管理实时数据访问的策略

　　实时访问管理起来更困难些。虽然预先确定的访问在单个控制台或单个界面上就可以进行管理，但是在进行实时访问控制时必须考虑多个因素：账户是从域的内部还是外部登录的?用来访问信息的系统是正确的系统吗?这个账户登录的频率是多少?该用户上一次登录的时间?某个访问活动有没有异常，比如，在登录成功之前多次尝试登录?进行账户登录的设备是否是企业允许的设备(随着用户开始使用自己的设备，这个问题会被大家越来越多的提起)?虽然，上面所提到的这些并没有包括安全职业人员可能要面临的所有问题，但这已经表明实时访问核实起来会比较困难。

　　当进行实时访问审查的时候，一个减少账户审查数量的简单办法就是看看是否有未使用的账户，这可能是因为有些用户不知道账户的存在、他或她不需要访问信息、他或她已经离开企业、或者错误创建该账户等。这些孤立的账户至少应该被禁用，在许多情况下还应该通过适当的管理审批对其进行删除。与此类似，还可以确定一个账户最后登录的时间。你可以很容易做出有关账户闲置的简单报告，以确定是否有账户或者服务已经不再使用了，比如，一个用户可能已经晋升，但是并没有通知账户管理小组他不再需要某些特定的系统访问权限。

　　在这种情况下，应该制定一个关于员工以及其他人员账户闲置状态的政策。示例策略如下所示：“员工账户闲置90天以后，其余人员(包括承包人、合作伙伴以及客户)的账户闲置30天以后会被禁用。”最后，许多系统会突出显示那些失败的登录尝试或者多重登录尝试。用这种日志标志出来的账户应该是攻击审查或者滥用审查的重点。