分类:
2008-09-09 12:51:28
美国旧金山市的一位网络管理员Terry Childs被指控在该市的光纤广域网的机和器上创建一个超级口令,并且利用这个口令封锁其他人访问管理功能。据报道称,Childs被查出篡改网络,并且在与监管人员发生冲突之后受到纪律惩罚的时候以敌意行动做出回应。
由于Childs采取的敌意行动,管理员不能访问路由器和机,尽管网络能继续工作。Childs被指控犯有四项计算机作弊罪,并且需要500万美元保释金才能保释候审。
在这个事件发生一周之后,旧金山市仍然不能访问这个网络并且有关的细节情况很少。然而,有些事情是很明显的。
位于得克萨斯州休斯敦的顾问公司Phaseit的副总裁Cameron Laird说,在一个这种规模的机构中是不应该发生这种事情的。在计算机发明之前就存在保护机构防止内部不法雇员破坏的需求。两千年前人们就在制定这些原则。我认为,我们从榜样中能够比我们在IT中学到更多的经验。例如,在财会和审计方面我们有数百年的经验。有些原则,如访问控制,已经结合到了IT文化中。有些原则,如最低权限,刚刚开始广泛地应用。有些原则,如双重授权,还没有进入IT文化。
遗憾的是这些原则在Childs的案子中都被忽略了。这个事件的报告显示,虽然旧金山市例行公事地记录在网络上管理行动,但是,他们在发现Childs最初的活动迹象的时候没有迅速地和果断地采取行动。
在这些情况中的最佳做法是在进行评估之前立即阻止访问这个系统。例如,美国核管理委员会对核电厂管理条例要求如果检测到任何可疑活动要立即禁止访问重要的系统。
另一个问题是旧金山市显然没有有效地采用最低权限的原则。一个网络管理员显然需要广泛地访问它管理的系统。但是,这并不等于没有疑问地、没有限制地访问。Childs显然拥有创建超级口令的能力和随意修改其他管理员权限的能力。虽然他的活动被记录了,但是,这种记录不过是亡羊补牢。
从理论上说,任何级别的雇员都应该仅授予做自己的工作所必须的那些权限。除了最低级别的员工之外,这种做法需要为每一个人制定一套单独的访问权限,因此是不现实的。因此,我们要把员工分配到拥有同样权限的组,无论那个具体的员工是否需要所有这些具体的权限。
使这项措施有效的关键是精细程度。对于访问某些重要的功能,如改变管理权限,精细程度是需要非常仔细的。由于一个机构内只有很少的人拥有或者需要访问这些重要的功能,这是很容易管理的。
Laird说,对于一个拥有百万人口的城市政府这种规模的机构,你必须认真对待管理权限的方法。
Laird指出,在军队、美国航天局和其它机构,重要的行动需要一个人以上才能实施。这个典型的例子是发射一枚核导弹至少需要两名官员拥有发射控制台的钥匙并且必须要同时使用这个钥匙。要求一个以上的人员采取有可能出现破坏作用的行动意味着可能要两个或者更多的人合作才能完成这个行动,从而减少类似的问题发生。
旧金山发生的事情的主要原因是身份管理和接入控制问题。有许多公司拥有良好的身份管理和接入控制软件。但是,一般来说,重点是身份管理(设置和保护口令),而不是接入控制(决定这些口令让你访问什么内容)。创建一个超级口令的行动肯定不仅仅需要适当的权限水平。
更重要的是,全世界所有的软件都不能替代对这个问题的理解和采取步骤防止发生这种事件的意愿。