问:对于以下几种服务器,你建议应该给予安全管理员什么类型的访问权限呢? Windows 2000和2003服务器UNIX服务器Linux服务器域控制器 答:很遗憾,除了域控制器外,你没有说明在你的Windows、UNIX和Linux服务器上运行了什么服务,所以我无法给你任何具体的建议。但是,对安全管理员分配权限有些约定俗成的习惯,以避免其他人滥用他们的特权权限。 职责分离(SoD),有时被称为职责划分,是在多人之间划分任务和特定安全程序所需权限的概念。它作为一个内部控制,通过限制人员对关键系统的权力与影响,从而降低因个人意外或恶意的行为而造成的潜在破坏。
它还确保人们不会面对责任冲突的问……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:对于以下几种服务器,你建议应该给予安全管理员什么类型的访问权限呢?
- Windows 2000和2003服务器
- UNIX服务器
- Linux服务器
- 域控制器
答:很遗憾,除了域控制器外,你没有说明在你的Windows、UNIX和Linux服务器上运行了什么服务,所以我无法给你任何具体的建议。但是,对安全管理员分配权限有些约定俗成的习惯,以避免其他人滥用他们的特权权限。
职责分离(SoD),有时被称为职责划分,是在多人之间划分任务和特定安全程序所需权限的概念。它作为一个内部控制,通过限制人员对关键系统的权力与影响,从而降低因个人意外或恶意的行为而造成的潜在破坏。它还确保人们不会面对责任冲突的问题,如是以自己还是上司的名义汇报。我们的目标是避免某个用户在一个位置上可进行和隐瞒非法行为。因此,如果你的管理员可以删除、编辑或复制数据(不被人发现),那么你就需要去查查他们职责和任务的分离情况。
理想的情况是,任何遭受潜在滥用的任务都需要被划分为独立的步骤,并将每一个步骤分配给不同的人去完成。责任必须要落实到个人,以这样一种方式才能建立系统内的相互均衡,并把未经授权的访问或欺诈行为降到最低。分解一项进程来实现SoD,需要确保各个步骤的完成,只有当每一步都进行了,进程才能被完成,并且确保没有人能自己完成所有的进程。因此,批准一项行动的人、执行行动的人、监督行动的人必须完全分开。通过分离授权、执行和监督角色,只有出现这几个人相互勾结的情况,才能成功地实施欺诈行为。
这种分离应该存在于你的公司的报告结构以及工作职责中。例如,安全管理员不应该向直接负责服务器日常管理工作的经理汇报。这可以确保他们有能力去维护安全控制,而不被那些受一部分进程控制的个人所影响。在你的IT基础设施中,发展、运作及安全性测试的分离同样非常重要。确保安全管理员没有负责其他的任务(如规划或备份),以避免可能导致的职责冲突。
最后,执行最小权限原则,即用户被授予所需执行任务时最少的权力。一位安全管理员可能需要分析服务器的记录文件,所以他将需要读取权限,但没有必要授予他写入权限。最小特权的原则适用于上至高级管理层的整个公司。在体系中,一个人被授予的权利应与其所负责的任务相称,与他们在公司中的资历无关。
作者
翻译
相关推荐
-
应需而安 H3C发布全新安全技术架构SoD
H3C发布全新的安全技术架构SoD(应需而安),还推出了新一代安全综合网关SecPath M9000系列产品,将高端安全旗舰产品的级别提升到了一个新的高度。