保證數(shù)據(jù)安全：責(zé)任分離在信息領(lǐng)域的應(yīng)用

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

責(zé)任分離是內(nèi)部控制的一項(xiàng)關(guān)鍵機(jī)制。責(zé)任分離是通過(guò)在多個(gè)人之間分散任務(wù)及其與特定安全過(guò)程相關(guān)的特權(quán)來(lái)實(shí)現(xiàn)的。

責(zé)任分離(SoD)原則廣泛應(yīng)用于金融會(huì)計(jì)系統(tǒng)中。各個(gè)規(guī)模大小的公司都明白角色分離的重要性，如接受分期償還檢查、審批銷(xiāo)賬、存入現(xiàn)金、核對(duì)銀行對(duì)帳單、審批時(shí)間登記卡、保管支票等這些工作都需要由不同的人來(lái)?yè)?dān)任。

責(zé)任分離是人們?cè)谔幚砼c錢(qián)相關(guān)的工作時(shí)通常采用的一種機(jī)制，這樣，欺詐行為至少需要雙方或多方相互勾結(jié)才有可能。這大大降低了欺詐一類(lèi)的犯罪行為。信息也應(yīng)該通過(guò)類(lèi)似的方法來(lái)處理。因此，一個(gè)組織的這種責(zé)任分離的設(shè)計(jì)很重要，這樣，就不會(huì)有任何人可以單獨(dú)地泄露組織的安全控制。

雖然SoD對(duì)于IT組織來(lái)說(shuō)還屬于一種全新的觀點(diǎn)，但是在IT領(lǐng)域，SoD受到了越來(lái)越多的關(guān)注，薩班斯-奧克斯利法案(Sarbanes-Oxley Act)的內(nèi)部控制問(wèn)題有很大一部分都來(lái)自或依賴(lài)IT。責(zé)任分離是很多日常管制授權(quán)的基本原則，如薩班斯-奧克斯利法案和格雷姆-里奇-比利雷法法案(Gramm-Leach-Bliley Act)都是依據(jù)這種原則的。因此，現(xiàn)在的IT組織必須在所有功能領(lǐng)域中更加重視責(zé)任分離機(jī)制，特別是在安全領(lǐng)域。

責(zé)任分離與安全相關(guān)，主要體現(xiàn)在兩個(gè)方面。第一，它能防止利益沖突、侵權(quán)行為、欺詐、濫用私權(quán)及錯(cuò)誤行為。第二，它能檢測(cè)到控制故障，包括安全侵犯、信息竊取、安全控制欺詐等。(安全控制措施用來(lái)保護(hù)信息系統(tǒng)免于外界攻擊，從而保護(hù)其上的計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)及其數(shù)據(jù)的機(jī)密性、完整性和可用性。)

責(zé)任分離嚴(yán)格限制了每個(gè)單獨(dú)個(gè)體的權(quán)力和影響力的大小。它還要確保每個(gè)個(gè)體之間不存在責(zé)任沖突，不負(fù)責(zé)對(duì)其自身或上級(jí)匯報(bào)。

這里簡(jiǎn)單地對(duì)責(zé)任分離作了一項(xiàng)測(cè)試。首先，看看在沒(méi)有任何檢測(cè)的情況下，是否有人可以改變或毀壞你的財(cái)務(wù)數(shù)據(jù)?然后，看看是否有人可以竊取或透露敏感信息。最后，看看是否有人可以對(duì)控制設(shè)計(jì)和執(zhí)行產(chǎn)生影響，以及是否會(huì)對(duì)這種控制的有效性的匯報(bào)產(chǎn)生影響。如果以上3個(gè)問(wèn)題的答案都是“是”，那么你需要重點(diǎn)考慮一下責(zé)任分離。

負(fù)責(zé)設(shè)計(jì)和執(zhí)行信息安全性的人和負(fù)責(zé)安全性測(cè)試、安全性審查或是監(jiān)視和匯報(bào)安全性問(wèn)題的人不應(yīng)該是同一個(gè)人。因此，每個(gè)負(fù)責(zé)信息安全的人不應(yīng)該向首席信息官(CIO)匯報(bào)。

以下是在信息安全領(lǐng)域?qū)崿F(xiàn)責(zé)任分離5大關(guān)鍵選項(xiàng)，是基于我的經(jīng)驗(yàn)按照可接受性程度進(jìn)行劃分的。

● 選項(xiàng)1：讓每一個(gè)負(fù)責(zé)信息安全的人都向首席安全官(也即CSO，負(fù)責(zé)處理信息和物理安全的人)匯報(bào)，然后讓CSO向CIO直接匯報(bào)。

● 選項(xiàng)2：讓每一個(gè)負(fù)責(zé)信息安全的人向?qū)彶槲瘑T會(huì)主席匯報(bào)。

● 選項(xiàng)3：使用第三方來(lái)監(jiān)視安全性，對(duì)安全檢查執(zhí)行突然襲擊，并且做安全測(cè)試，然后，讓第三方向董事會(huì)或者是審查委員會(huì)主席做匯報(bào)。

● 選項(xiàng)4：讓每一個(gè)負(fù)責(zé)信息安全的人都向董事會(huì)做匯報(bào)。

● 選項(xiàng)5：讓每一個(gè)負(fù)責(zé)信息安全的人向內(nèi)審人員匯報(bào)，只要內(nèi)審人員不向負(fù)責(zé)財(cái)務(wù)的執(zhí)行者匯報(bào)。

責(zé)任分離顯得越來(lái)越重要。由于CSO和首席信息安全官之間的責(zé)任不清晰不明確，導(dǎo)致責(zé)任的混亂。安全性和所有安全控制的開(kāi)發(fā)、操作和測(cè)試的分離很重要。責(zé)任必須要按照這種方式分配給每個(gè)不同的個(gè)體，從而在系統(tǒng)內(nèi)部建立檢查和平衡機(jī)制，使非法的訪問(wèn)和欺詐機(jī)率降到最低。

記住，與責(zé)任分離相關(guān)的控制技術(shù)需要接受外部審查人員的檢查。過(guò)去，當(dāng)外審人員在判斷風(fēng)險(xiǎn)高達(dá)一定程度時(shí)，其會(huì)在審查報(bào)告中列出SoD故障作為一種重要缺陷。IT安全領(lǐng)域執(zhí)行這項(xiàng)責(zé)任分離技術(shù)是遲早的事，既然這樣，為什么不現(xiàn)在就開(kāi)始與外審人員一起討論責(zé)任分離問(wèn)題呢?盡早地從他們那獲得對(duì)責(zé)任分離的看法和建議，可以節(jié)省你很多成本，并且降低政治沖突。（IT專(zhuān)家網(wǎng)）