六、运用最小访问权原则。

　　不管是哪一项法规，审计人员都越来越想看到"最小特权"原则得到运用。也就是说，"如果你在工作中不需要使用某系统，就不该访问它，"Libenson说。这是制订访问控制机制的一个良好开端。

　　另一个良好开端就是：立即限制IT人员的访问权，特别是管理访问控制的那些员工，因为他们一旦变成不怀好意的内部攻击者，通常拥有大肆破坏所必要的访问级别和知识。另外，许多IT人员已经觉得数据隐私成问题。据去年开展的针对近650名IT专业人士的一项调查显示，10%的人承认经常滥用安全特权，以不合理的方式访问公司数据。

　　7、实施必要的监控。

　　媒体披露的IT员工不合理访问事件表明，要是没有人在监控，员工更有可能试验访问权方面的限制。因此，公司应当审计所有访问，并且提醒员工他们的访问受到监控。Libenson说："如果员工知道自己的活动受到跟踪，他们就不太可能乱来。"

　　8、彻底清除"孤立帐户"。

　　前任员工在事先提出辞职或者最后一次离开公司大楼时，他们的访问权是不是到期取消?考虑到满腹牢骚的前任员工带来的威胁，立即取消他们的访问权应当是无需动脑筋的选择。不过在许多公司，取消配置权限的过程仍是人工操作。Libenson说："我们通常听到的抱怨就是，我们有1万多名员工，单单一名员工在公司工作期间就有可能有权访问10台服务器和20个应用系统，我们必须找到每一台服务器，然后从每个访问控制列表上删除该用户的权限。"

　　除非从访问列表中删除这些证书，否则前任员工仍拥有内部访问级别，因而带来安全风险。她说："我们听说有人被公司解雇一年后、他仍可以使用公司的电子邮件这种事情。"简而言之，受监管环境下的公司必须执行自动化的用户配置，尤其要包括配置权限自动取消的功能。

　　九、主动监控不寻常的活动。

　　虽然行之有效的安全计划包括密码，可能还包括双因子验证，但密码和密钥卡(key fob)可能也会丢失、失窃或者访问权被滥用。这就是为什么专家们建议公司应当监控访问模式，留意不寻常的活动，譬如用户突然大量访问含有敏感信息的电子资料库。

　　据波耐蒙研究所声称，如今只有14%的公司"表现积极主动，采取预防方法来管理访问。"不过不寻常的访问模式(基于一天中的时间、一周中的时间或者工作角色)也许能最清楚地表明：不怀好意的内部人员在搞破坏，或者外部攻击者设法窃取某人的访问证书。

　　十、控制远程访问以及应用和数据库。

　　还要对所有远程访问运用访问控制和审计机制。的确，随着公司的边界不断向外扩展，它还要为顾问、业务合作伙伴及供应链的成员定义细粒度的角色，以便迅速为他们提供合适的访问权。针对应用和数据库的访问级别也要加以控制，先从接触Web应用的任何系统开始下手，因为它们特别容易受到攻击。

　　如今，运用这些控制机制需要人工集成或者特定的安全附件。不过在将来，许多公司有望日益能够"把访问控制拿到应用本身的外面，"Gupta说，这归功于结构化信息标准促进组织(OASIS)的可扩展访问控制标记语言(XACML)，他称之为是"事实上的授权标准。"虽然与XACML兼容的应用还没有广泛使用，不过他认为XACML最终会让访问控制更容易跨应用、业务合作伙伴以及经由Web服务来进行扩展。