- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
三大原則管理企業網絡安全 |
| 發布時間: 2012/6/17 22:18:22 |
|
在企業網絡安全管理中,為員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則。 原則一:最小權限原則 最小權限原則要求我們在企業網絡安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問權限,而不提供其他額外的權限。 如企業現在有一個文件服務器系統,為了安全的考慮,我們財務部門的文件會做一些特殊的權限控制。財務部門會設置兩個文件夾,其中一個文件夾用來放置一些可以公開的文件,如空白的報銷憑證等等,方便其他員工填寫費用報銷憑證。還有一個文件放置一些機密文件,只有企業高層管理人員才能查看,如企業的現金流量表等等。此時我們在設置權限的時候,就要根據最小權限的原則,對于普通員工與高層管理人員進行發開設置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對于其沒有訪問權限的文件夾,則服務器要拒絕其訪問。 最小權限原則除了在這個訪問權限上反映外,最常見的還有讀寫上面的控制。如上面這個財務部門有兩個文件夾A與B.作為普通員工,A文件夾屬于機密級,其當然不能訪問。但是,最為放置報銷憑證格式的文件夾B,我們設置普通員工可以訪問。可是,這個訪問的權限是什么呢?也就是說,普通員工對于這個文件夾下的文件具有哪些訪問權限?刪除、修改、抑或只有只讀?若這個報銷憑證只是一個格式,公司內部的一個通用的報銷格式,那么,除了財務設計表格格式的人除外,其他員工對于這個文件夾下的我文件,沒有刪除、修改的權限,而只有只讀的權限。可見,根據最小權限的原則,我們不僅要定義某個用戶對于特定的信息是否具有訪問權限,而且,還要定義這個訪問權限的級別,是只讀、修改、還是完全控制? 不過在實際管理中,有不少人會為了方便管理,就忽視這個原則。 如文件服務器管理中,沒有對文件進行安全級別的管理,只進行了讀寫權限的控制。也就是說,企業的員工可以訪問文件服務器上的所有內容,包括企業的財務信息、客戶信息、訂單等比較敏感的信息,只是他們不能對不屬于自己的部門的文件夾進行修改操作而已。很明顯,如此設計的話,企業員工可以輕易獲得諸如客戶信息、價格信息等比較機密的文件。若員工把這些信息泄露給企業的競爭對手,那么企業將失去其競爭優勢。 再如,對于同一個部門的員工,沒有進行權限的細分,普通員工跟部門經理具有同等等權限。如在財務管理系統中,一般普通員工沒有審核單據與撤銷單據審核的權限,但是,有些系統管理員往往為了管理的方便,給與普通員工跟財務經理同等的操作權利。普通員工可以自己撤銷已經審核了的單據。這顯然給財務管理系統的安全帶來了不少的隱患。 所以,我們要保證企業網絡應用的安全性,就一定要堅持“最小權限”的原則,而不能因為管理上的便利,而采取了“最大權限”的原則,從而給企業網絡安全埋下了一顆定時炸彈。 原則二:完整性原則 完整性原則指我們在企業網絡安全管理中,要確保未經授權的個人不能改變或者刪除信息,尤其要避免未經授權的人改變公司的關鍵文檔,如企業的財務信息、客戶聯系方式等等。 完整性原則在企業網絡安全應用中,主要體現在兩個方面。 一是未經授權的人,不等更改信息記錄。如在企業的ERP系統中,財務部門雖然有對客戶信息的訪問權利,但是,其沒有修改權利。其所需要對某些信息進行更改,如客戶的開票地址等等,一般情況下,其必須要通知具體的銷售人員,讓其進行修改。這主要是為了保證相關信息的修改,必須讓這個信息的創始人知道。否則的話,若在記錄的創始人不知情的情況下,有員工私自把信息修改了,那么就會造成信息不對稱的情況發生。所以,一般在信息化管理系統中,如ERP管理系統中,默認都會有一個權限控制“不允許他人修改、刪除記錄”。這個權限也就意味著只有記錄的本人可以修改相關的信息,其他員工最多只有訪問的權利,而沒有修改的權利。 二是指若有人修改時,必須要保存修改的歷史記錄,以便后續查詢。在某些情況下,若不允許其他人修改創始人的信息,也有些死板。如采購經理有權對采購員下的采購訂單進行修改、作廢等操作。遇到這種情況該怎么處理呢?在ERP系統中,可以通過采購變更單處理。也就是說,其他人不能夠直接在原始單據上進行內容的修改,其要對采購單進行價格、數量等修改的話,無論是其他人又或者是采購訂單的主人,都必須通過采購變更單來解決。這主要是為了記錄的修改保留原始記錄及變更的過程。當以后發現問題時,可以稽核。若在修改時,不保存原始記錄的話,那出現問題時,就沒有記錄可查。所以,完整性原則的第二個要求就是在變更的時候,需要保留必要的變更日志,以方便我們后續的追蹤。 本文出自:億恩科技【www.laynepeng.cn】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
