“删库”事件过去了,微盟原计划28号恢复商家服务,这事儿就算渐渐淡出了人们的视野,如今又好巧不巧被创始人的魔幻舆论推得一浪更比一浪高。
观众吃瓜一时爽,企业也纷纷顺着热点蹭上来,踩着别人的错误往上爬,还能花样踢腿加劈叉。整个安全圈一片喜气洋洋。
实际上大家彼此心知肚明,这次事件只需要最简单的双人复核就能避免,多一次打扰,少亏12亿。那么为什么最初级的操作也做不到呢?
一、原因分析篇
有人指出这次“删库”原因是微盟没有使用堡垒机,仅仅如此吗?
爱因斯坦说,问题往往不会在它发生的那个层面得到解决。
现在很多互联网公司对自己的技术非常有信心,为了节省成本,会选择基于开源软件自主研发安全产品。但在设计产品和管理产品的过程中,难免缺乏专业经验。
专业的人做专业的事。脱离钱去谈安全,就有可能丢了**还套不着狼。
“删库”这么狗血的事情已经在历史上重演很多次了,有蓄意破坏的,也有失手误删的,归根结底,都是人的因素。当你大门敞开,这库就迟早要删,即便现在没有动机,也不能保证没有手误的可能。
人永远存在犯错的可能性,而安全又是一个神奇的四两拨千斤的问题,任何一点小错误都有发展成大规模破坏的潜力。因此运维安全的第一步,就是对“人”的权限管控。
构建成熟的权限管控体系,才能最小化排除人的不稳定因素。
二、整体方案篇
数据中心内的运维安全体系分为身份验证,授权,访问控制,审计和主机防护5个方面,而其中的授权+访问控制实现权限管控。从字面意义上理解:授权就是授予相应的人相应的权限(人+账号+资产),访问控制就是在人在获得权限之后允许做哪些事情不允许做哪些事情(时间+地点+操作)。二者本质上是一个授予和执行的关系。
1. 授权-修桥铺路
在数据中心内,根据业务场景的不同有三种授权通道:工单申请、动态授权、静态授权。
(1) 工单授权
操作人员根据每天需要处理的事务向部门领导提交工单申请,包括: 服务器 IP、账号、运维事项、时间范围等,领导审批后操作人员才可在堡垒机中查看到申请的访问权限。
(2) 静态授权
对于人员固定,访问目标固定且低风险的访问权限可以使用静态授权,如:张三每周一至周五早上9点到10点之间都需要对备份机做巡检,巡检用到的账号是一个只读的低权账号。
在执行授权的过程中,通常会伴随常规策略设置,定义基础权限,主要包括人、账号、资产,偶尔也会涉及到事件、地点、操作等策略配置。
(3) 动态授权
相对于静态授权的条目多,配置复杂,动态授权提供了一种按属性,按标签的更便捷的配置方式。例如:按用户部门(系统,数据库,网络),角色(管理员,值班员),设备类型(主机,数据库,中间件),业务系统(网银,手机银行)等,根据标记自动生成访问权限,实现动态授权。
2. 访问控制-分道限速
授权阶段足以满足登陆访问的基础需求了,然而不足以将“人”的风险降至最低。访问控制则是对“人的行为”进行风险控制的强力补充。
通过时间策略、源地址策略、操作规则的进一步设置,连同人、账号、资产的基础权限,形成六维细粒度权限管控体系,实现权限最小化管理。
目前常见的几种权限管控包括:ACL(基于黑白名单)【1】、RBAC(基于角色)【2】、ABAC(基于属性)【3】,在不同的业务场景下,适配不同的技术手段。
三、结语
不得不承认,权限管控是一件干起来十分吃力又不讨好的事情,安全本身看不见效果。即便是比较好的自动化平台,至少也需要人来审批。从前期准备到后期运用,很容易形成成本升高、效率却降低的局面。
的确,树上的果子摘下来就能吃,何必要洗一遍呢?
但最近这个世界在告诫我们,你不知道那个果子有没有被果蝠碰过。
愿大家身体健康,也愿行业更健康。
Reference:
wiki可以进行知识管理吗?
以下信息来自于kmpro知识管理
wiki的思想是开源共享式的,无法控制权限,是一个开放的系统,董事长的知识条目,也可能被新来的员工看到,这是不安全的。 应该说wiki可以进行普通知识内容的共享共建,但要真正执行知识管理的思想还是有些欠缺的。
以下是kmpro知识管理系统中知识版本管理和权限管理的功能介绍:
知识版本管理工具 在本系统中引入了知识版本的概念,每次对该知识的修改或更新都将作为新版本的知识进行另存。
引入了文件组的文档组织结构,用版本升级方式标明每篇文档的编辑及修正过程,每篇知识文档的所有版本都保存于一个文件组中。
企业的知识文档会在不同员工、不同时段的修改升级,产生不同的版本,版本管理工具能够确保员工获得最新版本的文件或者任一版本的源文件。
用户和权限管理系统 系统内置超级用户“系统管理员”,具有对系统完全控制及维护权。
引入角色概念,角色数量可无限扩展,每个用户都与一个角色相对应。
权限设置与角色绑定,权限分为添加、修改、删除、查看、查看历史版本五项。
每篇知识文档也可设置相对应的用户权限。 用户除其所对应角色拥有的权限外,还对已绑定其的文档具有操作权限,权限同样分为添加、修改、删除、查看、查看历史版本五项。
通过不同权限的管理,可以最大限度的达到对新知识的快速发布,对已发布知识的保护,高速查看各个知识点历史版本,对系统架构的拓展与保护等。
内置的安全和权限控管机制,允许管理员设定账号及层式群组功能, 便于在各子系统应用。 具有优于 File System 的权限控制功能,对于文档 可以设定不同的读、写、编修权限,并分为群组及个人层级。
深蓝KMPRO知识管理平台主要集成了:
1 知识地图分类系统
2 知识采集发布评论系统
3 知识浏览下载门户
4 知识搜索引擎
5 知识学习计划系统
6 知识订阅系统
7 知识求索交换系统
8 用户权限管理系统
9 知识版本管理系统
10 知识资产评估系统
11 数据库备份、还原系统
12 文档存储管理系统
参考资料:kmpro知识管理
方正飞鸿是什么?
方正飞鸿系列管理软件是针对中小企业的其中飞鸿erp是针对分销行业的 方正FIX企业管理软件立足于企业内部和相关外部资源信息资源整合、主要业务流程的管控。 不仅考虑到信息资源在部门内、企业内、集团内、合作伙伴之间共享的要求,还充分体现了预测、计划、控制、业绩考评价指标等管理方面的要求,实现了信息流、物流、资金流管理的统一,解决了长期困扰企业管理的难题。 架构特点1、不但是记账、更是对业务过程全面管控;实现企业闭环管理。 2、业务财务一体化,财务凭证自动生成,以标准财务会计系统为核心;上层管理会计为管理者提供多维度经营决策信息,并帮助其做出科学决策。 3、多维了利润核算,包括销售利润、除税销售利润、考核利润、回款利润、回款考核利润、回款除税利润六种利润;满足各种业绩核算需求。 4、完整的产品线包括CRM(客户关系管理)、OA(办公自动化)、ERP(进销存、财务)、PM(项目管理)。 各模块既相对独立,分别具有完善和细致的功能,最大限度地满足用户全面深入的管理需要,又能融会贯通,有机地结合为一体化应用,满足用户经营管理的整体需要。 5、浏览器/服务器架构支持跨地域实现信息共享和流程管控;软件中关于操作员功能权限的设置,保证了系统在授权机制的有效控制下安全运转。 6、基于自主知识产权的ES2007平台开发、可提供高效稳定的二次开发。 保证信息化系统的适应性。 优势特性1、 序列号管理:可自由输入也可强制输入,自由输入时仅起记录作用,但必须输入内容,系统不检查输入内容的正确性;强制输入时系统严格检查输入序号的正确性,并根据序号一对一核算成本。 使用场景:单件商品价值较高,每件商品都有唯一的标识号(序列号或SN)。 管理效果:1、 售后可以根据序列号判断改商品是否为本公司销售。 2、 强制输入时可避免由于外包装相似而发错货。 3、 可以实现一对一进行成本核算,使成本核算更准确。 4、 便于质量问题的追踪2、 产品线管理: 使用场景:多产品或多品牌经营的,并按产品线进行管理的企业 管理效果:1、 可以按产品线设置商品的采购、销售权限。 2、 使得产品经理可以查询所辖产品线的所有业务数据。 3、 按产品线进行销售利润统计。 3、 借欠管理:包含、借入单、借出单、借入还回单、借出还回单、借入转进货单、借出转销售单 使用场景:进行受托代销业务的、进行委托代销业务的、和同行有发生借货往来的企业 管理效果:可以同时算清在库商品数量和权益库存价值,分清权益和实物。 4、 零售单:多账户收款满足日益增多同时使用现金和刷卡进行支付的零售业务。 使用场景:包含零售业务的企业。 管理效果:零售单配置和集成的收款处理,缩短开单时间、简化操作,支持大流水的零售业务。 5、采购申请: 使用场景:由采购部或商务统一采购、各业务部门又经常会有临时采购需求的企业。
工程项目管理与项目管理的区别
工程项目管理与项目管理的区别:
1、在含义上不同:工程项目管理是指从事工程项目管理的企业,受工程项目业主方委托,对工程建设全过程或分阶段进行专业化管理和服务活动。
而项目管理是指在项目活动中运用专门的知识、技能、工具和方法,使项目能够在有限资源限定条件下,实现或超过设定的需求和期望的过程。
2、在涉及的范围不同:工程项目管理的范围更大,涉及的方面更多;比如说住房建筑、水利、电气、通信、航空机场、港湾、交通公路、冶金化工等方面;而项目管理明确的指出是进行施工管理,所涉及的范围比较小。
3、在概念程度上的不同:工程项目管理的概念会相对的具体和抽象一点,针对于一个工程的供货、施工、资源安排、供应商、承包商、风险等等进行管理。
项目管理的概念会相对比较广泛一些,要对项目的资源、时间、风险、瓶颈及错误等等进行管理。
工程项目管理 工程项目管理 是一个多义词,您可以选择查看以下义项(共8个义项): 对工程项目的管理和服务 对工程项目的管理和服务 工程项目管理是指从事工程项目管理的企业(以下简称工程项目管理企业)受业主委托,按照合同约定,代表业主对工程项目的组织实施进行全过程或若干阶段的管理和服务。 工程项目管理的具体方式及服务内容、权限、取费和责任等,由业主与工程项目管理企业在合同中约定。 项目管理 是一个多义词,您可以选择查看以下义项(共6个义项): 管理学分支的学科 管理学分支的学科 项目管理是指在项目活动中运用专门的知识、技能、工具和方法,使项目能够在有限资源限定条件下,实现或超过设定的需求和期望的过程,是管理学的一个分支学科。 项目管理是对一些成功地达成一系列目标相关的活动(譬如任务)的整体监测和管控,具有普遍、目的、独特、创新、临时等特性。
发表评论