內部用戶帳戶控制:誰來監督“監督人員”?
問:我在一個安全部門工作了幾年,現在,我們考慮增加一名初級管理員。我想給這個人的一個任務是安全管理,目前負責涉及IT運營和商業用戶方面的工作。我有兩個問題:1)對帳戶進行集中管理是好的做法嗎?2)誰來監督“監督人員”?換句話說,如果我的工作組有能力創建帳戶,應該由誰來監督我們,以確保我們不會做任何不恰當的操作,例如創造假帳戶,竊取數據,并在之后立即刪除該帳戶?
答:很高興聽到你的工作終于有人可以分擔了。在你的問題中,你沒有提供任何關于你機構的組織信息,所以我不得不說,你第一個問題的答案是“看情況”。 憑借經驗,對用戶帳戶進行控制的做法是盡可能地了解用戶:這意味著你必須能夠驗證請求者是否是真正提出請求的那個人,以防止他人在未經用戶許可的情況下創建帳戶。如果你與請求者位于同一常規地理區域或可以很容易地聯系到請求者,并且可以證實用戶或者用戶的經理提出了請求,那么此時進行集中管理是可行的。然而,如果在語言溝通上存在問題,你沒有一個可以驗證用戶請求的簡單方法,或者你有高度分布的、或政治性的、或孤立的商業模式(siloed business model),那么分布式的管理會更合理。
至于由誰來監督“監督人員”?這個問題已經討論了多年。正如在另一個問題中所提到的,責任分工(SoD)的最佳實踐驗證了一個帳戶管理員不應該擁有建立帳戶的能力或特權(正如你上面所提到的原因)。因此,為了監控這些活動,在機構內部設立審計職能很重要。不管它是隸屬于法律部門、監察部門還是能監測出非授權流量的網絡工程部門,是否配備審計職能是一個跟機構息息相關的決定。如果審計小組方案由于成本、經驗不足、機構規模、政治等原因而不可行的話,那么唯一的方法是由人力資源部門對擁有審計職能的人員進行周期性的背景核查。他們會留心犯罪分子和財務信息,以保證不會出現授權用戶因外界壓力所迫而做出非授權操作的事件。由于賭博、離婚、抵押債務等問題所帶來的壓力,出色的管理員已經開始變質了。同時也要留心工作人員的個性特點,你所希望的應該是讓喜歡自己的工作、與他人和諧相處、真正誠實、快樂的人去做這項工作。有心事的管理員總歸不是一個好的跡象。
最后一點我想說的是,美國政府的CERT團隊已經就“減少內部威脅問題”制定了許多很好的標準。你應該去訪問他們的網站,了解所有危險的管理員活動的潛在前兆以便做好警惕。祝你的新管理員好運,如果一切順利的話,你現在可以去渡假了,我敢肯定你一直在推遲這次假期。
【編輯推薦】
