当考虑确定计算系统、数据和网络的可用性和完整性控制时，与可考虑潜在机会授权的管理员相比，普通用户拥有更少的特权。系统管理员、执行备份的操作人员、数据库管理员、维修技师甚至帮助台支持人员的运营商，都纷纷在网络中提升权限。为了确保你系统的安全性，还必须考虑可以防止管理员滥用特权的控制。用于管理日常事务以及组织内的数据访问的自动化控制不能保证自己的完整性和可用性，避免过度管理任务的控制。如果控制管理使用权限的控件也不强，那么任何其他的控件也会被削弱。下面一起来看企业安全管理的“六脉神剑”——六个最佳实践：

实践一：防止权力的滥用行政权力

安全的两个安全原则将帮助你避免权力得滥用：限制权力及职责的分离。你可以限制权力,通过分配每个员工他或她所做工作需要的权限。在你的IT基础架构，你有不同的系统，并且每个人都可以自然地分割成不同的权限类别。这种分割的例子是网络基础设施、存储、服务器、台式机和笔记本电脑。

另一种分配权力的方式是在服务管理和数据管理之间。服务管理是控制网络的逻辑基础设施，如域控制器和其他中央管理服务器。这些管理员在管理专门的服务器，在这些服务器上控件运行、将部分用户分成组、分配权限等等。数据管理，在另一方面，是有关管理文件、数据库、Web内容和其他服务器的。即使在这些结构中，权力可以被进一步细分，也就是说，角色可以被设计和权限可以被限制。文件服务器备份操作员不应该有特权备份数据库服务器相同的个体。数据库管理员也可能被某些服务器限制其权力，与文件和打印服务器管理员一样。

在大型组织中，这些角色可以无限细分，一些帮助台运营商可能有权重设账户和密码，而其他人只限于帮助运行应用程序。我们的目标是要认识到，提升权限的所有管理员必须是可信的，而有些人比其他人更应该得到信任。谁拥有全部或广泛的权限越少，那么可以滥用这些特权的人就越少。

实践二：确定管理规范

以下管理实践有助于管理安全性:

· 在远程访问和访问控制台和管理端口上放置控件。
· 实现带外访问控制设备,如串行端口和调制解调器，物理控制访问敏感设备和服务器。
· 限制哪些管理员可以物理访问这些系统，或谁可以在控制台登录。不能因为雇员有行政地位，就意味着不能限制他或她的权力。
· 审查管理员。IT管理员在一个组织的资产上拥有巨大的权力。每一个拥有这些权限的IT员工应在就业前彻底检查，包括征信调查和背景调查。
· 使用自动软件分发方法。使用自动化的操作系统和软件的安装方法既保证了标准的设置和安全配置，从而防止意外的妥协，也是抑制权力滥用的一个很好的做法。当系统自动安装和配置，后门程序的安装和其他恶意代码或配置发生的机会就越来越少。
· 使用标准的行政程序和脚本。使用脚本可能意味着效率，但是如果使用了流氓脚本就可能意味着破坏系统。通过标准化的脚本，滥用的机会较少。脚本也可以被数字签名，这可以确保只有授权的脚本能够运行。

实践三：做好权限控制

这些控制包括:

· 验证控制：密码、账户、生物识别、智能卡以及其他这样的设备和算法，充分保护认证实践
· 授权控制：设置和限制特定用户的访问设备和组
如果使用得当，账户、密码和授权控制可以派专人负责他们网络上的行为。正确使用是指至少每个员工的一个账户可授权使用系统。如果两个或更多的人共用一个账号，你怎么能知道哪一个该为公司机密失窃负责？强密码策略和职工教育也有助于执行该规则。当密码是难以猜测的和员工知道密码是不应该被共享的，适当的问责制的可能性才会更大。

授权控制确保对资源的访问和权限被限制在适当的人选。例如，如果只有Schema Admins组的成员可以在Windows 2000下修改Active Directory架构，而且架构被修改，那么无论是该组的成员做的还是别人使用该人的账户做的。
在一些有限的情况下，系统被设置为一个单一的、只读的活动，许多员工需要访问。而不是提供每一个人一个账户和密码，使用一个账户和限制访问。这种类型的系统可能是一个仓库的位置信息亭，游客信息亭等。但是，在一般情况下，系统中的每个账户应该仅分配给一个单独的个人。

所有的行政人员应至少有两个账户：一个普通特权的“正常”账户供他们访问电子邮件、查找互联网上的信息、并做其他事情时使用；和不同的账户，他们可以用它来履行行政职责。

对于一些高权限的活动，一个账户可能被分配特权，但是应该由两个值得信赖的员工各创造一半的密码。两者都不能单独执行该活动，它需要两者共同来做。此外，由于有可能被追究责任，每人都会监视对方履行义务。这种技术通常用于在Windows服务器上保护原始管理员账户。此账户也可以被分配一个长而复杂的密码，然后不能使用，除非当关键管理人员离开公司或其他一些突发事件发生后，管理账户的密码忘记或丢失时不得不恢复服务器。然后其他管理账户被创建并用于正常管理。另一个特别账户可能是根证书颁发机构的管理账户。当需要使用这个账户，比如更新此服务器的证书，两名IT员工必须同时在场登录，减少该账户受到损害的机会。

实践四：获取外部信息作为内部管理借鉴

安全专家面临紧跟当前安全形势的艰巨任务。你应该及时了解当前威胁和适用于你组织的核心业务流程和高价值目标相应的保护措施。

你可以从众多资源中汲取更多以了解当前的威胁环境。领先的安全厂商，包括Symantec，该公司出版了年度互联网安全威胁报告；McAfee 实验室，它提供了一个季度的威胁报告; IBM X-Force，产生了威胁和风险趋势报告；以及思科，该公司出版了安全威胁白皮书，他们都用有效资源不断更新有威胁的环境。此外，还有一些提供威胁情报的各种组织，包括卡内基?梅隆大学软件工程研究所（ CERT ） ，它研究的Internet安全漏洞，并进行长期的安全性研究;美国政府的应急准备小组（ US-CERT ） ，它提供技术安全警报和公告; SANS协会，发布顶端的网络安全风险列表；和计算机安全协会（ CSI），其出版年度计算机犯罪和安全调查。除了这些资源，专业协会，如国际信息系统安全认证联盟（ ISC2 ）提供厂商中立的培训、教育和认证，包括为安全专业开展的CISSP 。信息系统审计与控制协会（ISACA ）从事开发、采纳和使用全球公认的，业界领先的知识和实践信息系统，如COBIT标准和CISA认证信息系统。

对于已确定的各项资产，你必须为执行建议的保护措施负责。安全专业人员所遇到的问题是如何知道什么时候一个系统或应用程序需要一个修补程序或补丁应用。大多数供应商为安全更新、提供安全警示，以及一个维护订阅被购买的信息提供一个邮件列表。市面上有许多安全邮件列表，但近年来最流行的是Bugtraq和Insecure.org提供的Full Disclosure名单。请记住，最新的漏洞和黑客不在任何网站上发表，厂商也不能意识到“零日漏洞”，直到攻击发生。但是订阅这些邮件列表，将随时向你通报，就像任何人都可以被通知一样。

继续阅读《企业安全管理的“六脉神剑”（下）》