提醒：管理員太多同樣會(huì)讓網(wǎng)絡(luò)管理一團(tuán)糟

申請免費(fèi)試用、咨詢電話：400-8352-114

 眾所周知，在不必要的情況下隨意提升權(quán)限是管理工作中的大忌。我們不應(yīng)該在以管理員身份登錄之后，卻在設(shè)備上進(jìn)行網(wǎng)頁瀏覽或者查收郵件之類私人操作，而且這一切在登錄服務(wù)器時(shí)將帶來更大的危害。作為公司管理者，大家不需要設(shè)置太多企業(yè)管理員、域管理員或者服務(wù)器管理員。我們都應(yīng)該明確這一點(diǎn)。

  但最近的一次親身經(jīng)歷卻讓我大跌眼鏡。這是一家專門負(fù)責(zé)亞太及周邊地區(qū)航運(yùn)集裝箱業(yè)務(wù)的企業(yè)，其基礎(chǔ)設(shè)施中竟包含數(shù)以千計(jì)應(yīng)用程序管理員。這家公司擁有幾千款應(yīng)用程序，其中大多數(shù)同時(shí)存在數(shù)百位管理員；事實(shí)上甚至某些應(yīng)用的所有用戶都具備管理員權(quán)限。請大家不要誤會(huì)，大部分應(yīng)用提供的都是普通用戶賬戶（而非操作系統(tǒng)或網(wǎng)絡(luò)管理員賬戶），但這些賬戶卻擁有最高級(jí)別的應(yīng)用操作權(quán)限。   這家航運(yùn)公司使用頻繁最高的大部分應(yīng)用都擁有數(shù)千位用戶，在這樣龐大的用戶基數(shù)下10%--也就是幾百位用戶具備管理員操作權(quán)限似乎也不是什么了不得的大事。然而從理論上來說，用戶應(yīng)當(dāng)始終只擁有最低操作權(quán)限，而且應(yīng)用管理員數(shù)量過多帶來的麻煩絕不比操作系統(tǒng)管理員泛濫來得少。實(shí)際情況可能更糟。   每增加一位管理員，安全風(fēng)險(xiǎn)發(fā)生的機(jī)率就會(huì)呈指數(shù)級(jí)增長。過度分配管理權(quán)限不僅僅提高用戶自身的安全風(fēng)險(xiǎn)，更可能在他們遭遇惡意侵襲時(shí)導(dǎo)致安全體系全面崩盤。每位管理員都可能從屬于某個(gè)特定群組，因此一旦黑客成功侵入A的賬戶、則極有可能同時(shí)獲取到B的業(yè)務(wù)信息，而B又會(huì)成為通往C的捷徑并以此類推。   應(yīng)用程序管理員過多引發(fā)的最大問題之一在于，與操作系統(tǒng)及網(wǎng)絡(luò)管理員相比，應(yīng)用程序管理員往往疏于采取安全防范措施。真正的管理人員往往習(xí)慣于借助隔離機(jī)制繞過計(jì)算機(jī)本身，通過更安全的方式進(jìn)行管理工作。他們知道隨意瀏覽網(wǎng)頁或回復(fù)郵件可能帶來的安全隱患，因此不會(huì)利用自己的輪換式認(rèn)證機(jī)制干這些無聊的事情。他們也會(huì)在計(jì)算機(jī)出現(xiàn)可疑征兆時(shí)及時(shí)調(diào)查并提交報(bào)告。應(yīng)用程序管理員在這些方面的素養(yǎng)就要差得多。   在這家特殊客戶的案例中，我們發(fā)現(xiàn)已經(jīng)有很大一部分應(yīng)用管理員的設(shè)備在過去一年中受到惡意軟件的感染。受感染設(shè)備所占比例與正常企業(yè)并無明顯不同，但由于管理權(quán)限的存在，常規(guī)狀況也成了重大事故的導(dǎo)火索。該公司在過去一年中大幅裁減了操作系統(tǒng)及網(wǎng)絡(luò)管理員的編制數(shù)量，并嘗試最大程度精簡技術(shù)團(tuán)隊(duì)。然而似乎沒人意識(shí)到同樣的處理方式也應(yīng)當(dāng)推廣到應(yīng)用程序管理員領(lǐng)域（至少在我接手之前是這樣--所以他們才需要為此支付高昂的服務(wù)費(fèi)用）。   大多數(shù)惡意人士所覬覦的都是系統(tǒng)與數(shù)據(jù)。即使是已經(jīng)成功獲取整個(gè)域及所有網(wǎng)絡(luò)管理員的賬戶密碼，他們真正要做的也是最終侵入應(yīng)用程序服務(wù)器--而應(yīng)用程序管理員可以直接把他們送入夢寐以求的資源寶地。   如何降低安全風(fēng)險(xiǎn)？   首先，我們需要對所有應(yīng)用程序進(jìn)行審計(jì)并找出各應(yīng)用中高權(quán)限用戶（及服務(wù)）賬戶的總體數(shù)據(jù)。如果該數(shù)字高得離譜，就需要進(jìn)一步加以探討以確認(rèn)其合理性。從最低特權(quán)原則出發(fā)，找出（或幫助應(yīng)用團(tuán)隊(duì)找出）這些到底有多少用戶必須擁有應(yīng)用程序的全部操作權(quán)限。接下來清除那些不必要的賬戶并對具體控制能力進(jìn)行調(diào)整。我處理過很多這方面的審計(jì)工作，通常來說很容易找到問題并以此為基礎(chǔ)大幅削減賬戶權(quán)限。   如果某些應(yīng)用確實(shí)需要一大堆管理員--沒錯(cuò)，這種蹩腳的應(yīng)用真的存在--那企業(yè)應(yīng)該盡快與開發(fā)商或服務(wù)供應(yīng)商取得聯(lián)系。任何一款理想的應(yīng)用都不需要太多管理員，大部分用戶只應(yīng)該充當(dāng)查看方或者特定內(nèi)容編輯者。   我個(gè)人最喜歡采用RBAC（即基于角色的訪問控制）機(jī)制的應(yīng)用程序，因?yàn)樵谶@類應(yīng)用中即使是管理員也并非無所不能，而且只需要設(shè)置一位管理者。在出色的RBAC程序當(dāng)中，任何一位用戶都能從自身角色出發(fā)進(jìn)行操作--通常只涉及某些功能或任務(wù)。用戶只能處理與自身相關(guān)的任務(wù)（例如更新列表中的記錄），并執(zhí)行應(yīng)用中的特定功能。   這里我需要解釋一下：如今大部分傳統(tǒng)應(yīng)用程序的管理員都對應(yīng)用具備絕對的控制權(quán)。他們能進(jìn)行一切操作：變更設(shè)定、安裝或卸載內(nèi)容、添加及刪除用戶，并將整個(gè)離線數(shù)據(jù)庫復(fù)制到便攜式存儲(chǔ)介質(zhì)當(dāng)中。應(yīng)用程序管理員簡直就是這款應(yīng)用中的萬能主宰。   然而在RBAC應(yīng)用程序方面，沒有人能做到主宰一切。沒有人可以對數(shù)據(jù)庫整體進(jìn)行復(fù)制、刪除或其它重大操作。負(fù)責(zé)添加與刪除用戶及調(diào)整使用權(quán)限的人無法查看應(yīng)用程序中的數(shù)據(jù)。再舉個(gè)例子，RBAC管理員也許能夠訪問并修改數(shù)據(jù)，但其影響范圍僅限于應(yīng)用程序內(nèi)部。一旦應(yīng)用程序被關(guān)閉，RBAC管理員對底層數(shù)據(jù)庫或應(yīng)用完全不具備任何操作能力。   惡意人士的目標(biāo)在于系統(tǒng)訪問與數(shù)據(jù)庫。正是由于這個(gè)原因，我才對企業(yè)在控制及審計(jì)應(yīng)用程序管理員方面采取的機(jī)制如此重視--甚至將其提升至與操作系統(tǒng)及網(wǎng)絡(luò)管理員相同的高度。同志們！正所謂亡羊補(bǔ)牢、為時(shí)未晚，只要積極學(xué)習(xí)新的風(fēng)險(xiǎn)控制技巧，大家總能在未來的運(yùn)營工作中得到令人滿意的回報(bào)。   【本文轉(zhuǎn)自51CTO?！勘疚膩碜曰ヂ?lián)網(wǎng)，僅供參考