DoSECU安全分析 2月20日消息:控制企业内部风险最基本的方式之一就是对访问关键系统和数据的用户进行管理和监控。通常,企业依靠信赖为基础来管理访问控制。单纯的授信IT管理员能掌控一切,在某些情况下可能是适用的,但在大多数情况下,这种方式是极端危险的,甚至可能导致灾难性后果。
诚然,基于信任机制的系统本质上是假设所有的IT管理员都能正确履行对公司敏感数据的监控职责–这种方式在某些情况下是适用的。多数IT管理员都不会窃取,滥用或者操控企业内部的敏感数据。但是一旦有某个心怀不轨的IT管理员将员工和客户数据公布于众,就会令企业的客户流失,企业信誉和销售收入遭受双重损失。
或许基于信任机制系统失效最典型的例子就是最近发生的美国旧金山计算机网络被网络管理员篡改事件。由于工作原因而心怀不满的网络管理员擅自将网络设备上所有的管理密码都篡改为只有他自己才知道的密码。对此他辩称他需要独占系统的访问权来保证系统的正常运行。这名网络管理员由于拒绝透露密码而被当局羁押。目前仍然无人能够访问这些网络设备的管理帐户。
最终这名网络管理员交出了密码,但整个事件导致旧金山当地政府遭受金钱和信任度的双重损失。最近有关社区和内部丑闻都引起公众的关注,所有这些都再向大家表明没有采取适合的流程为基础的系统,员工就能为所欲为。
以流程为基础的系统:是什么?能做什么
以流程为基础的系统遵循的是几个关键的原则,当企业正确执行以流程为基础的系统访问时,企业就能在不影响正常业务的前提下防止类似事故的发生。允许优先访问是业务流程的基本组成部分。不过多数企业都是简单化的让管理员掌控优先帐户密码,相信他们能正确使用优先帐户,而没有考虑到接下来会发生什么。更糟的是,许多企业没有设置恰当的IT审计系统,无法对使用这些优先帐户的人员进行追踪。
为了管理这些优先帐户,企业必须安装合适的软件来管理和限制临时访问,对这些优先帐户执行按需访问的流程。软件解决方案应该被用于创建详细的访问控制流程,比如需要优先帐号的管理员必须得到企业其他管理人员的批准方可访问,对所有请求确认的步骤都建立审计跟踪。
系统应该允许批准人在批准或者拒绝这些有限访问请求时,对系统信息进行评估。最重要的是访问终止或者优先帐户密码轮转在关闭访问请求循环中是最基本的。
审计跟踪是什么
对于这个流程中包括拒绝请求的每个步骤,审计跟踪都是无价之宝。审计跟踪在终止和决定员工的访问权限方面非常重要。通过安装合适的软件来建立这个流程,企业能对应用环境中所有数据层进行有效的访问管理和控制,创建完善的IT审计跟踪,如果需要的话可以终止访问。
UNIX和Linux操作系统在某些业务功能上与其他操作系统相比有很多优势。但是其超级用户或者根帐户会导致安全梦魇,会允许用户作为根用户登录来访问系统中的所有数据,即使企业需求只需要访问其中的一小部分。
应该建立相应的流程来允许管理员在这些环境中作为根用户来执行功能,但是只能允许他们来执行必需活动中的核心设置。安装软件来实现这些协议的创建,维护和自动化运行,对根目录的优先帐户来指定访问。当管理员需要在持续的基础上使用这种优先帐户时,这些软件是非常有用的工具。它能在无需分配实际的优先帐户密码或者无需优先许可的情况下允许管理员进行访问。
集成协议控制
建立这种控制流程应该将管理员的所有行为都以日志形式记录在案。将集成协议控制与集中主目录相结合对流线型管理有所帮助,特别是有时能减轻终止用户数据访问的人力负担。使用正确的软件来建立正确的流程。
采用强有力的以流程为基础来控制优先访问对于企业来说是很重要的,也能让企业中的管理员受益。当企业不确认那个管理员在访问优先帐户时,如果发生了和优先帐户相关的事故,他们就会有气没处发。
在有详细审计跟踪的流程系统中,企业可以快速获悉是谁在访问优先帐户和他们执行了何种操作。无论问题是出于恶意企图还是单纯错误而导致的,都能根据具体情况对造成此类问题的管理员追究责任。所有其他的管理员也能因此引以为戒,这也能成为管理员是否为此担责的有利证明。审计跟踪会告诉你“证明清白最能说明一切”。
与激活目录相结合
激活目录(Active Directory)是一款集中验证和帐户控制管理的特殊工具。不过激活目录的验证和协议本身不能扩展到UNIX/Linux系统使用。可以使用软件将UNIX和Linux主机与激活目录生态系统集成在一起来建立帐户的集中管理。真正有帮助的是用户能使用相同的安全设置对所有环境分配单一密码。这样能减少长期的访问需求,实现更加有效的帐户信息管理。
一旦建立了与激活目录的集成,IT管理者就必须确保以上其他流程的连贯性。好的系统能保证用户在多重平台上的管理职能顺利执行,节约时间和精力。对于用户帐户终止,指定用户的优先访问,阻止临时访问都有所帮助。
最后,以流程为基础的系统是从内部保证IT基础架构安全的基本步骤。信赖是美好的理想,但它在保护多数敏感数据不受侵害方面缺乏实践性。有了正确的应用软件,直接且免打扰的流程设置,企业就能实现无懈可击的安全流程,而且不会影响到IT管理员的工作职责和信心。