什么是访问控制策略?
访问控制策略是一种数据安全技术,它创建了一个统一的系统来控制对组织数据、应用程序和系统的访问。物理访问控制使 IT 部门能够确保硬件安全,而逻辑控制则有助于保护软件和数据。主动访问控制策略通过管理谁可以访问哪些系统、如何访问以及身份验证规则和要求,最大限度地降低组织的网络安全风险。
基于云和混合云的实施范围广泛,这给访问控制带来了诸多挑战。要跟踪物理上分散在不同数据层的不断变化的资产,可能会很困难。在组织的数据和设备都在内部的传统环境中行之有效的访问控制策略,在分散的 IT 生态系统中却不起作用。
访问控制策略为何重要?
通过访问控制策略限制对敏感业务数据的访问,使组织能够完全控制其资源。它允许员工访问所需的信息,并将其他人拒之门外。由于 2021 年 61% 的网络攻击涉及凭证被盗,因此企业必须开发强大的授权系统,监控用户在系统内的访问和移动。
访问控制策略类型
过去,IT 团队的任务是手动监控和评估用户访问配置文件。这非常乏味,没有成效,而且浪费时间。云实施的分布式特性使得人工处理大量请求变得不可能,因此大多数组织都会结合机器学习工具来创建访问控制策略。
有几种主要类型的访问控制策略结合了人工智能,有助于保护用户和数据。
- 基于属性的访问控制根据身份和访问管理(IAM)策略定义访问。
- 自由裁量访问控制允许数据所有者根据特定规则决定访问控制。
- 强制性访问控制 以个人及其可访问的资源为基础。
- 基于角色的访问控制 允许用户根据自己的角色进行访问。
- 碎玻璃门禁系统包含一个紧急账户,可以绕过常规权限。
- 基于规则的访问控制允许管理员定义数据访问和资源的管理规则。
访问控制政策应包括哪些内容
以下是一些关于贵组织的访问控制政策应包括哪些内容的提示。
- 与第三方和外部供应商合作的规则
- 基于风险的身份验证
- 零信任网络访问
- 操作系统控制
- 用户被锁定前允许的登录尝试次数
- 威胁情报监测
- 处理非公司设备和用于业务的个人设备
- 多因素认证
- 持续访问监控
- 允许哪些用户和身份查看或编辑某些数据、应用程序和其他文件
虽然许多企业实施人工智能工具是为了降低成本,但30% 的企业使用人工智能来提高数据、用户行为等内部处理自动化的速度和准确性。优秀的访问控制政策还将包括有关机器学习工具类型的信息。
访问控制政策模板
英国司法部创建了一个访问控制政策模板(PDF),您可以下载并调整以满足贵组织的需求。
CylanceGATEWAY™是人工智能支持的零信任网络接入 (ZTNA)。它允许您的远程员工通过任何网络,从任何受管或未受管设备到云端或本地的任何应用程序,建立安全的网络连接。这种云原生 ZTNA 解决方案可提供对任何应用程序的可扩展出站访问,同时隐藏关键资产,防止未经授权的用户访问,最大限度地减少攻击面。
CylanceGATEWAY 的多租户架构专为数字化转型和分布式工作而设计。其强大的人工智能和机器学习功能可改善您的安全态势,简化细粒度动态安全策略和访问控制的配置和管理。
