web-dev-qa-db-ja.com

情報システムにはいくつのアカウントが必要ですか?

セキュリティの観点から、情報システムに複数のアカウントを持つことは問題ですか?

少し明確にしましょう。銀行システムです。複数のアカウント(同じタスクに複数のログイン名とパスワード)が関連付けられたCSO(カスタマーサービス担当者)がいると、セキュリティ違反が発生するのではないかと思います。このシナリオに固有の違反を確認できますか?

1
Yars

システムにあるアカウントの数を最小限に抑えるように努める必要がありますが、複数のアカウントは常に悪い考えであるというラルフには同意しません。

はい、2つの目(提案/承認)に基づくセキュリティモデルがある場合、複数のアカウントがこれを覆します。 OTOH、私は自分が管理するシステムに常にユーザーアカウントを持っているだけでなく、rootのリモートアクセスを無効にします。そうすれば、私は自分の超能力をオンにするという意識的な決断をする必要があります。

したがって、いつものように、答えはそれがセキュリティモデルに依存するということです。

3
symcbean

複数の役割を使用することでリスクが劇的に減少する場合が多くあります。

たとえば、通常のユーザー環境だけでなく、開発者環境にもアクセスできる個人。ユーザースペースで開発者権限を持つ人は必要ないので、2つの別々のアカウントが必要です。1つは開発者でのみ機能し、もう1つはユーザーでのみ機能します。この例では、ログに記録されるアクティビティは環境ごとに異なる場合があります。

別の例として、通常は自分の地域で支払いを行う個人がいる場合がありますが、場合によっては、複数の支払い地域にわたってレポートを作成する必要があります。あなたmay 1つのエリアで支払い開始アクセスを提供し、すべてのエリアのアクセスのみを表示するか、日次の役割用の通常のアカウントと、レポートの役割専用の別のアカウントを提供することができます。

個人が利用できる複数の役割がある場合は、有毒な組み合わせマトリックスを使用して、それらの役割を使用して4つ目のコントロールなどを破壊できないようにします。

リスクをもたらす可能性のあるすべてのアクティビティを監視およびログに記録する限り、アクションを追跡することはnot困難です。

2
Rory Alsop