访问控制应根据最小权限原则限制对信息的访问:用户必须仅获得执行其预期功能所必需的那些权限。这有助于确保只有适当的人员才能访问数据。访问控制可以是物理的、技术的或管理的,如下所述。
行政控制
管理访问控制是所有员工必须遵守的程序和政策。安全策略可以列出被认为可以接受的行动、公司愿意承担的风险级别、违规情况下的处罚等。该策略通常由了解业务目标和适用合规法规的专家编制。
监督结构是行政控制的重要组成部分。几乎所有组织都让管理者对其员工的活动负责;如果员工违反行政控制,主管也将被追究责任。
人员教育和意识
应提供培训以使用户了解公司的数据使用政策,并强调公司重视安全并将积极执行该政策。此外,应定期对用户进行再教育和测试,以加强和验证他们的理解。安全措施已经到位以限制用户可以做什么,但这些工具并不完美。如果用户打开每封电子邮件中的每个附件,那么您的防病毒数据库中未列出的一些零日攻击或其他漏洞利用很可能会危及计算机。因此,需要对用户进行有关正确使用计算机的责任和最佳实践的教育。
员工终止程序
确保每位离职员工都无法访问您的IT基础架构,这对于保护您的系统和数据至关重要。您需要与HR合作制定有效的用户终止程序,以在法律和技术上保护您的组织免受前雇员的影响。遵循这些用户终止最佳实践以实现该目标。
技术控制
在大多数情况下,不应允许用户在本地复制或存储敏感数据。相反,他们应该被迫远程操作数据。在用户注销或会话超时后,应彻底清除客户端和服务器这两个系统的缓存,否则应使用加密的RAM驱动器。理想情况下,敏感数据不应存储在任何类型的便携式系统上。所有系统都应该需要某种登录,并且应该设置条件以在出现可疑使用时锁定系统。
权限
用户权限的授予应严格按照最小权限原则。以下是Microsoft操作系统中的基本文件权限:
完全控制——用户可以读取、执行、修改和删除文件;分配权限;并取得所有权。
修改—用户可以读取、写入和删除文件。
读取和执行—用户可以运行可执行文件。
读取—用户可以读取但不能修改文件。
写入—用户可以读取和修改文件,但不能删除它。
文件夹具有相同的权限,再加上一项-列出文件夹内容,这使用户能够查看文件夹中的内容,但不能读取文件。
访问控制列表
访问控制列表(ACL)是谁可以访问什么资源以及在什么级别的列表。它可以是操作系统或应用程序的内部部分。例如,自定义应用程序可能有一个ACL,其中列出了哪些用户在该系统中具有哪些权限。ACL可以基于白名单或黑名单。白名单是允许的项目列表,例如允许用户使用公司计算机访问的网站列表,或授权安装在公司计算机上的第三方软件列表。黑名单是被禁止的事物的列表,例如不允许员工访问的特定网站或禁止在客户端计算机上安装的软件。在文件管理过程中,白名单ACL使用比较多,在文件系统级别进行配置。例如,在MicrosoftWindows中,您可以配置NTFS权限并从中创建NTFS访问控制列表。您可以在此NTFS权限管理最佳实践列表中找到有关如何正确配置NTFS权限的更多信息。请记住,访问控制应在每个具有基于角色的访问控制(RBAC)的应用程序中实施;示例包括ActiveDirectory组和委派。
安全装置和方法
某些设备和系统可帮助您进一步限制对数据的访问。以下是最常实施的列表:
数据丢失防护(DLP)—这些系统监控工作站、服务器和网络,以确保敏感数据不被删除、移除、移动或复制。他们还监控谁在使用和传输数据以发现未经授权的使用。
防火墙——防火墙是网络中的第一道防线之一,因为它将一个网络与另一个网络隔离开来。防火墙可以是独立系统,也可以包含在其他基础设施设备中,例如路由器或服务器。您可以找到硬件和软件防火墙解决方案;一些防火墙可用作设备,用作分隔两个网络的主要设备。防火墙可以阻止不需要的流量进入组织的网络,这有助于防止恶意软件或黑客将数据泄漏到第三方流氓服务器。根据组织的防火墙策略,防火墙可能会完全禁止某些流量或所有流量,或者它可能会对部分或全部流量执行验证。
网络访问控制(NAC)—这涉及将网络资源的可用性限制为符合您的安全策略的端点设备。一些NAC解决方案可以自动修复不合规的节点,以确保在允许访问之前它是安全的。NAC在用户环境相当静态且可以严格控制时最有用,例如企业和政府机构。在具有频繁变化的多样化用户和设备的设置中,它可能不太实用。NAC可以限制未经授权的设备直接从您的网络访问您的数据。
代理服务器——这些设备充当客户端软件请求的协商者,从其他服务器寻求资源。客户端连接到代理服务器,请求某些服务(例如,网站);代理服务器评估请求,然后允许或拒绝它。在组织中,代理服务器通常用于流量过滤和性能改进。代理设备可以限制从Internet访问您的敏感数据。
物理控制
在有关数据安全的讨论中,物理安全经常被忽视。对物理安全的政策不佳可能会导致您的数据甚至网络受到全面损害。每个工作站都应锁定,使其无法从该区域移走。此外,应放置一个锁,以使机箱无法打开,从而暴露系统内部;否则,硬盘驱动器或其他存储数据的敏感组件可能会被移除和破坏。实施BIOS密码也是一种很好的做法,以防止攻击者使用可移动媒体启动其他操作系统。需要特别注意移动设备,例如智能手机、平板电脑、笔记本电脑、USB闪存驱动器、iPod和蓝牙设备,如下文所述。
笔记本电脑安全
对于笔记本电脑,最大的担忧是丢失和被盗,其中任何一个都可能使恶意方访问硬盘驱动器上的数据。组织内的每台笔记本电脑都应使用全盘加密。此外,除非使用VPN或SSH等安全通信通道,否则使用公共Wi-Fi热点绝不是一个好主意。帐户凭据很容易通过无线攻击被劫持,并可能导致组织网络受到危害。
移动设备安全
移动设备可以将病毒或其他恶意软件携带到组织的网络中,并从您的服务器中提取敏感数据。由于这些威胁,需要非常严格地控制移动设备。允许连接的设备应进行病毒扫描,可移动设备应加密。为此目的使用NAC非常棒。重要的是要关注数据,而不是数据所在设备的外形尺寸。智能手机通常包含敏感信息,但与包含相同信息的笔记本电脑相比,对它们应用的安全保护较少。所有可以访问敏感数据的移动设备都应该需要相同长度的密码,并具有相同的访问控制和保护软件。另一个大数据泄漏工具是带有摄像头的智能手机,可以拍摄高分辨率照片和视频并录制优质声音。很难使用这些移动设备保护您的文档免受内部人员的侵害,或者检测到有人用敏感数据拍摄显示器或白板的照片,但您应该制定一项政策,禁止在建筑物中使用相机。
网络隔离
网络分段涉及将网络分成称为区域的逻辑或功能单元。可以为每个区域分配不同的数据分类规则,设置适当的安全级别并进行相应的监控。分段将妥协的潜在损害限制在单个区域。从本质上讲,它将一个目标分成多个目标,给攻击者留下了两种选择:将每个段视为一个单独的网络,或者破坏一个并尝试跨越鸿沟。这两种选择都没有吸引力。将每个段视为一个单独的网络会产生大量额外的工作,因为攻击者必须单独破坏每个段;这种方法还极大地增加了攻击者被发现的风险。尝试从受损区域跳到其他区域是很困难的,因为如果分段设计得当,然后可以限制它们之间的网络流量。总是有例外情况必须允许通过,例如与域服务器通信以进行集中帐户管理,但这种有限的流量更容易表征。
视频监控
通过带有运动传感器和夜视功能的摄像机监控公司中的所有关键设施,对于发现未经授权的人试图通过直接访问您的文件服务器、档案或备份来窃取您的数据,以及发现有人拍摄敏感数据的照片至关重要限制区域。
锁定和回收
在无人看管之前,您的工作区和任何设备都应该是安全的。例如,检查门、办公桌抽屉和窗户,不要将文件留在办公桌上。所有敏感数据的硬拷贝都应该被锁定,然后在不再需要时完全销毁。此外,切勿共享或复制访问密钥、身份证、锁码等。在丢弃或回收磁盘驱动器之前,请彻底清除其中的所有信息并确保数据不再可恢复。旧硬盘和其他包含关键信息的IT设备应被物理销毁;指派特定的IT工程师亲自控制此过程。