返回
企业安全管理的“六脉神剑”

企业安全管理的“六脉神剑”

ID:16814805

大小:235.01 KB

页数:10页

时间:2018-08-25

企业安全管理的“六脉神剑”_第1页
企业安全管理的“六脉神剑”_第2页
企业安全管理的“六脉神剑”_第3页
企业安全管理的“六脉神剑”_第4页
企业安全管理的“六脉神剑”_第5页
资源描述:

《企业安全管理的“六脉神剑”》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、企业安全管理的“六脉神剑”当考虑确定计算系统、数据和网络的可用性和完整性控制时,与可考虑潜在机会授权的管理员相比,普通用户拥有更少的特权。系统管理员、执行备份的操作人员、数据库管理员、维修技师甚至帮助台支持人员的运营商,都纷纷在网络中提升权限。为了确保你系统的安全性,还必须考虑可以防止管理员滥用特权的控制。用于管理日常事务以及组织内的数据访问的自动化控制不能保证自己的完整性和可用性,避免过度管理任务的控制。如果控制管理使用权限的控件也不强,那么任何其他的控件也会被削弱。下面一起来看企业安全管理的“六脉神剑”——六个最佳实践:实践一:防止权力的

2、滥用行政权力安全的两个安全原则将帮助你避免权力得滥用:限制权力及职责的分离。你可以限制权力,通过分配每个员工他或她所做工作需要的权限。在你的IT基础架构,你有不同的系统,并且每个人都可以自然地分割成不同的权限类别。这种分割的例子是网络基础设施、存储、服务器、台式机和笔记本电脑。另一种分配权力的方式是在服务管理和数据管理之间。服务管理是控制网络的逻辑基础设施,如域控制器和其他中央管理服务器。这些管理员在管理专门的服务器,在这些服务器上控件运行、将部分用户分成组、分配权限等等。数据管理,在另一方面,是有关管理文件、数据库、Web内容和其他服务器的

3、。即使在这些结构中,权力可以被进一步细分,也就是说,角色可以被设计和权限可以被限制。文件服务器备份操作员不应该有特权备份数据库服务器相同的个体。数据库管理员也可能被某些服务器限制其权力,与文件和打印服务器管理员一样。在大型组织中,这些角色可以无限细分,一些帮助台运营商可能有权重设账户和密码,而其他人只限于帮助运行应用程序。我们的目标是要认识到,提升权限的所有管理员必须是可信的,而有些人比其他人更应该得到信任。谁拥有全部或广泛的权限越少,那么可以滥用这些特权的人就越少。实践二:确定管理规范以下管理实践有助于管理安全性:·在远程访问和访问控制台和

4、管理端口上放置控件。·实现带外访问控制设备,如串行端口和调制解调器,物理控制访问敏感设备和服务器。·限制哪些管理员可以物理访问这些系统,或谁可以在控制台登录。不能因为雇员有行政地位,就意味着不能限制他或她的权力。forthequalityofreviewsandreview.Article26threview(a)theCCRAcompliance,whethercopiesofchecks;(B)whetherdoubleinvestigation;(C)submissionofprogramcompliance,investigation

5、orexaminationofwhetherviewsareclear;(D)theborrower,guarantorloans·审查管理员。IT管理员在一个组织的资产上拥有巨大的权力。每一个拥有这些权限的IT员工应在就业前彻底检查,包括征信调查和背景调查。·使用自动软件分发方法。使用自动化的操作系统和软件的安装方法既保证了标准的设置和安全配置,从而防止意外的妥协,也是抑制权力滥用的一个很好的做法。当系统自动安装和配置,后门程序的安装和其他恶意代码或配置发生的机会就越来越少。·使用标准的行政程序和脚本。使用脚本可能意味着效率,但是如果使用了

6、流氓脚本就可能意味着破坏系统。通过标准化的脚本,滥用的机会较少。脚本也可以被数字签名,这可以确保只有授权的脚本能够运行。实践三:做好权限控制这些控制包括:·验证控制:密码、账户、生物识别、智能卡以及其他这样的设备和算法,充分保护认证实践·授权控制:设置和限制特定用户的访问设备和组如果使用得当,账户、密码和授权控制可以派专人负责他们网络上的行为。正确使用是指至少每个员工的一个账户可授权使用系统。如果两个或更多的人共用一个账号,你怎么能知道哪一个该为公司机密失窃负责?强密码策略和职工教育也有助于执行该规则。当密码是难以猜测的和员工知道密码是不应该

7、被共享的,适当的问责制的可能性才会更大。授权控制确保对资源的访问和权限被限制在适当的人选。例如,如果只有SchemaAdmins组的成员可以在Windows2000下修改ActiveDirectory架构,而且架构被修改,那么无论是该组的成员做的还是别人使用该人的账户做的。在一些有限的情况下,系统被设置为一个单一的、只读的活动,许多员工需要访问。而不是提供每一个人一个账户和密码,使用一个账户和限制访问。这种类型的系统可能是一个仓库的位置信息亭,游客信息亭等。但是,在一般情况下,系统中的每个账户应该仅分配给一个单独的个人。所有的行政人员应至少有

8、两个账户:一个普通特权的“正常”账户供他们访问电子邮件、查找互联网上的信息、并做其他事情时使用;和不同的账户,他们可以用它来履行行政职责。对于一些高权限的活动,一个

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。