在企業(yè)網(wǎng)絡(luò)安全管理中,為員工提供完成其本職工作所需要的信息訪問權(quán)限�、避免未經(jīng)認(rèn)證的人改變公司的關(guān)鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則:
原則一:最小權(quán)限原則��。
最小權(quán)限原則要求是在企業(yè)網(wǎng)絡(luò)安全管理中��,為員工僅僅提供完成其本職工作所需要的信息訪問權(quán)限�����,而不提供其他額外的權(quán)限。如企業(yè)現(xiàn)在有一個(gè)iso三體系認(rèn)證服務(wù)器系統(tǒng)�����,為了安全的考慮���,比如認(rèn)證老師部門的iso三體系認(rèn)證會(huì)做一些特殊的權(quán)限控制。認(rèn)證老師部門會(huì)設(shè)置兩個(gè)iso三體系認(rèn)證夾�,其中一個(gè)iso三體系認(rèn)證夾用來放置一些可以公開的iso三體系認(rèn)證����,如空白的報(bào)銷憑證等等�����,方便其他員工填寫費(fèi)用報(bào)銷憑證。還有一個(gè)iso三體系認(rèn)證放置一些機(jī)密iso三體系認(rèn)證��,只有企業(yè)高層管理人員才能查看����,如企業(yè)的現(xiàn)金流量表等等���。此時(shí)在設(shè)置權(quán)限的時(shí)候��,就要根據(jù)最小權(quán)限的原則,對(duì)于普通員工與高層管理人員進(jìn)行發(fā)開設(shè)置��,若是普通員工的話����,則其職能對(duì)其可以訪問的iso三體系認(rèn)證夾進(jìn)行查詢�����,對(duì)于其沒有訪問權(quán)限的iso三體系認(rèn)證夾�,則服務(wù)器要拒絕其訪問�����。最小權(quán)限原則除了在這個(gè)訪問權(quán)限上反映外���,最常見的還有讀寫上面的控制�。所以�����,要保證企業(yè)網(wǎng)絡(luò)應(yīng)用的安全性���,就一定要堅(jiān)持“最小權(quán)限”的原則��,而不能因?yàn)楣芾砩系谋憷扇×恕白畲髾?quán)限”的原則�����。
原則二:完整性原則。
完整性原則指在企業(yè)網(wǎng)絡(luò)安全管理中�,要確保未經(jīng)認(rèn)證的個(gè)人不能改變或者刪除信息�����,尤其要避免未經(jīng)認(rèn)證的人改變公司的關(guān)鍵文檔,如企業(yè)的認(rèn)證老師信息����、客戶聯(lián)系方式等等。完整性原則在企業(yè)網(wǎng)絡(luò)安全應(yīng)用中����,主要體現(xiàn)在兩個(gè)方面:
一�、未經(jīng)認(rèn)證的人,不得更改信息記錄����。如在企業(yè)的ERP系統(tǒng)中�����,認(rèn)證老師部門雖然有對(duì)客戶信息的訪問權(quán)利����,但是��,其沒有修改權(quán)利。其所需要對(duì)某些信息進(jìn)行更改����,如客戶的開票地址等等,一般情況下�,其必須要通知具體的銷售人員,讓其進(jìn)行修改。這主要是為了保證相關(guān)信息的修改,必須讓這個(gè)信息的創(chuàng)始人知道�。否則的話�,若在記錄的創(chuàng)始人不知情的情況下����,有員工私自把信息修改了,那么就會(huì)造成信息不對(duì)稱的情況發(fā)生�����。所以,一般在信息化管理系統(tǒng)中���,如ERP管理系統(tǒng)中���,默認(rèn)都會(huì)有一個(gè)權(quán)限控制“不允許他人修改�����、刪除記錄”。這個(gè)權(quán)限也就意味著只有記錄的本人可以修改相關(guān)的信息�����,其他員工最多只有訪問的權(quán)利��,而沒有修改的權(quán)利�。
二�、指若有人修改時(shí),必須要保存修改的歷史記錄�,以便后續(xù)查詢。在某些情況下����,若不允許其他人修改創(chuàng)始人的信息���,也有些死板。如采購(gòu)經(jīng)理有權(quán)對(duì)采購(gòu)員下的采購(gòu)訂單進(jìn)行修改����、作廢等操作。遇到這種情況該怎么處理呢?在ERP系統(tǒng)中�,可以通過采購(gòu)申報(bào)單處理。也就是說�,其他人不能夠直接在原始單據(jù)上進(jìn)行內(nèi)容的修改��,其要對(duì)采購(gòu)單進(jìn)行價(jià)格、數(shù)量等修改的話�����,無論是其他人又或者是采購(gòu)訂單的主人����,都必須通過采購(gòu)申報(bào)單來解決�����。這主要是為了記錄的修改保留原始記錄及申報(bào)的過程����。當(dāng)以后發(fā)現(xiàn)問題時(shí)���,可以稽核�����。若在修改時(shí)����,不保存原始記錄的話��,那出現(xiàn)問題時(shí)���,就沒有記錄可查�����。所以�����,完整性原則的第二個(gè)要求就是在申報(bào)的時(shí)候��,需要保留必要的申報(bào)日志,以方便后續(xù)的追蹤��?�?傊暾栽瓌t要求在安全管理的工作中,要保證未經(jīng)認(rèn)證的人對(duì)信息的非法修改���,及信息的內(nèi)容修改最好要保留歷史記錄�����,比如網(wǎng)絡(luò)管理員可以使用日事清的日志管理功能�����,詳細(xì)的記錄每日信息內(nèi)容的修改情況����,可以給日后的回顧和檢查做好參考�。
原則三:速度與控制之間平衡的原則�。
在對(duì)信息作了種種限制的時(shí)候��,必然會(huì)對(duì)信息的訪問速度產(chǎn)生影響��。如當(dāng)采購(gòu)訂單需要申報(bào)時(shí),員工不能在原有的單據(jù)上直接進(jìn)行修改�,而需要通過采購(gòu)申報(bào)單進(jìn)行修改等等。這會(huì)對(duì)工作效率產(chǎn)生一定的影響��。這就需要對(duì)訪問速度與安全控制之間找到一個(gè)平衡點(diǎn),或者說是兩者之間進(jìn)行妥協(xié)����。
拉皮兒涼粉
發(fā)表于 2022-02-21 09:30:39
