资源目录

翻译：陈海燕，CISSP（phrackchen@hotmail.com）

(《计算机安全介绍：NIST手册》第十章)

英文版PDF

注：以下内容因排版原因有所省略。

许多计算机安全问题涉及到人类用户、设计者、实施者和管理者。大量的安全问题关系到人员如何与计算机进行交流以及他们进行工作所需的授权。不能正确地解决这些安全问题就无法保护计算机。

本章考察与计算机系统进行交流的岗位的人员；系统用户的管理，包括关于终止员工访问的考虑因素；以及承包人或公众访问系统时需要考虑的特殊问题。职员问题与17章讨论的逻辑访问控制紧密相关。

10.1 职员
安排职员通常涉及到至少四个步骤，它们既适用于一般用户也适用于应用管理者、系统管理人员和安全人员。这四个步骤是：（1）定义工作，通常涉及到职位描述的制定；（2）确定职位的敏感性；（3）填充职位，涉及到审查应聘者和选择人员；以及（4）培训。

10.1.1 新出现职位的定义
应该在定义职位的早期识别和处理安全问题。一旦职位被广泛定义，负责的主管应确定职位所需的访问类型。授予访问权时应该遵循两个基本原则：职务分离和最小特权原则。

职务分离原则是指对角色和责任进行分类使单独一个人无法破坏关键的过程。例如，在金融系统中，单独一个人通常无权发放支票。而应该是一个人发出支付申请，另一个人对这个支付进行授权。实质上，应该将互相制衡的机制设计到过程以及执行过程的具体职位中。管理人员有责任确保正确定义这样的职务。

最小特权原则是指只赋予用户其执行工作任务所需的访问权的安全目标。例如，数据录入员可能无需对其数据库的报告进行分析。但是，最小特权原则不意味着所有的用户都只能拥有极小的访问权；如果其职位需要，一些员工将拥有很大的访问权。尽管如此，应用此原则还是会限制由于事故、错误或非受权使用系统资源造成的损害。确定实施最小特权原则不会造成人员之间无法及时替换是很重要的。如果不进行精心地计划，访问控制可能会妨碍到应急计划。

10.1.2 确定职位的敏感性
确定职位敏感性时需要了解这一职位所需的知识和访问级别。负责的管理人员应该正确识别职位的敏感性以便完成适当的和具有成本效益的审查工作。

联邦政府中设定的职位具有各种各样的敏感性水平。对适当水平的确定是基于该人员通过滥用计算机系统可能造成损害（如泄露私人信息、中断关键处理、计算机欺诈）的类型和程度这样的因素以及更传统的因素，如对保密信息的访问和受托责任。在这一问题上应该接受特定机构的指导。

选择适当的职位敏感性是很重要的，因为职位敏感度的过度设定会使控制浪费资源，而过小设定可能会造成无法接受的风险。

10.1.3 填充 – 审查和选择
一旦职位敏感性被确定，就要准备填充职位了。在联邦政府中，这通常包括公布正式的空缺职位公告和识别符合职位需求的申请者。比较敏感的职位通常需要雇佣前的背景审查；不太敏感的职位可能在雇佣后审查（入职-在岗）就可以了。

背景审查协助确定具体人员是否适合于特定职位。例如，对于高受托责任的职位，审查过程将考察人员的可信赖度以及对特定职位的适合度。在联邦政府中，机构中或另一个机构的核心调查官员（如人事官员）通过正式的调查程序进行一系列的背景调查。

在联邦政府中，大多数审查技术涉及到对犯罪记录、FBI指纹记录和其它联邦索引的核查。更深入的背景核查还检查其它因素，如人员的工作和教育经历、个人会面、拥有和使用非法物品的记录、以及与当前或以往同事、邻居以及朋友的会面。具体执行的审查类型取决于职位的敏感性和实施规定的当事机构。审查不由预期的职员管理人执行，而应该依照特定机构的指导由机构的安全和人事官员进行。

在联邦政府以外，通过多种方式完成员工的审查。因敏感性的不同，不同的机构执行不同的政策来检查人员的背景和资格。机构的政策和规程通常试图在避免侵犯和诋毁与了解员工诚信度之间寻找平衡点。一种办法是最初将员工安排到不太敏感的职位上。

无论对于联邦政府还是对于私营企业，发现一些危及安全的背景情况并不一定意味着他们不适合特定的职位。应该根据工作类型、所发现的事件的类型或其它相关因素作出决定。在联邦政府中，这个过程被称为裁定。

10.1.4 员工培训和意识培养

即使候选人被雇佣以后，还不能认为填充工作已经完成，还需要对员工进行其工作内容的培训，其中包括计算机安全责任和任务的培训。如13章中讨论的那样，这种安全培训对于改进安全是很高的成本效益的。

一些计算机安全专家认为员工必须在授予计算机系统访问权之前接受最初的计算机安全培训。而另一些专家认为这应该根据风险来决定，也许在培训结束前可以赋予一些受到严格限制的访问权（或者仅仅是对其个人电脑的访问权）。两种提法都认识到员工的良好培训对于计算机系统和应用发挥效率是至关重要的。机构可以在授予员工任何访问权之前提供介绍性的培训， 然后给予更深入的培训。另外，虽然培训新用户是很关键的，认识到员工在成为系统用户后仍需要给予持续的安全培训和意识培养也是很重要的。（更多讨论参见第13章。）

10.2 用户管理

对用户计算机访问权的有效管理对于维护系统安全是很重要的。用户帐户管理主要是识别、认证和访问授权。审计过程以及定期验证当前帐户和访问授权的合法性是一种加强措施。最后，还要考虑在员工调职、晋升或离职、退休时及时修改或取消访问权等相关问题。

用户帐户管理涉及到（1）申请、建立、发放和关闭用户帐户；（2）跟踪用户及其相应的访问授权；以及（3）管理这些功能。

用户账户管理通常始于用户主管向系统管理者申请系统账户。如果需要访问特定的应用程序，这个请求可能通过应用管理者传递给系统管理者。这将确保系统官员从“应用管理者”处获得对给与访问权职员的正式批准。这个申请通常会载明被授予的访问权水平，可能是根据功能也可能是根据具体用户的特征。（通常当多于一个职员做相同的工作时，创建所赋予授权的“特征”文件。）

之后，系统运作人员通常会根据账户申请为新用户创建账户。账户的访问权水平将与主管的申请内容相一致。这个账户通常会被设定所选择的访问授权。有时直接建立在应用程序中，有时依赖于操作系统。也有使用“附加”访问控制程序的情况。这些访问权水平和授权通常与应用程序中的特定访问权水平紧密相连。

下一步，将账户信息发给职员，包括账户的识别符（如用户ID）和认证的方法（如口令或智能卡/PIN）。如果用户ID与员工所处的职位（如会计的ID是ACC5）或具体员工（如Brenda Smith的ID是BSMITH）紧密相关，在这个阶段会有一些问题。将用户ID与职位绑定在某些情况下可能会简化管理；但是这可能会在审计中对追踪特定人员的行为增加困难。通常将具体员工与用户ID绑定更有好处。如果创建用户ID并将其与职位绑定，就要建立规程在员工转换工作或调职时进行更改。

授予员工账户时对员工进行初始或再次的计算机安全问题培训和意识培养通常比较方便。用户应该被问及一些系统访问方面的规则和规定。为了表明对这些规定的理解，很多机构要求员工签署一份“认可声明”，声明可能还会表述将会因违反而导致解雇或根据计算机欺诈和滥用法案或其它适用的国家或地方法律可以起诉的事项。

当不再需要账户时，主管应该通知应用管理人和系统管理人员以便可以及时地清除账户。另一项有用的检查方式是与机构的人事部门一道建立规程，使员工离开时有正式的通知给系统人员。更多的相关讨论在本章的“离职”一节中。

了解访问和授权管理的连续性问题是很重要的。添加一些新用户账户，而另一些账户被删除。许可的更改：有时是永久的，有时是暂时的。新的应用程序被添加、升级和删除。跟踪并保持这些信息的更新状态是不容易的，但是为了使用户只具有完成给其设定责任所必需的访问权以维护最小特权原则，这是必须的。在管理这些账户中，需要平衡服务的及时性和记录保持之间的关系。当需要保持良好的记录时，处理请求（如更改请求）的延迟可能会导致比真正需要的更多的访问请求来避免所需访问的延迟。

管理这样的用户访问过程通常是非集中式的，尤其是在大型系统中。地方管理者可能会被授予职权来创建账户和更改用户访问授权，或是提交申请要求集中式的访问控制功能来做出所需的更改。这些更改的批准是很重要的，它可能需要文件所有者和权限被更改员工的主管的批准。

10.2.2 审计和管理检查
有时需要检查系统中用户账户的管理情况。在用户访问方面，它可能会检查每位人员所拥有的访问权水平，对最小特权原则的符合程度，所有的账户是否都处于活跃状态，管理授权是否处于更新状态，是否完成了所需的培训等等。

这些检查至少可以在（1）逐个应用基础上和（2）整个系统基础上这两个级别进行。两种检查都可以由系统内部人员（自我审计）、机构内部审计人员或外部审计员进行。例如，应用管理人（和数据拥有者，如果有区别的话）每月检查所有应用用户的访问权水平并签署正式的访问批准清单，该清单提供批准的书面记录。也许在最初看来应该由系统人员执行检查，其实这通常不是很有效的。系统人员只能验证管理人对员工访问权的设定情况。但是因为访问需求是随着时间变化的，让应用管理人参与进来是很重要的，他通常是知道当前访问需求的唯一在职人员。

审计机构以外的人员（如监察长[IG]或会计长）也可以执行审计。例如，监察长可以指导更广泛的许可权检查。这可能涉及到讨论特定人员对特定访问权水平的需要或拥有敏感访问权用户的数量。例如，有多少职员应该真正拥有支票打印功能的授权？（审计员也要检查非计算机访问权，例如，谁应该拥有支票打印机或空白支票薄的物理访问权。）

10.2.3 探测非受权/非法活动
除了审计和审计跟踪分析之外还有几种机制被用于探测非受权和非法活动。
例如，欺诈行为可能要求实施者经常到场。在这种情况中，职员缺席期间可能会发现欺诈行为。关键系统和应用人员的强制假期可以帮助探测这种活动（但并不保证做到，例如，如果职员返回处理时还没有来得及发现问题）。这对避免产生对单个人员的过度依赖是有用的，因为系统在缺席期间也要运作。尤其是在政府中，使用定期重新进行人员审查的方法发现非法活动的可能迹象（如生活水平超出已知的收入水平）。

10.2.4 临时任命和部门内调动
管理系统的一个重要方面涉及到保持用户访问授权的更新状态。访问授权通常在两种情况下进行更改：（1）暂时的（如代替某个生病的职员）或永久的（如内部调动后）更换工作角色以及（2）下一节讨论的离职情况。

在其他人缺席期间经常会要求用户完成其常规工作范围以外的任务。这需要附加的访问授权。虽然需要，还是应该尽量少地赋予访问授权并且认真进行监视，以便与内部控制目标中维护职务分离的需求相一致。在不需要时，也应该及时清除这些授权。

当职员在机构内更换职位时通常需要永久更改。在这种情况下，还会发生账户授权的过程（在10.2.1节中曾经描述过）。这时，将以前职位的访问授权清除也是很重要的。许多“授权蔓延”的例子就发生在职员继续持有以前在机构中所担任职位的授权的情况下。这种情况不符合最小特权原则。

10.2.5 离职
用户系统访问权的终止通常被划分为“友好的”或“不友好的”。友好的终止可能发生在员工自愿调任的，辞职以便接受更好的职位，或是退休。不友好的终止可能包括用户被解雇的情况、“裁员”或非自愿调任。幸运的是，前者是最普遍的，但是两种情况都不得不涉及到安全问题。

10.2.5.1 友好的离职
友好的离职是指没有理由怀疑终止不是双方接受时员工的离开。因为预期离职会正常进行，所以通常是为离开或调任的员工完成一系列标准规程。这是标准的员工离职过程，执行这些规程以确保系统账户能够被及时清除等目标的实现。离职过程通常涉及到由每个相关功能管理人签署的表格。这一般包括管理访问控制、钥匙控制、报告机密和隐私责任、图书馆、财务管理以及其它不一定与信息安全有联系的组别。

另外，还应该检查其它一些问题。例如，通常要确认数据的继续可用性。无论在人工还是电子领域，这都可能涉及到制定文档的过程或文件整理方案，如怎样将文档存储在硬盘上以及如何备份。应该使员工了解在离开前是否应该“清理”其PC机。如果使用了加密方法保护数据，就必须确保管理人员得到密钥。必须收回认证令牌。

数据的机密性也可能是个问题。例如，员工是否知道允许他们与后来的机构同事分享何种信息？这与可以与公众分享的信息有何不同？应该在整个机构范围内处理这些以及其它一些机构特定的问题，以确保对数据的持续访问并且在人员转换过程中提供持续的机密性和完整性。（应该在持续的基础上处理其中的很多问题，而不是仅仅在员工转换期间。）培训和意识培养项目通常应该涉及到这样的问题。

10.2.5.2 不友好的离职
不友好的离职涉及到不情愿或敌对情况下的员工离职。这可能包括裁员、非自愿调任、因“性格冲突”辞职以及未妥善处理的不公平情况。这种离职中的紧张关系导致安全问题的加重和复杂化。另外，所有涉及到友好的离职问题还都存在，但是处理起来可能会更困难。不友好离职的最大威胁可能来自那些有能力更改代码或改变系统或应用的人员。例如，系统管理人员的职位使其容易造成系统运行的重大故障。没有适当的防范措施，拥有这种访问权的人员可以在代码中放置逻辑炸弹（如擦除磁盘的隐含程序）在该职员离开之后才执行。备份拷贝可能会被毁掉。甚至还有代码被“劫为人质”的例子。其他员工如一般用户也可能造成损害。可能会故意输入错误，将文档错误归档，以及制造其它“随机错误”。矫正这些情况可能会非常耗费资源。

对于潜在的不良影响，安全专家通常建议在这种情况下迅速终止系统访问权。如果员工被解雇，应该在通知员工离职的同时（或之前）清除系统访问权。当员工向机构提出辞职时，有理由预期这是不友好的离职，应立即终止系统访问权。在“布告”阶段，可能有必要限制人员的活动区域和功能。尤其是对具有更改程序或修改系统或应用能力的人员更应如此。在其它情况下，使其物理地离开办公室（当然，存在逻辑访问控制的时候进行逻辑清除）可能就足够了。

10.3 承包人访问的考虑因素
许多联邦机构以及私营机构使用承包人和顾问协助其进行计算机处理。承包人的使用期限经常比员工短。这一因素可能会改变执行审查的成本效益。承包人员的频繁转换增加了安全项目用户管理方面的花销。

10.4 公众访问的考虑因素
许多联邦机构开始设计、开发和使用向公众散发信息的公众访问系统。一些系统提供的电子交互允许公众向政府发送（如纳税文件）以及接收政府的信息。当公众可以访问系统时，产生了额外的安全问题：（1）增加了对公众访问系统的威胁以及（2）安全管理的难度。

许多计算机系统成为黑客攻击的受害者，而公众访问系统又是知名和公布了电话号码和网络访问ID的系统。另外，成功的攻击会制造很大的公众影响。因此，公众访问系统成为黑客对计算机所处理信息的机密性、可用性和完整性攻击威胁的最大目标。通常可以认为，一旦系统能够被公众访问，系统的风险就会上升，并且经常会对其使用进行严格约束。

除了不断上升的黑客威胁，公众访问系统可能成为内部破坏的目标。例如，像心怀不满的员工这样肆无忌弹的用户可能会试图将错误引入数据文件进行分发使机构遭遇尴尬或失去信誉。因公正访问系统的高可见性，攻击公众访问系统对机构的声誉和公众的信心水平可能会造成切实的影响。未经培训用户的无意行为也可能造成安全问题。

在没有公众访问的系统中，有用户注册规程，这通常涉及到一些用户培训并经常会要求签署认可用户责任的表格。另外，会生成用户特征文件和制定复杂的审计机制来探测异常的用户活动。在公众访问系统中，用户通常是匿名的。这会使系统安全管理复杂化。在大多数没有公众访问的系统中，用户通常是已知的员工和承包人。在这种情况下，使用不很完善的访问控制方案是可以容忍的。但是，当系统向公众开放时，由于增加了威胁，所以需要额外的小心。

10.5 相互关系
用户问题贯穿整个手册。

第13章讨论的培训和意识培养是处理计算机安全中用户问题的关键部分。

计算机系统中的认证和识别以及访问控制只能防止计算机被命令执行不允许进行的操作，也就是政策规定的。计算机安全专家认识到更多的危害来自于允许但人们不应该做的事情，他们指出了计算机安全问题中用户问题的重要性，以及审计的重要性。

政策，尤其是其执行部分与人员问题紧密相连。当用户知道其有意或无意的错误行为会被发现时，会在他们中间产生遏制效果。

这些控制还依赖于管理人（1）正确选择其员工的访问类型和级别并且（2）通知系统管理者哪些员工需要账户以及其需要的类型和级别，并且（3）及时通知系统管理者更改访问需求。否则，账户和访问权就会被赋予或保留给不应该拥有的人。

10.6 费用的考虑因素
有很多因用户问题产生的安全费用。其中包括：

审查 – 初始背景审查和适时定期更新的费用。

培训和意识培养 – 培训费用包括评估、培训资料、课程费用等等，这在第13章中单独讨论。

用户管理 – 管理识别和认证的费用，尤其对于大型分布式系统可能很可观。

访问权管理 – 尤其是在账户初始设立以后，维护用户现时和完整访问的持续费用。

审计 – 虽然在使用自动化工具时这种费用可能会减少，但是仍然经常需要耗费资源的人工检查来发现和解决安全异常。

参考书目
Fites, P., and M. Kratz. Information Systems Security: A Practitioner's Reference. New York, NY: Van Nostrand Reinhold, 1993. (See especially Chapter 6.)

National Institute of Standards and Technology. "Security Issues in Public Access Systems." Computer Systems Laboratory Bulletin. May 1993.

North, S. "To Catch a `Crimoid.'" Beyond Computing. 1(1), 1992. pp. 55-56.

Pankau, E. "The Consummate Investigator." Security Management. 37(2), 1993. pp. 37-41.

Schou, C., W. Machonachy, F. Lynn McNulty, and A. Chantker. "Information Security Professionalism for the 1990s." Computer Security Journal. 9(1), 1992. pp. 27-38.

Wagner, M. "Possibilities Are Endless, and Frightening." Open Systems Today. November 8 (136), 1993. pp. 16-17.

Wood, C. "Be Prepared Before You Fire." Infosecurity News. 5(2), 1994. pp. 51-54.

Wood, C. "Duress, Terminations and Information Security." Computers and Security. 12(6), 1993. pp. 527-535.