企业安全理的“六脉神剑”.docxVIP

企业安全管理的“六脉神剑” 当考虑确定计算系统、数据和网络的可用性和完整性控制时，与可考虑潜在机会授权的管理员相比，普通用户拥有更少的特权。系统管理员、执行备份的操作人员、数据库管理员、维修技师甚至帮助台支持人员的运营商，都纷纷在网络中提升权限。为了确保你系统的安全性，还必须考虑可以防止管理员滥用特权的控制。用于管理日常事务以及组织内的数据访问的自动化控制不能保证自己的完整性和可用性，避免过度管理任务的控制。如果控制管理使用权限的控件也不强，那么任何其他的控件也会被削弱。下面一起来看企业安全管理的“六脉神剑”——六个最佳实践： 实践一：防止权力的滥用行政权力 安全的两个安全原则将帮助你避免权力得滥用：限制权力及职责的分离。你可以限制权力,通过分配每个员工他或她所做工作需要的权限。在你的IT基础架构，你有不同的系统，并且每个人都可以自然地分割成不同的权限类别。这种分割的例子是网络基础设施、存储、服务器、台式机和笔记本电脑。 另一种分配权力的方式是在服务管理和数据管理之间。服务管理是控制网络的逻辑基础设施，如域控制器和其他中央管理服务器。这些管理员在管理专门的服务器，在这些服务器上控件运行、将部分用户分成组、分配权限等等。数据管理，在另一方面，是有关管理文件、数据库、Web内容和其他服务器的。即使在这些结构中，权力可以被进一步细分，也就是说，角色可以被设计和权限可以被限制。文件服务器备份操作员不应该有特权备份数据库服务器相同的个体。数据库管理员也可能被某些服务器限制其权力，与文件和打印服务器管理员一样。 在大型组织中，这些角色可以无限细分，一些帮助台运营商可能有权重设账户和密码，而其他人只限于帮助运行应用程序。我们的目标是要认识到，提升权限的所有管理员必须是可信的，而有些人比其他人更应该得到信任。谁拥有全部或广泛的权限越少，那么可以滥用这些特权的人就越少。 实践二：确定管理规范 以下管理实践有助于管理安全性: · 在远程访问和访问控制台和管理端口上放置控件。 · 实现带外访问控制设备,如串行端口和调制解调器，物理控制访问敏感设备和服务器。 · 限制哪些管理员可以物理访问这些系统，或谁可以在控制台登录。不能因为雇员有行政地位，就意味着不能限制他或她的权力。 · 审查管理员。IT管理员在一个组织的资产上拥有巨大的权力。每一个拥有这些权限的IT员工应在就业前彻底检查，包括征信调查和背景调查。 · 使用自动软件分发方法。使用自动化的操作系统和软件的安装方法既保证了标准的设置和安全配置，从而防止意外的妥协，也是抑制权力滥用的一个很好的做法。当系统自动安装和配置，后门程序的安装和其他恶意代码或配置发生的机会就越来越少。 · 使用标准的行政程序和脚本。使用脚本可能意味着效率，但是如果使用了流氓脚本就可能意味着破坏系统。通过标准化的脚本，滥用的机会较少。脚本也可以被数字签名，这可以确保只有授权的脚本能够运行。 实践三：做好权限控制 这些控制包括: · 验证控制：密码、账户、生物识别、智能卡以及其他这样的设备和算法，充分保护认证实践 · 授权控制：设置和限制特定用户的访问设备和组 如果使用得当，账户、密码和授权控制可以派专人负责他们网络上的行为。正确使用是指至少每个员工的一个账户可授权使用系统。如果两个或更多的人共用一个账号，你怎么能知道哪一个该为公司机密失窃负责?强密码策略和职工教育也有助于执行该规则。当密码是难以猜测的和员工知道密码是不应该被共享的，适当的问责制的可能性才会更大。 授权控制确保对资源的访问和权限被限制在适当的人选。例如，如果只有Schema Admins组的成员可以在Windows 2000下修改Active Directory架构，而且架构被修改，那么无论是该组的成员做的还是别人使用该人的账户做的。 在一些有限的情况下，系统被设置为一个单一的、只读的活动，许多员工需要访问。而不是提供每一个人一个账户和密码，使用一个账户和限制访问。这种类型的系统可能是一个仓库的位置信息亭，游客信息亭等。但是，在一般情况下，系统中的每个账户应该仅分配给一个单独的个人。 所有的行政人员应至少有两个账户：一个普通特权的“正常”账户供他们访问电子邮件、查找互联网上的信息、并做其他事情时使用;和不同的账户，他们可以用它来履行行政职责。 对于一些高权限的活动，一个账户可能被分配特权，但是应该由两个值得信赖的员工各创造一半的密码。两者都不能单独执行该活动，它需要两者共同来做。此外，由于有可能被追究责任，每人都会监视对方履行义务。这种技术通常用于在Windows服务器上保护原始管理员账户。此账户也可以被分配一个长而复杂的密码，然后不能使用，除非当关键管理人员离开公司或其他一些突发事件发生后，管理账户的密码忘记或丢失时不得不恢复服务器。然后其他管理账户被创建并用