网络管理员:注重服务器访问权限控制策略

任何服务器,安全与性能是两个永恒的主题。作为企业的信息化安全人员,其主要任务就是如何在保障服务器性能的
前提下提高服务器的安全性。而要做到这一点,服务器的访问权限控制策略无疑是其中的一个重要环节。笔者企业最近上了一台
新的数据库服务器,我为他设计了一些权限控制手段。这些方法虽然不能够百分之百的保证数据库服务器的安全性,
但是,这些仍然是数据库服务器安全策略中必不可少的因素。他对提高数据库服务器的安全性有着不可磨灭的作用。其实,这些控制策略,不但对数据库服务器有效;对其他的应用服务器仍然具有参考价值。一、给用户授予其所需要的最小权限不要给数据库用户提供比其需要的还要多的权限。换句话说,只给用户真正需要的、为高效和简洁地完成工作所需要的权限。这个道理很容易理解。这就好像防止职业贪污一样。你若只给某个员工其完成工作所必需的费用,一分都不多给,那其从
哪里贪污呢?如从数据库服务器的角度来考虑这个问题,这就要求数据库管理员在设置用户访问权限的时候,注意如下几个方面的问题。一是要限制数据库管理员用户的数量。在任何一个服务器中,管理员具有最高的权限。为了让数据库维持正常的运转,必须给数据库配置管理员账户。否则的话,当数据库出现故障的时候,就没有合适的用户对其进行维护了。但是,这个管理员账户的数量要严格进行限制。不能为了贪图方便,把各
个用户都设置成为管理员。如笔者企业,在一台数据库服务器中运行着两个实例,但是,只有一个数据库管理员负责数据库的日常维护。
所以,就只有一个管理员账户。二是选择合适的账户连接到数据库。一般数据库的访问权限可以通过两种方式进行控制。一是通过前台应用程序。也就是说,其连接到数据库是一个统一的账户,如管理员账户;但是,在前台应用程序中设置了一些关卡,来控制用户的访问权限。这种方式虽然可以减少前台程序开发的工作量,但是,对于数据库服务器的安全是不利的。二是在前台程序中,就直接利用员工账户的账号登陆到数据库系统。这种做法虽然可以提高数据库的安全性,但是,其前台配置的工作量会比较繁琐。而笔者
往往采用折中的方法。在数据库中有两类账户,一类是管理员账户,只有前台系统管理员才可以利用这类账户登陆到数据库系统。另外一类是普通账户,其虽然可以访问数据库中的所有非系统对象,但是,他们不能够对数据库系统的运行参数进行修改。
然后具体数据对象的访问,则通过前台应用程序控制。如此,前台应用程序普通员工只需要通过
同一个账户连接到数据库系统。而系统管理员若需要进行系统维护,如数据库系统备份与还原,则可以通过数据库管理员账户连接到数据库系统。则即方便了前台应用程序的配置效率,又提高了数据库服务器的安全性。总之,我们的目的就是要限制以数据库管理员身份连接到数据库的用户数量。在其他应用服务器中,也有管理员账户与普通账户之分。在权限分配的时候,也最好只给用户授予其需要的最小权限,以保障数据库服务器的安全。二、取消默认账户不需要的权限在建立账户的时候,服务器往往给给其一些默认的权限。如在数据库中,Public是授予每个用户的默认角色。任何用户,只要没有指定具体的角色,则其都可以授予Public组的权限。这其中,还包括执行各种SQL语句的权限。如此,用户就有可能利用这个管理漏洞,去访问那些不允许他们直接访问的包。因为这个默认权限,对于那些需要他们并且需要合适配置和使用他们的应用来说,是非常有用的,所以,系统默认情况下,并没有禁止。但是,这些包可能不适合与其他应用。故,除非绝对的需要,否则就应该从默认缺陷中删除。也就是说,通常某个账户的默认权限,其是比较大的。如对于数据库来说,其账户的默认权限就是可以访问所
有的非系统对象表。数据库设计的时候,主要是为了考虑新建用户的方便。而且,新建用户的时候,数据库确实也无法识别这个用户到底能够访问哪些用户对象。但是,对于企业应用系统来说,若给每个员工都默认具有这么大的访问权限,那则是很不安全的。笔者的做法是,会把应用系统的默认用户权限设置为最小,有些甚至把默认用户权限全部取消掉。这就迫使服务器管理员在建立账户的时候,给账户指定管理员预先设定的角色。这就可以有效的防止管理员“偷懒”。在建立账户的时候,不指定角色。

时间: 2024-10-26 22:10:57

网络管理员:注重服务器访问权限控制策略的相关文章

服务器访问权限控制策略的重要性

任何服务器,安全与性能是两个永恒的主题.作为企业的信息化安全人员,其主要任务就是如何在保障服务器性能的前提下提高服务器的安全性.而要做到这一点,服务器的访问权限控制策略无疑是其中的一个重要环节.笔者企业最近上了一台新的数据库服务器,我为他设计了一些权限控制手段.这些方法虽然不能够百分之百的保证数据库服务器的安全性,但是,这些仍然是数据库服务器安全策略中必不可少的因素.他对提高数据库服务器的安全性有着不可磨灭的作用. 其实,这些控制策略,不但对数据库服务器有效;对其他的应用服务器仍然具有参考价值.

Win7连接无线网络显示有限的访问权限怎么办

  1.点击开始菜单,选择控制面板; 2.将查看方式更改为大图标,点击"设备管理器"; 3.在设备管理器窗口中,找到并打开网络适配器选择带有wireless的配置; 4.在弹出的窗口中,切换至"高级"项,在属性下面找到802开头的选项,然后将右侧的值改为Long and Short,点击确定即可;

Win8系统“你没有权限访问,请与网络管理员联系”如何处理

知识点分析: 在Win8或Win8.1中的局域网共享时,在访问其它计算机上共享的文件夹时经常会出现"你没有权限访问,请与网络管理员联系请求访问权限"的提示:导致无访访问局域网被共享的文件夹.   操作步骤: 我们可以通过下面的方法解决此类问题:   1.找到你要共享的文件夹,选中并且右键,选中属性,选择安全选项卡:     2.点击安全选项卡下面的编辑,弹出编辑选项卡:     3.在组或用户名下面,点击添加,弹出选中用户和组选项卡,点击左下角的高级,弹出新的选项卡:     4.点击

网络管理员不惜代价都要避免的10个坏习惯

每个企业网络都由传输和存储信息的设备组成,面临着日益增长的复杂网络威胁. 网络管理员通过实施端到端控制,在避免未经授权的访问.数据丢失.恶意软件和安全漏洞方面发挥关键作用. 但是,在这一过程中会有几个常见的错误,可能导致公司面临不必要的风险.下面这 10 个不良习惯,网络管理员都需要避免它们,从而提高工作效率. 1.未能规律性地更新策略 Skillsoft 的 IT 和认证副总裁 Kyle Gingrich 这样表示,策略是网络的生存和呼吸要素,为了解决内外部监测和管理网络的变化,需要定期重新审

连接无线网显示有限的访问权限怎么解决?

无线网,字义上指不需要网线的网络,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份.我们经常会遇到无线网络显示有限的访问权限,那这代表着什么?又该如何办呢?下面就为大家介绍一下,一起来看看吧! 我们有时候连接无线网会出现问题,它会显示"有限的访问权限".这样我们就不能上网了,那么这样的问题该怎么解决呢?小编以自己的亲身经历来讲

如何使用网络视频服务器的权限管理

其实网络视频服务器就是将监控前端摄像机中拍摄到的视频信号通过传输设备归纳到服务器中,服务器将视频信号再转换成数字信号,发布于网络中.这样无论那个部门想调阅那段监控录像,则都可以不在通过监控管理处,只需利用浏览器即可以调阅. 当然这样的监控视频也不是随意都能调阅的,一般的连接网络视频服务器都需要权限与密码,这些都是监控人员事先编排好的,什么部门可以浏览调阅哪些区域都有明确划分. 网络视频服务器权限管理 然而新的问题又在网络视频服务器中出现,如果要监控管理人员一台又一台的反复设置权限与密码,那么繁重

网络管理员:如何保护FTP服务器口令安全

中介交易 SEO诊断 淘宝客 云主机 技术大厅 众所周知,企业网站管理员平时工作,都会通过PTP服务器将文件数据上传与下载,特别一些海外业务频繁的企业,遇到一些文件比较大,无法通过电子邮件发送给客户,都需要通过FTP服务器将文件互相传递.因此,FTP服务器的安全有时变得十分重要,若保护不慎,被不法分子攻破,不但有可能将FTP上的文件窃取,威胁到商业机密的泄露,更严重地是如果将病毒.木马放置在FTP服务器上,不仅危害自己,而且影响整个FTP服务器的用户. 为此,笔者请教了具有多年电子商务服务的中国

windows 服务器安全之磁盘访问权限设置[完整篇]_win服务器

asp.net服务器安全之磁盘访问权限设置 硬盘或文件夹: C:\ D:\ E:\ F:\ 类推   主要权限部分: 其他权限部分: Administrators 完全控制   无如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把user的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可.如果

ASP.NET通过DSO访问分析服务器的权限问题

asp.net|访问|服务器|问题 ASP.NET中通过Decision Support Objects(DSO)访问分析服务器的权限问题 1. 引子 先看一段代码: public class WebForm1 : System.Web.UI.Page{    private void Button1_Click(object sender, System.EventArgs e)    {        DSO.Server dsoServer = new DSO.ServerClass();