提升特权访问的几个安全提议
发布时间:2022-05-26 08:42:12 所属栏目:安全 来源:互联网
导读:特权访问指具有业务系统特权的人,对业务系统进行配置更改,或者对业务数据访问操作等行为。将分散、混乱特权访问现状进行集中统一管控是有效的解决办法,实现特权身份和访问权限进行集中管理,并对访问行为进行全程实时记录,为事后安全审计提供有力证据。
|
特权访问指具有业务系统特权的人,对业务系统进行配置更改,或者对业务数据访问操作等行为。将分散、混乱特权访问现状进行集中统一管控是有效的解决办法,实现特权身份和访问权限进行集中管理,并对访问行为进行全程实时记录,为事后安全审计提供有力证据。 一、特权访问下安全风险 特权访问指具有业务系统特权的人,对业务系统进行配置更改,或者对业务数据访问操作等行为。特权访问行为可控制组织资源、修改安全策略以及访问大量敏感数据,常常和系统运行维护操作相关,系统运行维护访问操作是最为典型的特权访问行为。例如在Linux系统上以root权限登录系统修改系统参数、停止核心业务服务或执行系统关机操作;亦或在交换机上以管理员权限登录修改交换机路由配置添加访问白名单放行外部用户访问内部敏感系统和数据等。特权访问具有隐秘性强、可执行权限高和影响范围广的特点。特权访问常常存在如下的安全风险: 二、特权访问下数据安全建议 将分散、混乱特权访问现状进行集中统一管控是有效的解决办法,实现特权身份和访问权限进行集中管理,并对访问行为进行全程实时记录,为事后安全审计提供有力证据。绿盟君提出如下四点安全建议来提升特权访问安全。 (1) 主帐号集中管理 把具有特权身份自然人抽象定义为主帐号,所有可访问业务系统帐号密码信息抽象定义为从帐号,将所有主帐号和从帐号统一管理起来是特权访问管理的前提。通常采用三权分立原则对主帐号进行管理,可以划分为特权身份管理员、特权审计员和系统维护员三类角色权限,其中特权身份管理员负责对主帐号新建、编辑、权限分配、注销等一系列全生命周期管理;特权审计员负责对主帐号操作行为、从帐号使用情况进行审计分析,并对审计结果进行统计报表等;系统维护员负责对特权身份管理系统的配置、更新和维护等。三类权限相互牵制,防范特权权限监管真空区。同时结合双因素或多因素认证方式对主帐号进行身份鉴别,解决特权身份混用、冒用问题,也为安全事件指证和定则提供可靠依据。并引入身份鉴别防护机制,例如对暴力尝试破解密码行为进行锁定登录,静默会话自动注销,不能使用重复密码,帐号密码信息加密存储等等安全机制保护主帐号信息。 (2) 从帐号集中管理 把所有业务系统抽象定义为目标设备。将目标设备中的所有从帐号进行集中管理形成从帐号分布全景图,等同于管理好了访问企业信息资产保险库的“金钥匙”。基于全景图的基础上管理好“金钥匙”的分发和使用情况,同时也要做好周期性巡查工作,及时发现企业中未纳管的目标设备和从帐号信息。例如通过SSO(单点登录)技术使得主帐号用户在不知道从帐号密码的条件下也可访问业务系统和数据。周期性扫描IDC机房中存活的业务系统以及发现从帐号信息。 定期检查从帐号密码状态,及时发现异常情况,保管好“金钥匙”。例如周期性对从帐号密码有效性进行验证,可及时发现从帐号密码泄露或失窃,发现特权访问时越权改密操作行为。周期性对从帐号密码进行改密,使得密码满足强密码规范要求,解决从帐号密码泄露和失窃问题。周期性检测从帐号状态,可及时发现非法植入的幽灵(后门)帐号,因员工离职后未及时注销的孤儿(长期不用的)帐号等异常从帐号情况。对于核心业务系统“金钥匙”最好是能够改造升级鉴别机制,升级到双因素认证方式(即支持可知因素和不可知因素的双因素认证),例如从帐号鉴别通过固定密码和动态密码组合方式进行认证,可彻底解决密码丢失、窃取和周期更新问题。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐