服务器访问控制策略
任何服务器,安全和性能是两个永恒的主题。作为一个企业的信息安全人员,主要任务是如何保证服务器性能的前提下提高服务器的安全。为此,对服务器的访问控制策略无疑是其重要的组成部分。我最近提出了一个新的数据库服务器,我为他设计了一些控制手段,虽然这些方法不能保证数据库服务器百分之一百的安全,这些仍在数据库服务器安全策略的重要因素。他对提高数据库服务器的安全不可磨灭的影响。事实上,这些控制策略不仅对数据库服务器有效,对其他应用服务器也有参考价值。
首先,给用户所需的最低权限
不要给数据库用户比他们需要更多的权限。换句话说,它只是给用户正确有效地完成工作和简洁。真相是很容易理解的。这就像预防职业腐败。如果你只给员工完成工作所需的成本,不存在不止一个点,这是在贪污
如果我们从数据库服务器的角度来考虑这个问题,我们需要数据库管理员在设置用户访问时注意以下几个方面。
一是限制数据库管理员用户数。在任何服务器,管理员具有最高的权限。为了保证数据库的正常运行,您必须配置为数据库管理员账户。否则,当数据库失败,没有合适的用户来维护它。然而,该管理员帐户数量严格限制。不贪方便,所有用户都设置为管理员。例如,我跑在一个数据库服务器实例,但是只有一个数据库管理员负责数据库的日常维护。所以,只有一个管理员帐户。
二是选择合适的帐户连接到数据库,一般数据库的访问权限可以通过两种方式来控制:一种是通过前台应用,即连接到数据库是一个统一的帐户,如管理员帐户。然而,一些关卡是在前台的应用程序来控制用户的访问权限设置,这种方法可以减少前台程序开发的工作量,但它对数据库服务器的安全性。二是在前面的程序,员工账户的数据库系统直接使用。虽然这种方法可以提高数据库的安全性,其前台配置的工作量将是乏味的,我经常使用的一种折中方法。数据库中有两类账户,一个是管理员账户,只有前台管理员可以使用这些类型的帐户登录到数据库系统中的其他。是一种常见的帐户。虽然它可以访问数据库中的所有非系统对象,他们不能修改数据库系统的运行参数,然后对特定数据对象的访问是通过前台应用程序控制。这样,前台应用的一般工作人员只需要通过相同的帐户连接到数据库系统。如果一个系统管理员需要系统维护,如备份和恢复数据库系统,它可以通过数据库管理员帐户连接到数据库系统,这也促进了前台应用程序的配置效率和提高数据库服务器的安全。总之,我们的目标是限制连接到数据库一个数据库的用户数E管理员。
在其他应用程序服务器中,也有管理员帐户和一个公共帐户。当分配权限时,最好只给用户所需的最低权限,以确保数据库服务器的安全性。
两。取消默认帐户不需要的权限。
当建立一个帐户,服务器经常给它一些默认的权限。在数据库中,公众是默认角色授予每一个用户,任何用户,只要它不指定一个特定的角色,可以授予公共组的特权。这包括执行各种SQL语句中的权限。这样,使用者利用管理漏洞访问的数据包,不允许他们直接访问是可能的。因为这个默认权限为那些需要的人和需要适当的配置和使用他们的应用程序是非常有用的,所以系统不禁止默认。然而,这些包可能不适合为其他应用程序。因此,除非绝对必要,应该删除化的缺陷。
也就是说,某个帐户的默认权限是比较大的。对于一个数据库,他们的帐户的默认权限访问所有非系统对象表。在数据库设计的时候,主要是考虑到新用户的便利性。此外,当用户建立的数据库没有真正认识到用户可以访问的用户对象。然而,对于一个企业应用系统,它是有这样一个大的访问每个员工默认情况下不安全。
作者的实践,对应用系统的默认用户权限将被设置到最低,有的甚至取消所有的默认用户权限。这迫使服务器管理员指定管理员预先设置角色的帐户时,帐户的设置,可以有效地防止管理员的懒惰。无作用时指定帐户设置。