运营安全涉及配置、性能、容错、安全性以及问责和验证管理,其目的在于确保适当的操作标准与合规性要求得到满足。行政管理是运营安全中个非常重要的环节。行政管理的一个方面是处理人员问题,包括职责分离和岗位轮换。职责分离的目标是确保一个独立行动的人通过任何方法都无法危及公司的安全。高风险的活动应该划分为几个不同的部分并指派给不同的人。通过这种方式,公司没有必要对某个人过度信赖,一旦发生了欺诈行为,那么一定有人共谋犯案,这也就意味着不止一个人卷进了欺诈活动。因此,职责分离是一种防御性措施,如果某人想要做违反策略的事情,那么他必须与其他人共谋。1下面列出了一些应由安全管理员而非网络管理员执行的任务:实现和维护安全设备与软件尽管某些安全产品供应商声称他们的产品具有"一劳永逸"的部署特点,能够提供有效的安全保护,但安全产品需要监控和维护才能充分发挥作用。如果出现与新威胁作斗争的新功能,或者你自己在安全产品中发现脆弱性,那么就需要进行版本更新和升级。执行安全评估作为安全管理员向组织提供的一项保护服务,安全评估利用安全管理员的知识和经验来确定某个组织使用的系统、网络、软件和内部开发的产品中的安全脆弱性。这些安全评估使组织能够了解所面临的风险,并就考虑购买的产品和服务做出明智的业务决策,以及根据选择接受、转移(通过购买保险)或规避(通过不做之前考虑完成、但不值得冒风险或为缓解风险而花费成本的某些事情)的风险来决定风险缓解策略。创建和维护用户资料,实现和维护访问控制机制安全管理员实现最小特权安全策略,并监督现有账户及其分配到的权限和权利。配置和维护强制性访问控制(MAC)环境中的安全标签MAC环境主要用在政府和军事机构内,它具有在数据客体和主体上设置的安全标签。安全管理员应当负责监督这些访问控制的实现和维护。管理口令策略新账户必须得到保护,以防止攻击者了解设置口令的模式或者发现任何新建但未设置口令的账户,从而在授权用户访问该账户并修改口令前接管这些账户。检查审计日志虽然一些最强大的安全保护来自防御性控制(如阻止未授权网络活动的防火墙),但是也需要采用诸如检查审计日志之类的检测性控制。23适当的安全控制和机制必须具有一定程度的透明性。因为安全控制的存在,所以这使得用户没有必要通过额外的步骤来执行任务和职责。透明性也不能让用户对控制了解太多.这有助于防止用户发现如何避开安全控制。如果控制太过明显,那么攻...
