【2013年5月8日 51CTO外電頭條】相信大家都知道，在不必要的情況下隨意提升權(quán)限是管理工作中的大忌，這一真理已經(jīng)經(jīng)歷了時(shí)間的考驗(yàn)。我們不應(yīng)該在以管理員身份登錄之后，卻在設(shè)備上進(jìn)行網(wǎng)頁(yè)瀏覽或者查收郵件之類(lèi)私人操作，而且這一切在登錄服務(wù)器時(shí)將帶來(lái)更大的危害。作為公司管理者，大家不需要設(shè)置太多企業(yè)管理員、域管理員或者服務(wù)器管理員。我們都應(yīng)該明確這一點(diǎn)。

　　但最近的一次親身經(jīng)歷卻讓我大跌眼鏡。這是一家專(zhuān)門(mén)負(fù)責(zé)亞太及周邊地區(qū)航運(yùn)集裝箱業(yè)務(wù)的企業(yè)，其基礎(chǔ)設(shè)施中竟包含數(shù)以千計(jì)應(yīng)用程序管理員。這家公司擁有幾千款應(yīng)用程序，其中大多數(shù)同時(shí)存在數(shù)百位管理員；事實(shí)上甚至某些應(yīng)用的所有用戶(hù)都具備管理員權(quán)限。請(qǐng)大家不要誤會(huì)，大部分應(yīng)用提供的都是普通用戶(hù)賬戶(hù)（而非操作系統(tǒng)或網(wǎng)絡(luò)管理員賬戶(hù)），但這些賬戶(hù)卻擁有最高級(jí)別的應(yīng)用操作權(quán)限。

　　這家航運(yùn)公司使用頻繁最高的大部分應(yīng)用都擁有數(shù)千位用戶(hù)，在這樣龐大的用戶(hù)基數(shù)下10%--也就是幾百位用戶(hù)具備管理員操作權(quán)限似乎也不是什么了不得的大事。然而從理論上來(lái)說(shuō)，用戶(hù)應(yīng)當(dāng)始終只擁有最低操作權(quán)限，而且應(yīng)用管理員數(shù)量過(guò)多帶來(lái)的麻煩絕不比操作系統(tǒng)管理員泛濫來(lái)得少。實(shí)際情況可能更糟。

　　每增加一位管理員，安全風(fēng)險(xiǎn)發(fā)生的機(jī)率就會(huì)呈指數(shù)級(jí)增長(zhǎng)。過(guò)度分配管理權(quán)限不僅僅提高用戶(hù)自身的安全風(fēng)險(xiǎn)，更可能在他們?cè)庥鰫阂馇忠u時(shí)導(dǎo)致安全體系全面崩盤(pán)。每位管理員都可能從屬于某個(gè)特定群組，因此一旦黑客成功侵入A的賬戶(hù)、則極有可能同時(shí)獲取到B的業(yè)務(wù)信息，而B(niǎo)又會(huì)成為通往C的捷徑并以此類(lèi)推。

　　應(yīng)用程序管理員過(guò)多引發(fā)的最大問(wèn)題之一在于，與操作系統(tǒng)及網(wǎng)絡(luò)管理員相比，應(yīng)用程序管理員往往疏于采取安全防范措施。真正的管理人員往往習(xí)慣于借助隔離機(jī)制繞過(guò)計(jì)算機(jī)本身，通過(guò)更安全的方式進(jìn)行管理工作。他們知道隨意瀏覽網(wǎng)頁(yè)或回復(fù)郵件可能帶來(lái)的安全隱患，因此不會(huì)利用自己的輪換式認(rèn)證機(jī)制干這些無(wú)聊的事情。他們也會(huì)在計(jì)算機(jī)出現(xiàn)可疑征兆時(shí)及時(shí)調(diào)查并提交報(bào)告。應(yīng)用程序管理員在這些方面的素養(yǎng)就要差得多。

　　在這家特殊客戶(hù)的案例中，我們發(fā)現(xiàn)已經(jīng)有很大一部分應(yīng)用管理員的設(shè)備在過(guò)去一年中受到惡意軟件的感染。受感染設(shè)備所占比例與正常企業(yè)并無(wú)明顯不同，但由于管理權(quán)限的存在，常規(guī)狀況也成了重大事故的導(dǎo)火索。該公司在過(guò)去一年中大幅裁減了操作系統(tǒng)及網(wǎng)絡(luò)管理員的編制數(shù)量，并嘗試最大程度精簡(jiǎn)技術(shù)團(tuán)隊(duì)。然而似乎沒(méi)人意識(shí)到同樣的處理方式也應(yīng)當(dāng)推廣到應(yīng)用程序管理員領(lǐng)域（至少在我接手之前是這樣--所以他們才需要為此支付高昂的服務(wù)費(fèi)用）。

　　大多數(shù)惡意人士所覬覦的都是系統(tǒng)與數(shù)據(jù)。即使是已經(jīng)成功獲取整個(gè)域及所有網(wǎng)絡(luò)管理員的賬戶(hù)密碼，他們真正要做的也是最終侵入應(yīng)用程序服務(wù)器--而應(yīng)用程序管理員可以直接把他們送入夢(mèng)寐以求的資源寶地。

如何降低安全風(fēng)險(xiǎn)

　　首先，我們需要對(duì)所有應(yīng)用程序進(jìn)行審計(jì)并找出各應(yīng)用中高權(quán)限用戶(hù)（及服務(wù)）賬戶(hù)的總體數(shù)據(jù)。如果該數(shù)字高得離譜，就需要進(jìn)一步加以探討以確認(rèn)其合理性。從最低特權(quán)原則出發(fā)，找出（或幫助應(yīng)用團(tuán)隊(duì)找出）這些到底有多少用戶(hù)必須擁有應(yīng)用程序的全部操作權(quán)限。接下來(lái)清除那些不必要的賬戶(hù)并對(duì)具體控制能力進(jìn)行調(diào)整。我處理過(guò)很多這方面的審計(jì)工作，通常來(lái)說(shuō)很容易找到問(wèn)題并以此為基礎(chǔ)大幅削減賬戶(hù)權(quán)限。

　　如果某些應(yīng)用確實(shí)需要一大堆管理員--沒(méi)錯(cuò)，這種蹩腳的應(yīng)用真的存在--那企業(yè)應(yīng)該盡快與開(kāi)發(fā)商或服務(wù)供應(yīng)商取得聯(lián)系。任何一款理想的應(yīng)用都不需要太多管理員，大部分用戶(hù)只應(yīng)該充當(dāng)查看方或者特定內(nèi)容編輯者。

　　我個(gè)人最喜歡采用RBAC（即基于角色的訪問(wèn)控制）機(jī)制的應(yīng)用程序，因?yàn)樵谶@類(lèi)應(yīng)用中即使是管理員也并非無(wú)所不能，而且只需要設(shè)置一位管理者。在出色的RBAC程序當(dāng)中，任何一位用戶(hù)都能從自身角色出發(fā)進(jìn)行操作--通常只涉及某些功能或任務(wù)。用戶(hù)只能處理與自身相關(guān)的任務(wù)（例如更新列表中的記錄），并執(zhí)行應(yīng)用中的特定功能。

　　這里我需要解釋一下：如今大部分傳統(tǒng)應(yīng)用程序的管理員都對(duì)應(yīng)用具備絕對(duì)的控制權(quán)。他們能進(jìn)行一切操作：變更設(shè)定、安裝或卸載內(nèi)容、添加及刪除用戶(hù)，并將整個(gè)離線(xiàn)數(shù)據(jù)庫(kù)復(fù)制到便攜式存儲(chǔ)介質(zhì)當(dāng)中。應(yīng)用程序管理員簡(jiǎn)直就是這款應(yīng)用中的萬(wàn)能主宰。

　　然而在RBAC應(yīng)用程序方面，沒(méi)有人能做到主宰一切。沒(méi)有人可以對(duì)數(shù)據(jù)庫(kù)整體進(jìn)行復(fù)制、刪除或其它重大操作。負(fù)責(zé)添加與刪除用戶(hù)及調(diào)整使用權(quán)限的人無(wú)法查看應(yīng)用程序中的數(shù)據(jù)。再舉個(gè)例子，RBAC管理員也許能夠訪問(wèn)并修改數(shù)據(jù)，但其影響范圍僅限于應(yīng)用程序內(nèi)部。一旦應(yīng)用程序被關(guān)閉，RBAC管理員對(duì)底層數(shù)據(jù)庫(kù)或應(yīng)用完全不具備任何操作能力。

　　惡意人士的目標(biāo)在于系統(tǒng)訪問(wèn)與數(shù)據(jù)庫(kù)。正是由于這個(gè)原因，我才對(duì)企業(yè)在控制及審計(jì)應(yīng)用程序管理員方面采取的機(jī)制如此重視--甚至將其提升至與操作系統(tǒng)及網(wǎng)絡(luò)管理員相同的高度。同志們！正所謂亡羊補(bǔ)牢、為時(shí)未晚，只要積極學(xué)習(xí)新的風(fēng)險(xiǎn)控制技巧，大家總能在未來(lái)的運(yùn)營(yíng)工作中得到令人滿(mǎn)意的回報(bào)。

　　原文鏈接：http://www.infoworld.com/d/security/too-many-admins-spoil-your-security-218023