提醒：管理員太多同樣會讓網(wǎng)絡管理一團糟

申請免費試用、咨詢電話：400-8352-114

 眾所周知，在不必要的情況下隨意提升權(quán)限是管理工作中的大忌。我們不應該在以管理員身份登錄之后，卻在設備上進行網(wǎng)頁瀏覽或者查收郵件之類私人操作，而且這一切在登錄服務器時將帶來更大的危害。作為公司管理者，大家不需要設置太多企業(yè)管理員、域管理員或者服務器管理員。我們都應該明確這一點。

  但最近的一次親身經(jīng)歷卻讓我大跌眼鏡。這是一家專門負責亞太及周邊地區(qū)航運集裝箱業(yè)務的企業(yè)，其基礎設施中竟包含數(shù)以千計應用程序管理員。這家公司擁有幾千款應用程序，其中大多數(shù)同時存在數(shù)百位管理員；事實上甚至某些應用的所有用戶都具備管理員權(quán)限。請大家不要誤會，大部分應用提供的都是普通用戶賬戶（而非操作系統(tǒng)或網(wǎng)絡管理員賬戶），但這些賬戶卻擁有最高級別的應用操作權(quán)限。   這家航運公司使用頻繁最高的大部分應用都擁有數(shù)千位用戶，在這樣龐大的用戶基數(shù)下10%--也就是幾百位用戶具備管理員操作權(quán)限似乎也不是什么了不得的大事。然而從理論上來說，用戶應當始終只擁有最低操作權(quán)限，而且應用管理員數(shù)量過多帶來的麻煩絕不比操作系統(tǒng)管理員泛濫來得少。實際情況可能更糟。   每增加一位管理員，安全風險發(fā)生的機率就會呈指數(shù)級增長。過度分配管理權(quán)限不僅僅提高用戶自身的安全風險，更可能在他們遭遇惡意侵襲時導致安全體系全面崩盤。每位管理員都可能從屬于某個特定群組，因此一旦黑客成功侵入A的賬戶、則極有可能同時獲取到B的業(yè)務信息，而B又會成為通往C的捷徑并以此類推。   應用程序管理員過多引發(fā)的最大問題之一在于，與操作系統(tǒng)及網(wǎng)絡管理員相比，應用程序管理員往往疏于采取安全防范措施。真正的管理人員往往習慣于借助隔離機制繞過計算機本身，通過更安全的方式進行管理工作。他們知道隨意瀏覽網(wǎng)頁或回復郵件可能帶來的安全隱患，因此不會利用自己的輪換式認證機制干這些無聊的事情。他們也會在計算機出現(xiàn)可疑征兆時及時調(diào)查并提交報告。應用程序管理員在這些方面的素養(yǎng)就要差得多。   在這家特殊客戶的案例中，我們發(fā)現(xiàn)已經(jīng)有很大一部分應用管理員的設備在過去一年中受到惡意軟件的感染。受感染設備所占比例與正常企業(yè)并無明顯不同，但由于管理權(quán)限的存在，常規(guī)狀況也成了重大事故的導火索。該公司在過去一年中大幅裁減了操作系統(tǒng)及網(wǎng)絡管理員的編制數(shù)量，并嘗試最大程度精簡技術團隊。然而似乎沒人意識到同樣的處理方式也應當推廣到應用程序管理員領域（至少在我接手之前是這樣--所以他們才需要為此支付高昂的服務費用）。   大多數(shù)惡意人士所覬覦的都是系統(tǒng)與數(shù)據(jù)。即使是已經(jīng)成功獲取整個域及所有網(wǎng)絡管理員的賬戶密碼，他們真正要做的也是最終侵入應用程序服務器--而應用程序管理員可以直接把他們送入夢寐以求的資源寶地。   如何降低安全風險？   首先，我們需要對所有應用程序進行審計并找出各應用中高權(quán)限用戶（及服務）賬戶的總體數(shù)據(jù)。如果該數(shù)字高得離譜，就需要進一步加以探討以確認其合理性。從最低特權(quán)原則出發(fā)，找出（或幫助應用團隊找出）這些到底有多少用戶必須擁有應用程序的全部操作權(quán)限。接下來清除那些不必要的賬戶并對具體控制能力進行調(diào)整。我處理過很多這方面的審計工作，通常來說很容易找到問題并以此為基礎大幅削減賬戶權(quán)限。   如果某些應用確實需要一大堆管理員--沒錯，這種蹩腳的應用真的存在--那企業(yè)應該盡快與開發(fā)商或服務供應商取得聯(lián)系。任何一款理想的應用都不需要太多管理員，大部分用戶只應該充當查看方或者特定內(nèi)容編輯者。   我個人最喜歡采用RBAC（即基于角色的訪問控制）機制的應用程序，因為在這類應用中即使是管理員也并非無所不能，而且只需要設置一位管理者。在出色的RBAC程序當中，任何一位用戶都能從自身角色出發(fā)進行操作--通常只涉及某些功能或任務。用戶只能處理與自身相關的任務（例如更新列表中的記錄），并執(zhí)行應用中的特定功能。   這里我需要解釋一下：如今大部分傳統(tǒng)應用程序的管理員都對應用具備絕對的控制權(quán)。他們能進行一切操作：變更設定、安裝或卸載內(nèi)容、添加及刪除用戶，并將整個離線數(shù)據(jù)庫復制到便攜式存儲介質(zhì)當中。應用程序管理員簡直就是這款應用中的萬能主宰。   然而在RBAC應用程序方面，沒有人能做到主宰一切。沒有人可以對數(shù)據(jù)庫整體進行復制、刪除或其它重大操作。負責添加與刪除用戶及調(diào)整使用權(quán)限的人無法查看應用程序中的數(shù)據(jù)。再舉個例子，RBAC管理員也許能夠訪問并修改數(shù)據(jù)，但其影響范圍僅限于應用程序內(nèi)部。一旦應用程序被關閉，RBAC管理員對底層數(shù)據(jù)庫或應用完全不具備任何操作能力。   惡意人士的目標在于系統(tǒng)訪問與數(shù)據(jù)庫。正是由于這個原因，我才對企業(yè)在控制及審計應用程序管理員方面采取的機制如此重視--甚至將其提升至與操作系統(tǒng)及網(wǎng)絡管理員相同的高度。同志們！正所謂亡羊補牢、為時未晚，只要積極學習新的風險控制技巧，大家總能在未來的運營工作中得到令人滿意的回報。   【本文轉(zhuǎn)自51CTO。】本文來自互聯(lián)網(wǎng)，僅供參考