國慶七天長假開啟

想好去哪兒玩了么？

放飛時刻

學習不停

小天網安課堂上線

本期關注授權過度

如今，許多單位正面臨著特權濫用、人為錯誤、憑證泄露等網絡安全問題，這些失誤往往給惡意攻擊者提供絕佳攻擊機會，最終給各單位造成巨大損失。因此，在信息訪問源頭——訪問授權時，就應設置清楚的訪問級別，加以權限控制。

小天提醒

授權過度麻煩多

數據誤刪損失大

謹慎授權、提前備份

認識訪問權限和特權訪問

什么是訪問權限和特權訪問？

訪問權限，是指根據各種預定義組中用戶的身份標識及其成員身份來限制訪問某些信息項或某些控制的機制。

特權訪問，是指用戶的訪問級別，需要更多權限，并且比普通用戶具有更多更高的訪問級別。例如通常由系統管理員用來控制用戶訪問網絡資源（如服務器、目錄和文件）的訪問，以實際區分特定對象權限。

為什么要劃分訪問權限？

1、人為失誤易導致在訪問時泄露敏感數據。

2、重要訪問權限不加以劃分可能會嚴重損害系統的安全性。

3、擁有集中管理訪問權限會讓操作變得復雜。

如何評估權限？

評估權限時，應用程序按此順序授予優先權：

1、角色級別安全。具有“服務管理員”角色的用戶對所有應用程序元素具有權限。

2、對于超級用戶、用戶和查看者用戶類型，則應明確分配給用戶的權限。

3、因屬于一個組而獲得的權限分配。（注：若一個成員屬于兩個組且這兩個組為組成員分配了不同的權限，則限制最少的權限優先。）

4、父級別的分配（例如，對父代成員或文件夾的分配）。

如何應對數據誤刪？

數據冗余是前提

在高可用的主從服務系統架構下，保證數據的同城熱備和異地冷備，實現服務出現故障時可以瞬間切換鏡像，數據發生誤刪時可以立即恢復備份。

管理分權是核心

運維管理權只能給極少數人，且主機、系統、數據庫、服務等管理權限應全部分開，按需賦予不同人員管理。

技術手段是關鍵

1、運維人員實行最小權限分配原則：各服務器系統按照賬號逐一授權。

2、運維人員需符合特定的“時間范圍”、“IP地址范圍”、“MAC地址列表”等預先指定的范圍條件才可登錄系統運維。

3、運維人員登錄系統后，重要操作及高危命令的執行需向指定人員申請賦權，審批通過，方可執行，且能實時監控和阻斷，避免誤操作和惡意操作。

4、實時審計運維人員行為記錄，如有安全事件發生，可提供追溯依據，責任到人。

國慶服務不打烊，網絡安全長續航

全國24小時服務熱線：400-777-0777