企業信息安全管理的“六脈神劍”

當考慮確定計算系統、數據和網絡的可用性和完整性控制時，與可考慮潛在機會授權的管理員相比，普通用戶擁有更少的特權。系統管理員、 執行備份的操作人員、數據庫管理員、維修技師甚至幫助臺支持人員的運營商，都紛紛在網絡中提升權限。為了確保你系統的安全性，還必須考慮可以防止管理員濫 用特權的控制。用于管理日常事務以及組織內的數據訪問的自動化控制不能保證自己的完整性和可用性，避免過度管理任務的控制。如果控制管理使用權限的控件也 不強，那么任何其他的控件也會被削弱。下面一起來看企業安全管理的“六脈神劍”——六個最佳實踐：

實踐一：防止權力的濫用行政權力

安全的兩個安全原則將幫助你避免權力得濫用：限制權力及職責的分離。你可以限制權力,通過分配每個員工他或她所做工作需要的權限。在你的IT基礎架構，你有不同的系統，并且每個人都可以自然地分割成不同的權限類別。這種分割的例子是網絡基礎設施、存儲、服務器、臺式機和筆記本電腦。

另一種分配權力的方式是在服務管理和數據管理之間。服務管理是控制網絡的邏輯基礎設施，如域控制器和其他中央管理服務器。這些管理員在管理專門的服務器， 在這些服務器上控件運行、將部分用戶分成組、分配權限等等。數據管理，在另一方面，是有關管理文件、數據庫、Web內容和其他服務器的。即使在這些結構 中，權力可以被進一步細分，也就是說，角色可以被設計和權限可以被限制。文件服務器備份操作員不應該有特權備份數據庫服務器相同的個體。數據庫管理員也可 能被某些服務器限制其權力，與文件和打印服務器管理員一樣。

在大型組織中，這些角色可以無限細分，一些幫助臺運營商可能有權重設賬戶和密碼，而其他人只限于幫助運行應用程序。我們的目標是要認識到，提升權限的所有 管理員必須是可信的，而有些人比其他人更應該得到信任。誰擁有全部或廣泛的權限越少，那么可以濫用這些特權的人就越少。

實踐二：確定管理規范

以下管理實踐有助于管理安全性:

· 在遠程訪問和訪問控制臺和管理端口上放置控件。
· 實現帶外訪問控制設備,如串行端口和調制解調器，物理控制訪問敏感設備和服務器。
· 限制哪些管理員可以物理訪問這些系統，或誰可以在控制臺登錄。不能因為雇員有行政地位，就意味著不能限制他或她的權力。
· 審查管理員。IT管理員在一個組織的資產上擁有巨大的權力。每一個擁有這些權限的IT員工應在就業前徹底檢查，包括征信調查和背景調查。
· 使用自動軟件分發方法。使用自動化的操作系統和軟件的安裝方法既保證了標準的設置和安全配置，從而防止意外的妥協，也是抑制權力濫用的一個很好的做法。當系統自動安裝和配置，后門程序的安裝和其他惡意代碼或配置發生的機會就越來越少。
· 使用標準的行政程序和腳本。使用腳本可能意味著效率，但是如果使用了流氓腳本就可能意味著破壞系統。通過標準化的腳本，濫用的機會較少。腳本也可以被數字簽名，這可以確保只有授權的腳本能夠運行。

實踐三：做好權限控制

這些控制包括:

· 驗證控制：密碼、賬戶、生物識別、智能卡以及其他這樣的設備和算法，充分保護認證實踐
· 授權控制：設置和限制特定用戶的訪問設備和組
如 果使用得當，賬戶、密碼和授權控制可以派專人負責他們網絡上的行為。正確使用是指至少每個員工的一個賬戶可授權使用系統。如果兩個或更多的人共用一個賬 號，你怎么能知道哪一個該為公司機密失竊負責？強密碼策略和職工教育也有助于執行該規則。當密碼是難以猜測的和員工知道密碼是不應該被共享的，適當的問責 制的可能性才會更大。

授權控制確保對資源的訪問和權限被限制在適當的人眩例如，如果只有Schema Admins組的成員可以在Windows 2000下修改Active Directory架構，而且架構被修改，那么無論是該組的成員做的還是別人使用該人的賬戶做的。
在一些有限的情況下，系統被設置為一個單一的、只讀的活動，許多員工需要訪問。而不是提供每一個人一個賬戶和密碼，使用一個賬戶和限制訪問。這種類型的系統可能是一個倉庫的位置信息亭，游客信息亭等。但是，在一般情況下，系統中的每個賬戶應該僅分配給一個單獨的個人。

所有的行政人員應至少有兩個賬戶：一個普通特權的“正常”賬戶供他們訪問電子郵件、查找互聯網上的信息、并做其他事情時使用；和不同的賬戶，他們可以用它來履行行政職責。

對于一些高權限的活動，一個賬戶可能被分配特權，但是應該由兩個值得信賴的員工各創造一半的密碼。兩者都不能單獨執行該活動，它需要兩者共同來做。此外(+微信關注網絡世界)， 由于有可能被追究責任，每人都會監視對方履行義務。這種技術通常用于在Windows服務器上保護原始管理員賬戶。此賬戶也可以被分配一個長而復雜的密 碼，然后不能使用，除非當關鍵管理人員離開公司或其他一些突發事件發生后，管理賬戶的密碼忘記或丟失時不得不恢復服務器。然后其他管理賬戶被創建并用于正 常管理。另一個特別賬戶可能是根證書頒發機構的管理賬戶。當需要使用這個賬戶，比如更新此服務器的證書，兩名IT員工必須同時在場登錄，減少該賬戶受到損 害的機會。

實踐四：獲取外部信息作為內部管理借鑒

安全專家面臨緊跟當前安全形勢的艱巨任務。你應該及時了解當前威脅和適用于你組織的核心業務流程和高價值目標相應的保護措施。

你可以從眾多資源中汲取更多以了解當前的威脅環境。領先的安全廠商，包括Symantec，該公司出版了年度互聯網安全威脅報告；McAfee 實驗室，它提供了一個季度的威脅報告; IBM X-Force，產生了威脅和風險趨勢報告；以及思科，該公司出版了安全威脅白皮書，他們都用有效資源不斷更新有威脅的環境。此外，還有一些提供威脅情報 的各種組織，包括卡內基•梅隆大學軟件工程研究所（ CERT ） ，它研究的Internet安全漏洞，并進行長期的安全性研究;美國政府的應急準備小組（ US-CERT ） ，它提供技術安全警報和公告; SANS協會，發布頂端的網絡安全風險列表；和計算機安全協會（ CSI），其出版年度計算機犯罪和安全調查。除了這些資源，專業協會，如國際信息系統安全認證聯盟（ ISC2 ）提供廠商中立的培訓、教育和認證，包括為安全專業開展的CISSP 。信息系統審計與控制協會（ISACA ）從事開發、采納和使用全球公認的，業界領先的知識和實踐信息系統，如COBIT標準和CISA認證信息系統。

對于已確定的各項資產，你必須為執行建議