为了减少网络非法***的威胁,通常的做法是完善作为警戒外来访问的守卫———防火墙设施和强化应用的用户认证。而根据CSIFBI的调查结果显示70%以上的非法访问数据的行为产生于公司内部,基于这种现实,我们必须更加把重点放在公司内部数据的保护上,其对策之一可举出访问控制措施。
当利用公司内部网络上存在的资源时,认证用户和访问控制是必要的功能。访问控制是网络运用中很重要的规范,因此首先必须制作根据安全策略而设定的访问权管理目录(AccsessControlList)。它允许谁对什么样的应用和文件夹上做什么样的访问行为,在没有权限规定的情况下对机密文件夹不能进行访问。然而,目前大多数公司的安全措施当中,很容易会考虑物理性的防范措施,对于存储于网络与服务器中的信息数据却不能做到周全的考虑。实际上针对系统上的安全控制很多情况下并没***到公司的每个角落里。随着公司信息系统数据源的增加和扩大,在运用方面用户和对象数据源之间形成非常复杂的关系。用户一方和利用资源之间,由于部署、作用、立场不同,通往服务器、应用文件夹等个别资源的访问控制容易造成杂乱。
用户和数据源之间,基于根据安全策略而规定的访问权管理目录,作为系统要被正确运用,但是实际上随着人事移动、数据源的追加扩大等,系统将变化下去,所以信息系统的使用便利和强化访问管理和访问控制往往成为一个难以调和的矛盾,在实际的应用当中出现各种各样的问题。
比如对于具体用户而言,由于每项数据源都要求必须设定控制访问的口令,对象数据源越多就越变得繁杂。很多用户自然而然地就会为防止忘记而将ID、口令写在便条上粘贴在电脑周围,或者为了减少麻烦而使用简单的ID和口令(如自己的生日、电话号码或者123456等等),这样就导致口令保护的形式化从而为信息系统的安全管理埋下安全隐患,大大降低系统的安全状态。而另一方面,对于信息系统部门而言,由于每次用户的增减、人事移动等引发的在用户权限管理操作,需要个别的ID和口令的设定,这样其作业变得繁杂而且耗费了大量人力。
这样复杂的访问管理和控制操作很容易导致允许不正当访问的结果,然而最近针对电子商务的发展和复杂系统的权限管理,出现了基于安全策略的授权管理的新的安全领域,IBM等众多的厂家推出了相应的安全策略统一管理解决办法。以谋求实现简单、快捷地部署安全策略、进行细致的访问控制,从而提高信息系统整体的安全性和减轻作业负荷。
这些解决方案的一个重要的特征就是实现了SSO(SingleSignOn)功能,即对处于分散状态的认证机能进行统一管理。这样,用户在经过一次ID和口令的认证后,就可以按照自己的权限在各式各样的数据源里自由访问,从而大大减轻用户和系统管理者的负担。通过将访问控制统一到一个ID和口令上,就使很难破译或者被第三者推定的ID、口令的设定成为可能,安全强度也得到增强。在系统管理上,对于1个用户是利用1组的ID、口令来管理,为此维护变得舒适,而且作业数量大幅度减少,带来总成本下降和环境安全等优点。