当今人们面对的最大IT安全威胁是什么呢?根据IDC和卡内基梅隆/DoD.To的报告显示，最大的威胁竟是IT本身。IDC研究发现，很多企业把内部人员作为它们最高级的安全威胁(信息来源：“密码权限管理”Sally Hudson，IDC)。另外，卡耐基梅隆大学为美国防部所进行的研究表明，那些由内部人员发起的攻击中，86%的犯罪者都是技术人员。在这些人中57%的人都是在离职后进行攻击的。(信息来源：内部威胁的风险管理和教育(MERIT)，CERT3项目，卡耐基梅隆的软件工程研究院和网络实验室。)

　　这两项报告都显示出内部人员的攻击给公司造成了巨大损失：失掉客户，背上官司，还有就是，都不可避免地在审计方面出了问题。在人们研究的一个案例中，某公司用了115名员工花了1800小时才修复那些被一个对公司不满的内部人员删除的数据。进行攻击的时候，犯罪者曾经是该公司IT部门的一名职员，他能够远程访问关键系统。从这些报告中，我们可以看出，IT内部人员通常拥有对关键系统的访问权，即使在离职之后，他们也可以是用特别的帐户和密码访问这些系统。

　　特权密码已经成为审计人员和企业特别关注的问题了，下面是我们认为能够抵御这种威胁的6项最好的对策。

　　1.建立特权密码的详细目录

　　特权密码是非个人的，它是实在企业中的设备或者软件应用中虚拟存在的共享密码，就像UNIX服务器上的root，Windows工作站上的Administrator以及连接两个数据库的Script使用的应用ID。很多公司都将这些密码详细登记并记录它们的更新情况，他们用这种方法保护这些特权密码。

　　如果要采取这种方案，你应当注意一个事实，那就是公司很多地方都有特权密码，比如：若干IT专家共享的管理员帐户以及厂商预定义的来访者帐户。

　　这些账户包括：

　　·Unix的root，Cisco的enable，DBA的帐户，Windows的域等等。
　
　　·通用的共享管理账户，比如help-desk，fire-call，操作和应急账户。

　　·Hard-coded以及嵌入应用程序的账户，包括资源DB ID，Generic ID，批处理，测试脚本以及应用程序ID。

　　·服务账户，例如Windwos服务账户以及计划任务等等。

　　·个人计算机账户，包括笔记本和台式机上的Windows本地管理员账户。
　
　　现在很多企业如果想要全部改变这些密码，他们还用手动的方法更新。例如，最近的一项研究表明42%的应用程序密码是从来不改变的(信息来源：《数码方舟-企业特权密码调查》。)

　　2.定义身份和存取管理(IAM)的角色

　　管理特权密码的时候，人们常犯的第一个错误就是为管理人员身份的系统中引进所有的管理或共享ID。这种方法的好处就是，你可以很快就自动更新企业的特权密码。那么不好的地方呢?那就是企业仍然无法确定个人的职责。例如，报告可能显示说，周日早上1：47分，“管理员”身份的人下载了你的最高用户数据库。你无法把这种行为——或者它造成的后果——跟特定的一个员工联系起来。

　　为了能够明确责任，特权密码管理(PPM)系统应当将个人身份与共享账户联系起来。这是难以置信的敏感数据——你所有的特权密码列表是黑客最想得到的东西——因此这些信息必须放在非常安全的地方。IAM方案不是为了存储敏感数据而设计的，它是特权账户/密码的PPM方案的典型辅助方案。

　　3.应用特权密码的更改策略

　　这听起来好像很理所当然，但是令人吃惊的是，很多公司特权密码的更新策略竟没有公司人员个人电脑密码更换制度那么明确。例如，你可能每30天改变笔记本的密码，但是调查显示工作站有20%的几率从来不更改默认的Administrator ID(信息来源：《数码方舟-企业特权密码调查》。)换句话说，如果你丢了笔记本，捡到它的人可能不知道你是谁或者不知道你在哪个公司工作……但是他们可以在网上找到Dell Latitude D600的出厂默认管理员密码。几秒内，捡到你的笔记本的人就能够访问你的系统，用比你更高的权限。

　　我们建议人们使用明确的策略以便在特权密码的内部调查中保护所有的密码类型，并且还应当给每位员工讲清楚更新策略。最佳办法就是让这些策略至少跟员工个人的更新策略一样严格。

　　4.确保特权密码的存储安全

　　这一点也是看起来是理所当然的，但是对企业来说，他们是必须把特权密码存储在最安全的地方。将密码放在密封的信封中，胶封，放到加密的文件中或者放到钱包大小的卡中，这些方法都是不可取的(事实上，我确实看到一些企业使用以上这些手段。)

　　5.创建分阶段的实施方案

　　特权密码从字面上看，它指的是进入你系统的钥匙，因此你必须小心的掌控它的安全。特权密码项目的一个常见阻碍就是，一旦创建了密码目录，那么这个目录的容量以及代码的行数将会非常庞大。员工可能会说：“我们从来没这么做过，何必现在开始自寻烦恼呢?”在这些情况下，最成功的审计人员会深呼吸一下，喝一大杯Latte然后开始整理一套分阶段实施的计划，让每个阶段都有合理的期限，可交付的内容以及成果。

　　6.把计算机也看作是人

　
　　尽管99%的企业都为员工修改密码，还是有42%的企业从来不更改hard-coded以及应用ID，测试脚本还有批处理的嵌入密码。(信息来源：《数码方舟-企业特权密码调查》。)Burton集团的Mark Diodati认为，这种情况造成了App2App密码问题呈指数级的增长。例如，300主机x2个应用程序/主机x5个脚本/应用程序=3000个存储的密码。通常，这些密码都是清楚地写在文本里，任何开发人员或者数据库管理人员都可以得到。

　　总之，没有App2App元件的特权密码管理系统是不完善的。但是，由于应用程序密码是存储在必须重复编码、测试以及配置的脚本里的，与我合作过的的大多数企业，都采取固定那些已经通过了的代码的方法来避免可能出现的错误。重申一次，分阶段的计划非常有用。

　　最后一点注意事项：没有相关的报告机制的特权密码管理策略也是不完整的。特权密码的监听报告通常应当包括如下主题：比如，密码何时更新，有无更新失败的情况以及哪些个人用共享账户执行了任务等等。

　　这样你就明白了吧，当今IT安全最大的威胁其实是源自很小的事情，只是虚拟地嵌入在硬件和软件中的一点点代码。然而，有了强有力的计划和足够的知识，你就可以保护自己的组织，任何审计员都能成为抵御当今最大IT威胁的斗士。