一个关于权限设计的话题

lostwho · 发表于 2008-3-11 09:32

果真是个好方法啊

SPegasus · 发表于 2008-3-28 14:33

无论怎么样总会一个系统管理员具有最高的权限，即便不是超级用户，所以如果完全从技术上消除管理员的风险是不可能的。所以我认为唯一可能有效的措施是检查性控制，即如果技术上可能对管理员某些得操作进行自动的告警，通知安全管理员处理；最基本的就是采取措施保证系统日志的完整性，然后定期经常由安全管理员或者相似的人员进行日志的检查，以期能够及时发现问题。

voca · 发表于 2008-3-30 15:34

good

cross0966 · 发表于 2008-4-28 10:27

顶
好办法

arieldong · 发表于 2008-5-16 01:38

说起来简单，做起来难，不给admin的权限，把admin作为应急帐号封存，紧急是使用。仅仅给予管理员能够跑应用以及日常维护的权限。但是怎么样去分析应用需要什么权限呢，如果应用不能够在user或者非admin的权限跑如何呢？分析一个正常的维护过程或者确保应该能够正常运行的过程需要的最低权限是什么太难了。因为应用系统众多，而且历史悠久。如果是仅仅是封存admin用户，建立一个用户，不让他有edit 日志的权限，我觉得还不如上一个日志管理系统，启用实名用户登录呢。至少我不需要去整封存admin密码的信封，不需要建立取应急帐号的流程，不需要定期修改封存在信封里面的admin的密码。

arieldong · 发表于 2008-5-16 01:41

说起来简单，做起来难，不给admin的权限，把admin作为应急帐号封存，紧急时使用。仅仅给予管理员能够跑应用以及日常维护的权限。但是怎么样去分析应用需要什么权限呢，如果应用不能够在user或者非admin的权限跑如何呢？分析一个正常的维护过程或者确保应用能够正常运行的过程需要的最低权限是什么太难了。因为应用系统众多，而且历史悠久。如果仅仅是通过封存admin用户，建立一个管理用户，不让他有edit 日志的权限来解决，我觉得还不如上一个日志管理系统，启用实名用户登录呢。至少我不需要去封存admin密码的信封，不需要建立取应急帐号的流程，不需要定期修改封存在信封里面的admin的密码。

itpubworm · 发表于 2008-5-16 08:43

如把IT 系统比作一个企业， IT系统中的admin就如同是企业里的CEO。
一个公司，特别是上市公司的CEO是由董事会任命和监管的。楼上有人说检查性控制，我个人觉得比较靠谱。制定一套符合该IT系统在企业中的地位和发展方向的制度来约束和激励admin在系统中的作用，和企业如何任命CEO的道理是差不多的。比如系统日志，就可以交给独立的其他安全管理员来管理，并在一定范围内公开。就好比公司的月报，季报等，事先都在董事会内讨论通过，讨论的过程和结果，都会对CEO有一定程度上的评估。

个人愚见。。。

[原创] 一个关于权限设计的话题