今年夏天在加利福尼亞州發(fā)生的臭名昭著的政府網(wǎng)絡(luò)盜竊案，導(dǎo)致了大量類似“我就告訴過你這樣的后果”、“我們的解決方案將非常有價(jià)值”的馬后炮言論的出現(xiàn)以及各種各樣顯示“天要塌下來”了的論點(diǎn)。如同許多其他安全專業(yè)人員一樣，我關(guān)心的是這種情況在大部分公共和私人組織中傳播的情況，這可能會(huì)讓我少掙不少錢。

在事故發(fā)生以后，最重要的是了解它們的發(fā)展趨勢(shì)。舉例來說，如果IT人員在被解雇、激怒、或者只是無聊時(shí)做了“錯(cuò)誤的事情”，會(huì)導(dǎo)致什么樣的風(fēng)險(xiǎn)？在美國信息安全公司網(wǎng)絡(luò)方舟（Cyber-Ark）的統(tǒng)計(jì)調(diào)查結(jié)果中，我對(duì)關(guān)于這個(gè)問題的其中一個(gè)可能的回答感到非常驚訝。

88%（這個(gè)比例很驚人）的IT管理人員承認(rèn)，如果馬上被解雇的話，他們將帶走公司的機(jī)密。這些機(jī)密信息包括了包括了首席執(zhí)行官的密碼、客戶數(shù)據(jù)庫、研究和發(fā)展計(jì)劃、財(cái)務(wù)報(bào)告、并購計(jì)劃以及公司最重要的權(quán)限密碼列表。這項(xiàng)研究還表明，在這百分之八十八的人群中，三分之一的將會(huì)利用權(quán)限密碼列表獲取類似財(cái)務(wù)報(bào)告、帳戶、工資和其它特權(quán)信息之類的有價(jià)值文件。

即使這些數(shù)字不能準(zhǔn)確地反映全世界范圍內(nèi)IT專業(yè)人士的態(tài)度，商業(yè)和安全管理人員也必須仔細(xì)了解網(wǎng)絡(luò)管理員管理過程的公正性，因?yàn)檫@是一件正確的事情。

下面是我的一些想法，可以對(duì)IT人員訪問網(wǎng)絡(luò)資源的情況進(jìn)行限制：

1. 按照最小特權(quán)原則，將網(wǎng)絡(luò)管理員的權(quán)限限制為其相關(guān)資源的實(shí)際管理權(quán)限。例如，很多公司將網(wǎng)絡(luò)管理分為兩個(gè)或者更多的團(tuán)隊(duì)。可以利用服務(wù)控制臺(tái)創(chuàng)建帳戶以及對(duì)組成員身份進(jìn)行管理。局域網(wǎng)/廣域網(wǎng)團(tuán)隊(duì)需要控制和操作交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備的權(quán)限，服務(wù)器工程師只能擁有維持服務(wù)器運(yùn)行和優(yōu)化的權(quán)限。沒有人擁有整個(gè)網(wǎng)絡(luò)的所有權(quán)限。利用訪問控制來限制資源的使用是絕對(duì)必要的工作模式。對(duì)于其它敏感的公司資源，也適用這個(gè)原則。

2. 所有技術(shù)支持團(tuán)隊(duì)的人—或至少所有的技術(shù)人員—需要知道網(wǎng)域管理員密碼或成為所有網(wǎng)域管理員組的成員，這是一個(gè)標(biāo)準(zhǔn)的謬論。每個(gè)管理員權(quán)限的要求都必須審核，以確保獲得履行一項(xiàng)或多項(xiàng)日常工作的權(quán)限。此外，進(jìn)入企業(yè)網(wǎng)域管理員帳戶，例如對(duì)一個(gè)活動(dòng)目錄的根系統(tǒng)管理員帳戶進(jìn)行的操作應(yīng)該受到嚴(yán)格控制。即使管理員在需要的時(shí)間獲準(zhǔn)進(jìn)入所有這些功能強(qiáng)大的帳戶進(jìn)行“檢查操作”，也必須將檢查情況記錄在案。使用如eDMZ的密碼自動(dòng)倉庫之類的密碼庫，也可以提供幫助。此外，關(guān)鍵人員（至少兩個(gè)）應(yīng)該配置和管理相關(guān)的信息庫。記錄/提醒必須保證他們是有區(qū)別的，如果可能的話，對(duì)所有的改變進(jìn)行保存，并確認(rèn)至少有兩個(gè)人知道。最后，你可以選擇信賴的解決方案，自動(dòng)改變每次使用的關(guān)鍵密碼。

3. 管理員級(jí)別組的每日檢查應(yīng)該有安全人員或者其他分析師負(fù)責(zé)控制監(jiān)督。例如，我們?cè)诿刻焱砩线\(yùn)行腳本來對(duì)管理成員的名單列表和系統(tǒng)管理成員的列表進(jìn)行比較。如果發(fā)現(xiàn)一個(gè)用戶帳戶位于管理員級(jí)別的組中，并且不屬于核定的名單，就需要將其移出，并通過電子郵件通知安全團(tuán)隊(duì)。我們偶爾會(huì)發(fā)現(xiàn)，擁有管理員權(quán)限的用戶在添加一個(gè)帳戶的時(shí)間經(jīng)常會(huì)“忘記”后續(xù)的步驟。

4. 網(wǎng)絡(luò)中的所有管理操作—我的意思是每一項(xiàng)管理操作—都必須記錄在案。記錄不僅僅是確定入侵者的好辦法，也是驗(yàn)證IT人員執(zhí)行工作規(guī)則的實(shí)際情況的好辦法。日志管理不會(huì)讓內(nèi)部團(tuán)隊(duì)工作過度。象CentraComm通信之類的托管安全服務(wù)提供商，提供了出色的記錄匯總、相關(guān)性分析和警告服務(wù)。不管是誰負(fù)責(zé)審查日志，目的就是確保預(yù)期的安全性和控制結(jié)果。審查的時(shí)間要找出其中不正常的行為，它看起來有些象提煉或者匯總?cè)罩緮?shù)據(jù)。開放網(wǎng)絡(luò)應(yīng)用安全項(xiàng)目（OWASP）提供了一個(gè)極好的日志記錄審查指南。

5. 當(dāng)屬于IT團(tuán)隊(duì)的一個(gè)成員被解雇或者自動(dòng)離職的時(shí)間，他或她應(yīng)立即在陪同下到他或她的辦公桌上收拾個(gè)人物品、安全徽章和鑰匙。與此同時(shí)，帳戶管理員應(yīng)該立即禁用相關(guān)的帳戶。在任何情況下，前員工被允許進(jìn)入任何信息資源的權(quán)限應(yīng)該在他或她是在陪同下到門口的時(shí)間就終止。

我敢肯定你能想到的其它方法來保護(hù)網(wǎng)絡(luò)資源不受到來自不滿的管理員的攻擊。然而，我認(rèn)為上面這些做法可以適用于所有類型的企業(yè)，是的，甚至連中小型企業(yè)也包括在內(nèi)。