问：我在一个安全部门工作了几年，现在，我们考虑增加一名初级管理员。我想给这个人的一个任务是安全管理，目前负责涉及IT运营和商业用户方面的工作。我有两个问题：1）对帐户进行集中管理是好的做法吗？2）谁来监督“监督人员”？换句话说，如果我的工作组有能力创建帐户，应该由谁来监督我们，以确保我们不会做任何不恰当的操作，例如创造假帐户，窃取数据，并在之后立即删除该帐户？

　　答：很高兴听到你的工作终于有人可以分担了。在你的问题中，你没有提供任何关于你机构的组织信息，所以我不得不说，你第一个问题的答案是“看情况”。 凭借经验，对用户帐户进行控制的做法是尽可能地了解用户：这意味着你必须能够验证请求者是否是真正提出请求的那个人，以防止他人在未经用户许可的情况下创建帐户。如果你与请求者位于同一常规地理区域或可以很容易地联系到请求者，并且可以证实用户或者用户的经理提出了请求，那么此时进行集中管理是可行的。然而，如果在语言沟通上存在问题，你没有一个可以验证用户请求的简单方法，或者你有高度分布的、或政治性的、或孤立的商业模式（siloed business model），那么分布式的管理会更合理。

　　至于由谁来监督“监督人员”？这个问题已经讨论了多年。正如在另一个问题中所提到的，责任分工（SoD）的最佳实践验证了一个帐户管理员不应该拥有建立帐户的能力或特权（正如你上面所提到的原因）。因此，为了监控这些活动，在机构内部设立审计职能很重要。不管它是隶属于法律部门、监察部门还是能监测出非授权流量的网络工程部门，是否配备审计职能是一个跟机构息息相关的决定。如果审计小组方案由于成本、经验不足、机构规模、政治等原因而不可行的话，那么唯一的方法是由人力资源部门对拥有审计职能的人员进行周期性的背景核查。他们会留心犯罪分子和财务信息，以保证不会出现授权用户因外界压力所迫而做出非授权操作的事件。由于赌博、离婚、抵押债务等问题所带来的压力，出色的管理员已经开始变质了。同时也要留心工作人员的个性特点，你所希望的应该是让喜欢自己的工作、与他人和谐相处、真正诚实、快乐的人去做这项工作。有心事的管理员总归不是一个好的迹象。

　　最后一点我想说的是，美国政府的CERT团队已经就“减少内部威胁问题”制定了许多很好的标准。你应该去访问他们的网站，了解所有危险的管理员活动的潜在前兆以便做好警惕。祝你的新管理员好运，如果一切顺利的话，你现在可以去渡假了，我敢肯定你一直在推迟这次假期。