【106缺失TOP10系列文章】楊志強主導稽核員分享
A.9.2.5施行單位應定期審查使用者存取權限
帳號存取權限審查大概可分為校務行政系統、主機作業系統、網路設備及實體安全四大類:
一、校務行政系統
此類帳號審查除了一般使用者外,另應審查應用系統管理帳號及資料庫帳號,且遵守相關帳號密碼管理政策。二、主機作業系統
1.此類會被遺漏的情況通常是單位只審查應用系統的帳號,而未對主機內的作業系統管理帳號進行審查。2.主機加入網域管理(AD)或LDAP帳密管理時,除了審查或修改AD或LDAP上的帳號及密碼外,也應確認本機帳號的審查與定期修改密碼的情況,如無相關審查紀錄時,仍須進一步確認本機帳號是否停用,如未停用的話單位應定期審查及修改密碼,並遵守相關帳號密碼管理政策。
三、網路設備
1.此類帳號審查通常會與維護廠商有關,因此除了審查單位內部人員使用的帳號存取權限外,對於外部人員也應被審查,並遵守相關帳號密碼管理政策。2.曾經遇到單位防火牆的管理者及相關代理人員各自建立獨立帳號並定期審查存取權限,但設備有預設的最高管理權限帳號卻未有相關審查紀錄,預設帳號通常具有最高權限及預設密碼的風險,因此除了內部人員與外部人員外更可注意相關設備預設帳號的管理與審查作業。