网络安全与最小特权原则
已发表: 2022-09-18在当今世界,数据的重要性是巨大的,因为它可以轻松做出决策、了解性能、对现有基础设施进行修改等等。 不幸的是,数据的这种重要性也吸引了全球黑客,仅美国在 2020 年就面临1000 多起数据泄露事件。据估计,每 14 秒就有一次数据泄露尝试,这种惊人的情况代价高昂,还可能导致对一个人的品牌声誉造成了足够的损害。 这种情况使得选择足够的信息安全变得至关重要。
信息安全是一门多维学科,其目标是“CIA 三元组”(机密性、完整性和可用性)。 最低权限的安全方法是一种支持程序,可以帮助实体实现这些目标。 这篇文章将引导您了解最小特权原则、它是如何工作的、如何实现它等等。
最小特权原则:它是什么?
最小权限原则( POLP)是指为用户提供最少的访问权限。 这个概念类似于在设备上使用家长控制来保护儿童免受有害内容的访问。 此信息安全概念将用户权限限制为仅对其工作至关重要的那些操作。 它被认为是保护特权信息的最佳网络安全实践之一。
例如,任何以创建备份为目标的用户配置文件都不需要任何软件安装权限,或者如果用户配置文件的目的是工资单处理,则该配置文件不需要任何管理员权限。
最低特权适用于什么或谁?
最小特权原则不仅为人类提供了最小特权,而且还超越了人类。 该原则适用于:
- 服务
- 程序或应用程序
- 网络
- 设备和连接的设备
与人类一样,所有这些都是访问控制的“主体”。 这些主体需要访问“资源”,如文件、系统、数据库等,然后才能操作。
超级用户:这是什么?
与具有最低权限的任何用户相反,超级用户是具有无限权限的用户帐户。 他们可以访问、执行权限或在整个网络中进行更改。 此特权仅提供给组织中受信任的成员,他们的活动范围包括软件安装、设置修改、删除文件或数据等。
特权蠕变:它是什么?
POLP 不仅意味着访问受限,还意味着访问监控。 特权蔓延是指软件开发人员倾向于逐渐增加对用户帐户的访问权限,超出他们的要求,这可能会导致数据泄露。 例如,某些员工可能需要在晋升后从其早期职位临时访问数据库。 这里需要监控,因为一旦需求结束,撤销特权至关重要,失败,这可能会导致网络安全风险。
软件工程的热门课程和文章
热门节目 | |||
软件开发执行 PG 计划 - IIIT B | 区块链证书课程 - PURDUE | 网络安全证书计划 - PURDUE | 计算机科学理学硕士 - IIIT B |
其他热门文章 | |||
2021-22年美国云工程师薪水 | 美国 AWS 解决方案架构师薪水 | 美国后端开发人员工资 | 美国前端开发人员薪水 |
美国网络开发人员的薪水 | 2022 年 Scrum Master 面试问题 | 如何在 2022 年开始网络安全职业? | 工程专业学生在美国的职业选择 |
使用最小权限原则的例子
最低权限的安全方法可以应用于任何最终用户、网络、系统、数据库等。示例包括:
- 用户帐户中的最低权限可以防止信息泄露。 例如,如果任何员工负责向数据库输入数据,则他们不需要任何其他管理员权限。 如果该员工的系统受到恶意软件感染,则攻击将仅限于数据库条目。
- 对于以数据检索为目标的 Web 应用程序,从不需要访问删除或更改数据。
- 另一个最小权限的例子是服务器加固,通过采取高级安全措施来关闭所有不必要的端口。
从世界顶级大学在线学习软件开发课程。 获得行政 PG 课程、高级证书课程或硕士课程,以加快您的职业生涯。
最小特权原则的重要性
许多组织经常将最小特权原则视为理所当然,这违反了 CIA 三合会。 以下是该原则对网络攻击具有重要意义的几个原因。
更好的数据安全性
由于数据可访问性有限,处理敏感或特权数据的人更少。 这显着减少了内部泄漏的机会。 如果存在任何违规行为并且您的信息遭到泄露,那么跟踪和解决此类违规行为会更容易。
减少攻击面
选择最低权限安全方法的一个主要原因是它将限制恶意软件的攻击面。 更广泛的攻击面在防御时会带来更多挑战,并有可能削弱整个网络系统。
增强系统稳定性
任何拥有超出其工作范围的各种数据库、程序、文件等的访问权限的用户都会增加错误删除或配置数据的机会。 但是,由于对其访问施加了限制,这些无意的、人为引起的错误被最小化,进而提高了系统的稳定性。
有限的恶意软件传播
当任何超级用户处理网络资源时,恶意软件很可能会传播到与其链接的每个其他系统。 但是,当应用最低权限的安全方法时,恶意软件会停留在最初下载的位置,并且损害范围会减小。 例如,在 SQL 语句的情况下,有一种名为 SQL 注入的独特黑客类型,其中恶意软件代码被插入到语句中。 将帐户限制为仅读取权限会完全破坏攻击链。
如何实现最小权限原则?
既然您知道最小特权原则如何帮助您,您还应该知道如何实施它。 这里有几种方法:
审核您已经存在的权限
彻底审核组织的现有流程或帐户将使您对设置有一个清晰的了解。 反过来,这将帮助您分析每个程序或服务是否具有正确的访问权限。
将其设为默认设置
对于正在设置的所有新帐户,请确保最低权限原则是它们的默认设置。 然后,您可以在评估他们对更高级别权限的需求后,在必要时添加它们。
使更高级别的特权严格视情况而定
对于任何员工,如果需要更高的权限,则应根据情况授予访问权限。 这种临时访问权限仅对所需的项目或有时限的任务提供给工作人员,以确保不存在任何安全漏洞。
特权分离
为了保护您的组织免受任何安全漏洞的影响,您必须正确识别特定角色所需的权限并确保权限分离。 例如,管理帐户应与其他标准帐户分开,以确保最大程度的网络安全。 同样,系统功能应该在较高层和较低层之间分离。
定期审计和监测
定期监控权限将防止任何较旧的用户或帐户累积其权限,无论是否需要它们。 此外,POLP 维护比重新开始更容易,因为您需要查看的凭证数量较少,评估速度更快。
通过 upGrad 提升您的职业生涯
为了满足您成为网络安全专家的雄心壮志,您必须了解数据安全、应用程序安全、密码学等所有原则。您对在线平台了解网络安全的搜索以 upGrad 结束,因为我们的网络安全证书计划是您的正确选择!
由专家策划,以下是一些课程亮点:
- upGrad 和普渡大学的网络安全证书课程
- 300 多个学习时间和 15 多个现场会议
- 全面覆盖相关编程语言和工具
- 四大产业项目
- 360 度学习支持和1:1 职业指导
- 行业和同行网络
立即注册,向行业专家学习网络安全!
网络安全是什么意思?
保护您的计算机、数据或服务器或任何其他电子设备免受数据泄露和恶意软件攻击的做法是网络安全。 一些常见的威胁包括软件攻击、身份盗窃、信息盗窃、破坏等。
最小特权实现原则的一些方法是什么?
为了实现最小权限原则,您可以选择以下方法: 基于组的访问 基于需求的访问 基于位置的访问 基于机器的访问
还有哪些其他安全原则,例如 POLP?
除了 POLP,还有两个类似的网络安全原则。 第一个是“需要知道”原则,根据需要授予特定权限。 例如,销售经理不需要人事档案,因此不提供相同的访问权限。 第二个是“职责分离”,关键任务分散在一个小组中,没有一个人可以完全控制行动。