Sys / Net 관리자에게 편집증이 필수 '품질'입니까?

• 편집증은 Sys / Net 관리자가 (명확하게 보안상의 이유로) 갖지 않은 '요구 사항'으로 간주됩니까?

• 과도한 편집증과 같은 것이 있습니까? 아니면 다른 사람들을 신뢰할 수 있고 정신 분열증 고글을 통한 질문 시나리오에 완전히 머물지 않아야합니까?

  보안과 관련하여이 특성에 대한 '중간'이 있습니까? (기본적으로, 내가 부탁 해요하는 것이 사람입니다 당신이 고용?)

업데이트 : 나는 사람들이 "PARANOIA"라는 단어를 너무 강조하는 것을 기대하지 않았습니다 . 너무 많이 생각하지 마십시오. 다른 단어를 사용했을 수도 있지만 편집증은 보안과 일반적으로 사용되는 단어입니다. 나는 많은 IT 전문가들로부터 "너무 편집증"을 들었고 "더 많은 편집증이 필요하다"고 들었습니다.

편집증은 개인이 이유없이 의심 스럽거나 신뢰할 수없는 역기능 적 성격 특성입니다. 이유없이 행동하는 것은 좋은 SA의 대립입니다.

시스템 관리자는 지원하는 시스템을 깊이 이해하고 비즈니스 요구 사항에 대한 문제를 신속하게 분석하고 위험을 평가하며 문제 / 위험 등을 완화하기위한 조치를 처방 할 수 있어야합니다. 또한 SA는 문제 해결 프로세스를 안내하는 이론을 신속하게 개발할 수있을만큼 시스템을 이해해야하지만 수집 된 사실을 기반으로 결정을 내려야합니다.

때로는 그러한 의무 때문에 표면에 편집증이 생길 수 있습니다.

당신은 그것이 일어날 때까지 편집증 일뿐입니다 ... 그 후에 당신은 단지 "잘 준비되었습니다". ;-)

비판적 사고는 훌륭한 SA를 위해 요구되는 품질입니다. 분명히 편집증의 임상 적 정의는 OP가 요구 한 것이 아니라 일반적인 정의조차도 "필수적"이 아닙니다.

숙련되지 않은 눈에는 편집증 SA와 보안과 같은 문제에 대해 비판적으로 생각하는 사람 사이에는 거의 차이가 없을 수 있습니다.

예 : SSH 터널링으로 수행 할 수있는 작업을 이해했기 때문에 아웃 바운드 SSH를 차단합니다. 나는 그 위험의 특성이 무엇인지 모른 채 "보안 위험"이기 때문에 SA를 차단하는 것을 알고 있습니다. 위험을 이해하는 데 더 나은 SA입니까? 아마도 하루가 끝날 무렵에 우리 둘 다 같은 행동을 취했습니다.

SA가되는 기술의 일부는 당신이들은 내용이 행동하기 전에 더 많은 조사가 필요할 때와 정보가 즉각적으로 행동하기에 충분히 신뢰할 수있는 시점을 아는 것입니다.

나는 실용적 편집증이 sysadmin의 건강한 특성이라고 생각합니다. 발생할 수있는 나쁜 일과이를 피하는 방법을 생각하면 매우 유용 할 수 있습니다. 보안 및 기타 잠재적 문제에 대해 생각하면 시스템이 더욱 강력 해집니다.

트릭은 가능한 결과에 가중치와 확률을 할당 할 수 있습니다. 문제의 가능성, 결과의 심각성 및 회피 비용을 추정 한 다음 해당 소득을 기준으로 실용적 결정을 내릴 수 있어야합니다. 회사의 핵심 데이터에 대해 합리적으로 편집증을 갖는 것은 똑똑합니다. 누군가 회사의 회사 휴일 목록에 도착하는 것에 대해 부당한 편집증을 갖는 것은 건강에 해로운 것 같습니다.

보안과 유용성의 균형을 유지해야합니다.

은행의 네트워크 인프라를 운영하는 경우 더 많은 보안이 필요하지만 사용자 교육, 새로운 기술 구매 및 설치 등에 비용이 들기 때문에 더 많은 보안을 확보 할 수 있습니다. 대학생 네트워크를 운영하는 경우 RSA SecurID (시간 토큰)를 학생들에게 제공하여 로그인하지 않아도됩니다. 필요한 것은 아닙니다.

예, iPod에서도 사용 가능한 데이터 삭제 기능이 활성화 된 모든 (작업 서버가 아닌) 컴퓨터에서 전체 디스크 암호화를 사용합니다. 왜? 이 기계들 중 일부에 대해 비밀 유지 계약에 의해 보호되는 민감한 연락처 목록, 이메일, 영업 비밀 및 자료가 있습니다.

그러나 제가 출판해야 할 (비공개) 서류 만 남은 학부생이었을 때, 나는 그런 길이로 간 적이 없었을 것입니다. 그러나, 소설 / 특허 또는 출판 용 논문이있는 대학원에서는 약간 더 안전한 방법을 원할 수 있습니다.

Soapbox : 256 비트 전체 디스크 암호화와 같은 큰 도구를 사용하고 신뢰할 수없는 임의의 원격 서버에 데이터를 저장하는 백업 메커니즘을 사용하는 사람들도 있습니다. 전체 체인이 중요합니다!

제대로 가고 싶은 것이 아니라 무엇이 잘못 될 수 있는지 생각할 수 있어야합니다. 이런 스타일의 사고는 종종 그것에 관여 할 필요가없는 사람들에게 편집증처럼 보입니다. 산업 위험.

시스템 관리 관행이 실제로 사람들이 개인적으로 당신에게 해를 끼치기 위해 적극적으로 노력하고 있다는 생각에 근거하고 있다면 너무 편집증 적일 수 있습니다 . :)

규모가 큰 조직에서는 실제적인 (때로는 다른) 이유로 인해 시스템 관리자로부터 신뢰가 불가피하게 위임됩니다. 헬프 데스크에 암호 재설정 및 계정 잠금을 처리하는 기능을 제공하거나 ID 관리 자동화가 계정 활성화 / 비활성화를 처리하여 HR 유형에 해당 기능을 위임해야하는 등 새로운 관리자를 온보드로 데려 오는 경우 조직의 위임 수준에 얼마나 만족하는지 확인하는 것이 좋습니다.

전체적으로, sysadmin은 상위 관리자가 제공 한 경우라도 의심스러운 소리를 내기 위해 충분한 보안 사고 방식을 갖추어야합니다. 우리가하는 일은 우리가 일하는 곳의 정보 보안 장치의 일부이며, 우리의 업무의 일부 여야합니다 [1]. 의사 결정자와 구현 자간에 신뢰 수준이 설정되어야합니다. 그렇지 않으면 상황이 편집증의 하드락으로 떨어질 수 있습니다.

가치있는 빈을 신뢰하지 않는 관리자는 기술이 여러 사람에 의해 처리되는 대규모 조직에 있지 않아야합니다.

[1] 그렇지 않다면. 일부 조직은 InfoSec을 전담 부서에 위임했으며,이 부서에서 행진 명령이 관련 당사자에게 발행되었습니다.

보안을 고려하고 있다면 너무 많은 편집증과 같은 것은 없습니다.

그 외에, 나는 비관론에 대해 "약간 편집증 적 현실주의"를 시도합니다. 중립에서 온화한 낙관론까지).

비관론자보다 오래된 속담은 결코 실망하지 않지만, 일반적으로 잘못되지 않습니다.

귀하의 질문에 대한 편집증은 정당합니다.

과 망상증은 문제가 될 수 있습니다. 위험 평가는 보안의 원동력이되어야합니다. 잠그기 위해 항상 모든 것을 잠글 수는 없습니다. 다음과 같은 측면에서 위험을 측정해야합니다.

• 비밀 유지-비밀을 유지하는 것이 얼마나 중요합니까?
• 가용성-사람들이 주어진 시간에 무언가를 다루는 것이 얼마나 중요합니까?

기밀 유지는 쉬운 일입니다. 정보가 있습니다. 그것은 당신이 아니라 우리의 것입니다. 당신의 미트를 막고 내 네트워크를 멀리하십시오.

가용성은 종종 간과되는 것이며 보통 편집증의 경우에는 피해자입니다. 너무 제한적이고 금지적인 조치를 취하여 사람들이 자신의 데이터로 작업을 수행 할 수없는 경우에도 데이터를 잃어 버리는 것만 큼 나빠서 시간, 자원, 생산 등이 낭비 될 수 있습니다.

편집증의 경우 중간 정도의 소리가 들려야합니다. 편집증이 있거나 사업을 할 수는 없습니다. 과 망상증은 개념 증명을 개발하고 제시 할 수있는 이론 및 학계에 속합니다. 건강한 편집증은 이러한 개념을 취해 실행 가능한 솔루션을 제공하기 위해 맞춤형 위험 평가를 통해 필터링합니다.

예.

나는 당신이 실제로 얻는 것이 사람의 두뇌가 기본적으로 신뢰 모드인지 불신인지에 대한 것이라고 생각합니까? sysadmin은 집중적이고 끊임없는 자신감의 사기꾼과 싸 웁니다. 맬웨어를 사용자에게 제공하려는 사이트에서 방화벽의 봇 및 패턴 키퍼에 이르기까지 엔티티는 시스템과 사용자가 신뢰할 수 있다고 설득하지 못하게하는 것 입니다.

우리는 기본값을 설치하지 않고 "사용자 정의"버튼을 누르십시오. 우리는 액세스 권한을 부여하지 않고 "알려진 잘못된"포트를 좁히고 모든 포트를 닫은 다음 작동 할 때까지 필요한 것을 엽니 다. 그럴만한 이유가 없으면 '예'를 클릭하지 마십시오. 우리는 선택을 해제합니다.

최악의 상황을 가정해야 할 분야가 많이 있습니다. 법률 및 의료 전문가들은 사람들이 말하는 것을 액면가로 받아 들일 수 없습니다.

우리의 정반대는 상자를 끔찍한 경고와 함께 팝업하고 상자가 그들을 돕기위한 것이라고 가정하는 사랑하는 신뢰하는 사용자입니다.

그리고 그것이 필요한지 궁금해 할 때-회사의 소유자 / VP에 대한 주요 액세스를 거부하는 다른 비즈니스 기능은 몇 개입니까? 우리 건물주가이 건물의 모든 문과 파일 캐비닛에 열쇠를 갖는 것은 전적으로 합리적이지만 도메인 관리자 권한을 가질 수는 없습니다. 나에게 그것은 적절한 '망상증' 을 정의합니다 .

면책 조항 : 완벽하게 훌륭한 관리자 인 신뢰할 수있는 유형이있을 수 있지만 실제로 눈에 띄는 사람들은 모두 반대 방향으로 매우 건강한 경향이 있습니다.

당신이 편집증이라고 부르는 것은 아마도 Bruce Schneier 가 The Security Mindset 이라고 부르는 것과 관련이 있습니다. 그의 블로그 게시물에서 인용 :

보안에는 특정한 사고 방식이 필요합니다. 보안 전문가, 적어도 좋은 전문가는 세상을 다르게 본다. 그들은 어떻게 좀 도둑질을 몰라도 상점에 들어갈 수 없습니다. 보안 취약점에 대해 궁금하지 않으면 컴퓨터를 사용할 수 없습니다. 두 번 투표하는 방법을 찾지 않으면 투표 할 수 없습니다. 그들은 단지 그것을 도울 수 없습니다.

개인적으로 그것은 DBA가 걱정하는 데이터 손실, 가동 중지 시간 및 데이터 품질에 관한 편집증에 따라 다릅니다. 그래서 나는 무엇이 잘못 될 수 있는지에 대한 편집증을 발견하고 비상 계획을 세우는 것은 단지 주요 문제를 해결하는 데 더 적은 시간을 소비한다는 것을 의미합니다.

그러나 3dinfluence가 말했듯이 위험, 예상 손실 및 인식되거나 실제 위협으로부터 보호 할 리소스 간의 적절한 균형을 찾는 것이 중요합니다.

편집증이 올바른 단어인지 정확히 확신하지 못합니다. 우리는 모두 귀중한 네트워크에 발생할 수있는 일과 나쁜 일에 대해 잘 알고 있습니다. 악의적 인 스크립트 키즈부터 사용자를 의미하는 사용자에 이르기까지 모든 것이 혼란과 불안을 유발하기 위해 존재하므로 우리의 작업이 더욱 어려워지고 보스는 아웃소싱 회사를 너무 많이 듣게됩니다. )

나는 다양한 경력에서 신뢰가 남용되는 한 그저 신뢰 만가는 것을 발견했다 (예를 들어, 교환 서버에 관리자 암호를 "주위를 둘러보고 싶은 관리자"에게주는 주니어 sysadmin). 신뢰를 남용한 사람들은 다시 신뢰를 줄 가능성이 훨씬 적습니다. 조직에 적용하면 태평양 북서쪽 하늘에서 내리는 비와 달리, 시간이 오래 걸리지 않은 gaffe로 네트워크를 중단 한 사람이 처음으로 규제의 연쇄가 위로부터 떨어지게되는 것을 볼 수 있습니다 (영어 전공은 여기 Tech).

기본적으로, 심리학, 기술 및 관리에 대한 긴 진술을 짧은 문구로 표현하면 : 편집증에 대해 가장 혼동되는 것은 잘못 될 수있는 것 (그리고 대부분 HAS)에 대한 지식으로 강화 된 강한주의입니다.

이 정의를 사용하는 경우 :

편집증 (paranoia) : 박해 나 웅대 한 망상을 특징으로하는 심리적 장애

.. 아니오, 편집증은 당신이 원하는 시스템 관리자가 아닙니다.

imho는 보안에 대한 몇 가지 사항을 이해하는 시스템 관리자입니다.

• 시스템과 데이터는 조직의 지속적인 복지에 다양한 가치를 지닙니다.
• 이러한 상대적인 값을 이해하는 것이 보안 방정식의 첫 번째 부분입니다. 값이 클수록 시스템 및 / 또는 데이터에 대한 위험을 인식하는 것이 더 중요합니다.
• 위험을 수정하는 것은 대개 트레이드 오프와 관련이 있습니다. 시멘트로 둘러 싸인 컴퓨터는 아무도 사용할 수 없을 정도로 '안전하다'. 따라서 '시멘트에 넣음으로써의 보안'은 자산을 너무 많이 확보하여 조직에 대한 모든 가치를 잃는 훌륭한 예입니다.
• 관리자 자신의 관행 은이 트레이드 오프 방정식의 일부입니다. 간단한 예 : 모든 중요한 암호를 머리에 쓰는 관리자는 책임입니다. 머리가 폭발하면 어떻게됩니까? sysadmin = 폐지 된 왕국의 열쇠 인 이제 회사는 어떻게 자산의 수익성있는 사용을 계속할 것입니까?

정의 된대로 "파라노이아" 는 위험 / 보상 균형을 적절하게 유지 하지 못하는 것으로 저를 깨달았습니다 . 편집증 동료와 일하고 싶지 않습니다. 위험을 전달하고 보상과의 균형을 유지하며 보안과 수익성있는 자산 사용간에 최적의 균형을 이루기 위해 잘 계획된 계획과 정책을 수립 할 수있는 사람들과 협력하고 싶습니다.

확실히 편집증 환자가 있습니다. 그것들은 최고의 보안을 위해 모든 작은 비트를 잠그고 다른 사람들의 생산성을 저해하는 것들입니다.

그러나 나는 적절한 양의 편집증이 유익하다고 생각합니다.

당신이 누구를 신뢰하는지, 얼마나 많이 신뢰하는지에 대해 편집증에 관한 것이 아닙니다.

Linux 시스템의 모든 패치에 대해 전체 소스 코드 보안 감사를 수행합니까? 아니요, 내가 그들을 신뢰하고 있기 때문에 내가 보호하는 것이 그 정도의 노력을 보증하지 않기 때문입니다. 라이브 서버를 업데이트하기 전에 숨겨진 숨겨진 문제를 찾기 위해 테스트 시스템에서 패치를 테스트 할 가치가 있습니까? 그렇습니다. 제가 신뢰하는 정도에는 한계가 있기 때문에 (그리고 처음에는 제대로 적용 할 수 있습니다).

나와 인터넷 사이에 방화벽이 있습니까? 그렇습니다. 많은 사람들이 있기 때문에 저는 명시 적으로 신뢰하지 않습니다.

사용자 암호부터 사회 공학, 외부 해킹 시도에 이르기까지 가능한 모든 보안 위험을 잘 알고 있어야합니다. 원하는대로 말만 해. 뿐만 아니라 '다음 큰 것'에 대한 준비가되어 있어야합니다. 이것은 당신을 다르게 만들지 만 당신의 직업입니다.

경찰관은 고객 서비스 담당자보다 주변에서 일어나는 일을 더 잘 알고 있습니다. 당신은 동일해야합니다. 그것은 당신의 책임이며 모든 것이 지옥에 가면 시계에서 일어났습니다.

아닙니다, 그러나 우리 모두는 그랬기를 바랍니다.

보안은 가용성에 관한 것입니다. 여기에는 사용자가 액세스해야하는 모든 항목의 가용성 확보가 포함됩니다. 모든 것을 금지하는 것만이 아닙니다.

요즘 네트워크 컴퓨터 시스템에서 보안을 관리하는 사람은 약간 편집증이되어야합니다. 그렇지 않으면주의를 기울이지 않아도됩니다. 즉, 너무 쉽게 걸릴 수 있습니다. 보안과 사용성의 균형을 유지해야합니다.

주제를 생각하는 또 다른 방법은 악의적 인 활동을 막을뿐 아니라 우발적 인 활동을 막는 것입니다. 사고는 침입보다 훨씬 가능성이 높습니다.

결국, 그것은 고용주의 시스템과 데이터를 보호 할 책임이 있으며 다른 사람들이 레이블을 붙일 수있는 것에 관계없이 목표를 달성하기 위해 필요한 모든 것을해야합니다.

편집증이 필수 특성인지 확실하지 않지만 아마도 도움이 될 것입니다. 그러나 중요한 것은 누군가 잠재적 인 보안 관련 문제, 공격 / 위반 벡터 등을 식별 할 수있는 것입니다.

직원과 고용주 사이에는 신뢰 수준이 있지만 동시에 최소 권한 보안 모델을 선호합니다. 따라서 신뢰는 지금까지만 진행됩니다. 모든 사고가 발생한 후 ... 사용자는 권한이있는 경우 실수로 전체 디렉토리 트리를 삭제하거나 이동합니다.

그러나 보안과 사람들이 업무를 수행하지 못하게하는 것 사이에는 균형이 맞아야합니다.

나는 실패하지 않을 제조업체에 의해 약속 된 실패에 대해 더 편집증 적입니다. 따라서 항상 여러 개의 오프 사이트 백업이 있으며 중복성을 위해 다른 파일 서버로 백업을 교차합니다. 핫 서버 장애 조치 예. gd

파노 아노이 (pr-noi) n. 1. 웅장한 유무에 관계없이 박해의 망상을 특징으로하는 정신병 적 장애. 2. 다른 사람들에 대한 극단적이고 비합리적인 불신.

만약 당신이 편집증이거나 편집증이 있다면 보안을 강화하기 위해 할 수있는 모든 것을 알지 못할 것입니다.

내 추천 :

패치! 패치! 패치! 워크 스테이션에서 서버까지 모든 것을 패치하십시오! 특히 그들이 웹에 직면하고 있다면! 오버플로는 시스템을 제어하는 ​​일반적인 방법이며, 너무 중요한 시스템은 중요한 웹 프론트 서버에서만 발생합니다. GPO를 통해 모든 시스템에 패치를 적용하고 자주 업데이트되는 내부 WSUS 서버를 더 잘 배포하면 패치에 대해보고하지 않은 문제가있는 PC를 추적 할 수 있습니다.

백업! 백업! 백업! 회사에 심각한 영향을 미치는 모든 중요한 데이터에 대해 백업이 수행되고 있음을 항상 알고 있어야합니다. 중복 솔루션과 함께 시스템에 중요한 서버도 백업하십시오.

안티 바이러스! 네트워크 전체 스윕을 수행하고 중앙 서버에보고하기위한 시스템 당 하나의 관리 솔루션 및 관리 솔루션. 호스트 감염 및 문제가있는 시스템 / 사용자를 지원합니다. 안티 바이러스는 침입이 아닌 일반적인 '감염'을 시스템에서 깨끗하게 유지하고 PC가 빠르고 원활하게 실행되도록 유지하는 것입니다. 배포의 주요 이유가 너무 많습니다.

안티 애드웨어! 컴퓨터 당 1 개와 Windows 워크 스테이션의 경우 Windows Defender가 훌륭하게 작동합니다. MSI이기 때문에 그룹 정책을 통해 롤아웃하고 이벤트 로그를 통해 모니터링 할 수 있습니다! 컴퓨터의 빠른 실행을 유지합니다.

방화벽! PC의 OS 기반 방화벽이나 네트워크 가장자리의 소프트웨어 기반 방화벽이 아닌 REAL 방화벽을 말하고 있습니다. 사람들은 Cisco Pix 또는 ASA와 같은 어플라이언스를 사용합니다. OS에 의존하지 않고 수신 및 송신을 수행하고 syslog를 통해 매우 벽을 모니터링 할 수 있기 때문에 다른 좋은 솔루션은 Coporate 솔루션을위한 Checkpoint & Juniper / Nokia입니다. 실제로 네트워크에서 무슨 일이 일어나고 있는지 아는 첫 번째 단계.

대리! 모든 사용자가 프록시를 통과하도록하여 방화벽에서 발신을 차단할 수 있습니다! 누군가가 당신이 누구와 무엇을 식별 할 수있는 어리석은 행동을 할 때 사용자를 확인하거나 최소한 법의학을 수행 할 수있는 좋은 장소입니다.

마지막으로 ... 침입 탐지 시스템 또는 침입 방지 시스템 (IDS 또는 IPS)이 시스템은 네트워크에서 실행되는 것을 제외하고는 호스트의 안티 바이러스와 매우 유사합니다. 스위치의 포트 범위로 모니터링하거나 방화벽 외부 또는 방화벽 내부에 인라인으로 배치 할 수 있도록 모든 트래픽을 복제해야합니다. 실제 피해를 입은 사람들은 대규모 네트워크 세그먼트에서 취약성 테스트 / 스캔 또는 실제 침입이 발생하고 누군가가 네트워크 내부에서 대규모 스캔을 실행할 수 있는지 여부에 관계없이 이러한 시스템에서 가장 자주 볼 수 있습니다. 닥쳐

이 모든 것들을 배치 할 수 있다면, 당신은 일의 지옥을하고 있기 때문에 편집증이 사라지게하는 것보다.

그들은 "편집증이된다고해서 아무도 당신을 쫓는다는 것을 의미하지는 않습니다." 그리고 나는 그것에 동의합니다. 편집증을 가지십시오. 그러나 더 많은 것이 있다는 것을 알고 있습니다. 조심하고 역할을 즐기십시오.