博客
什么是访问控制?基本的网络安全实践

什么是访问控制?基本的网络安全实践

摘要形状摘要形状

访问控制是限制对敏感数据的访问的方法。只有那些拥有身份验证的人只能通过访问控制网关访问公司数据。

访问控制的组件是什么?

在高级,访问控制是关于限制对资源的访问。任何访问控制系统,无论是物理还是逻辑,有五个主要组件:

  1. 验证: 证明断言的行为,例如人或计算机用户的身份。它可能涉及验证个人身份证件,验证网站的真实性与数字证书,或检查登录凭据是否对存储的详细信息。 
  2. 授权: 功能的功能 将访问权限或权限指定给资源。例如,人力资源人员通常被授权访问员工记录,此策略通常是计算机系统中的访问控制规则正式化。 
  3. 使用权: 经过身份验证和授权,人员或计算机可以访问资源。
  4. 管理: 管理访问控制系统包括添加和删除用户或系统的身份验证和授权。某些系统将与G套件或Azure Active Directory同步,简化管理过程。
  5. 审计: 经常用作访问控制的一部分来强制执行 最不特权的原则。随着时间的推移,用户最终可以获得他们不再需要的访问,例如,他们不再需要当他们改变角色时。经常审核最大限度地减少了这种风险。  

访问控制如何工作?

访问控制可以分为旨在提高物理安全性的两组或 网络安全:

  • 物理访问控制: 限制获得校园,建筑和其他物理资产,例如,一个接近卡来解锁门。
  • 逻辑访问控制: 限制访问计算机,网络,文件和其他 敏感数据,例如,用户名和密码。

例如,组织可以采用依赖于用户凭证,访问卡读卡器,对讲机,审计和报告的电子控制系统,以跟踪哪些员工具有访问并且已访问受限数据中心。该系统可以包含一个可以限制进入各个房间和建筑物的访问控制面板,以及声音警报,启动锁定过程并防止未经授权的访问。 

该访问控制系统可以验证该人员's identity with 生物识别学 并检查是否通过检查访问控制策略或在键盘上输入的密钥FOB,密码或个人识别码(PIN)进行授权。 

另一个访问控制解决方案可以采用多因素认证,示例 防守深入 安全系统,其中一个人需要知道某些东西(密码),是某种东西(生物识别学)并有一些东西(来自智能手机移动应用程序的双因素认证码)。 

一般而言,访问控制软件通过识别个人(或计算机)来工作,验证它们是他们声称的人,授权它们具有所需的访问级别,然后将其操作存储在用户名,IP地址或其他审计系统上以帮助 数字取证 if needed.

为什么访问控制重要?

访问控制最小化授权访问物理和计算机系统的风险,形成基础部分 信息安全数据安全 and 网络安全

根据您的组织,访问控制可能是规范合规要求:

  • PCI DSS: 要求9个任务组织限制对现场人员,访客和媒体的建筑物的物理访问,以及有足够的逻辑访问控制来减轻 网络安全风险 恶意个人偷窃 敏感数据。要求10要求组织采用安全解决方案以以可审计方式跟踪和监控其系统。 
  • HIPAA: HIPAA安全规则需要涵盖实体及其业务伙伴,以防止未经授权的披露 受保护的健康信息(PHI),这包括使用物理和电子访问控制。  
  • SOC 2: 审计程序执行 第三方供应商 和服务提供商管理 敏感数据 to 防止数据违规,保护员工和客户隐私。希望获得SOC 2保证的公司必须使用一种具有双因素认证的访问控制形式和 数据加密。 SOC 2保证对组织尤为重要's who process 个人身份信息(PII).
  • ISO 27001: An 信息安全 需要管理的标准系统地检查组织's 攻击向量 and audits all 网络威胁 and 漏洞。它还需要一套全面的风险缓解或转移协议,以确保持续的信息安全和业务连续性。 

访问控制类型是什么?

访问控制的主要类型是:

  • 基于属性的访问控制(ABAC): 访问管理系统无法访问身份验证后的用户权限,但基于属性。最终用户必须向访问控制引擎证明其属性的所谓主张。基于属性的访问控制策略指定需要满足哪些声明来授予对资源的访问。例如,索赔可以是用户'S年龄比18岁,并且任何可以证明这一索赔的用户都将被授予访问权限。在ABAC中,它'并不总是需要进行身份验证或识别用户,只是它们具有属性。 
  • 自由访问控制(DAC): 访问管理管理系统,数据或资源的所有者或管理员设置定义谁或其授权访问资源的策略。这些系统依赖于管理员来限制访问权限的传播。 DAC系统因其缺乏集中控制而受到批评。 
  • 强制访问控制(Mac): 基于多个级别的安全性,访问权限由中央权限受到监管。 Mac在政府和军事环境中是常见的,其中分配给系统资源的分类,操作系统或安全内核将根据用户授予或拒绝访问's or the device'S安全许可。很难管理,但它在习惯于高度保护时,它的使用是合理的 敏感数据
  • 基于角色的访问控制(RBAC)在RBAC中,访问系统确定谁可以访问资源而不是所有者。 RBAC在商业和军事系统中很常见,其中可能存在多级安全要求。 RBAC与DAC的不同之处在于DAC允许用户在RBAC中控制访问,在用户控制之外的系统级别控制访问。 RBAC可以通过处理权限的方式与MAC区分开来。 MAC控制基于用户/设备的读写权限'■RBAC控制可能包括信用卡交易(如读取或写入)的复杂操作的权限收集。通常,RBAC用于基于业务职能限制访问,例如,工程师,人力资源和营销可以使用不同的SaaS产品。 阅读我们在RBAC的完整指南.
  • 基于规则的访问控制: 管理员定义管理对资源访问的规则的安全模型。这些规则可以基于条件,例如日间时间和位置。它'S并不少见,具有某种形式的基于规则的访问控制和基于角色的访问控制。
  • 打破玻璃访问控制: 传统的访问控制具有限制访问的目的,这就是为什么大多数访问控制模型遵循的原因 最不特权的原则 和默认的拒绝原则。此行为可能与系统的操作冲突。在某些情况下,如果实时访问的潜在利益超过风险,人类愿意承担可能涉及违反访问控制政策的风险。这种需要在医疗保健中可见,无法访问患者记录可能导致死亡。 

您的业​​务是否有安全漏洞的风险?

在Upguard,我们可以 保护您的业务免受数据泄露的影响 并帮助您不断监控 所有供应商的安全姿势.

点击这里 现在可以获得免费的安全评级!

免费电子书

网络犯罪的企业后果:谁's Liable?

了解网络犯罪的企业后果,谁与这种深入的帖子负责。
白色upguard徽标
网络犯罪的企业后果:谁's Liable?
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 03:19:36

最近发表