51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

别让管理员成为安全体系中的薄弱环节

译文
作者:核子可乐译
系统 新闻
管理员切记:永远不要给用户超出必要的访问权限,如果将权限如糖果般随意抛洒出去,最终的恶果必然要由我们自己承担,别让管理员成为安全体系中的薄弱环节。

  【2013年5月8日 51CTO外电头条】相信大家都知道,在不必要的情况下随意提升权限是管理工作中的大忌,这一真理已经经历了时间的考验。我们不应该在以管理员身份登录之后,却在设备上进行网页浏览或者查收邮件之类私人操作,而且这一切在登录服务器时将带来更大的危害。作为公司管理者,大家不需要设置太多企业管理员、域管理员或者服务器管理员。我们都应该明确这一点。

  但最近的一次亲身经历却让我大跌眼镜。这是一家专门负责亚太及周边地区航运集装箱业务的企业,其基础设施中竟包含数以千计应用程序管理员。这家公司拥有几千款应用程序,其中大多数同时存在数百位管理员;事实上甚至某些应用的所有用户都具备管理员权限。请大家不要误会,大部分应用提供的都是普通用户账户(而非操作系统或网络管理员账户),但这些账户却拥有最高级别的应用操作权限

  这家航运公司使用频繁最高的大部分应用都拥有数千位用户,在这样庞大的用户基数下10%--也就是几百位用户具备管理员操作权限似乎也不是什么了不得的大事。然而从理论上来说,用户应当始终只拥有最低操作权限,而且应用管理员数量过多带来的麻烦绝不比操作系统管理员泛滥来得少。实际情况可能更糟。

  每增加一位管理员,安全风险发生的机率就会呈指数级增长。过度分配管理权限不仅仅提高用户自身的安全风险,更可能在他们遭遇恶意侵袭时导致安全体系全面崩盘。每位管理员都可能从属于某个特定群组,因此一旦黑客成功侵入A的账户、则极有可能同时获取到B的业务信息,而B又会成为通往C的捷径并以此类推。

  应用程序管理员过多引发的最大问题之一在于,与操作系统及网络管理员相比,应用程序管理员往往疏于采取安全防范措施。真正的管理人员往往习惯于借助隔离机制绕过计算机本身,通过更安全的方式进行管理工作。他们知道随意浏览网页或回复邮件可能带来的安全隐患,因此不会利用自己的轮换式认证机制干这些无聊的事情。他们也会在计算机出现可疑征兆时及时调查并提交报告。应用程序管理员在这些方面的素养就要差得多。

  在这家特殊客户的案例中,我们发现已经有很大一部分应用管理员的设备在过去一年中受到恶意软件的感染。受感染设备所占比例与正常企业并无明显不同,但由于管理权限的存在,常规状况也成了重大事故的导火索。该公司在过去一年中大幅裁减了操作系统及网络管理员的编制数量,并尝试最大程度精简技术团队。然而似乎没人意识到同样的处理方式也应当推广到应用程序管理员领域(至少在我接手之前是这样--所以他们才需要为此支付高昂的服务费用)。

  大多数恶意人士所觊觎的都是系统与数据。即使是已经成功获取整个域及所有网络管理员的账户密码,他们真正要做的也是最终侵入应用程序服务器--而应用程序管理员可以直接把他们送入梦寐以求的资源宝地。

如何降低安全风险

  首先,我们需要对所有应用程序进行审计并找出各应用中高权限用户(及服务)账户的总体数据。如果该数字高得离谱,就需要进一步加以探讨以确认其合理性。从最低特权原则出发,找出(或帮助应用团队找出)这些到底有多少用户必须拥有应用程序的全部操作权限。接下来清除那些不必要的账户并对具体控制能力进行调整。我处理过很多这方面的审计工作,通常来说很容易找到问题并以此为基础大幅削减账户权限。

  如果某些应用确实需要一大堆管理员--没错,这种蹩脚的应用真的存在--那企业应该尽快与开发商或服务供应商取得联系。任何一款理想的应用都不需要太多管理员,大部分用户只应该充当查看方或者特定内容编辑者。

  我个人最喜欢采用RBAC(即基于角色的访问控制)机制的应用程序,因为在这类应用中即使是管理员也并非无所不能,而且只需要设置一位管理者。在出色的RBAC程序当中,任何一位用户都能从自身角色出发进行操作--通常只涉及某些功能或任务。用户只能处理与自身相关的任务(例如更新列表中的记录),并执行应用中的特定功能。

  这里我需要解释一下:如今大部分传统应用程序的管理员都对应用具备绝对的控制权。他们能进行一切操作:变更设定、安装或卸载内容、添加及删除用户,并将整个离线数据库复制到便携式存储介质当中。应用程序管理员简直就是这款应用中的万能主宰。

  然而在RBAC应用程序方面,没有人能做到主宰一切。没有人可以对数据库整体进行复制、删除或其它重大操作。负责添加与删除用户及调整使用权限的人无法查看应用程序中的数据。再举个例子,RBAC管理员也许能够访问并修改数据,但其影响范围仅限于应用程序内部。一旦应用程序被关闭,RBAC管理员对底层数据库或应用完全不具备任何操作能力。

  恶意人士的目标在于系统访问与数据库。正是由于这个原因,我才对企业在控制及审计应用程序管理员方面采取的机制如此重视--甚至将其提升至与操作系统及网络管理员相同的高度。同志们!正所谓亡羊补牢、为时未晚,只要积极学习新的风险控制技巧,大家总能在未来的运营工作中得到令人满意的回报。

  原文链接:http://www.infoworld.com/d/security/too-many-admins-spoil-your-security-218023

责任编辑:黄丹 来源: 51CTO.com
管理员用户权限应用程序
相关推荐
密码属于安全薄弱环节
在现代安全体系中,密码占据了最为重要的位置。毕竟,用户的个人身份、私人信息以及金融资源都是靠它来保护的。然而,现在的问题是,密码确实能够起到保护作用么

2013-05-13 17:10:38

​供应链是否存在薄弱环节
保障供应链安全是每个公司的责任。只有当所有实体都采取有效、协调的安全措施,确保供应链数据的完整性、货物的安全和全球经济的安全时,供应链才能真正的安全。

2022-07-08 14:07:41

供应链安全
网络安全与元宇宙:找出薄弱环节
什么在科技界和商业界造成了如此巨大的变化?您为什么应该关注?这就是元宇宙,它在科技界风靡一时。您可能已听说过这个术语,但也许不清楚真正的含义。

2022-08-04 07:03:58

网络安全元宇宙网络
基于口令认证:云认证薄弱环节
在计算机的大部分领域中技术发展是如此之快,以至于我们很容易就会忽略那些在几十年的时间里都还未有寸进的领域。基于口令的认证方式可能是现在我们所有人每天都在使用的最重要技术功能之一。

2012-09-26 09:38:40

实例:加固内网薄弱环节 保障网络通畅
作为信息系统的基础设施,网络系统的安全稳定直接影响着公司经营生产和业务管理的正常运行。为了应对来自系统内部和外部的不断增加的信息安全风险,必须不断地进行系统的安全加固,不断地提升网络系统的安全防范能力,以保障公司信息资产的安全。

2009-05-18 09:21:00

物联网设备可能是网络安全薄弱环节
随着企业在其业务各个方面加强安全性,人员仍然是最薄弱的环节,并且他们很容易对物联网网络的安全性视而不见,因为它们是基于技术的。

2021-06-25 14:27:55

物联网网络安全IoT
调查显示,数据供应链存在许多薄弱环节
实时数据仍然是一种幻觉吗?今天的企业中可能有大量数据涌动,但其中很多都是陈旧的,没有及时到达决策者或应用程序以增加其全部价值。

2021-10-19 17:02:34

数据供应链数据安全数据
发现网络存在薄弱环节
惠普5月宣布推出了新的FlexNetwork,看起来就象是已经就企业级网络的未来发展趋势作出了大胆的预测——需求处于不断变化的情况是不可避免的.

2011-08-15 13:34:22

网络
瑞星:兼容统一性差已成为政府网络薄弱环节
近年来,政府网络受到黑客攻击的安全事件频繁发生,白宫、印度军事情报部门、韩国总统府等政府部门无一幸免。据《瑞星2011年度企业安全报告》统计显示。

2012-04-09 10:56:20

天空卫士DLP横空出世 完善国内信息安全技术最薄弱环节
作为数据防泄漏客户端产品,UCSCDLP也需要注册至UCSSDLP进行交互和管理,保护终端用户免遭数据窃取和泄漏。

2015-11-13 10:06:10

网络安全成为商业建筑最薄弱环节
物联网是迄今为止商业建筑安全中最薄弱的环节,比以往任何时候都需要更多的关注。

2022-04-11 16:35:37

网络安全物联网商业建筑安全
是时候好好处理你N个安全漏洞了!
你明知道自己的安全体系存在薄弱环节,可是却很难知道从哪里开始入手,本文也许可以帮助你走上正轨。

2015-06-10 09:14:30

企业安全体系架构分析:安全体系架构概述
最近都在谈论安全体系架构,我也有一些观点想与诸位分享,主题围绕着如何搭建企业级安全体系架构来进行。

2019-07-01 12:55:05

安全体系架构网络安全企业安全
切莫让供应链成为网络中最薄弱环节
企业之间的连接性日益紧密,这种连接性在为企业带来商业利益的同时,也带来了安全风险。网络犯罪分子非常了解这些连接,并会利用它们访问那些保护不佳的网络,供应链中涉及的企业之所以被黑客锁定,是因为他们通常无法预知潜在威胁,也缺少足够的资源来实施高规格安全管理。

2019-03-19 11:59:12

供应链安全
LANDesk安全套件9.0:消除企业发展短板
提到IT安全,人们往往关注防火墙、防病毒、IDS(入侵检测)、网络设备路由器等管理。但近两年的安全调查表明,在各种企事业单位中超过70%的安全问题来自终端。计算机终端广泛涉及每个用户,由于其分散性、不被重视、缺乏安全手段的特点,已成为信息安全体系中的薄弱环节。

2010-04-29 11:42:19

涉密网络安全体系设计
涉密网络的安全保障体系是实现涉密系统信息共享、快速反应和高效运行的重要保证。安全保障体系首先应保证网络的安全、可靠运行,在此基础上保证应用系统和业务的保密性、完整性和高度的可用性,同时为将来的应用提供可扩展的空间。

2012-12-25 14:23:10

Websphere Application Server 安全体系
WebSphereApplicationServer简称WAS,是IBMWebSphere家族系列中的重要成员,处于Web解决方案领域领导性地位,其值得称道的方面除了其高可靠用性和扩展性等之外,其强大的安全性更是无可替代的。本系列文章以Web安全中的三大问题即认证、授权和传输为出发点对WAS安全进行阐述和总结.

2009-12-09 09:49:29

ibmdwWebSphere
别让移动办公成为企业IT管理难题
企业级的厂商也纷纷看到这个趋势,先后推出了移动解决方案,但由于“出身”的不同,各家也有各家的侧重点。华三通信作为老牌的IT基础架构提供商,其移动IT解决方案聚焦网络准入和终端安全,以多重服务器和网络设备搭建的管控平台,从移动终端、网络传输、应用、敏感数据和管理五个维度为企业构建移动IT安全防护体系。

2016-03-06 22:59:27

移动办公/华三
闲聊安全体系化建设
企业如何搞好安全体系化建设?做为老板,业务,安全从业人员在这个问题的答案会是这样吗?

2020-08-18 08:11:08

安全体系化建设漏洞网络安全
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服