企业安全管理的“六脉神剑”

企业安全管理的“六脉神剑”当考虑确定计算系统、数据和网络的可用性和完整性控制时,与可考虑潜在机会授权的管理员相比,普通用户拥有更少的特权。系统管理员、执行备份的操作人员、数据库管理员、维修技师甚至帮助台支持人员的运营商,都纷纷在网络中提升权限。为了确保你系统的安全性,还必须考虑可以防止管理员滥用特权的控制。用于管理日常事务以及组织内的数据访问的自动化控制不能保证自己的完整性和可用性,避免过度管理任务的控制。如果控制管理使用权限的控件也不强,那么任何其他的控件也会被削弱。下面一起来看企业安全管理的“六脉神剑”——六个最佳实践:实践一:防止权力的滥用行政权力安全的两个安全原则将帮助你避免权力得滥用:限制权力及职责的分离。你可以限制权力,通过分配每个员工他或她所做工作需要的权限。在你的IT基础架构,你有不同的系统,并且每个人都可以自然地分割成不同的权限类别。这种分割的例子是网络基础设施、存储、服务器、台式机和笔记本电脑。另一种分配权力的方式是在服务管理和数据管理之间。服务管理是控制网络的逻辑基础设施,如域控制器和其他中央管理服务器。这些管理员在管理专门的服务器,在这些服务器上控件运行、将部分用户分成组、分配权限等等。数据管理,在另一方面,是有关管理文件、数据库、Web内容和其他服务器的。即使在这些结构中,权力可以被进一步细分,也就是说,角色可以被设计和权限可以被限制。文件服务器备份操作员不应该有特权备份数据库服务器相同的个体。数据库管理员也可能被某些服务器限制其权力,与文件和打印服务器管理员一样。在大型组织中,这些角色可以无限细分,一些帮助台运营商可能有权重设账户和密码,而其他人只限于帮助运行应用程序。我们的目标是要认识到,提升权限的所有管理员必须是可信的,而有些人比其他人更应该得到信任。谁拥有全部或广泛的权限越少,那么可以滥用这些特权的人就越少。实践二:确定管理规范以下管理实践有助于管理安全性:·在远程访问和访问控制台和管理端口上放置控件。·实现带外访问控制设备,如串行端口和调制解调器,物理控制访问敏感设备和服务器。·限制哪些管理员可以物理访问这些系统,或谁可以在控制台登录。不能因为雇员有行政地位,就意味着不能限制他或她的权力。·审查管理员。IT管理员在一个组织的资产上拥有巨大的权力。每一个拥有这些权限的IT员工应在就业前彻底检查,包括征信调查和背景调查。·使用自动软件分发方法。使用自动化的操作系统和软件的安装方法既保证了标准的设置和安全配置,从而防止意外的妥协,也是抑制权力滥用的一个很好的做法。当系统自动安装和配置,后门程序的安装和其他恶意代码或配置发生的机会就越来越少。·使用标准的行政程序和脚本。使用脚本可能意味着效率,但是如果使用了流氓脚本就可能意味着破坏系统。通过标准化的脚本,滥用的机会较少。脚本也可以被数字签名,这可以确保只有授权的脚本能够运行。实践三:做好权限控制这些控制包括:·验证控制:密码、账户、生物识别、智能卡以及其他这样的设备和算法,充分保护认证实践·授权控制:设置和限制特定用户的访问设备和组如果使用得当,账户、密码和授权控制可以派专人负责他们网络上的行为。正确使用是指至少每个员工的一个账户可授权使用系统。如果两个或更多的人共用一个账号,你怎么能知道哪一个该为公司机密失窃负责?强密码策略和职工教育也有助于执行该规则。当密码是难以猜测的和员工知道密码是不应该被共享的,适当的问责制的可能性才会更大。授权控制确保对资源的访问和权限被限制在适当的人选。例如,如果只有SchemaAdmins组的成员可以在Windows2000下修改ActiveDirectory架构,而且架构被修改,那么无论是该组的成员做的还是别人使用该人的账户做的。在一些有限的情况下,系统被设置为一个单一的、只读的活动,许多员工需要访问。而不是提供每一个人一个账户和密码,使用一个账户和限制访问。这种类型的系统可能是一个仓库的位置信息亭,游客信息亭等。但是,在一般情况下,系统中的每个账户应该仅分配给一个单独的个人。所有的行政人员应至少有两个账户:一...

1、当您付费下载文档后,您只拥有了使用权限,并不意味着购买了版权,文档只能用于自身使用,不得用于其他商业用途(如 [转卖]进行直接盈利或[编辑后售卖]进行间接盈利)。
2、本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供参考,付费前请自行鉴别。
3、如文档内容存在侵犯商业秘密、侵犯著作权等,请点击“举报”。

常见问题具体如下:

1、问:已经付过费的文档可以多次下载吗?

      答:可以。登陆您已经付过费的账号,付过费的文档可以免费进行多次下载。

2、问:已经付过费的文档不知下载到什么地方去了?

     答:电脑端-浏览器下载列表里可以找到;手机端-文件管理或下载里可以找到。

            如以上两种方式都没有找到,请提供您的交易单号或截图及接收文档的邮箱等有效信息,发送到客服邮箱,客服经核实后,会将您已经付过费的文档即时发到您邮箱。

注:微信交易号是以“420000”开头的28位数字;

       支付宝交易号是以“2024XXXX”交易日期开头的28位数字。

客服邮箱:

biganzikefu@outlook.com

所有的文档都被视为“模板”,用于写作参考,下载前须认真查看,确认无误后再购买;

文档大部份都是可以预览的,笔杆子文库无法对文档的真实性、完整性、准确性以及专业性等问题提供审核和保证,请慎重购买;

文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为依据;

如果您还有什么不清楚的或需要我们协助,可以联系客服邮箱:

biganzikefu@outlook.com

常见问题具体如下:

1、问:已经付过费的文档可以多次下载吗?

      答:可以。登陆您已经付过费的账号,付过费的文档可以免费进行多次下载。

2、问:已经付过费的文档不知下载到什么地方去了?

     答:电脑端-浏览器下载列表里可以找到;手机端-文件管理或下载里可以找到。

            如以上两种方式都没有找到,请提供您的交易单号或截图及接收文档的邮箱等有效信息,发送到客服邮箱,客服经核实后,会将您已经付过费的文档即时发到您邮箱。

注:微信交易号是以“420000”开头的28位数字;

       支付宝交易号是以“2024XXXX”交易日期开头的28位数字。

笔杆子文秘
机构认证
内容提供者

为您提供优质文档,供您参考!

确认删除?