保證數(shù)據(jù)安全：責(zé)任分離在信息領(lǐng)域的應(yīng)用

申請免費(fèi)試用、咨詢電話：400-8352-114

責(zé)任分離是內(nèi)部控制的一項(xiàng)關(guān)鍵機(jī)制。責(zé)任分離是通過在多個(gè)人之間分散任務(wù)及其與特定安全過程相關(guān)的特權(quán)來實(shí)現(xiàn)的。

責(zé)任分離(SoD)原則廣泛應(yīng)用于金融會(huì)計(jì)系統(tǒng)中。各個(gè)規(guī)模大小的公司都明白角色分離的重要性，如接受分期償還檢查、審批銷賬、存入現(xiàn)金、核對銀行對帳單、審批時(shí)間登記卡、保管支票等這些工作都需要由不同的人來擔(dān)任。

責(zé)任分離是人們在處理與錢相關(guān)的工作時(shí)通常采用的一種機(jī)制，這樣，欺詐行為至少需要雙方或多方相互勾結(jié)才有可能。這大大降低了欺詐一類的犯罪行為。信息也應(yīng)該通過類似的方法來處理。因此，一個(gè)組織的這種責(zé)任分離的設(shè)計(jì)很重要，這樣，就不會(huì)有任何人可以單獨(dú)地泄露組織的安全控制。

雖然SoD對于IT組織來說還屬于一種全新的觀點(diǎn)，但是在IT領(lǐng)域，SoD受到了越來越多的關(guān)注，薩班斯-奧克斯利法案(Sarbanes-Oxley Act)的內(nèi)部控制問題有很大一部分都來自或依賴IT。責(zé)任分離是很多日常管制授權(quán)的基本原則，如薩班斯-奧克斯利法案和格雷姆-里奇-比利雷法法案(Gramm-Leach-Bliley Act)都是依據(jù)這種原則的。因此，現(xiàn)在的IT組織必須在所有功能領(lǐng)域中更加重視責(zé)任分離機(jī)制，特別是在安全領(lǐng)域。

責(zé)任分離與安全相關(guān)，主要體現(xiàn)在兩個(gè)方面。第一，它能防止利益沖突、侵權(quán)行為、欺詐、濫用私權(quán)及錯(cuò)誤行為。第二，它能檢測到控制故障，包括安全侵犯、信息竊取、安全控制欺詐等。(安全控制措施用來保護(hù)信息系統(tǒng)免于外界攻擊，從而保護(hù)其上的計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)及其數(shù)據(jù)的機(jī)密性、完整性和可用性。)

責(zé)任分離嚴(yán)格限制了每個(gè)單獨(dú)個(gè)體的權(quán)力和影響力的大小。它還要確保每個(gè)個(gè)體之間不存在責(zé)任沖突，不負(fù)責(zé)對其自身或上級匯報(bào)。

這里簡單地對責(zé)任分離作了一項(xiàng)測試。首先，看看在沒有任何檢測的情況下，是否有人可以改變或毀壞你的財(cái)務(wù)數(shù)據(jù)?然后，看看是否有人可以竊取或透露敏感信息。最后，看看是否有人可以對控制設(shè)計(jì)和執(zhí)行產(chǎn)生影響，以及是否會(huì)對這種控制的有效性的匯報(bào)產(chǎn)生影響。如果以上3個(gè)問題的答案都是“是”，那么你需要重點(diǎn)考慮一下責(zé)任分離。

負(fù)責(zé)設(shè)計(jì)和執(zhí)行信息安全性的人和負(fù)責(zé)安全性測試、安全性審查或是監(jiān)視和匯報(bào)安全性問題的人不應(yīng)該是同一個(gè)人。因此，每個(gè)負(fù)責(zé)信息安全的人不應(yīng)該向首席信息官(CIO)匯報(bào)。

以下是在信息安全領(lǐng)域?qū)崿F(xiàn)責(zé)任分離5大關(guān)鍵選項(xiàng)，是基于我的經(jīng)驗(yàn)按照可接受性程度進(jìn)行劃分的。

● 選項(xiàng)1：讓每一個(gè)負(fù)責(zé)信息安全的人都向首席安全官(也即CSO，負(fù)責(zé)處理信息和物理安全的人)匯報(bào)，然后讓CSO向CIO直接匯報(bào)。

● 選項(xiàng)2：讓每一個(gè)負(fù)責(zé)信息安全的人向?qū)彶槲瘑T會(huì)主席匯報(bào)。

● 選項(xiàng)3：使用第三方來監(jiān)視安全性，對安全檢查執(zhí)行突然襲擊，并且做安全測試，然后，讓第三方向董事會(huì)或者是審查委員會(huì)主席做匯報(bào)。

● 選項(xiàng)4：讓每一個(gè)負(fù)責(zé)信息安全的人都向董事會(huì)做匯報(bào)。

● 選項(xiàng)5：讓每一個(gè)負(fù)責(zé)信息安全的人向內(nèi)審人員匯報(bào)，只要內(nèi)審人員不向負(fù)責(zé)財(cái)務(wù)的執(zhí)行者匯報(bào)。

責(zé)任分離顯得越來越重要。由于CSO和首席信息安全官之間的責(zé)任不清晰不明確，導(dǎo)致責(zé)任的混亂。安全性和所有安全控制的開發(fā)、操作和測試的分離很重要。責(zé)任必須要按照這種方式分配給每個(gè)不同的個(gè)體，從而在系統(tǒng)內(nèi)部建立檢查和平衡機(jī)制，使非法的訪問和欺詐機(jī)率降到最低。

記住，與責(zé)任分離相關(guān)的控制技術(shù)需要接受外部審查人員的檢查。過去，當(dāng)外審人員在判斷風(fēng)險(xiǎn)高達(dá)一定程度時(shí)，其會(huì)在審查報(bào)告中列出SoD故障作為一種重要缺陷。IT安全領(lǐng)域執(zhí)行這項(xiàng)責(zé)任分離技術(shù)是遲早的事，既然這樣，為什么不現(xiàn)在就開始與外審人員一起討論責(zé)任分離問題呢?盡早地從他們那獲得對責(zé)任分離的看法和建議，可以節(jié)省你很多成本，并且降低政治沖突。（IT專家網(wǎng)）