當(dāng)考慮確定計(jì)算系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)的可用性和完整性控制時(shí),與可考慮潛在機(jī)會(huì)授權(quán)的管理員相比,普通用戶擁有更少的特權(quán)。系統(tǒng)管理員、 執(zhí)行備份的操作人員、數(shù)據(jù)庫(kù)管理員、維修技師甚至幫助臺(tái)支持人員的運(yùn)營(yíng)商,都紛紛在網(wǎng)絡(luò)中提升權(quán)限。為了確保你系統(tǒng)的安全性,還必須考慮可以防止管理員濫 用特權(quán)的控制。用于管理日常事務(wù)以及組織內(nèi)的數(shù)據(jù)訪問的自動(dòng)化控制不能保證自己的完整性和可用性,避免過度管理任務(wù)的控制。如果控制管理使用權(quán)限的控件也 不強(qiáng),那么任何其他的控件也會(huì)被削弱。下面一起來看企業(yè)安全管理的“六脈神劍”——六個(gè)最佳實(shí)踐:
實(shí)踐一:防止權(quán)力的濫用行政權(quán)力
安全的兩個(gè)安全原則將幫助你避免權(quán)力得濫用:限制權(quán)力及職責(zé)的分離。你可以限制權(quán)力,通過分配每個(gè)員工他或她所做工作需要的權(quán)限。在你的IT基礎(chǔ)架構(gòu),你有不同的系統(tǒng),并且每個(gè)人都可以自然地分割成不同的權(quán)限類別。這種分割的例子是網(wǎng)絡(luò)基礎(chǔ)設(shè)施、存儲(chǔ)、服務(wù)器、臺(tái)式機(jī)和筆記本電腦。
另一種分配權(quán)力的方式是在服務(wù)管理和數(shù)據(jù)管理之間。服務(wù)管理是控制網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施,如域控制器和其他中央管理服務(wù)器。這些管理員在管理專門的服務(wù)器, 在這些服務(wù)器上控件運(yùn)行、將部分用戶分成組、分配權(quán)限等等。數(shù)據(jù)管理,在另一方面,是有關(guān)管理文件、數(shù)據(jù)庫(kù)、Web內(nèi)容和其他服務(wù)器的。即使在這些結(jié)構(gòu) 中,權(quán)力可以被進(jìn)一步細(xì)分,也就是說,角色可以被設(shè)計(jì)和權(quán)限可以被限制。文件服務(wù)器備份操作員不應(yīng)該有特權(quán)備份數(shù)據(jù)庫(kù)服務(wù)器相同的個(gè)體。數(shù)據(jù)庫(kù)管理員也可 能被某些服務(wù)器限制其權(quán)力,與文件和打印服務(wù)器管理員一樣。
在大型組織中,這些角色可以無限細(xì)分,一些幫助臺(tái)運(yùn)營(yíng)商可能有權(quán)重設(shè)賬戶和密碼,而其他人只限于幫助運(yùn)行應(yīng)用程序。我們的目標(biāo)是要認(rèn)識(shí)到,提升權(quán)限的所有 管理員必須是可信的,而有些人比其他人更應(yīng)該得到信任。誰擁有全部或廣泛的權(quán)限越少,那么可以濫用這些特權(quán)的人就越少。
實(shí)踐二:確定管理規(guī)范
以下管理實(shí)踐有助于管理安全性:
· 在遠(yuǎn)程訪問和訪問控制臺(tái)和管理端口上放置控件。
· 實(shí)現(xiàn)帶外訪問控制設(shè)備,如串行端口和調(diào)制解調(diào)器,物理控制訪問敏感設(shè)備和服務(wù)器。
· 限制哪些管理員可以物理訪問這些系統(tǒng),或誰可以在控制臺(tái)登錄。不能因?yàn)楣蛦T有行政地位,就意味著不能限制他或她的權(quán)力。
· 審查管理員。IT管理員在一個(gè)組織的資產(chǎn)上擁有巨大的權(quán)力。每一個(gè)擁有這些權(quán)限的IT員工應(yīng)在就業(yè)前徹底檢查,包括征信調(diào)查和背景調(diào)查。
· 使用自動(dòng)軟件分發(fā)方法。使用自動(dòng)化的操作系統(tǒng)和軟件的安裝方法既保證了標(biāo)準(zhǔn)的設(shè)置和安全配置,從而防止意外的妥協(xié),也是抑制權(quán)力濫用的一個(gè)很好的做法。當(dāng)系統(tǒng)自動(dòng)安裝和配置,后門程序的安裝和其他惡意代碼或配置發(fā)生的機(jī)會(huì)就越來越少。
· 使用標(biāo)準(zhǔn)的行政程序和腳本。使用腳本可能意味著效率,但是如果使用了流氓腳本就可能意味著破壞系統(tǒng)。通過標(biāo)準(zhǔn)化的腳本,濫用的機(jī)會(huì)較少。腳本也可以被數(shù)字簽名,這可以確保只有授權(quán)的腳本能夠運(yùn)行。
實(shí)踐三:做好權(quán)限控制
這些控制包括:
· 驗(yàn)證控制:密碼、賬戶、生物識(shí)別、智能卡以及其他這樣的設(shè)備和算法,充分保護(hù)認(rèn)證實(shí)踐
· 授權(quán)控制:設(shè)置和限制特定用戶的訪問設(shè)備和組
如 果使用得當(dāng),賬戶、密碼和授權(quán)控制可以派專人負(fù)責(zé)他們網(wǎng)絡(luò)上的行為。正確使用是指至少每個(gè)員工的一個(gè)賬戶可授權(quán)使用系統(tǒng)。如果兩個(gè)或更多的人共用一個(gè)賬 號(hào),你怎么能知道哪一個(gè)該為公司機(jī)密失竊負(fù)責(zé)?強(qiáng)密碼策略和職工教育也有助于執(zhí)行該規(guī)則。當(dāng)密碼是難以猜測(cè)的和員工知道密碼是不應(yīng)該被共享的,適當(dāng)?shù)膯栘?zé) 制的可能性才會(huì)更大。
授權(quán)控制確保對(duì)資源的訪問和權(quán)限被限制在適當(dāng)?shù)娜搜@纾绻挥蠸chema Admins組的成員可以在Windows 2000下修改Active Directory架構(gòu),而且架構(gòu)被修改,那么無論是該組的成員做的還是別人使用該人的賬戶做的。
在一些有限的情況下,系統(tǒng)被設(shè)置為一個(gè)單一的、只讀的活動(dòng),許多員工需要訪問。而不是提供每一個(gè)人一個(gè)賬戶和密碼,使用一個(gè)賬戶和限制訪問。這種類型的系統(tǒng)可能是一個(gè)倉(cāng)庫(kù)的位置信息亭,游客信息亭等。但是,在一般情況下,系統(tǒng)中的每個(gè)賬戶應(yīng)該僅分配給一個(gè)單獨(dú)的個(gè)人。
所有的行政人員應(yīng)至少有兩個(gè)賬戶:一個(gè)普通特權(quán)的“正常”賬戶供他們?cè)L問電子郵件、查找互聯(lián)網(wǎng)上的信息、并做其他事情時(shí)使用;和不同的賬戶,他們可以用它來履行行政職責(zé)。
對(duì)于一些高權(quán)限的活動(dòng),一個(gè)賬戶可能被分配特權(quán),但是應(yīng)該由兩個(gè)值得信賴的員工各創(chuàng)造一半的密碼。兩者都不能單獨(dú)執(zhí)行該活動(dòng),它需要兩者共同來做。此外(+微信關(guān)注網(wǎng)絡(luò)世界), 由于有可能被追究責(zé)任,每人都會(huì)監(jiān)視對(duì)方履行義務(wù)。這種技術(shù)通常用于在Windows服務(wù)器上保護(hù)原始管理員賬戶。此賬戶也可以被分配一個(gè)長(zhǎng)而復(fù)雜的密 碼,然后不能使用,除非當(dāng)關(guān)鍵管理人員離開公司或其他一些突發(fā)事件發(fā)生后,管理賬戶的密碼忘記或丟失時(shí)不得不恢復(fù)服務(wù)器。然后其他管理賬戶被創(chuàng)建并用于正 常管理。另一個(gè)特別賬戶可能是根證書頒發(fā)機(jī)構(gòu)的管理賬戶。當(dāng)需要使用這個(gè)賬戶,比如更新此服務(wù)器的證書,兩名IT員工必須同時(shí)在場(chǎng)登錄,減少該賬戶受到損 害的機(jī)會(huì)。
實(shí)踐四:獲取外部信息作為內(nèi)部管理借鑒
安全專家面臨緊跟當(dāng)前安全形勢(shì)的艱巨任務(wù)。你應(yīng)該及時(shí)了解當(dāng)前威脅和適用于你組織的核心業(yè)務(wù)流程和高價(jià)值目標(biāo)相應(yīng)的保護(hù)措施。
你可以從眾多資源中汲取更多以了解當(dāng)前的威脅環(huán)境。領(lǐng)先的安全廠商,包括Symantec,該公司出版了年度互聯(lián)網(wǎng)安全威脅報(bào)告;McAfee 實(shí)驗(yàn)室,它提供了一個(gè)季度的威脅報(bào)告; IBM X-Force,產(chǎn)生了威脅和風(fēng)險(xiǎn)趨勢(shì)報(bào)告;以及思科,該公司出版了安全威脅白皮書,他們都用有效資源不斷更新有威脅的環(huán)境。此外,還有一些提供威脅情報(bào) 的各種組織,包括卡內(nèi)基•梅隆大學(xué)軟件工程研究所( CERT ) ,它研究的Internet安全漏洞,并進(jìn)行長(zhǎng)期的安全性研究;美國(guó)政府的應(yīng)急準(zhǔn)備小組( US-CERT ) ,它提供技術(shù)安全警報(bào)和公告; SANS協(xié)會(huì),發(fā)布頂端的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)列表;和計(jì)算機(jī)安全協(xié)會(huì)( CSI),其出版年度計(jì)算機(jī)犯罪和安全調(diào)查。除了這些資源,專業(yè)協(xié)會(huì),如國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟( ISC2 )提供廠商中立的培訓(xùn)、教育和認(rèn)證,包括為安全專業(yè)開展的CISSP 。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA )從事開發(fā)、采納和使用全球公認(rèn)的,業(yè)界領(lǐng)先的知識(shí)和實(shí)踐信息系統(tǒng),如COBIT標(biāo)準(zhǔn)和CISA認(rèn)證信息系統(tǒng)。
對(duì)于已確定的各項(xiàng)資產(chǎn),你必須為執(zhí)行建議
