访问控制是什么？数据安全的关键组成(2)

但授权却仍是安全人员常常搞砸的一个领域。新手很难确定并持续监测谁具有哪些数据资源的访问权，应怎样访问数据资源，以及何种情况下可以授予访问权。不一致的授权协议或弱授权协议却能制造安全漏洞，不尽快发现和修复就会造成重大损失的那种。

说到监视，无论公司选择哪种访问控制实现方法，其实施都必须受到持续监视，要符合公司安全策略和运营方针，能识别潜在安全漏洞。公司企业应定期执行治理、风险及合规审核。执行访问控制功能的每个应用都需要反复接受漏洞扫描，应收集和监视每次访问的日志以发现策略违反事件。

今天的复杂 IT 环境中，访问控制应被视为运用高级工具的动态技术基础设施，反映移动性增长等网络环境变化，识别我们所用设备的改变及其固有风险，并考虑云迁移风潮的影响。

Carbon Black 的访问挖掘报告：

https://www.carbonblack.com/resources/threat-research/access-mining/

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：ASP站长网）