您现在的位置是:首页 > IT基础架构 > 网络与安全 >
安全专家谈权限管理:功夫在“诗外”
2008-10-21 16:14:00作者:刘宏伟来源:
摘要很多企业想了各种办法加强自身的信息安全,部署了杀毒软件、防火墙等等,可是,它们却在实践过程中发现,各种功能强大的产品却没有发挥它们强大的作用,它们的各种功能已经在不知不觉中被打了折扣,这到底是为什么呢? ...
黑夜给了我黑色的眼睛,而我却用它来寻找光明。在企业的信息安全管理中,软件就好像是那双眼睛,但只有眼睛是不够的,它必须要用来寻找信息安全这份“光明”。很多企业想了各种办法加强自身的信息安全,部署了杀毒软件、防火墙等等,可是,它们却在实践过程中发现,各种功能强大的产品却没有发挥它们强大的作用,它们的各种功能已经在不知不觉中被打了折扣,这到底是为什么呢?
软件VS权限:好马需配好鞍
宋代诗人陆游在《示子遹》中写道:“汝果欲学诗,功夫在诗外”。我们知道,软件本身是严肃的,它只会严格按照既定的逻辑和规则去运行,绝不会姑息任何违反规则的行为。那么作为软件之外的另外一个企业信息安全主体:“人”又如何呢?
虽然几乎所有企业级杀毒软件都有管理权限分配的功能,但是管理权限的分配游离于软件之外,它依靠人的管理和操作,就不可避免地打上了“人治”的烙印。与此同时,它又对软件的使用效果有着最大的影响。管理权限混乱、职责不明晰往往成为企业信息安全的短板,成为让许多企业困扰的难题。有格言道:绝对的权力带来绝对的腐败。企业信息安全离不开管理,而管理的重要环节就是对管理员的权限进行设定,防止权限滥用造成企业损失。在这一点上,瑞星杀毒软件网络版颇有独到之处。它通过对网络管理员的级别进行划分,将管理员的级别分为超级管理员、操作管理员和审计管理员,超级管理员具有对管辖范围内客户端和下级中心的所有操作权限,他可以创建若干操作管理员,并可以任意挑选出若干客户端分配给他,成为一个管理分组;操作管理员仅能管理超级管理员为其分配的客户端,但是他也同样可以对自己管理的客户端进行进一步的分组,并加以管理;审计管理员支持查看管辖范围内客户端的状态和日志,为企业信息安全审计工作把关并留存证据以备不时之需。通过这种设置,可以有效地提高工作效率,起到事半功倍的效果。
权限分配:“大锅饭”还是“让一部分人先富起来”?
然而,随之而来却产生了另外一个问题,就是如何在企业内部合理的分配管理员权限?一些企业在认识上存在这样一个误区,就是:企业领导理所当然应该是管理权限最高的那部分人,在实际工作和虚拟世界中都应该处于同样的地位。然而,这恰恰是一个相当大的误会。这是因为,对网络的管理不仅需要对企业业务工作的明确认识,更重要的是对网络专业技术知识的深刻认识和理解。网络的管理和维护是一项繁重而复杂的任务,需要大量耐心细致的工作,它对进行网络管理的人员的知识和技能提出了相当高的要求,而没有受过专门培训的人员是无法担当这一重任的。
瑞星安全技术专家建议大家在分配管理员权限时应该考虑两方面的因素。
第一,管理员自身的素质。管理员之间由于分工不同、职责不同,在对信息安全的意外处理时他们面临的威胁和风险也是不同的,因此,选择管理员的时候要对其的素质进行全面考察,把最优秀的人配备到最需要的地方,让他们担当起最重要的职务,做到“物尽其用,人尽其才”;此外,素质不仅包括个人的业务素质还包括道德素质,权限上去了,道德水平跟不上,很可能会发生“堡垒从内部攻破”这样的事情。
第二,网络结构的需要。如果企业网络比较大,网络里计算机数量比较多,网管员在管理的时候就可能会出现顾此失彼的情况,就需要对管理员的级别和权限进行设置。一般说来,网络管理员的设置是根据网络的大小来确定的。小型网络一般一两个网管员足以胜任工作,可以不采用或者简单采用分级制度;中等规模的网络和大型网络在设定网管员的层级的时候需要对网络的总体状况通盘考虑设定不同的级别,级别不同,网络管理员的权限也不同。举个简单的例子,有些大型企事业单位的办公地点往往不止一处,总部管理员负责的是整个网络的把控,分支机构的管理员负责局域网络的管理和维护,这样可以减轻他们的工作负担,提高工作效率,最重要的是,通过这种设置,对管理员的管理权限进行了约束,使处于较低级别的管理员无法超越他们的权限进行操作,从而起到避免错误操作和违规操作的作用。
在最近热映的影片《功夫熊猫》中,有一句台词反复出现,就是“从来没有什么意外”,对于企业的信息安全同样也是如此。防范于未然,才能御敌于国门之外,只有从源头抓起,正本清源,抓住权限管理这个根,才能将杀毒软件的强大功能发挥到极致。
(本文不涉密)
责任编辑: