戶(hù)都被賦予一系列屬性。該動(dòng)態(tài)方法中，資源訪(fǎng)問(wèn)權(quán)限決策是根據(jù)對(duì)用戶(hù)屬性的比較評(píng)估做出的，比如時(shí)間、位置和職位等。

公司企業(yè)應(yīng)根據(jù)數(shù)據(jù)敏感性和數(shù)據(jù)訪(fǎng)問(wèn)運(yùn)營(yíng)需求，來(lái)確定哪一種模型是最適合自己的。尤其是處理個(gè)人可識(shí)別信息 (PII) 或其他敏感信息（如健康保險(xiǎn)流通與責(zé)任法案 (HIPAA) 或《受控非密信息》 (CUI) 數(shù)據(jù)）的公司企業(yè)，必須將訪(fǎng)問(wèn)控制當(dāng)做自身安全架構(gòu)的關(guān)鍵部分加以構(gòu)建。

訪(fǎng)問(wèn)控制解決方案

有很多技術(shù)可以支持多種訪(fǎng)問(wèn)控制模型。某些情況下，只有協(xié)同使用多種技術(shù)才可以達(dá)成所需訪(fǎng)問(wèn)控制等級(jí)。

數(shù)據(jù)廣布于云服務(wù)提供商和軟件即服務(wù) (SaaS) 應(yīng)用上，且接入傳統(tǒng)網(wǎng)絡(luò)邊界的現(xiàn)實(shí)，意味著需編排一個(gè)安全的解決方案。當(dāng)前多家供應(yīng)商提供的特權(quán)訪(fǎng)問(wèn)和身份管理解決方案，均可以集成進(jìn)傳統(tǒng)微軟活動(dòng)目錄 (AD) 架構(gòu)。多因子身份驗(yàn)證也可用作進(jìn)一步增強(qiáng)安全的措施。

為什么授權(quán)依舊棘手？

如今，大部分公司企業(yè)已擅長(zhǎng)身份驗(yàn)證，尤其是在多因子身份驗(yàn)證和生物特征識(shí)別身份驗(yàn)證（比如人臉識(shí)別或虹膜識(shí)別）的幫助下。最近幾年，由于重大數(shù)據(jù)泄露造成被盜密碼憑證在暗網(wǎng)上售賣(mài)，安全人員更加重視多因子身份驗(yàn)證了。

但授權(quán)卻仍是安全人員常常搞砸的一個(gè)領(lǐng)域。新手很難確定并持續(xù)監(jiān)測(cè)誰(shuí)具有哪些數(shù)據(jù)資源的訪(fǎng)問(wèn)權(quán)，應(yīng)怎樣訪(fǎng)問(wèn)數(shù)據(jù)資源，以及何種情況下可以授予訪(fǎng)問(wèn)權(quán)。不一致的授權(quán)協(xié)議或弱授權(quán)協(xié)議卻能制造安全漏洞，不盡快發(fā)現(xiàn)和修復(fù)就會(huì)造成重大損失的那種。

說(shuō)到監(jiān)視，無(wú)論公司選擇哪種訪(fǎng)問(wèn)控制實(shí)現(xiàn)方法，其實(shí)施都必須受到持續(xù)監(jiān)視，要符合公司安全策略和運(yùn)營(yíng)方針，能識(shí)別潛在安全漏洞。公司企業(yè)應(yīng)定期執(zhí)行治理、風(fēng)險(xiǎn)及合規(guī)審核。執(zhí)行訪(fǎng)問(wèn)控制功能的每個(gè)應(yīng)用都需要反復(fù)接受漏洞掃描，應(yīng)收集和監(jiān)視每次訪(fǎng)問(wèn)的日志以發(fā)現(xiàn)策略違反事件。

今天的復(fù)雜 IT 環(huán)境中，訪(fǎng)問(wèn)控制應(yīng)被視為運(yùn)用高級(jí)工具的動(dòng)態(tài)技術(shù)基礎(chǔ)設(shè)施，反映移動(dòng)性增長(zhǎng)等網(wǎng)絡(luò)環(huán)境變化，識(shí)別我們所用設(shè)備的改變及其固有風(fēng)險(xiǎn)，并考慮云遷移風(fēng)潮的影響。

Carbon Black 的訪(fǎng)問(wèn)挖掘報(bào)告：

https://www.carbonblack.com/resources/threat-research/access-mining/