監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

警惕細(xì)節(jié) Web架構(gòu)配置無小事

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

不用默認(rèn)密碼

企業(yè)有多少關(guān)鍵系統(tǒng)和應(yīng)用擁有Web接口?據(jù)CyberDefenses公司的負(fù)責(zé)人Phil Dolbow聲稱,如今幾乎每個(gè)系統(tǒng)和應(yīng)用都擁有Web接口。Web接口很普遍,但如果配置不正確就有可能遭到破壞,因?yàn)橛性S多企業(yè)在安裝好系統(tǒng)后沒有更改默認(rèn)的登錄憑證(credential)。Dolbow所在的咨詢公司專門提供信息保障及IT安全的信息服務(wù),所開展的工作絕大部分是與聯(lián)邦政府(主要是軍方)合作的。他概述了在許多客戶那里看到的不正確配置Web接口的常見問題,還建議該如何解決此類問題。

“這類問題見多了??偟膩碚f,我發(fā)現(xiàn)的問題大家都能猜得出來,比如缺少用戶培訓(xùn)、系統(tǒng)配置不當(dāng)或安全項(xiàng)目缺少資金。常常見到的最大問題其實(shí)是很容易被發(fā)現(xiàn)、很容易解決的,但如果不能發(fā)現(xiàn)則會(huì)帶來嚴(yán)重隱患: 那就是Web接口。我們?cè)谶M(jìn)行評(píng)估時(shí),總是掃描尋找沒有設(shè)置好的Web接口。如今,幾乎每個(gè)系統(tǒng)都有Web接口; 存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)、不間斷電源(UPS)系統(tǒng)、打印機(jī)、警報(bào)系統(tǒng)、電話、備份系統(tǒng)、服務(wù)器等等硬件設(shè)備。要是在默認(rèn)憑證的情況下啟用這些Web接口,就有可能出現(xiàn)很嚴(yán)重的問題。”

Dolbow說,下面這幾個(gè)例子是多次發(fā)生的問題。某公司之前沒有用過存儲(chǔ)區(qū)域網(wǎng)絡(luò),但業(yè)務(wù)對(duì)磁盤空間的需求不斷增長,他們最近也買了一個(gè)。公司內(nèi)沒人知道該如何配置SAN,而供應(yīng)商又堅(jiān)持安裝了系統(tǒng),并讓客戶自行設(shè)置所安裝系統(tǒng)上的用戶名和密碼。該公司在安裝好系統(tǒng)之后,再也很少關(guān)注配置問題,結(jié)果有一個(gè)關(guān)鍵任務(wù)設(shè)備始終使用默認(rèn)的出廠登錄憑證。這是非常危險(xiǎn)的,許多公司如此簡單地配置關(guān)鍵系統(tǒng)。不懷好意的人有可能破壞邏輯單元號(hào)(LUN)、刪除數(shù)據(jù),這會(huì)引發(fā)各種問題。

同一種場景還出現(xiàn)在對(duì)待不間斷電源系統(tǒng)的問題上。不久前,CyberDefenses公司評(píng)估了一家在IT配置以及在安全上不惜下血本的大型政府機(jī)構(gòu),它們擁有最安全的系統(tǒng)。在CyberDefenses評(píng)估前的幾個(gè)月,該機(jī)構(gòu)請(qǐng)IT承包商更換了所有UPS系統(tǒng),包括為其主計(jì)算機(jī)機(jī)房的所有關(guān)鍵服務(wù)器提供電源保障的幾臺(tái)UPS。IT承包商把這些UPS系統(tǒng)連接到網(wǎng)絡(luò)上,以便可以遠(yuǎn)程管理及監(jiān)測(cè)這些系統(tǒng)。Dolbow顯示了一份客戶報(bào)告的屏幕截圖,表明他們可以隨意登錄到Web接口(借助管理員權(quán)限,使用默認(rèn)憑證)。當(dāng)鼠標(biāo)光標(biāo)懸浮在關(guān)鍵業(yè)務(wù)的關(guān)閉按鈕上可隨時(shí)結(jié)束進(jìn)程時(shí),這才能足夠引起客戶的注意。

解決方案

針對(duì)此種情況,解決辦法如下:

1. 對(duì)Web服務(wù)器/接口定期執(zhí)行端口掃描;

2. 如果Web接口沒有必要,就關(guān)閉這項(xiàng)服務(wù);

3. 更改憑證、盡量使用https訪問;

4. 只允許授權(quán)的管理員工作站可以訪問;

5. 加強(qiáng)防火墻限制;

6. 監(jiān)測(cè)日志。

分配不同權(quán)限

員工擁有的系統(tǒng)訪問權(quán)限是否會(huì)導(dǎo)致企業(yè)面臨安全風(fēng)險(xiǎn)?一家大型制造公司的高級(jí)IT經(jīng)理詳細(xì)講述了他如何重新配置訪問生產(chǎn)系統(tǒng)的機(jī)制,以便限制性更強(qiáng)、更容易審計(jì)。

“我們IT員工大多可以使用‘用戶賬戶’全面訪問所有生產(chǎn)系統(tǒng)。測(cè)試人員在一次安全審計(jì)和滲透測(cè)試中抓住了這個(gè)漏洞,最后擁有了公司的Windows Domain以及大多數(shù)生產(chǎn)數(shù)據(jù)庫服務(wù)器的訪問權(quán)限?,F(xiàn)在,我們從域管理員、數(shù)據(jù)庫管理員賬戶及Application Root Account等賬戶中取消了每個(gè)人的‘用戶賬戶’。如果技術(shù)系統(tǒng)管理員讓敏感的系統(tǒng)和數(shù)據(jù)需要常規(guī)訪問,就要設(shè)置不同的賬戶來訪問,并使用安全性很強(qiáng)的密碼。我們使用一些審計(jì)工具和Cyber Ark公司的密碼保險(xiǎn)箱工具,以便審計(jì)該賬戶的所有使用活動(dòng)。”

該IT管理人員說,他們的許多應(yīng)用/數(shù)據(jù)庫管理人員需要對(duì)生產(chǎn)系統(tǒng)進(jìn)行大量不太常規(guī)的訪問。對(duì)這些系統(tǒng)而言,他們?nèi)∠怂谐R?guī)的管理員訪問,而換成了選擇性的“應(yīng)急賬戶”(firefighter accounts),這類賬戶比較普通。這些賬戶存儲(chǔ)在密碼保險(xiǎn)箱中,由一個(gè)強(qiáng)密碼加以保護(hù)。還有這樣一個(gè)過程: 輸入票證(ticket),獲得審批,并記錄在他們的票證記錄系統(tǒng)中。對(duì)于高度敏感的項(xiàng)目,密碼保險(xiǎn)箱還要求實(shí)施幾道審批環(huán)節(jié); 還需要輸入基本的票證編號(hào)、說明理由,從而在增強(qiáng)了票證記錄系統(tǒng)之后才可發(fā)放密碼。密碼發(fā)放后系統(tǒng)可進(jìn)行設(shè)置,在一段時(shí)間后自動(dòng)重置; 或在請(qǐng)求者“將密碼返回入庫”后重置。

解決方案

一般來說,密碼保險(xiǎn)箱控制著服務(wù)器和PC系統(tǒng)上嵌入式的本地管理員賬戶、服務(wù)賬戶以及嵌入到系統(tǒng)中的數(shù)據(jù)庫訪問賬戶和應(yīng)用賬戶。這些賬戶通常從來不會(huì)受到密切關(guān)注。在過去,不破壞許多系統(tǒng)就無法更改密碼。許多企業(yè)采用密碼保險(xiǎn)箱工具對(duì)這些賬戶和密碼進(jìn)行控制后,可以順利地定期輪換。

最后,當(dāng)然是需要備份,有了這些賬戶和密碼的副本以便災(zāi)難恢復(fù)。如果采用這樣的策略,企業(yè)的災(zāi)難恢復(fù)以及業(yè)務(wù)連續(xù)性計(jì)劃也更嚴(yán)密了,可進(jìn)一步配置系統(tǒng)。

處理好隱私難題

如果驗(yàn)證機(jī)制和數(shù)據(jù)被設(shè)置成面向特定客戶的,用戶能把Web系統(tǒng)作為門戶來運(yùn)行嗎?美國中西部一家商業(yè)管理咨詢公司的高級(jí).Net架構(gòu)師James Ashbaugh當(dāng)時(shí)就遇到了這個(gè)問題。這家公司有幾個(gè)客戶在運(yùn)行相同的系統(tǒng)代碼,而數(shù)據(jù)存放在不同的物理設(shè)備中。由于他們的客戶都是同行業(yè)內(nèi)相互競爭的企業(yè),所以數(shù)據(jù)完整性至關(guān)重要,Ashbaugh關(guān)注的是如何正確配置系統(tǒng)。

他們使用的系統(tǒng)環(huán)境如下。

●  約500至1000個(gè)外部用戶通過思杰產(chǎn)品來連接;

●  微軟網(wǎng)絡(luò);

●  面向域控制器、Web Servers和SQL Servers的Windows 2003 Server;

●  SQL Server 2008。

門戶網(wǎng)站基于客戶端、用戶角色和客戶數(shù)據(jù)庫數(shù)據(jù)運(yùn)行。微軟為ASP .Net提供了一個(gè)豐富、基于角色的模型,但該模型不是為了在門戶架構(gòu)下運(yùn)行而設(shè)計(jì)的。于是,Ashbaugh 結(jié)合了微軟在ASP.Net安全、活動(dòng)目錄賬戶/群組和SQL Security中提供的功能。

現(xiàn)在面臨的難題是: 公司有多個(gè)相互競爭的客戶在運(yùn)行相同的系統(tǒng)代碼,但數(shù)據(jù)存放在不同的物理SQL設(shè)備中(使用客戶特定的數(shù)據(jù)庫名稱)。所以,雖然大家都運(yùn)行相同的Web應(yīng)用和中間層,但在數(shù)據(jù)庫層面卻具有客戶特定性(大家使用相同的數(shù)據(jù)庫模型)。切記: 客戶通過思杰產(chǎn)品來連接至公司網(wǎng)絡(luò),所以就需要使用單次登錄(即使思杰產(chǎn)品負(fù)責(zé)處理DMZ驗(yàn)證,但它并不處理Web應(yīng)用的表單驗(yàn)證)。明白那些客戶在同一個(gè)行業(yè)很重要,所以必須確保數(shù)據(jù)的完整性,因?yàn)檫@涉及到競爭優(yōu)勢(shì)。

難題在于,如果驗(yàn)證機(jī)制和數(shù)據(jù)被設(shè)置成特定客戶的,如何把Web系統(tǒng)作為門戶來驗(yàn)證、裝載及執(zhí)行?

Ashbaugh的應(yīng)對(duì)方法如下: 在思杰產(chǎn)品中,他們把IE瀏覽器作為一個(gè)應(yīng)用來共享(但通過IE安全設(shè)置和登錄腳本,限制客戶對(duì)外部Web的瀏覽)。他們不想讓使用服務(wù)器的客戶可以上網(wǎng)沖浪,或者對(duì)競爭對(duì)手發(fā)動(dòng)攻擊。IE的主頁被設(shè)成了他們公司的門戶網(wǎng)站,并使用委托和模擬功能。得到了思杰驗(yàn)證的用戶,把憑證傳送到門戶的裝載器代碼類。該代碼類啟動(dòng)驗(yàn)證過程,以便“驗(yàn)證”SQL數(shù)據(jù)庫。在該數(shù)據(jù)庫中,他們對(duì)所有的客戶端數(shù)據(jù)庫、客戶用戶以及角色都進(jìn)行了映射。一旦裝載器驗(yàn)證后發(fā)現(xiàn)這是系統(tǒng)中的活動(dòng)用戶,裝載器會(huì)獲得相應(yīng)的數(shù)據(jù)庫連接信息,然后通過用戶的Web會(huì)話進(jìn)行傳輸。

注意,在裝載的過程中,應(yīng)該對(duì)傳輸?shù)男畔⒓用?,這樣可發(fā)現(xiàn)利用跨站腳本攻擊來獲取其他用戶的會(huì)話信息。對(duì)會(huì)話中的連接信息進(jìn)行加密意味著,黑客必須實(shí)際訪問物理Web服務(wù)器,還要在執(zhí)行任何解密算法的時(shí)間點(diǎn)來訪問頁面文件或內(nèi)存塊。由于這種可能性非常小,可以在數(shù)據(jù)庫連接層面支持客戶的數(shù)據(jù)安全需求。在數(shù)據(jù)庫中,所有連接字符串和設(shè)置都采用加密形式來存儲(chǔ),使用客戶特定的私有密鑰(經(jīng)過加密的數(shù)據(jù)來自“驗(yàn)證”數(shù)據(jù)庫)。

所以,鑒于該驗(yàn)證用戶總是可以訪問數(shù)據(jù)庫連接信息,需要安排建立什么樣的數(shù)據(jù)庫連接方法。應(yīng)該把用戶的角色及其他安全設(shè)置也存儲(chǔ)在會(huì)話中。一旦所有這些前端裝載的邏輯完成,裝載器會(huì)連接門戶主頁,并使用來自用戶的數(shù)據(jù)庫配置數(shù)據(jù),裝載器就會(huì)擴(kuò)展用戶特定的主頁及內(nèi)容。

現(xiàn)在,當(dāng)用戶開始通過請(qǐng)求及更新數(shù)據(jù)與系統(tǒng)進(jìn)行互動(dòng)時(shí),請(qǐng)求會(huì)先調(diào)用“控制器”代碼。該代碼被服務(wù)調(diào)用,以便安排所有的系統(tǒng)事件。它定義了通過配置文件調(diào)用的特定存儲(chǔ)過程。然后,使用該名字值就會(huì)調(diào)用數(shù)據(jù)庫層,并請(qǐng)求存儲(chǔ)過程執(zhí)行。

解決方案

通過設(shè)置SQL Server用戶,讓存儲(chǔ)過程適合角色,從而便于執(zhí)行存儲(chǔ)過程。所以,如果某用戶不在“項(xiàng)目用戶組”中,該用戶不可以執(zhí)行“GetActiveInventoryItems”存儲(chǔ)過程。

在SQL Server 2008中,用戶可以結(jié)合存儲(chǔ)過程中的#C代碼,所以企業(yè)可排列基于映射用戶角色而返回的特定數(shù)據(jù)字段。網(wǎng)頁上的控件可自動(dòng)創(chuàng)建,以支持返回的用戶特定內(nèi)容。這意味著: 要是有一批項(xiàng)目,但只有兩列允許該用戶訪問,就要針對(duì)這個(gè)角色特定的數(shù)據(jù)來調(diào)整控件。

發(fā)布:2007-04-21 11:20    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
南昌OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普南昌OA行業(yè)資訊其他應(yīng)用

南昌OA軟件 南昌OA新聞動(dòng)態(tài) 南昌OA信息化 南昌OA快博 南昌OA行業(yè)資訊 南昌軟件開發(fā)公司 南昌門禁系統(tǒng) 南昌物業(yè)管理軟件 南昌倉庫管理軟件 南昌餐飲管理軟件 南昌網(wǎng)站建設(shè)公司