这是一个创建于 1299 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
PMR 2021-04-13 16:16:21 +08:00 via Android
底线和审计管理员
|
 |
2
doyel 2021-04-13 16:18:49 +08:00  22
《中华人民共和国刑法》第二百八十六条
|
 |
3
CallMeReznov 2021-04-13 16:21:47 +08:00
伪命题,堡垒机管理员直接有 ROOT 上去操就行了,根本不需要通过堡垒机.
|
 |
4
noelyang 2021-04-13 16:22:43 +08:00 1
who watches the watchmen
|
 |
5
holystrike 2021-04-13 16:25:00 +08:00
好比谁来监管纪委?
|
 |
6
magicfuzzx 2021-04-13 16:25:56 +08:00 1
锦衣卫--东厂--西厂...
|
 |
7
sha851092391 2021-04-13 16:30:27 +08:00
v 站 禁止套娃
|
 |
8
noahzh 2021-04-13 16:31:27 +08:00
审计人员
|
 |
9
echo1937 2021-04-13 16:34:57 +08:00
伪命题,核心设备的访问权限,从来不是由一个人掌握,比如财务领域的“钱账分管”。
|
 |
10
catchexception 2021-04-13 16:35:52 +08:00
应该靠 对 生产环境的 敬畏之心吧。
|
 |
11
misaka19000 2021-04-13 16:36:09 +08:00
照你这么说机房里面的运维还能把你的物理机给砸了呢,这怎么监控
|
 |
12
NerverLibis 2021-04-13 16:36:09 +08:00 1
同事举报?
参照西南交大陈玉钰,修改成绩造假保送 985 中科大,平安落地。 教师系统的监督:父母为讲师 教授 行政系统的监督:父母为副厅级院长 计算机管理系统:父母开的公司外包开发的,直接上 审计人员:教务处长是她叔,同犯 |
 |
13
Rworld 2021-04-13 17:30:58 +08:00
管理员相互监管
|
 |
14
jjianwen68 2021-04-13 17:35:39 +08:00 4
老板亲自监督,亲自负责
|
 |
15
cpstar 2021-04-13 18:03:04 +08:00
一人掌握密码前半段,一人掌握密码后半段。。。
|
 |
16
purensong 2021-04-13 18:10:29 +08:00
三权分立
|
 |
17
lithiumii 2021-04-13 18:13:03 +08:00 via Android
快进到老板亲自删库
|
 |
18
winglight2016 2021-04-13 18:25:48 +08:00
@NerverLibis Google 了一把,真是大开眼界。。。
|
 |
19
weijianv2 2021-04-13 19:17:16 +08:00
@NerverLibis 牛啊
|
 |
20
robertlyc 2021-04-13 19:19:52 +08:00
who watches the watchman?
|
 |
21
xinshoushanglu 2021-04-13 19:24:36 +08:00
循环监控,形成一个死锁。。。
|
 |
22
Rocinante 2021-04-13 19:32:12 +08:00
监控监控人员的监控
监控监控人员的监控的监控 |
 |
23
0312birdzhang 2021-04-13 19:54:09 +08:00 via iPhone
自然是 skynet 了(狗头
|
 |
24
akira 2021-04-13 20:07:31 +08:00
不用监控啊,出问题他负责就可以了啊
|
 |
25
hunk 2021-04-13 20:40:00 +08:00
堡垒机的目的不是监控,更多是回溯问题吧。
思考角度错了,就钻牛角尖了。 |
 |
26
Te11UA 2021-04-13 21:11:11 +08:00
三权分立
|
 |
28
twl007 2021-04-13 22:12:02 +08:00 via iPhone
系统设计上都是权限分开的 admin 可以分配 audit 得 role adit 可以看到所有操作 但是没办法给配 role 互相牵制了 一般 audit 的日志是不可清理的
|
 |
29
tomychen 2021-04-13 22:37:24 +08:00
终于看到有人提到三权分立了
但是目前的堡垒机和操作系统都没有做这个设计 包括操作系统的 root 还是为所欲为 堡垒机的 admin 也是为所欲为 selinux 勉强算能实现么? 或者分别再建 3 个用户 admin ops audit,然后 root 的密码随机到 18 位,每个用户(组)切走 6 位 |
 |
30
saytesnake 2021-04-13 22:48:56 +08:00
|
 |
31
littiefish 2021-04-13 22:58:21 +08:00 via iPhone
@purensong 分立?哪知道最后强强联合,变成了三座大山。
|
 |
32
proxychains 2021-04-13 23:34:51 +08:00 via Android
如何确保根证书是可信的
|
 |
34
checkzhzzzzz 2021-04-14 09:50:55 +08:00 3
三员设计
系统设计时采用了系统管理员、安全保密管理员、安全审计管理员三员分立,分别负责系统的运行、安全保密和安全审计工作。三员权限划分如下: 系统管理员 负责系统的日常运行维护工作 负责系统用户创建、用户删除 安全保密管理员 负责系统的日常安全保密管理工作 负责系统用户修改、用户密码重置、用户停启 负责系统用户的角色分配、角色的功能资源分配 负责管理与审查系统用户及安全审计管理员的操作日志 安全审计管理员 负责对系统管理员和安全保密管理员的日常操作行为进行审计跟踪分析和监督检查 审计管理员禁止访问管理平台安装的系统文件和直接访问数据库 禁止执行其它项目管理平台管理工作 |
 |
37
cnevil 2021-04-14 10:49:01 +08:00
账户分三员
现在很多安全设备或者涉密的设备 /系统都会有这样要求 |
 |
38
deviluser 2021-04-14 11:05:40 +08:00
我记得等保里面有个评分项就是对运维的审批和签批
|
 |
39
RRRoger 2021-04-14 11:12:23 +08:00
去中心化
|
 |
41
no1xsyzy 2021-04-14 11:29:04 +08:00
@opentrade 录像?
不是,这个关键口令必须要两名管理人员都到场才能启用,每个人持有口令的一半,各自单独无法进入(实际上还需要一名操作员,因为两名管理人员并不熟悉操作)。 |
 |
45
lc7029 2021-04-14 13:29:19 +08:00
审计员审计管理员。
网络安全法有规定 |
 |
46
xiangbohua 2021-04-14 14:03:10 +08:00
法律和铁拳啊
|
 |
47
Rookie2048 2021-04-14 15:11:05 +08:00
使用堡垒机的前提是假定管理员是可信的
|
 |
48
yolee599 2021-04-14 16:01:45 +08:00
参考危险物品仓库管理办法,有两个以上工作人员到场才能开门,设置多道门,或者多个验证方法,各持一部分。
|
 |
49
zxy 2021-04-14 16:56:41 +08:00 via iPhone
可能你没用过商业堡垒机,楼上已经有回复了,三权分立的
|
 |
50
kennylam777 2021-04-15 02:57:33 +08:00
為了系統能有序及順暢展開運行, 這個團隊要尋求三權合作, 互相理解, 互相支持, 共同珍惜我們來之不易的這樣一個系統穩定的大好局面
|
 |
52
justin03 2021-04-26 17:39:33 +08:00
外部审计,第三方独立审计
|
 |
53
Webpoplayer 2021-06-18 13:46:10 +08:00
通常在很多环境中,系统管理员 == 堡垒机管理员 [/doge]
|
 |
54
PMS 2021-07-20 18:22:02 +08:00
这个当然 Blue Team 来审计的,没有 Blue Team 来的话当然就没人管了。。。简单来说的话就是 InfoSec
|
|
55
PMS 2021-07-20 18:23:49 +08:00
这个当然 Blue Team 来审计的,没有 Blue Team 来的话当然就没人管了。。。
简单来说的话 这个不是 IT 或 Ops 或 DevOps 的工作,这个是 InfoSec 的工作。 |
Select Language