正確的密碼管理
Terry Sweeney, TechRepublic‧陳奭璁 2004/06/08
Nir Gertner為Cyber-Ark軟體公司技術長,擁有十餘年的企業系統安全管理經驗。本文原刊登於IT Business Edge週報。
問:現在惡意程式碼攻擊事件眾多,安全市場大家都在談論修補程式管理(patch management),為何企業需要關心密碼管理問題呢?
Gertner:企業基礎建設的根基就是龐大的伺服器、網路裝置、安全與其他設備所組成的網路,構成一套複雜的企業通訊網路。系統、網路與安全管理員會定期以root與管理員權限登入這些重要基礎設施進行維護與修理,雖然企業花了不少心力向員工宣導如何選擇複雜的密碼,以及應該多久變更一次,但光是這樣做還不夠。
管理員權限適用在緊急或災難復原情況,唯有可靠的密碼管理政策才能確保在迫切時刻能拿得到正確的密碼。此外,部分管理員帳號由多人共享,比如網路裝置僅支援單一用戶時,或者當下班後值班人員需要解決問題時。這使得管理員密碼變成人盡皆知,也不會如同正常密碼那麼經常被變換。管理員用意原本良善,但若這些密碼被越多人知道,或者一直沒有改變,那麼對安全的影響就越大,傳統密碼安全體制往往碰上管理員密碼就全部失效。
問:在密碼管理政策上,企業常犯的最大錯誤是什麼?
Gertner:許多企業為了貪圖方便,往往會將關鍵系統的密碼統一放在一個檔案內,比如在試算表中,或者簡單的資料庫裡。只要一個簡單的測試就可知道要拿這些檔案有多容易。若企業中的IT管理員不會老是因維護/當機問題而被呼來換去,密碼安全的問題可能還比較容易解決,但由於這實際不太可能,因此企業必須嚴肅看待自家的密碼儲存方式,以及資訊安全、網路安全管理的控制方式與如何進行管理。管理密碼若管理不當將會造成安全上的重大影響,同時也是IT失效時無法立即復原的主因之一。
問:除了使用密碼管理產品外,你會建議企業遵守哪些最佳作法?
Gertner:企業的管理員密碼控制與管理應該包含以下七個關鍵作法:
統一管理:企業必須建立一套統一的政策、流程與執行機制。少了統一化,企業將無法確切掌握每個事業與技術單位是否有作法密碼保護。
保護儲存裝置:管理員帳號應該有安全的儲存方式,確保有經過堅實的認證、精緻分層控管(granular access control)、加密與監督。
全球化的安全可得性:以目前企業分佈之廣泛,管理員必須能獲得企業網路範圍之外的存取權限,以便安全存取並共享密碼。
雙重控制機制:對於最機密、最關鍵、最脆弱的伺服器,務必規定需有兩個以上管理員才能取得密碼。
定期變更密碼,並追蹤歷史紀錄。
直覺化的督導:隨著密碼的使用、變更或新增,企業亦需督導密碼的使用情況,以及誰負責保管。
災難復原計畫:企業必須尋求技術協助來將重要管理員資訊加以自動化備份留存,確保重要帳號在關鍵時期能迅速取得。
fr.: http://taiwan.cnet.com/enterprise/topic/0,2000062938,20090001,00.htm
0 Comments:
Post a Comment
<< Home