认识达内从这里开始

访问控制是互联网数据安全防御中的一种常见方法，而今天我们就通过案例分析来了解一下，关于访问控制都有哪些知识要点。

访问控制是什么?

访问控制是一套身份验证和权限管理机制，用于保证用户是其所声称的身份，以及授予用户访问公司数据的恰当权限。

从高级层面上看，访问控制是数据访问权限的选择性限制。访问控制由两个主要部分组成：身份验证与授权。

身份验证是核实某人为其所宣称身份的一种技术，其本身并不足以保证数据安全。想要保证数据安全，还需要添加额外的安全层——授权。授权用以确定用户是否能够访问其所要求的数据，或者执行其所尝试的交易。

没有身份验证与授权，就没有数据安全。每一起数据泄露事件中，访问控制总是先被调查的策略。无论是敏感数据意外暴露而被终端用户不当获取，还是敏感数据经由公开服务器上软件漏洞而暴露的Equifax数据泄露事件，访问控制都是其中的关键部分。只要没有恰当实现或维护好访问控制，其结果都有可能是灾难性的。

凡是员工需要连接互联网的公司企业——也就是当今所有公司企业，都需要某种程度的访问控制。有员工在外工作，且需要访问公司数据资源与服务的公司企业，更应重视访问控制策略实现。

换句话说，但凡你的数据对没有恰当授权的人有任何价值，那你的公司就需要强访问控制。

强访问控制的另一原因：访问挖掘

在暗网上收集与售卖访问描述文件的问题正变得越来越严重。举个例子，CarbonBlack近发布的报告描述了Smominru加密货币挖掘僵尸网络，但该僵尸网络不仅挖掘加密货币，还挖掘各类敏感信息，包括内部IP地址、域信息、用户名和密码。CarbonBlack的研究人员认为，该黑客组织“极有可能”将这些信息放到“访问市场”上售卖，以便买家此后运用远程访问发起自己的攻击。

这些访问市场为网络罪犯购买系统和公司的访问权限/凭证提供了一条便捷通道。该报告的作者称：“访问权失窃的系统可能会被当做僵尸主机用在大规模攻击中，或者被当成针对性攻击的入口点。”终极匿名服务(UAS:UltimateAnonymityServices)就是这样一个访问市场，平均6.75美元就能买到一个访问凭证，而整个市场上提供有3.5万个凭证。

CarbonBlack研究人员表示，网络罪犯将会更善加利用访问市场和访问挖掘技术，因为这实在是“太有利可图”了。如果被盗用户凭证拥有高于所需的权限，那公司面临的风险也会随之上升。

访问控制策略：重点考虑

绝大多数安全人员都清楚访问控制对自家公司的重要性。但访问控制该如何实施，就没那么容易取得共识了。访问控制要求在没有传统边界的动态世界中实现一致的策略。我们绝大多数人都在混合环境中工作，数据从公司服务器或云端流向办公室、家里、酒店、车中，以及提供开放WiFi热点的咖啡馆。这就令访问控制的实施很是棘手了。

除此之外，设备种类和数量的暴增也增加了风险暴露面，比如PC、笔记本电脑、智能手机、平板电脑、智能音箱和其他物联网(IoT)设备。设备多样性让创建和保持访问策略一致性成为了非常现实的难题。

过去，访问控制方法常常是静态的。如今，网络访问必须是动态和流动的，要支持身份和基于应用的用例。

高级访问控制策略应可动态调整，以响应不断进化的风险因素，使已被入侵的公司能够隔离相关员工和数据资源以控制伤害。

企业必须确保其访问控制技术受到云资产和应用的一致支持，并能够无缝迁移到私有云等虚拟环境。访问控制规则必须依据风险因素而改变，也就是说，公司企业应在现有网络及安全配置基础之上，部署运用人工智能(AI)和机器学习的安全分析层。实时识别威胁并相应自动化调整访问控制规则也是公司企业应努力实现的。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。