应对内部威胁：可尝试基于角色的访问控制

基于角色的访问控制

如何确保内部人员不会带来危害呢?企业可以使用身份和访问管理方案来帮助更好地理解其面临的安全问题，确保未来不会发生问题。其中的一种方法就是基于角色的访问控制系统。

基于角色的访问控制可以根据雇员在企业中的工作、角色、位置等来分配授权。企业不妨建立一个授权矩阵，其中可以详细记录雇员应有哪些应用程序和系统的哪些权利。在雇员被雇佣时，他就进入了人力资源系统，具有身份管理系统提供的功能和为其创建的网络账户。身份管理软件可以读取此雇员的授权矩阵，确切地知道将哪些授权分配给此账户。基于角色的用户访问可以确保雇员从一开始就得到适当的而不是过多的权利。

基于角色的访问控制还可以带来其它好处。例如，它还可以确保安全系统和应用的正常使用，确保雇员在被雇佣期间不会积累过多的权利。通过身份和访问管理方案，企业可以生成报告，阐明哪些人可以访问哪个安全系统及其做出的更改。如果在这些访问权利中存在错误，企业就可以轻松地清除这些访问权。

监视访问权的另一种方法是借助认证或验证模块。这种模块可以定期或实时地扫描网络和应用，对照基于角色的访问控制矩阵来检查当前的访问权利。验证公司网络上的所有访问是否正常。如果出现任何不同点，认证或验证模块就会提醒管理员和系统所有者进行审查。如果这个不同点得到了认可，就会得到一个电子签名来确认这个事实，其中还可能要有这个不同权利的终止日期。如果发现此权利未被授权，工作流程就会自动监管这个权利的清除，并通过电子邮件通知有关各方。

为确保雇员的访问权在其离职后能被清除，企业不妨使用自动账户管理系统。自动方案可以使源系统中的任何变化都会在所有连接的系统和应用中反映出来。例如，在雇员离开企业时，管理员只需一个单击操作就可以轻松地在源系统中禁用雇员的账户。

实施基于角色的访问控制

许多企业往往不愿意实施基于角色的访问控制。因为企业担心冗长而复杂的实施过程，并且由于雇员访问权要发生变化，也会对工作效率带来副作用。完成基于角色的矩阵可能是一个需要花费企业几年时间的复杂过程。