6项绝佳对策 抵御IT安全威胁

核心提示： 我们建议人们使用明确的策略以便在特权密码的内部调查中保护所有的密码类型，并且还应当给每位员工讲清楚更新策略，6项绝佳对策 抵御IT安全威胁(3)，最佳办法就是让这些策略至少跟员工个人的更新策略一样严格，4.确保特权密码的存储安全这一点也是看起来是理所当然的，有了强有力的计划和足够的知识，你

我们建议人们使用明确的策略以便在特权密码的内部调查中保护所有的密码类型，并且还应当给每位员工讲清楚更新策略。最佳办法就是让这些策略至少跟员工个人的更新策略一样严格。

4.确保特权密码的存储安全

这一点也是看起来是理所当然的，但是对企业来说，他们是必须把特权密码存储在最安全的地方。将密码放在密封的信封中，胶封，放到加密的文件中或者放到钱包大小的卡中，这些方法都是不可取的(事实上，我确实看到一些企业使用以上这些手段。)

5.创建分阶段的实施方案

特权密码从字面上看，它指的是进入你系统的钥匙，因此你必须小心的掌控它的安全。特权密码项目的一个常见阻碍就是，一旦创建了密码目录，那么这个目录的容量以及代码的行数将会非常庞大。员工可能会说：“我们从来没这么做过，何必现在开始自寻烦恼呢?”在这些情况下，最成功的审计人员会深呼吸一下，喝一大杯Latte然后开始整理一套分阶段实施的计划，让每个阶段都有合理的期限，可交付的内容以及成果。

6.把计算机也看作是人

尽管99%的企业都为员工修改密码，还是有42%的企业从来不更改hard-coded以及应用ID，测试脚本还有批处理的嵌入密码。(信息来源：《数码方舟-企业特权密码调查》。)Burton集团的Mark Diodati认为，这种情况造成了App2App密码问题呈指数级的增长。例如，300主机x2个应用程序/主机x5个脚本/应用程序=3000个存储的密码。通常，这些密码都是清楚地写在文本里，任何开发人员或者数据库管理人员都可以得到。

总之，没有App2App元件的特权密码管理系统是不完善的。但是，由于应用程序密码是存储在必须重复编码、测试以及配置的脚本里的，与我合作过的的大多数企业，都采取固定那些已经通过了的代码的方法来避免可能出现的错误。重申一次，分阶段的计划非常有用。

最后一点注意事项：没有相关的报告机制的特权密码管理策略也是不完整的。特权密码的监听报告通常应当包括如下主题：比如，密码何时更新，有无更新失败的情况以及哪些个人用共享账户执行了任务等等。

这样你就明白了吧，当今IT安全最大的威胁其实是源自很小的事情，只是虚拟地嵌入在硬件和软件中的一点点代码。然而，有了强有力的计划和足够的知识，你就可以保护自己的组织，任何审计员都能成为抵御当今最大IT威胁的斗士。