访问控制的定义及几大达成挑战
发布时间:2022-05-20 09:22:37 所属栏目:安全 来源:互联网
导读:谁应该访问公司的数据?你怎么保证尝试访问的人都经过了授权?在什么情况下要拒绝有权限的用户访问数据? 想要有效保护数据,公司的访问控制策略必须解决以上及其他的问题。然后就是遵循访问控制的几个基本原则:访问控制是什么?为什么访问控制很重要?什么企业
|
谁应该访问公司的数据?你怎么保证尝试访问的人都经过了授权?在什么情况下要拒绝有权限的用户访问数据? 想要有效保护数据,公司的访问控制策略必须解决以上及其他的问题。然后就是遵循访问控制的几个基本原则:访问控制是什么?为什么访问控制很重要?什么企业最需要访问控制?实现和维护访问控制时安全人员会面临什么问题? 一、访问控制定义 站在较高层级来看,访问控制就是精选出来的一系列数据访问规则。其主要组成部分有2个:身份验证与授权。 二、访问控制对整个数据安全有多重要? 没有身份验证和授权,就没有数据安全。每一起数据泄露事件,调查的时候首先查的就是访问控制策略。无论是终端用户疏忽大意造成的敏感数据意外暴露,还是Equifax这种因公共Web服务器软件漏洞而泄露敏感数据,访问控制都是其中关键因素。如果没有恰当实现和维护好访问控制,可能会造成灾难性后果。 三、什么类型的企业最需要访问控制? 只要公司员工需接入互联网,公司就需要访问控制。换句话说,当今世界的每一家公司都需要一定程度的访问控制,尤其公司员工有在外办公且需要访问公司数据资源和服务的情况下。 或者,如果公司数据对非授权人士有一定价值,公司就需要实现访问控制。 四、实施访问控制的5个关键挑战 1. 需要一致的策略 大多数安全人员都懂得访问控制对公司的重要性,但至于该怎么实施访问控制,大家意见不一。访问控制需要在动态的环境中实施一致的策略。当今世界,大多数人都在混合环境中工作,数据通过开放WiFi热点从内部服务器或云端流向办公室、家里、酒店、车上和咖啡馆。这种流动性让访问控制策略的事实变得很难。 而且,随着接入设备的增多,比如PC、笔记本电脑、智能手机、平板电脑、智能音箱和其他物联网设备,访问策略的创建和持续维护就更难了,风险也随之增大。 2. 确定最适当的控制模型 企业必须基于所处理数据的类型和敏感度确定最适合自己的访问控制模型。老式访问模型包括自主访问控制(DAC)和强制访问控制(MAC)。DAC模型下,数据拥有者确定访问权限。DAC是根据用户指定的规则来分配访问权限的一种方式。 最新的模型名为基于属性的访问控制(ABAC),每个资源和用户都赋予一系列属性,几乎对用户属性的比较评估,比如时间、职务和位置,来确定该用户是否能访问某个资源。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐