如果你的公司已经决定要缩减安全项目，并且负责对用户访问定期进行审查的同事也被解雇了，那么你的经理当然会让留下来的安全工作人员(也就是你)来承担这方面的工作。但是，在不了解这些关键同事的情况下，怎样才能保证敏感数据不被没有授权的人接触呢?在这篇文章里，我们将研究一下怎样才能建立起耗时少并且有效的定期用户访问审查政策。

　　第一步，研究企业是怎样管理用户访问的。访问可以分成两种类型：预先确定的访问和实时访问。预先确定的访问也被称为供应(provisioning)，这一过程包括访问请求、访问维护，最后是访问清除。这种访问需要在企业的网络、操作系统以及应用程序上为最终用户创建账户，允许用户访问他们需要的信息，以便开展工作。实时访问是指在用户实际登录自己账户的那一瞬间被确定的访问。

　　使用RBAC访问控制，使供应时间降到最少

　　对于预先确定的访问，根据以角色为基础的访问控制(RBAC)来确定权限可以为大型经济体提供访问管理。RBAC的理念是，与其根据以个人访问请求为基础的多个系统来创建权限，还不如根据功能角色或者责任来分配权限，这样做更加具有一致性。比如说，在一个企业中所有的员工都可能有权进行电子邮件活动、Windows文件共享、登录内部网络门户并进行福利登记。与其通过定义每个员工的角色来创建个人访问管理过程，还不如按不同的角色(role)来赋予个人访问权限，这样操作起来更容易些。

　　RBAC中的各个角色还可以结合(combined)起来，以反应出个人的默认访问权限。比如，一个企业安全架构中可能有多个角色，其中包括：架构师、安全人员、家庭办公员工、福利管理员、加利福尼亚居民、IT人员等等。每个角色都可能有与之相关的一个或者多个账户权限，但是安全职业人员在很短的时间内就能确认被审查的人员在企业中的角色，从而确保他们有正确的访问权限。

　　作为一个示范，让我们根据以上描述的企业安全架构和角色来进行一次非正式的用户访问审查。假设你已经标出了一个有问题的访问许可，一般的企业安全架构师不会有“福利管理员”这种权限，那么这个账户应该被删除。