Kaiyun中国:内审干货——IT审计之“用户账号”管理审啥?
信息系统审计包括的内容很多,比如:硬件配置、备份管理、系统维护管理、网络安全、机房物理Kaiyun官方入口安全等等。
一类是人力资源部门集中申请的新入职员工账户;一类是老员工开新账号或岗位变动产生的账号变动。
细查之下可能发现:总是存在一些新开账户没有签批手续,而是部门领导或个别人直接找信息化部分的某些人,直接开户。
这些信息都可以在系统中的“账号管理”中查询到,重点还是看:不该开户的开户了,或一些根本用不到账号的占用账户名额,大多系统控制不是按“并发数”收费,而是按“账号数量”收费的。
开户通常有申请手续,但销户则不见得有,我们可以先查一查:不同软件系统内的销户管理中,是否都有申请手续?
比如离职,员工离职手续有时需要办理一两个月,人走了户还没销,什么时候销户,往往也是个问题。
有些是集中销户(由人事通知信息化部门),有些则是离职手续需要信息化部门签字,签字时销户。
最大的Kaiyun官方入口问题是:一家企业可能有一二十个信息系统,财务、营销、采购、库存、加工,甚至不同分子公司用的系统还不一样。
我们可以对比员工手册和相关软件系统的在用账号,找出已经离职或已转岗的人是否及时销户。
不同的系统软件,后台授权管理模块也不太一样,就算是IT从业者也需要试验很好时间才能摸清一些权限代表着实际操作是什么。
所以,查询权限时,我们可以找IT人员帮忙,查看关键岗位的授权管理,重点看超职责的权限配置问题。
同时,也要查看一些重要的、敏感的信息查阅和下载记录,重点看是否有一些不应该具有权限的账号查看了相关内容。
软件系统的最大权限是谁?管理员,他可以进行所有的后台设置,也可以更改运行记录,甚至新建账号使用后销号。
如果需要多人使用管理员权限,可以设立新管理员账号,并匹配相应权限,而不是多人共用一个管理员账号。
管理员账号最大的风险是:密码不常换,而且在软件上线期间通过多人共享账号,造成后续权限乱用!
还有一个问题十分普遍:一些小软件,通过是外部人(软件厂家)在操作管理员权限!
十分普遍的“潜规则”:很多管理者通常把自己的账号交给秘书或交给比较信任的下属去操作。
我们经常能发现:一个经理账号,他的所有下属都可以使用,为了图省事,为了让下属帮自己干活儿,也为了快速走流程。
理论上来说,我们要查的话都有查出来,有IP地址,有MAC地址,一查一个准。
一旦有大量数据产生,哪怕属于账号内的权限,也要关注信息安全问题,通常会有“偷取数据”的问题。
所以,审计之前,你必须了解你们企业一共使用了多少软件?哪些管理规范哪些不太规范?