新企業(yè)網(wǎng)絡(luò)安全管理三大原則_第1頁
新企業(yè)網(wǎng)絡(luò)安全管理三大原則_第2頁
新企業(yè)網(wǎng)絡(luò)安全管理三大原則_第3頁
新企業(yè)網(wǎng)絡(luò)安全管理三大原則_第4頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

優(yōu)選文檔優(yōu)選文檔PAGEPAGE5優(yōu)選文檔PAGE

企業(yè)網(wǎng)絡(luò)安全管理三大原則

導(dǎo)讀:在企業(yè)網(wǎng)絡(luò)安全管理中,為職工供應(yīng)完成其本職工作所需要的信息接見權(quán)限、防范未經(jīng)授權(quán)的人改變企業(yè)的要點文檔、平衡接見速度與安全控制三方面分別有以下三大原則。一、最小權(quán)限原則最小權(quán)限原則要求我們在企業(yè)網(wǎng)絡(luò)安全管理中,為職工可是供應(yīng)完成其本職工作所需要的信息接見權(quán)限,而不供應(yīng)其他額外的權(quán)限。如企業(yè)現(xiàn)在有一個文件服務(wù)器系統(tǒng),為了安全的考慮,我們財務(wù)部門的文件會做一些特其他權(quán)限控制。財務(wù)部門會設(shè)置兩個文件夾,其中一個文件夾用來放置一些能夠公開的文件,如空白的報銷憑證等等,方便其他職工填寫花銷報銷憑證。還有一個文件放置一些機(jī)密文件,只有企業(yè)高層管理人員才能查察,如企業(yè)的現(xiàn)金流量表等等。此時我們在設(shè)置權(quán)限的時候,就要依照最小權(quán)限的原則,對于一般職工與高層管理人員進(jìn)行發(fā)開設(shè)置,若是一般職工的話,則其職能對其能夠接見的文件夾進(jìn)行盤問,對于其沒有接見權(quán)限的文件夾,則服務(wù)器要拒絕其接見。最小權(quán)限原則除了在這個接見權(quán)限上反響外,最常有的還有讀寫上面的控制。如上面這個財務(wù)部門有兩個文件夾A與B.作為一般職工,A文件夾屬于機(jī)密級,其自然不能夠接見。但是,最為放置報銷憑證格式的文件夾B,我們設(shè)置一般職工能夠接見。但是,這個接見的權(quán)限是什么呢?也就是說,一般職工對于這個文件夾下的文件擁有哪些接見權(quán)限?刪除、更正、抑或只有只讀?若這個報銷憑證可是一個格式,企業(yè)內(nèi)部的一個通用的報銷格式,那么,除了財務(wù)設(shè)計表格格式的人除外,其他職工對于這個文件夾下的我文件,沒有刪除、更正的權(quán)限,而只有只讀的權(quán)限??梢?,依照最小權(quán)限的原則,我們不但要定義某個用戶對于特定的信息可否擁有接見權(quán)限,而且,還要定義這個接見權(quán)限的級別,是只讀、更正、還是完滿控制?但是在實質(zhì)管理中,有很多人會為了方便管理,就忽視這個原則。如文件服務(wù)器管理中,沒有對文件進(jìn)行安全級其他管理,只進(jìn)行了讀寫權(quán)限的控制。也就是說,企業(yè)的職工能夠接見文件服務(wù)器上的所有內(nèi)容,包括企業(yè)的財務(wù)信息、客戶信息、訂單等比較敏感的信息,只是他們不能夠?qū)Σ粚儆谧约旱牟块T的文件夾進(jìn)行更正操作而已。很顯然,這樣設(shè)計的話,企業(yè)職工能夠輕易獲得諸如客戶信息、價格信息等比較機(jī)密的文件。若職工把這些信息泄露給企業(yè)的競爭對手,那么企業(yè)將失去其競爭優(yōu)勢。再如,對于同一個部門的職工,沒有進(jìn)行權(quán)限的細(xì)分,一般職工跟部門經(jīng)理擁有相同等權(quán)限。如在財務(wù)管理系統(tǒng)中,一般一般職工沒有審察單據(jù)與撤掉單據(jù)審察的權(quán)限,但是,有些系統(tǒng)管理員經(jīng)常為了管理的方便,給與一般職工跟財務(wù)經(jīng)理相同的操作權(quán)益。一般職工能夠自己撤掉已經(jīng)審察了的單據(jù)。這顯然給財務(wù)管理系統(tǒng)的安全帶來了很多的隱患。所以,我們要保證企業(yè)網(wǎng)絡(luò)應(yīng)用的安全性,就必然要堅持“最小權(quán)限”的原則,而不能夠因為管理上的便利,而采用了“最大權(quán)限”的原則,從而給企業(yè)網(wǎng)絡(luò)安全埋下了一顆準(zhǔn)時炸彈。

二、完滿性原則

完滿性原則指我們在企業(yè)網(wǎng)絡(luò)安全管理中,要保證未經(jīng)授權(quán)的個人不能夠改變也許刪除信息,特別要防范未經(jīng)授權(quán)的人改變企業(yè)的要點文檔,如企業(yè)的財務(wù)信息、客戶聯(lián)系方式等等。

完滿性原則在企業(yè)網(wǎng)絡(luò)安全應(yīng)用中,主要表現(xiàn)在兩個方面。

一是未經(jīng)授權(quán)的人,不等更正信息記錄。如在企業(yè)的ERP系統(tǒng)中,財務(wù)部門誠然有對客戶信息的接見權(quán)益,但是,其沒有更正權(quán)益。其所需要對某些信息進(jìn)行更正,如客戶的開票地址等等,一般情況下,其

必定要通知詳盡的銷售人員,讓其進(jìn)行更正。這主若是為了保證相關(guān)信息的更正,必定讓這個信息的開創(chuàng)人知道。否則的話,若在記錄的開創(chuàng)人不知情的情況下,有職工私自把信息更正了,那么就會造成信息不對稱的情況發(fā)生。所以,一般在信息化管理系統(tǒng)中,如ERP管理系統(tǒng)中,默認(rèn)都會有一個權(quán)限控制“不允許他人更正、刪除記錄”。這個權(quán)限也就意味著只有記錄的自己能夠更正相關(guān)的信息,其他職工最多只有訪問的權(quán)益,而沒有更正的權(quán)益。二是指若有人更正時,必定要保留更正的歷史記錄,以便后續(xù)盤問。在某些情況下,若不一樣意其他人更正開創(chuàng)人的信息,也有些古板。如采買經(jīng)理有權(quán)對采買員下的采買訂單進(jìn)行更正、作廢等操作。遇到這種情況該怎么辦理呢?在ERP系統(tǒng)中,能夠經(jīng)過采買更正單辦理。也就是說,其他人不能夠夠直接在原始單據(jù)進(jìn)步行內(nèi)容的更正,其要對采買單進(jìn)行價格、數(shù)量等更正的話,無論是其他人又也許是采買訂單的主人,都必定經(jīng)過采買更正單來解決。這主若是為了記錄的更正保留原始記錄及更正的過程。當(dāng)今后發(fā)現(xiàn)問題時,能夠稽核。若在更正時,不保留原始記錄的話,那出現(xiàn)問題時,就沒有記錄可查。所以,完滿性原則的第二個要求就是在更正的時候,需要保留必要的更正日志,以方便我們后續(xù)的追蹤。若是針對文件服務(wù)器,則完滿性就要求文件服務(wù)器能夠準(zhǔn)時點進(jìn)行恢復(fù)。對文件服務(wù)器中某個文件進(jìn)行更正,我們可能很難記錄下更正的內(nèi)容。文件服務(wù)器日志最多記錄某某時間、某某用戶對某個文件夾下的某個文件進(jìn)行了哪一種操作。但是,不會記錄下詳盡操作了什么內(nèi)容。如把某個文件刪除了也許更正了某個文件的內(nèi)容。此時,我們就需要文件服務(wù)器實現(xiàn)準(zhǔn)時點進(jìn)行恢復(fù)的功能。當(dāng)用戶發(fā)現(xiàn)某個文件被非法修改時,要能夠恢復(fù)到近來的時刻。自然這個恢復(fù)需要針對詳盡的文件夾甚至是特定的文件,若把文件服務(wù)器中所有的文件都恢復(fù)了,那其他用戶就要叫死了??傊隄M性原則要求我們在安全管理的工作中,要保證未經(jīng)授權(quán)的人對信息的非法更正,及信息的內(nèi)容更正最好要保留歷史記錄。三、速度與控制之間平衡的原則我們在對信息作了各種限制的時候,必然會對信息的接見速度產(chǎn)生影響。如當(dāng)采買訂單需要更正時,職工不能夠在原有的單據(jù)上直接進(jìn)行更正,而需要經(jīng)過采買更正單進(jìn)行更正等等。這會對工作效率產(chǎn)生必然的影響。這就需要我們對接見速度與安全控制之間找到一個平衡點,也許說是兩者之間進(jìn)行妥協(xié)。為了達(dá)到這個平衡的目的,我們能夠這樣做。一是把文件信息進(jìn)行依照安全性進(jìn)行分級。對一些不怎么重要的信息,我們能夠把安全控制的級別降低,從而來提高用戶的工作效率。如對于一些信息化管理系統(tǒng)的報表,我們能夠設(shè)置比較低的權(quán)限,如在部門內(nèi)部職工能夠察看各種報表信息,畢竟這可是盤問,不會對數(shù)據(jù)進(jìn)行更正。二是盡量在組的級別進(jìn)步行管理,而不是在用戶的級別進(jìn)步行權(quán)限控制。我們試想一下,若企業(yè)的文件服務(wù)器上有50個職工帳戶,若一一為他們設(shè)置文件服務(wù)器接見權(quán)限的話,那么我們的工作量會有多大。所以,此時我們應(yīng)該利用組的級別進(jìn)步行權(quán)限控制。把擁有相同權(quán)限的人歸類為一組,如一個部門的一般職工就可以歸屬為一組,這樣的話,就可以把用戶歸屬于這個組,我們只需要在組的級別進(jìn)步行保護(hù),從而到達(dá)快速管理與控制的目的。如我們在進(jìn)行ERP等信息化管理系統(tǒng)的權(quán)限管理時,利用組權(quán)限控制以及一些例外控制規(guī)則,就可以實現(xiàn)對信息的全面安全管理,而且,其管理的效率也會比較高。三是要慎用臨時權(quán)限。有時,可能某個職工需要某個權(quán)限,如其需要導(dǎo)出客戶基本信息的權(quán)限,此時我們該怎么辦呢?一般情況下,為了防范客戶信息的泄露,我們是不一樣意用戶成批的導(dǎo)出客戶信息。但是,有時出于一些諸如客戶信息備檔等方面的需要,用戶提出這方面權(quán)限的申請的時候,我們該如何辦理呢?有些人喜歡給他們設(shè)置臨時權(quán)限來解決。我個人不怎么贊同這么辦理。因為臨時權(quán)限比較難于管理,而且,一旦開了這個口的話,下次遇到近似問題的時候,他們就會頻頻的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論