怎样防止系统管理员窃取公司秘密？

ZDNet安全频道原创翻译 转载请注明作者以及出处

作者：汤姆·欧扎克

网络的系统管理员属于公司为商业用户提供服务的宝贵资产。如何适当的监督这些关键员工在网络中的权利和权限，是安全管理的一个重要组成部分。
--------------------------------------------------------------------------------------------

今年夏天在加利福尼亚州发生的臭名昭著的政府网络盗窃案，导致了大量类似“我就告诉过你这样的后果”、“我们的解决方案将非常有价值”的马后炮言论的出现以及各种各样显示“天要塌下来”了的论点。如同许多其他安全专业人员一样，我关心的是这种情况在大部分公共和私人组织中传播的情况，这可能会让我少挣不少钱。

在事故发生以后，最重要的是了解它们的发展趋势。举例来说，如果IT人员在被解雇、激怒、或者只是无聊时做了“错误的事情”，会导致什么样的风险？在美国信息安全公司网络方舟（Cyber-Ark）的统计调查结果中，我对关于这个问题的其中一个可能的回答感到非常惊讶。

88%（这个比例很惊人）的IT管理人员承认，如果马上被解雇的话，他们将带走公司的机密。这些机密信息包括了包括了首席执行官的密码、客户数据库、研究和发展计划、财务报告、并购计划以及公司最重要的权限密码列表。这项研究还表明，在这百分之八十八的人群中，三分之一的将会利用权限密码列表获取类似财务报告、帐户、工资和其它特权信息之类的有价值文件。

[…]

该调查还发现，三分之一的IT管理员承认，他们曾对整个网络进行搜索和窥探，查看包括工资的细节和其他员工个人的电子邮件在内的高度保密的信息。

资料来源：《调查显示大多数的IT工作人员将窃取公司的秘密》，计算机世界，2008年8月28日

即使这些数字不能准确地反映全世界范围内IT专业人士的态度，商业和安全管理人员也必须仔细了解网络管理员管理过程的公正性，因为这是一件正确的事情。

下面是我的一些想法，可以对IT人员访问网络资源的情况进行限制：

1. 按照最小特权原则，将网络管理员的权限限制为其相关资源的实际管理权限。例如，很多公司将网络管理分为两个或者更多的团队。可以利用服务控制台创建帐户以及对组成员身份进行管理。局域网/广域网团队需要控制和操作交换机、路由器等网络设备的权限，服务器工程师只能拥有维持服务器运行和优化的权限。没有人拥有整个网络的所有权限。利用访问控制来限制资源的使用是绝对必要的工作模式。对于其它敏感的公司资源，也适用这个原则。

2. 所有技术支持团队的人—或至少所有的技术人员—需要知道网域管理员密码或成为所有网域管理员组的成员，这是一个标准的谬论。每个管理员权限的要求都必须审核，以确保获得履行一项或多项日常工作的权限。此外，进入企业网域管理员帐户，例如对一个活动目录的根系统管理员帐户进行的操作应该受到严格控制。即使管理员在需要的时间获准进入所有这些功能强大的帐户进行“检查操作”，也必须将检查情况记录在案。使用如eDMZ的密码自动仓库之类的密码库，也可以提供帮助。此外，关键人员（至少两个）应该配置和管理相关的信息库。记录/提醒必须保证他们是有区别的，如果可能的话，对所有的改变进行保存，并确认至少有两个人知道。最后，你可以选择信赖的解决方案，自动改变每次使用的关键密码。

3. 管理员级别组的每日检查应该有安全人员或者其他分析师负责控制监督。例如，我们在每天晚上运行脚本来对管理成员的名单列表和系统管理成员的列表进行比较。如果发现一个用户帐户位于管理员级别的组中，并且不属于核定的名单，就需要将其移出，并通过电子邮件通知安全团队。我们偶尔会发现，拥有管理员权限的用户在添加一个帐户的时间经常会“忘记”后续的步骤。

4. 网络中的所有管理操作—我的意思是每一项管理操作—都必须记录在案。记录不仅仅是确定入侵者的好办法，也是验证IT人员执行工作规则的实际情况的好办法。日志管理不会让内部团队工作过度。象CentraComm通信之类的托管安全服务提供商，提供了出色的记录汇总、相关性分析和警告服务。不管是谁负责审查日志，目的就是确保预期的安全性和控制结果。审查的时间要找出其中不正常的行为，它看起来有些象提炼或者汇总日志数据。开放网络应用安全项目（OWASP）提供了一个极好的日志记录审查指南。

5. 当属于IT团队的一个成员被解雇或者自动离职的时间，他或她应立即在陪同下到他或她的办公桌上收拾个人物品、安全徽章和钥匙。与此同时，帐户管理员应该立即禁用相关的帐户。在任何情况下，前员工被允许进入任何信息资源的权限应该在他或她是在陪同下到门口的时间就终止。

我敢肯定你能想到的其它方法来保护网络资源不受到来自不满的管理员的攻击。然而，我认为上面这些做法可以适用于所有类型的企业，是的，甚至连中小型企业也包括在内。