保證數(shù)據(jù)安全的關(guān)鍵之職責(zé)分離原則

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

職責(zé)分離原則是控制內(nèi)部狀況的關(guān)鍵問題。職責(zé)分離原則是這樣來實(shí)現(xiàn)的，通過分配不同的任務(wù)給不同職位的人以及在多個(gè)人間針對(duì)某個(gè)特定的安全操作過程分配相關(guān)的特權(quán)。

職責(zé)分離原則(SoD)這一方式被廣泛地應(yīng)用于財(cái)務(wù)會(huì)計(jì)系統(tǒng)中。各種不同規(guī)模大小的公司都十分清楚不能將各種不同的職責(zé)合并的重要性，例如在財(cái)務(wù)系統(tǒng)中這些不同的職責(zé)就包括接收支票(賬戶付款)、批準(zhǔn)注銷、存取現(xiàn)金以及核實(shí)銀行報(bào)表、審批時(shí)間卡和保管好發(fā)票等。

當(dāng)人們?cè)谔幚砗徒疱X相關(guān)的事務(wù)時(shí)有一條常用的準(zhǔn)則，那就是使用職責(zé)分離原則，這樣金錢欺詐行為就需要攻破兩個(gè)或多個(gè)防線才能實(shí)現(xiàn)。使用職責(zé)分離原則能夠大大降低犯罪的可能性，所以說，我們?cè)诮鉀Q信息安全問題時(shí)，也應(yīng)該借鑒這種方法。公司組織很有必采用職責(zé)分離原則，這樣就沒有人能夠憑借個(gè)人力量就能實(shí)行安全管制，而是需要在多人共同行使職權(quán)的時(shí)候才能實(shí)現(xiàn)。

職責(zé)分離原則對(duì)于IT產(chǎn)業(yè)來說還十分新鮮，但是在薩班斯-奧克斯利法案中來自IT行業(yè)或者與IT行業(yè)相關(guān)的內(nèi)部控制問題里面，有相當(dāng)大部分是關(guān)于IT 行業(yè)中的職責(zé)分離問題，這個(gè)問題并不讓人感到奇怪。職責(zé)分離原則是很多監(jiān)管政策(如薩班斯法案和Gramm-Leach-Bliley法案)的一項(xiàng)根本的原則，因此，IT公司組織現(xiàn)在應(yīng)該更多的提高對(duì)職責(zé)分離的重視，對(duì)所有的IT職責(zé)功能實(shí)行職責(zé)分離，尤其是安全部門。

我們這里說到的職責(zé)分離是與安全問題相關(guān)的，它主要有兩個(gè)目的。首先第一個(gè)目的是防止利益沖突，防止利益沖突的出現(xiàn)，防止不法行為、欺詐、濫用職權(quán)以及錯(cuò)誤等。第二個(gè)目標(biāo)是檢測(cè)失敗操控，這包括安全漏洞、信息盜竊和安全管制規(guī)避。(安全管制是為了保障信息系統(tǒng)免受因?yàn)殡娔X系統(tǒng)、網(wǎng)絡(luò)以及他們使用的數(shù)據(jù)的保密性、完整性以及可用性導(dǎo)致的攻擊而采取的措施)

職責(zé)分離原則能夠限制權(quán)力的大小或者個(gè)人的行使權(quán)力大小，這條原則同樣可以確保人們不會(huì)因?yàn)槁氊?zé)問題而發(fā)生沖突或者不能及時(shí)對(duì)他們自身的問題或者上級(jí)的問題提交報(bào)告。

對(duì)于職責(zé)分離原則，這里有一個(gè)簡(jiǎn)單的測(cè)試。首先，看看是不是有人能夠在不被檢測(cè)的情況下更改或者破壞你的財(cái)務(wù)數(shù)據(jù);再看看是不是有人能夠偷竊或者泄露關(guān)鍵信息;最后，看看是否某一個(gè)人擁有控制設(shè)計(jì)與實(shí)施以及報(bào)告管制的有效性等權(quán)力。如果這些問題的答案都是肯定的，那么你就有必要認(rèn)真考慮職責(zé)分離原則了。

負(fù)責(zé)設(shè)計(jì)和實(shí)施安全職責(zé)問題的人不應(yīng)該與負(fù)責(zé)測(cè)試安全、實(shí)行安全審計(jì)或者監(jiān)測(cè)報(bào)告安全職責(zé)問題的人是同一個(gè)人。因此，負(fù)責(zé)信息安全的個(gè)人不應(yīng)該向首席信息官報(bào)告安全問題，而是另外的人來負(fù)責(zé)報(bào)告。

這里有五種選擇以幫助我們實(shí)現(xiàn)職責(zé)分離，這份清單的順序是根據(jù)我的經(jīng)驗(yàn)來排列的。

· 選項(xiàng)1: 讓負(fù)責(zé)信息安全的人向首席安全官(負(fù)責(zé)信息和物理安全)報(bào)告安全問題，讓首席安全官直接向首席信息官報(bào)告

· 選項(xiàng)2: 讓負(fù)責(zé)信息安全的人向?qū)徲?jì)委員會(huì)的主席報(bào)告.

· 選項(xiàng)3: 使用第三方來監(jiān)測(cè)安全問題、執(zhí)行突擊安全審計(jì)以及進(jìn)行安全測(cè)試，并且讓他們向董事會(huì)的董事或者報(bào)告審計(jì)委員會(huì)的主席

· 選項(xiàng)4: 讓負(fù)責(zé)信息安全的人向董事會(huì)報(bào)告.

· 選項(xiàng)5: 當(dāng)內(nèi)部審計(jì)沒有向負(fù)責(zé)財(cái)務(wù)的執(zhí)行負(fù)責(zé)人報(bào)告時(shí)，讓負(fù)責(zé)信息安全的人向內(nèi)部審計(jì)報(bào)告.

職責(zé)分離原則發(fā)揮著越來越重要的作用。如果對(duì)于首席安全官和首席信息安全官的職責(zé)沒有明確和清楚的分工，將造成安全系統(tǒng)的混亂。我們有必要將開發(fā)、運(yùn)行和安全測(cè)試以及所有管制操作進(jìn)行職責(zé)分離。所有的職責(zé)都必須分配給個(gè)人，這樣就能建立系統(tǒng)內(nèi)的制衡制度，病能減少未經(jīng)授權(quán)訪問和欺詐行為發(fā)生的機(jī)率。

請(qǐng)記住，有關(guān)職責(zé)分離的控制技術(shù)問題都需要經(jīng)過外聘審計(jì)師的審查。在過去當(dāng)審計(jì)師認(rèn)為安全風(fēng)險(xiǎn)很大時(shí)，他們會(huì)將職責(zé)分離作為審計(jì)報(bào)告中的物質(zhì)缺乏來處理。當(dāng)然職責(zé)分離要在IT安全充分發(fā)揮其作用還將花費(fèi)一段時(shí)間，那么為什么現(xiàn)在不去和你的外聘安全審計(jì)師討論一下職責(zé)分離問題呢?他們的意見能夠?yàn)槟愎?jié)省很大一部分開支和政治內(nèi)訌。（IT專家網(wǎng)）