1、新企業網絡安全管理三大原則新企業網絡安全管理三大原則PAGE5/5PAGE5新企業網絡安全管理三大原則PAGE企業網絡安全管理三大原那么導讀：在企業網絡安全管理中，為職工供應完成其本職工作所需要的信息接見權限、防范未經授權的人改變企業的要點文檔、平衡接見速度與安全控制三方面分別有以下三大原那么。一、最小權限原那么最小權限原那么要求我們在企業網絡安全管理中，為職工可是供應完成其本職工作所需要的信息接見權限，而不供應其他額外的權限。如企業現在有一個文件效勞器系統，為了安全的考慮，我們財務部門的文件會做一些特其他權限控制。財務部門會設置兩個文件夾，其中一個文件夾用來放置一些能夠公開的文件，如空白的報

2、銷憑證等等，方便其他職工填寫花銷報銷憑證。還有一個文件放置一些機密文件，只有企業高層管理人員才能查察，如企業的現金流量表等等。此時我們在設置權限的時候，就要依照最小權限的原那么，對于一般職工與高層管理人員進行發開設置，假設是一般職工的話，那么其職能對其能夠接見的文件夾進行盤問，對于其沒有接見權限的文件夾，那么效勞器要拒絕其接見。最小權限原那么除了在這個接見權限上反響外，最常有的還有讀寫上面的控制。如上面這個財務部門有兩個文件夾A與B.作為一般職工，A文件夾屬于機密級，其自然不能夠接見。但是，最為放置報銷憑證格式的文件夾B，我們設置一般職工能夠接見。但是，這個接見的權限是什么呢?也就是說，一般職

3、工對于這個文件夾下的文件擁有哪些接見權限?刪除、更正、抑或只有只讀?假設這個報銷憑證可是一個格式，企業內部的一個通用的報銷格式，那么，除了財務設計表格格式的人除外，其他職工對于這個文件夾下的我文件，沒有刪除、更正的權限，而只有只讀的權限。可見，依照最小權限的原那么，我們不但要定義某個用戶對于特定的信息可否擁有接見權限，而且，還要定義這個接見權限的級別，是只讀、更正、還是完滿控制?但是在實質管理中，有很多人會為了方便管理，就忽略這個原那么。如文件效勞器管理中，沒有對文件進行安全級其他管理，只進行了讀寫權限的控制。也就是說，企業的職工能夠接見文件效勞器上的所有內容，包括企業的財務信息、客戶信息、訂

4、單等比較敏感的信息，只是他們不能夠對不屬于自己的部門的文件夾進行更正操作而已。很顯然，這樣設計的話，企業職工能夠輕易獲得諸如客戶信息、價格信息等比較機密的文件。假設職工把這些信息泄露給企業的競爭對手，那么企業將失去其競爭優勢。再如，對于同一個部門的職工，沒有進行權限的細分，一般職工跟部門經理擁有相同等權限。如在財務管理系統中，一般一般職工沒有審察單據與撤掉單據審察的權限，但是，有些系統管理員經常為了管理的方便，給與一般職工跟財務經理相同的操作權益。一般職工能夠自己撤掉已經審察了的單據。這顯然給財務管理系統的安全帶來了很多的隱患。所以，我們要保證企業網絡應用的安全性，就必然要堅持“最小權限的原那

5、么，而不能夠因為管理上的便利，而采用了“最大權限的原那么，從而給企業網絡安全埋下了一顆準時炸彈。二、完滿性原那么完滿性原那么指我們在企業網絡安全管理中，要保證未經授權的個人不能夠改變也許刪除信息，特別要防范未經授權的人改變企業的要點文檔，如企業的財務信息、客戶聯系方式等等。完滿性原那么在企業網絡安全應用中，主要表達在兩個方面。一是未經授權的人，不等更正信息記錄。如在企業的ERP系統中，財務部門誠然有對客戶信息的接見權益，但是，其沒有更正權益。其所需要對某些信息進行更正，如客戶的開票地址等等，一般情況下，其必定要通知詳盡的銷售人員，讓其進行更正。這主若是為了保證相關信息的更正，必定讓這個信息的開

6、創人知道。否那么的話，假設在記錄的開創人不知情的情況下，有職工私自把信息更正了，那么就會造成信息不對稱的情況發生。所以，一般在信息化管理系統中，如ERP管理系統中，默認都會有一個權限控制“不允許他人更正、刪除記錄。這個權限也就意味著只有記錄的自己能夠更正相關的信息，其他職工最多只有訪問的權益，而沒有更正的權益。二是指假設有人更正時，必定要保存更正的歷史記錄，以便后續盤問。在某些情況下，假設不一樣意其他人更正開創人的信息，也有些古板。如采買經理有權對采買員下的采買訂單進行更正、作廢等操作。遇到這種情況該怎么辦理呢?在ERP系統中，能夠經過采買更正單辦理。也就是說，其他人不能夠夠直接在原始單據進步

7、行內容的更正，其要對采買單進行價格、數量等更正的話，無論是其他人又也許是采買訂單的主人，都必定經過采買更正單來解決。這主若是為了記錄的更正保存原始記錄及更正的過程。當今后發現問題時，能夠稽核。假設在更正時，不保存原始記錄的話，那出現問題時，就沒有記錄可查。所以，完滿性原那么的第二個要求就是在更正的時候，需要保存必要的更正日志，以方便我們后續的追蹤。假設是針對文件效勞器，那么完滿性就要求文件效勞器能夠準時點進行恢復。對文件效勞器中某個文件進行更正，我們可能很難記錄下更正的內容。文件效勞器日志最多記錄某某時間、某某用戶對某個文件夾下的某個文件進行了哪一種操作。但是，不會記錄下詳盡操作了什么內容。如

8、把某個文件刪除了也許更正了某個文件的內容。此時，我們就需要文件效勞器實現準時點進行恢復的功能。當用戶發現某個文件被非法修改時，要能夠恢復到近來的時刻。自然這個恢復需要針對詳盡的文件夾甚至是特定的文件，假設把文件效勞器中所有的文件都恢復了，那其他用戶就要叫死了?？傊?，完滿性原那么要求我們在安全管理的工作中，要保證未經授權的人對信息的非法更正，及信息的內容更正最好要保存歷史記錄。三、速度與控制之間平衡的原那么我們在對信息作了各種限制的時候，必然會對信息的接見速度產生影響。如當采買訂單需要更正時，職工不能夠在原有的單據上直接進行更正，而需要經過采買更正單進行更正等等。這會對工作效率產生必然的影響。這

9、就需要我們對接見速度與安全控制之間找到一個平衡點，也許說是兩者之間進行妥協。為了到達這個平衡的目的，我們能夠這樣做。一是把文件信息進行依照安全性進行分級。對一些不怎么重要的信息，我們能夠把安全控制的級別降低，從而來提高用戶的工作效率。如對于一些信息化管理系統的報表，我們能夠設置比較低的權限，如在部門內部職工能夠觀察各種報表信息，畢竟這可是盤問，不會對數據進行更正。二是盡量在組的級別進步行管理，而不是在用戶的級別進步行權限控制。我們試想一下，假設企業的文件效勞器上有50個職工帳戶，假設一一為他們設置文件效勞器接見權限的話，那么我們的工作量會有多大。所以，此時我們應該利用組的級別進步行權限控制。把

10、擁有相同權限的人歸類為一組，如一個部門的一般職工就可以歸屬為一組，這樣的話，就可以把用戶歸屬于這個組，我們只需要在組的級別進步行保護，從而到達快速管理與控制的目的。如我們在進行ERP等信息化管理系統的權限管理時，利用組權限控制以及一些例外控制規那么，就可以實現對信息的全面安全管理，而且，其管理的效率也會比較高。三是要慎用臨時權限。有時，可能某個職工需要某個權限，如其需要導出客戶根本信息的權限，此時我們該怎么辦呢?一般情況下，為了防范客戶信息的泄露，我們是不一樣意用戶成批的導出客戶信息。但是，有時出于一些諸如客戶信息備檔等方面的需要，用戶提出這方面權限的申請的時候，我們該如何辦理呢?有些人喜歡給他們設置臨時權限來解決。我個人不怎么贊同這么辦理。因為臨時權限比較難于管理，而且，一旦開了這個口的話，下次遇到近似問題的時候，他們就會