职员授权管理

4.4.3　职员授权管理

大量的安全问题关系到人员如何与计算机进行交流以及他们进行工作所需的授权。职员授权管理主要涉及职员定岗、用户管理及承包人或公众访问系统时需要考虑的特殊因素。

1.职员定岗

安排职员通常至少涉及四个步骤，它们既适用于一般用户也适用于应用管理者、系统管理人员和安全人员。这四个步骤是：①定义工作，通常涉及职位描述的制定；②确定职位的敏感性；③填充职位，涉及审查应聘者和选择人员；④培训。

（1）定义工作

应该在定义职位的早期识别和处理安全问题。职位一旦被定义后，负责的主管应确定职位所需的访问类型。授予访问权时应遵循的两个原则如下：

·职务分离原则：是指对角色和责任进行分类使单独一个人无法破坏关键的过程。例如，在金融系统中，单独一个人通常无法发放支票，而应该是一个人发出支付申请，另一个人对这个支付进行授权。实质上，应该将互相制衡的机制设计到过程以及执行过程的具体职位中。

·最小特权原则：是指只赋予用户其执行工作任务所需的访问权，例如，数据录入人员可能无须对其数据库的报告进行分析。但是，最小特权原则不意味着所有的用户都只能拥有极小的访问权，如果其职位需要，一些员工将拥有很大的访问权。尽管如此，应用此原则还是会限制由于事故、错误或非授权使用系统资源造成的损害。确定实施最小特权原则不会造成人员之间无法及时替换是很重要的。如果不精心地计划，访问控制可能会妨碍到应急计划。

（2）确定职位敏感性

职位敏感性水平的确定是基于该人员通过滥用计算机系统可能造成损害（如泄露私人信息、中断关键处理、计算机欺诈）的类型和程度这些因素以及更传统的因素，如对保密信息的访问和受托责任。选择适当的职位敏感性很重要，因为职位敏感性过度设定会浪费资源，而过小设定可能会造成无法接受的风险。因此，确定职位敏感性时需要了解这一职位所需的知识和访问级别。

（3）填充职位

一旦职位敏感性被确定，就要准备填充职位。这通常包括公布正式的空缺职位公告和识别符合职位需求的申请者。比较敏感的职位通常需要雇用前的背景审查。不太敏感的职位可能在雇用后（入职、在岗）审查就可以了。

在各个公司中，大多数审查技术涉及犯罪记录等因素。更深入的背景调查还检查其他因素，如人员的工作和教育经历、个人会面、拥有和使用非法物品的记录，以及与当前或以往同事、邻居或朋友的会面。具体执行的审查类型取决于职位的敏感性和实施规定的当事机构。审查不由预期的职员管理人执行，而应该依照特定机构的指导由机构的安全和人事官员进行。

在公司以外，一般通过多种方式完成对员工的审查。因敏感性的不同，不同的机构执行不同的政策来检查人员的背景和资格。机构的政策和规程通常试图在避免侵犯和诋毁与了解员工诚信度之间寻找平衡点，有效的一种办法是最初将员工安排到不太敏感的职位上。

无论对于国家机构还是对于私营企业，发现一些危及安全的背景情况并不一定意味着他们不适合特定的职位。应该根据工作类型、所发现的事件的类型或其他相关因素做出决定。

（4）员工培训

候选人被雇用后，需要对员工进行培训。其中包括计算机安全责任和任务的培训员工的良好培训对于计算机系统和应用发挥效率起到至关重要的作用。

2.用户管理

对用户计算机访问权的有效管理对于维护系统安全是很重要的。用户账户管理主要是识别、认证和访问授权。审计过程以及定期的验证当前账户和访问授权的合法性是一种加强措施。最后，还要考虑在员工调职、晋升或离职、退休时及时修改或取消其访问权等相关问题。

（1）用户账户管理

·用户账户管理开始于用户主管向系统管理员申请系统账户。之后，系统运作人员通常会根据账户申请为新用户创建账户。这个账户通常会被设定所选择的访问授权。下一步将账户信息发给职员，包括账户的识别符（如用户ID）和认证方法（如口令或智能卡）。当员工不再需要账户时，主管应通知应用管理人和系统管理人员以便可以及时清除账户。

·了解访问和授权管理的连续性问题是很重要的。为了使用户只具有完成给其设定责任所必须的访问权限以维护最小特权原则，跟踪用户及其相应的访问权限是必须的。

·管理这样的用户访问过程通常是非集中式的，尤其是在大型系统中。

（2）审计和管理检查

·检查每位人员所拥有的访问权水平；

·检查对最小特权原则的符合程度；

·所有账户是否处于活动状态；

·管理授权是否处于更新状态；

·是否完成所需的培训。

（3）探测非授权活动

除了审计和审计跟踪分析之外还有几种机制被用于探测非授权和非法活动。例如，欺诈行为可能要求实施者经常到场。在这种情况下，职员缺席期间可能会发现欺诈行为。关键系统和应用人员的强制假期可以帮助探测这种活动（但并不保证做到，例如职员返回处理时还没有来得及发现问题）。这对避免产生对单个人员的过度依赖是有用的，因为系统在缺席期间也要运作。尤其是在政府工作中，可以使用定期重新进行人员审查的方法发现非法活动的可能迹象（如生活水平超出已知的收入水平）。

（4）临时任命和部门内调动职位变更和离职

管理系统的一个重要方面涉及保持用户访问授权的更新状态。当出现临时任命和部门内调动时，需要对其访问权限进行相应更改，如暂时地或永久地更换工作角色、离职等。

①暂时地或永久地更换工作角色

在其他人缺席期间经常会要求职员完成其常规工作范围以外的任务。这需要附加访问授权。虽然需要，但还是应该尽量少地赋予访问授权并且认真进行监视，以便与内部控制目标中维护职务分离的需求相一致。在不需要时，也应该及时清除这些授权。

当职员在机构内更换职位时通常需要永久更改。在这种情况下，还会发生账户授权的过程。这时，将以前职位的访问授权清除也是很重要的。许多“授权蔓延”的例子就发生在职员继续持有以前在机构中所担任职位的授权的情况下，这种情况不符合最小特权原则。

②离职

用户系统访问权的终止通常被划分为“友好的”和“不友好的”。

友好的终止发生在员工自愿调任、辞职以便接受更好的职位或是退休情况下。应为离职员工制定一系列标准规程，以确保系统账户能够被及时清除。

·离职过程通常涉及由每个相关功能管理人签署的表格。一般包括管理访问控制、钥匙控制、报告机密和隐私责任、财务管理等。

·要确认数据的继续可用性。

·保证数据的机密性。

不友好终止包括用户被解雇、裁员或非自愿调任。不友好离职涉及不情愿或敌对情况下的员工离职。这种离职的紧张关系导致安全问题的加重和复杂化。不友好离职的最大威胁可能来自那些有能力更改代码或改变系统或应用的人员，一般用户的离职也可能造成损害。

采取措施如下：

·如果员工被解雇，应该在通知员工离职时（或之前）清除系统访问权；

·当员工向机构提出辞职时，如果有理由预期是不友好离职，应立即终止其系统访问权；

·在“布告”阶段，有必要限制人员的活动区域和功能。

3.承包人管理

许多政府机构以及私营机构使用承包人和顾问协助其进行计算机处理。承包人的使用期限经常比员工短，这一因素可能会改变执行审查的成本效益。承包人员的频繁转换增加了安全项目用户管理方面的开销。

4.公众访问管理

政府机构设计、开发和使用的向公众散发信息的公众访问系统，是公开了电话号码和网络访问ID的系统。由于公共访问系统的高可见性，攻击公众访问系统对机构的声誉和公众的信息水平可能会造成切实的影响，无形中增加了来自公众访问系统外部和内部的安全威胁，加大了安全管理的难度。

5.相关费用

计算机系统中的认证和识别以及访问控制只能防止计算机被命令执行不允许进行的操作，也就是政策规定的。然而，更多的危害来自于允许但人们不应该做的事情。因此，用户问题在信息安全中占有重要地位，由此也会产生相关的安全费用，其中包括：

（1）审查：初始背景审查和适时定期更新的费用。

（2）培训和意识培养：培训费用包括评估、培训材料、课程费用等。

（3）用户管理：管理识别和认证的费用。

（4）访问权管理：尤其是在账户初始建立以后，维护用户日常完整访问的持续费用。

（5）审计：需要使用自动化工具和耗费资源的人工检查来发现和解决安全问题。