在允许个人自由修改网络和企业系统的密码和配置方面,旧金山市的IT部门当然也不例外。
事实上,这种情况在许多组织中是相当普遍的——特别是中小型组织、it经理和其他最近受到警告的组织特里蔡尔兹事件。查尔兹是旧金山IT部门的一名员工,他利用自己的特权将所有人锁定在一个关键网络之外好几天。
查尔兹是旧金山电信和信息服务部(DTIS)的一名网络管理员,7月13日因涉嫌犯罪被捕涉嫌篡改城市的FiberWAN网络。他还被指控植入网络设备,使非法远程访问FiberWAN网络,该网络承载了该市近60%的流量。
由于拒绝透露用来阻止进入网络的密码,他被判入狱,保释金为500万美元。上周,在旧金山高等法院的听证会上,查尔兹否认了对他的指控,并要求降低他的保释金。
在星期三的保释听证会上,旧金山高等法院的一名法官拒绝降低保释金,尽管查尔兹本周早些时候戏剧性地透露了密码市长加文·纽森在一个监狱的会议.他的下一次听证会定于9月举行。
这一事件以及该市恢复对其锁定网络的完全访问权的努力,突显出将过多网络和IT系统的行政控制权移交给个人所涉及的危险。
但实际情况往往比想象中更严重马特Kesner他是旧金山律师事务所Fenwick and West的首席技术长。“它可能比我们想象的更常见。这是我在许多公司看到的噩梦,”Kesner说,并引用了他自己在其他公司工作的经验。
“通常有一个人脉专家真的掌握了一切。你必须非常努力地工作,以确保更多的人拥有钥匙,”并有适当的基础设施和程序来执行它,他说。但通常情况下,公司根本没有真正做到这一点所需的资源或技能。
“不幸的是,一到两个人造成了这样的情况,他们不仅是唯一知道发生了什么,而且他们是唯一能做任何事情的人,这种情况并不罕见。”弗吉尼亚州阿灵顿县技术服务部网络和基础设施服务部主任Lou Michael说。
这个问题不仅仅是对密码的控制,还有与配置和更改相关的文档。他补充说,通常在这种情况下,“那些掌握着王国钥匙的人往往会把访问权限、密码和文件的请求视为敌对行为。”他说:“根据我的经验,我不止一次遇到过这种情况。”Michael说,在一次事件中,一名大型机系统程序员因为更改访问权限而被解雇,因为他不同意其他人在系统上的活动。迈克尔说,在另一个案例中,这个人辞职是因为他“意识到,尽管有抗议,遵守程序和程序的压力不会消失”。
数据库安全和加密产品供应商Vormetric Inc.的首席执行官理查德·戈尔曼(Richard Gorman)表示,由于缺乏资源和优先级,这些做法一直存在。戈尔曼说:“对许多组织来说,安全在被攻破之前并不是任务的关键。”因此,许多公司将整个网络和系统的控制权交给一个人的情况并不少见。“这样做没有有效的技术理由”,而且这总是可以避免的。尽管如此,它还是“惊人的普遍”。
Solidcore Systems(一家变更管理产品供应商)的产品经理Raj Rajamani说,特别是在中小型公司,为了更经济有效地排除问题,并处理重新设置密码等日常管理任务,控制权交给了单个人。
他说:“如果你让一个人担任行政管理人员,然后让另一个人审计行政管理人员,再让另一个人审计审计人员,你就会陷入一个成本高昂、耗时低效的循环。”他说,可以使用工具来进行这类审计,但这个过程往往弊大于利。
“单点故障总是不好的,”他说约翰·佩斯卡托雷,该公司的分析师Gartner Inc .。“不应该有一个人是唯一知道配置或密码的人。”公司需要确保至少有两个人(如果不是三个人)共享网络配置和服务器配置的知识。佩斯卡托雷说:“至少,如果人员限制规定不能有重叠人员,就要求将其记录在案并存储在某个地方。”
了解更多关于这个主题的信息
这篇文章,“网络管理员控制过多的常见问题”最初发表于《计算机世界》 .