國(guó)慶七天長(zhǎng)假開啟

想好去哪兒玩了么？

放飛時(shí)刻

學(xué)習(xí)不停

小天網(wǎng)安課堂上線

本期關(guān)注授權(quán)過度

如今，許多單位正面臨著特權(quán)濫用、人為錯(cuò)誤、憑證泄露等網(wǎng)絡(luò)安全問題，這些失誤往往給惡意攻擊者提供絕佳攻擊機(jī)會(huì)，最終給各單位造成巨大損失。因此，在信息訪問源頭——訪問授權(quán)時(shí)，就應(yīng)設(shè)置清楚的訪問級(jí)別，加以權(quán)限控制。

小天提醒

授權(quán)過度麻煩多

數(shù)據(jù)誤刪損失大

謹(jǐn)慎授權(quán)、提前備份

認(rèn)識(shí)訪問權(quán)限和特權(quán)訪問

什么是訪問權(quán)限和特權(quán)訪問？

訪問權(quán)限，是指根據(jù)各種預(yù)定義組中用戶的身份標(biāo)識(shí)及其成員身份來限制訪問某些信息項(xiàng)或某些控制的機(jī)制。

特權(quán)訪問，是指用戶的訪問級(jí)別，需要更多權(quán)限，并且比普通用戶具有更多更高的訪問級(jí)別。例如通常由系統(tǒng)管理員用來控制用戶訪問網(wǎng)絡(luò)資源（如服務(wù)器、目錄和文件）的訪問，以實(shí)際區(qū)分特定對(duì)象權(quán)限。

為什么要?jiǎng)澐衷L問權(quán)限？

1、人為失誤易導(dǎo)致在訪問時(shí)泄露敏感數(shù)據(jù)。

2、重要訪問權(quán)限不加以劃分可能會(huì)嚴(yán)重?fù)p害系統(tǒng)的安全性。

3、擁有集中管理訪問權(quán)限會(huì)讓操作變得復(fù)雜。

如何評(píng)估權(quán)限？

評(píng)估權(quán)限時(shí)，應(yīng)用程序按此順序授予優(yōu)先權(quán)：

1、角色級(jí)別安全。具有“服務(wù)管理員”角色的用戶對(duì)所有應(yīng)用程序元素具有權(quán)限。

2、對(duì)于超級(jí)用戶、用戶和查看者用戶類型，則應(yīng)明確分配給用戶的權(quán)限。

3、因?qū)儆谝粋€(gè)組而獲得的權(quán)限分配。（注：若一個(gè)成員屬于兩個(gè)組且這兩個(gè)組為組成員分配了不同的權(quán)限，則限制最少的權(quán)限優(yōu)先。）

4、父級(jí)別的分配（例如，對(duì)父代成員或文件夾的分配）。

如何應(yīng)對(duì)數(shù)據(jù)誤刪？

數(shù)據(jù)冗余是前提

在高可用的主從服務(wù)系統(tǒng)架構(gòu)下，保證數(shù)據(jù)的同城熱備和異地冷備，實(shí)現(xiàn)服務(wù)出現(xiàn)故障時(shí)可以瞬間切換鏡像，數(shù)據(jù)發(fā)生誤刪時(shí)可以立即恢復(fù)備份。

管理分權(quán)是核心

運(yùn)維管理權(quán)只能給極少數(shù)人，且主機(jī)、系統(tǒng)、數(shù)據(jù)庫(kù)、服務(wù)等管理權(quán)限應(yīng)全部分開，按需賦予不同人員管理。

技術(shù)手段是關(guān)鍵

1、運(yùn)維人員實(shí)行最小權(quán)限分配原則：各服務(wù)器系統(tǒng)按照賬號(hào)逐一授權(quán)。

2、運(yùn)維人員需符合特定的“時(shí)間范圍”、“IP地址范圍”、“MAC地址列表”等預(yù)先指定的范圍條件才可登錄系統(tǒng)運(yùn)維。

3、運(yùn)維人員登錄系統(tǒng)后，重要操作及高危命令的執(zhí)行需向指定人員申請(qǐng)賦權(quán)，審批通過，方可執(zhí)行，且能實(shí)時(shí)監(jiān)控和阻斷，避免誤操作和惡意操作。

4、實(shí)時(shí)審計(jì)運(yùn)維人員行為記錄，如有安全事件發(fā)生，可提供追溯依據(jù)，責(zé)任到人。

國(guó)慶服務(wù)不打烊，網(wǎng)絡(luò)安全長(zhǎng)續(xù)航

全國(guó)24小時(shí)服務(wù)熱線：400-777-0777