提醒：管理員太多同樣會讓網(wǎng)絡(luò)管理一團糟

申請免費試用、咨詢電話：400-8352-114

 眾所周知，在不必要的情況下隨意提升權(quán)限是管理工作中的大忌。我們不應(yīng)該在以管理員身份登錄之后，卻在設(shè)備上進行網(wǎng)頁瀏覽或者查收郵件之類私人操作，而且這一切在登錄服務(wù)器時將帶來更大的危害。作為公司管理者，大家不需要設(shè)置太多企業(yè)管理員、域管理員或者服務(wù)器管理員。我們都應(yīng)該明確這一點。

  但最近的一次親身經(jīng)歷卻讓我大跌眼鏡。這是一家專門負責亞太及周邊地區(qū)航運集裝箱業(yè)務(wù)的企業(yè)，其基礎(chǔ)設(shè)施中竟包含數(shù)以千計應(yīng)用程序管理員。這家公司擁有幾千款應(yīng)用程序，其中大多數(shù)同時存在數(shù)百位管理員；事實上甚至某些應(yīng)用的所有用戶都具備管理員權(quán)限。請大家不要誤會，大部分應(yīng)用提供的都是普通用戶賬戶（而非操作系統(tǒng)或網(wǎng)絡(luò)管理員賬戶），但這些賬戶卻擁有最高級別的應(yīng)用操作權(quán)限。   這家航運公司使用頻繁最高的大部分應(yīng)用都擁有數(shù)千位用戶，在這樣龐大的用戶基數(shù)下10%--也就是幾百位用戶具備管理員操作權(quán)限似乎也不是什么了不得的大事。然而從理論上來說，用戶應(yīng)當始終只擁有最低操作權(quán)限，而且應(yīng)用管理員數(shù)量過多帶來的麻煩絕不比操作系統(tǒng)管理員泛濫來得少。實際情況可能更糟。   每增加一位管理員，安全風險發(fā)生的機率就會呈指數(shù)級增長。過度分配管理權(quán)限不僅僅提高用戶自身的安全風險，更可能在他們遭遇惡意侵襲時導致安全體系全面崩盤。每位管理員都可能從屬于某個特定群組，因此一旦黑客成功侵入A的賬戶、則極有可能同時獲取到B的業(yè)務(wù)信息，而B又會成為通往C的捷徑并以此類推。   應(yīng)用程序管理員過多引發(fā)的最大問題之一在于，與操作系統(tǒng)及網(wǎng)絡(luò)管理員相比，應(yīng)用程序管理員往往疏于采取安全防范措施。真正的管理人員往往習慣于借助隔離機制繞過計算機本身，通過更安全的方式進行管理工作。他們知道隨意瀏覽網(wǎng)頁或回復郵件可能帶來的安全隱患，因此不會利用自己的輪換式認證機制干這些無聊的事情。他們也會在計算機出現(xiàn)可疑征兆時及時調(diào)查并提交報告。應(yīng)用程序管理員在這些方面的素養(yǎng)就要差得多。   在這家特殊客戶的案例中，我們發(fā)現(xiàn)已經(jīng)有很大一部分應(yīng)用管理員的設(shè)備在過去一年中受到惡意軟件的感染。受感染設(shè)備所占比例與正常企業(yè)并無明顯不同，但由于管理權(quán)限的存在，常規(guī)狀況也成了重大事故的導火索。該公司在過去一年中大幅裁減了操作系統(tǒng)及網(wǎng)絡(luò)管理員的編制數(shù)量，并嘗試最大程度精簡技術(shù)團隊。然而似乎沒人意識到同樣的處理方式也應(yīng)當推廣到應(yīng)用程序管理員領(lǐng)域（至少在我接手之前是這樣--所以他們才需要為此支付高昂的服務(wù)費用）。   大多數(shù)惡意人士所覬覦的都是系統(tǒng)與數(shù)據(jù)。即使是已經(jīng)成功獲取整個域及所有網(wǎng)絡(luò)管理員的賬戶密碼，他們真正要做的也是最終侵入應(yīng)用程序服務(wù)器--而應(yīng)用程序管理員可以直接把他們送入夢寐以求的資源寶地。   如何降低安全風險？   首先，我們需要對所有應(yīng)用程序進行審計并找出各應(yīng)用中高權(quán)限用戶（及服務(wù)）賬戶的總體數(shù)據(jù)。如果該數(shù)字高得離譜，就需要進一步加以探討以確認其合理性。從最低特權(quán)原則出發(fā)，找出（或幫助應(yīng)用團隊找出）這些到底有多少用戶必須擁有應(yīng)用程序的全部操作權(quán)限。接下來清除那些不必要的賬戶并對具體控制能力進行調(diào)整。我處理過很多這方面的審計工作，通常來說很容易找到問題并以此為基礎(chǔ)大幅削減賬戶權(quán)限。   如果某些應(yīng)用確實需要一大堆管理員--沒錯，這種蹩腳的應(yīng)用真的存在--那企業(yè)應(yīng)該盡快與開發(fā)商或服務(wù)供應(yīng)商取得聯(lián)系。任何一款理想的應(yīng)用都不需要太多管理員，大部分用戶只應(yīng)該充當查看方或者特定內(nèi)容編輯者。   我個人最喜歡采用RBAC（即基于角色的訪問控制）機制的應(yīng)用程序，因為在這類應(yīng)用中即使是管理員也并非無所不能，而且只需要設(shè)置一位管理者。在出色的RBAC程序當中，任何一位用戶都能從自身角色出發(fā)進行操作--通常只涉及某些功能或任務(wù)。用戶只能處理與自身相關(guān)的任務(wù)（例如更新列表中的記錄），并執(zhí)行應(yīng)用中的特定功能。   這里我需要解釋一下：如今大部分傳統(tǒng)應(yīng)用程序的管理員都對應(yīng)用具備絕對的控制權(quán)。他們能進行一切操作：變更設(shè)定、安裝或卸載內(nèi)容、添加及刪除用戶，并將整個離線數(shù)據(jù)庫復制到便攜式存儲介質(zhì)當中。應(yīng)用程序管理員簡直就是這款應(yīng)用中的萬能主宰。   然而在RBAC應(yīng)用程序方面，沒有人能做到主宰一切。沒有人可以對數(shù)據(jù)庫整體進行復制、刪除或其它重大操作。負責添加與刪除用戶及調(diào)整使用權(quán)限的人無法查看應(yīng)用程序中的數(shù)據(jù)。再舉個例子，RBAC管理員也許能夠訪問并修改數(shù)據(jù)，但其影響范圍僅限于應(yīng)用程序內(nèi)部。一旦應(yīng)用程序被關(guān)閉，RBAC管理員對底層數(shù)據(jù)庫或應(yīng)用完全不具備任何操作能力。   惡意人士的目標在于系統(tǒng)訪問與數(shù)據(jù)庫。正是由于這個原因，我才對企業(yè)在控制及審計應(yīng)用程序管理員方面采取的機制如此重視--甚至將其提升至與操作系統(tǒng)及網(wǎng)絡(luò)管理員相同的高度。同志們！正所謂亡羊補牢、為時未晚，只要積極學習新的風險控制技巧，大家總能在未來的運營工作中得到令人滿意的回報。   【本文轉(zhuǎn)自51CTO。】本文來自互聯(lián)網(wǎng)，僅供參考