| 6.
访问控制管理
访问控制管理涉及访问控制在系统中的部署、测试、监控以及对用户访问的终止。虽然不一定需要对每一个用户设定具体的访问权限,但是访问控制管理依然需要大量复杂和艰巨的工作。访问控制决定需要考虑机构的策略、员工的职务描述、信息的敏感性、用户的职务需求(’need-to-know’)等因素。
有三种基本的访问管理模式:集中式、分布式和混合式。每种管理模式各有优缺点。应该根据机构的实际情况选择合适的管理模式。
集中式管理
集中管理就是由一个管理者设置访问控制。当用户对信息的需求发生变化时,只能由这个管理者改变用户的访问权限。由于只有极少数人有更改访问权限的权力,所以这种控制是比较严格的。每个用户的账号都可以被集中监控,当用户离开机构时,其所有的访问权限可以被很容易地终止。因为管理者较少,所以整个过程和执行标准的一致性就比较容易达到。但是,当需要快速而大量修改访问权限时,管理者的工作负担和压力就会很大。
分布式管理
分布式管理就是把访问的控制权交给了文件的拥有者或创建者,通常是职能部门的管理者(functional managers)。这就等于把控制权交给了对信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者的手中。但是这也同时造成在执行访问控制的过程和标准上的不一致性。在任一时刻,很难确定整个系统所有的用户的访问控制情况。不同管理者在实施访问控制时的差异会造成控制的相互冲突以致无法满足整个机构的需求。同时也有可能造成在员工调动和离职时访问权不能有效地清除。
混合式管理
混合式管理是集中式管理和分布式管理的结合。它的特点是由集中式管理负责整个机构中基本的访问控制,而由职能管理者就其所负责的资源对用户进行具体的访问控制。混合式管理的主要缺点是难以划分哪些访问控制应集中控制,哪些应在本地控制。
|
