分層式控制　解決內部安全威脅

企業嘗試調整實體、電子系統和流程的控制方式，並透過工作角色結合許可權限的安全政策，管理使用者對多種網路、應用程式及資料庫的存取作業。然而，這種複雜的管理方式本身就引發了各種問題。

對安全人員來說，套用前後一致的安全政策乃是一場永無止境的挑戰：使用者的角色時常變更，而且授予存取權時常常十萬火急，撤銷權限時卻是不慌不忙。這種系統化的偏差作法可能導致「存取權限膨脹」：存取權限愈來愈高、愈來愈廣泛，期間則偶爾穿插著恐慌和稽核作業。這完全是自招災難，法規監管者的警訊，更不是企業該有的經營方式。那麼，到底該怎麼做？

制定紀律嚴謹的分層管理政策

在當前的威脅環境下，存取控制需要依據清楚的政策，制定紀律嚴格的流程。從既有的政策驗證開始，決策者應將分層管理的原則擴展並涵蓋下列層面：  

●高安全性與高風險的資料、應用程式和網路領域，如人事、人力資源、財務、研發以及其他需要保護機密資料及其重要 IP的部門。  

●針對每位員工的角色與職責，將需要注意的相關法規、標準和常識等要求，劃分不同責任。  

●全面性的檢視能力，檢視範圍涵蓋組織的每一個職責、每一個網路區段，並提供監控、遏止及鑑識支援，以精確找出超出政策規定的事件。  

所有分層管理政策應保持同步，以便跨越整個組織輕鬆運用及管理這些政策，並且確保各網路區域、資料類型、角色以及職責的一致性。尤其重要的是對本地和遠端（SSL VPN）存取僅採用一套政策，如此不僅節省時間、金錢、使用者不會感到不耐煩，更確保能涵蓋最基本的政策。  

選擇開放、彈性的解決方案  

第一個步驟是有效利用既有的網路安全產品。個別的網路安全防護產品，如防火牆、SSL VPN 閘道器和入侵防禦與偵測系統（IPS/IDS）以及其他安全軟體和裝置，都必須和選用的網路存取控制解決方案能夠互通。其目的在確保存取控制與網路安全防護方案採用一致的安全政策，並引用相同的資訊。  

互通作業是雙向的：由存取控制解決方案接收安全裝置的訊息，即時評估威脅情勢並確認發生的事件，然後再透過相同的安全裝置執行回應，例如限制使用者存取受到安全威脅的網路區段、應用程式、資料來源，或限制、封鎖可疑的人員或裝置。最佳的解決方案會提供適用於多種網路存取方法及不同網路安全產品的政策與範本，好加快導入的腳步並簡化管理的工作。  

關鍵使用案例  

當分層存取控制能夠與防火牆、IPS/IDS、SSL VPN閘道器、限速交換器以及其他相容裝置互相溝通時，企業即可開始處理如下的複雜使用案例（use case）：  

●應用程式分區存取：對需要保密的領域，規定必須使用指定的應用程式，例如不論使用者是誰，在人事領域的使用者或所有存取財務伺服器的使用者，都不能使用 IM 附件。  

●限時存取：例如限定只能在下班或午餐時間使用社交網路應用程式。  

●「高度警戒」政策：當安全裝置發出本機或全體攻擊的警訊時，限制存取某位置、應用程式、資料類型，或禁止某些身分或職責的個人進行存取。  

●下載限速：對低優先順序的下載進行限速，使面對用戶的各項功能，如入口網站與VoIP 應用程式，能確保服務品質（QoS）。  

●異常入侵處理：對企業內部網路的異常行為做出不同等級的入侵處理，如隔離、登出或封鎖使用者或裝置（而非僅IP位址）。  

●資訊關聯性：建立各網路安全產品的資訊關聯性，以找出那些能躲過單功能安全解決方案的「隱密性緩慢」攻擊。  

存取控制最棘手的挑戰是IT 安全管理人員的蓄意破壞。但即使遭遇如此極端的情況，審慎規劃存取控制方式，仍有助於將傷害降到最低。與網路安全管理解決方案結合的存取控制方案，能夠根據身分或角色，而非根據容易造假的網路位址，對惡意行為發出警訊。而由自動化安全回應管理解決方案分析、整理的存取日誌和報告，則能協助記錄異常或非法行為的來源。

確保管理的效率和成效

正確部署存取控制方案後，結合安全解決方案，並執行自動化及協同作業，幾乎可以提升存取控制需求的每一個層面。這些方案不僅能加快管理與回應速度，甚至能徹底根除那些技術先進、能避開傳統解決方案的內部威脅。藉由在各安全解決方案或網路區段實施一致的安全性，控制存取方案也能避免「存取權限膨脹」的發生及各種規避措施的行為。此外，它們還能協助將政策和存取控制擴大涵蓋範圍到整個組織，將所有安全產品的資訊與回應統合為一。  

最後，自動化存取控制方案也會提升管理人員的生產力與管控能力。減少管理人員花在存取控制上面的時間，就能讓他們把能力集中於處理網路的核心與策略議題之上。