与位于Dedham, MA的安全软件供应商Cyber-Ark Software Inc. 之CTO Nir Gertner一起完成。Gertner在企业系统安全方面已经有超过十年的经验。
这篇采访原先发表于IT Business Edge杂志之每周报道上,题为《增强网络安全》。欲浏览IT Business Edge 每周报道的全部内容,或注册获得该免费的技术智囊团,请访问http://www.itbusinessedge.com。
问题:对于恶意代码的攻击,补丁管理已经在安全市场上有很高的呼声;为什么企业仍要关注密码管理?
Gertner:每个企业信息基础架构的后台都是一系列用网络联通的服务器,网络设备,安全设置以及其他创建公司复杂的通讯网络的结构。系统管理员,网络管理员以及安全管理员会登陆这些重要的基础节点,使用root以及管理员权限完成日常维护工作。虽然许多企业想方设法让最终用户懂得了设置复杂密码以及经常改变密码的必要性,但这样做还是远远不够的。管理员权限是为紧急情况和灾难恢复所准备;只有一个可靠的密码管理策略可以保证正确的密码会在那些对时间敏感的场合下提供。此外,有时管理员帐户必须在几个人之间共享,如那些只支持单用户登陆的网络设备,或者系统维护员工需要在下班时间解决问题。这就使得管理员密码被散布开,同时不会经常改动。管理员虽然有着如意算盘,但这些密码倒手次数越多,不被改动时间越长,出现安全问题的可能性就越大。传统的基于密码的安全系统,在面对管理员密码时会即刻土崩瓦解。
