企業網絡安全管理

在企業網絡安全管理中，為員工提供完成其本職工作所需要的信息訪問權限、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控製三方麵分別有以下三大原則。 

　　原則一：最小權限原則 

　　最小權限原則要求我們在企業網絡安全管理中

，為員工僅僅提供完成其本職工作所需要的信息訪問權限，而不提供其他額外的權限。 

　　如ru企qi業ye現xian在zai有you一yi個ge文wen件jian服fu務wu器qi係xi統tong，為wei了le安an全quan的de考kao慮lv，我wo們men財cai務wu部bu門men的de文wen件jian會hui做zuo一yi些xie特te殊shu的de權quan限xian控kong製zhi。財cai務wu部bu門men會hui設she置zhi兩liang個ge文wen件jian夾jia，其qi中zhong一yi個ge文wen件jian夾jia用yong來lai放fang置zhi一yi些xie可ke以yi公gong開kai的de文wen件jian，如ru空kong白bai的de報bao銷xiao憑ping證zheng等deng等deng

，方fang便bian其qi他ta員yuan工gong填tian寫xie費fei用yong報bao銷xiao憑ping證zheng。還hai有you一yi個ge文wen件jian放fang置zhi一yi些xie機ji密mi文wen件jian

，隻zhi有you企qi業ye高gao層ceng管guan理li人ren員yuan才cai能neng查zha看kan，如ru企qi業ye的de現xian金jin流liu量liang表biao等deng等deng。此ci時shi我wo們men在zai設she置zhi權quan限xian的de時shi候hou，就jiu要yao根gen據ju最zui小xiao權quan限xian的de原yuan則ze
，對dui於yu普pu通tong員yuan工gong與yu高gao層ceng管guan理li人ren員yuan進jin行xing發fa開kai設she置zhi，若ruo是shi普pu通tong員yuan工gong的de話hua，則ze其qi職zhi能neng對dui其qi可ke以yi訪fang問wen的de文wen件jian夾jia進jin行xing查zha詢xun，對dui於yu其qi沒mei有you訪fang問wen權quan限xian的de文wen件jian夾jia
，則ze服fu務wu器qi要yao拒ju絕jue其qi訪fang問wen。 

　　最小權限原則除了在這個訪問權限上反映外，最常見的還有讀寫上麵的控製。如上麵這個財務部門有兩個文件夾A與B.作為普通員工，A文件夾屬於機密級，其當然不能訪問。但是
，最為放置報銷憑證格式的文件夾B
，我們設置普通員工可以訪問。可是，這個訪問的權限是什麼呢?也就是說，普通員工對於這個文件夾下的文件具有哪些訪問權限?刪除

、修改、抑或隻有隻讀?若(ruo)這(zhe)個(ge)報(bao)銷(xiao)憑(ping)證(zheng)隻(zhi)是(shi)一(yi)個(ge)格(ge)式(shi)
，公(gong)司(si)內(nei)部(bu)的(de)一(yi)個(ge)通(tong)用(yong)的(de)報(bao)銷(xiao)格(ge)式(shi)
，那(na)麼(me)，除(chu)了(le)財(cai)務(wu)設(she)計(ji)表(biao)格(ge)格(ge)式(shi)的(de)人(ren)除(chu)外(wai)，其(qi)他(ta)員(yuan)工(gong)對(dui)於(yu)這(zhe)個(ge)文(wen)件(jian)夾(jia)下(xia)的(de)我(wo)文(wen)件(jian)
，沒(mei)有(you)刪(shan)除(chu)
、修(xiu)改(gai)的(de)權(quan)限(xian)，而(er)隻(zhi)有(you)隻(zhi)讀(du)的(de)權(quan)限(xian)。可(ke)見(jian)，根(gen)據(ju)最(zui)小(xiao)權(quan)限(xian)的(de)原(yuan)則(ze)，我(wo)們(men)不(bu)僅(jin)要(yao)定(ding)義(yi)某(mou)個(ge)用(yong)戶(hu)對(dui)於(yu)特(te)定(ding)的(de)信(xin)息(xi)是(shi)否(fou)具(ju)有(you)訪(fang)問(wen)權(quan)限(xian)
，而(er)且(qie)，還(hai)要(yao)定(ding)義(yi)這(zhe)個(ge)訪(fang)問(wen)權(quan)限(xian)的(de)級(ji)別(bie)，是(shi)隻(zhi)讀(du)、修改、還是完全控製? 

　　不過在實際管理中

，有不少人會為了方便管理，就忽視這個原則。 

　　ruwenjianfuwuqiguanlizhong，meiyouduiwenjianjinxinganquanjibiedeguanli，zhijinxingleduxiequanxiandekongzhi。yejiushishuo，qiyedeyuangongkeyifangwenwenjianfuwuqishangdesuoyouneirong
，baokuoqiyedecaiwuxinxi、客戶信息、dingdandengbijiaomingandexinxi，zhishitamenbunengduibushuyuzijidebumendewenjianjiajinxingxiugaicaozuoeryi。henmingxian，rucishejidehua，qiyeyuangongkeyiqingyihuodezhurukehuxinxi、價格信息等比較機密的文件。若員工把這些信息泄露給企業的競爭對手，那麼企業將失去其競爭優勢。 

　　zairu，duiyutongyigebumendeyuangong，meiyoujinxingquanxiandexifen，putongyuangonggenbumenjinglijuyoutongdengdengquanxian。ruzaicaiwuguanlixitongzhong，yibanputongyuangongmeiyoushenhedanjuyuchexiaodanjushenhedequanxian，danshi，youxiexitongguanliyuanwangwangweileguanlidefangbian，geiyuputongyuangonggencaiwujinglitongdengdecaozuoquanli。putongyuangongkeyizijichexiaoyijingshenhelededanju。zhexianrangeicaiwuguanlixitongdeanquandailailebushaodeyinhuan。 

　　所以，我們要保證企業網絡應用的安全性，就一定要堅持“最小權限”的原則
，而不能因為管理上的便利
，而采取了“最大權限”的原則
，從而給企業網絡安全埋下了一顆定時炸彈。

　　原則二：完整性原則 

　　wanzhengxingyuanzezhiwomenzaiqiyewangluoanquanguanlizhong，yaoquebaoweijingshouquandegerenbunenggaibianhuozheshanchuxinxi，youqiyaobimianweijingshouquanderengaibiangongsideguanjianwendang，ruqiyedecaiwuxinxi

、客戶聯係方式等等。 

　　完整性原則在企業網絡安全應用中，主要體現在兩個方麵。 

　　一是未經授權的人
，不等更改信息記錄。如在企業的ERP係(xi)統(tong)中(zhong)
，財(cai)務(wu)部(bu)門(men)雖(sui)然(ran)有(you)對(dui)客(ke)戶(hu)信(xin)息(xi)的(de)訪(fang)問(wen)權(quan)利(li)，但(dan)是(shi)，其(qi)沒(mei)有(you)修(xiu)改(gai)權(quan)利(li)。其(qi)所(suo)需(xu)要(yao)對(dui)某(mou)些(xie)信(xin)息(xi)進(jin)行(xing)更(geng)改(gai)
，如(ru)客(ke)戶(hu)的(de)開(kai)票(piao)地(di)址(zhi)等(deng)等(deng)，一(yi)般(ban)情(qing)況(kuang)下(xia)，其(qi)必(bi)須(xu)要(yao)通(tong)知(zhi)具(ju)體(ti)的(de)銷(xiao)售(shou)人(ren)員(yuan)
，讓(rang)其(qi)進(jin)行(xing)修(xiu)改(gai)。這(zhe)主(zhu)要(yao)是(shi)為(wei)了(le)保(bao)證(zheng)相(xiang)關(guan)信(xin)息(xi)的(de)修(xiu)改(gai)，必(bi)須(xu)讓(rang)這(zhe)個(ge)信(xin)息(xi)的(de)創(chuang)始(shi)人(ren)知(zhi)道(dao)。否(fou)則(ze)的(de)話(hua)

，若(ruo)在(zai)記(ji)錄(lu)的(de)創(chuang)始(shi)人(ren)不(bu)知(zhi)情(qing)的(de)情(qing)況(kuang)下(xia)
，有(you)員(yuan)工(gong)私(si)自(zi)把(ba)信(xin)息(xi)修(xiu)改(gai)了(le)，那(na)麼(me)就(jiu)會(hui)造(zao)成(cheng)信(xin)息(xi)不(bu)對(dui)稱(cheng)的(de)情(qing)況(kuang)發(fa)生(sheng)。所(suo)以(yi)，一(yi)般(ban)在(zai)信(xin)息(xi)化(hua)管(guan)理(li)係(xi)統(tong)中(zhong)

，如(ru)ERP管理係統中，默認都會有一個權限控製“不允許他人修改、刪除記錄”。這個權限也就意味著隻有記錄的本人可以修改相關的信息
，其他員工最多隻有訪問的權利，而沒有修改的權利。 
二er是shi指zhi若ruo有you人ren修xiu改gai時shi
，必bi須xu要yao保bao存cun修xiu改gai的de曆li史shi記ji錄lu
，以yi便bian後hou續xu查zha詢xun。在zai某mou些xie情qing況kuang下xia，若ruo不bu允yun許xu其qi他ta人ren修xiu改gai創chuang始shi人ren的de信xin息xi
，也ye有you些xie死si板ban。如ru采cai購gou經jing理li有you權quan對dui采cai購gou員yuan下xia的de采cai購gou訂ding單dan進jin行xing修xiu改gai
、作廢等操作。遇到這種情況該怎麼處理呢?在ERP係統中
，可以通過采購變更單處理。也就是說
，其他人不能夠直接在原始單據上進行內容的修改，其要對采購單進行價格
、數(shu)量(liang)等(deng)修(xiu)改(gai)的(de)話(hua)，無(wu)論(lun)是(shi)其(qi)他(ta)人(ren)又(you)或(huo)者(zhe)是(shi)采(cai)購(gou)訂(ding)單(dan)的(de)主(zhu)人(ren)
，都(dou)必(bi)須(xu)通(tong)過(guo)采(cai)購(gou)變(bian)更(geng)單(dan)來(lai)解(jie)決(jue)。這(zhe)主(zhu)要(yao)是(shi)為(wei)了(le)記(ji)錄(lu)的(de)修(xiu)改(gai)保(bao)留(liu)原(yuan)始(shi)記(ji)錄(lu)及(ji)變(bian)更(geng)的(de)過(guo)程(cheng)。當(dang)以(yi)後(hou)發(fa)現(xian)問(wen)題(ti)時(shi)，可(ke)以(yi)稽(ji)核(he)。若(ruo)在(zai)修(xiu)改(gai)時(shi)，不(bu)保(bao)存(cun)原(yuan)始(shi)記(ji)錄(lu)的(de)話(hua)，那(na)出(chu)現(xian)問(wen)題(ti)時(shi)，就(jiu)沒(mei)有(you)記(ji)錄(lu)可(ke)查(zha)。所(suo)以(yi)，完(wan)整(zheng)性(xing)原(yuan)則(ze)的(de)第(di)二(er)個(ge)要(yao)求(qiu)就(jiu)是(shi)在(zai)變(bian)更(geng)的(de)時(shi)候(hou)，需(xu)要(yao)保(bao)留(liu)必(bi)要(yao)的(de)變(bian)更(geng)日(ri)誌(zhi)，以(yi)方(fang)便(bian)我(wo)們(men)後(hou)續(xu)的(de)追(zhui)蹤(zong)。 

　　若(ruo)是(shi)針(zhen)對(dui)文(wen)件(jian)服(fu)務(wu)器(qi)，則(ze)完(wan)整(zheng)性(xing)就(jiu)要(yao)求(qiu)文(wen)件(jian)服(fu)務(wu)器(qi)能(neng)夠(gou)按(an)時(shi)點(dian)進(jin)行(xing)恢(hui)複(fu)。對(dui)文(wen)件(jian)服(fu)務(wu)器(qi)中(zhong)某(mou)個(ge)文(wen)件(jian)進(jin)行(xing)修(xiu)改(gai)

，我(wo)們(men)可(ke)能(neng)很(hen)難(nan)記(ji)錄(lu)下(xia)修(xiu)改(gai)的(de)內(nei)容(rong)。文(wen)件(jian)服(fu)務(wu)器(qi)日(ri)誌(zhi)最(zui)多(duo)記(ji)錄(lu)某(mou)某(mou)時(shi)間(jian)、某mou某mou用yong戶hu對dui某mou個ge文wen件jian夾jia下xia的de某mou個ge文wen件jian進jin行xing了le哪na種zhong操cao作zuo。但dan是shi，不bu會hui記ji錄lu下xia具ju體ti操cao作zuo了le什shen麼me內nei容rong。如ru把ba某mou個ge文wen件jian刪shan除chu了le或huo者zhe修xiu改gai了le某mou個ge文wen件jian的de內nei容rong。此ci時shi，我wo們men就jiu需xu要yao文wen件jian服fu務wu器qi實shi現xian按an時shi點dian進jin行xing恢hui複fu的de功gong能neng。當dang用yong戶hu發fa現xian某mou個ge文wen件jian被bei非fei法fa修xiu改gai時shi，要yao能neng夠gou恢hui複fu到dao最zui近jin的de時shi刻ke。當dang然ran這zhe個ge恢hui複fu需xu要yao針zhen對dui具ju體ti的de文wen件jian夾jia甚shen至zhi是shi特te定ding的de文wen件jian，若ruo把ba文wen件jian服fu務wu器qi中zhong所suo有you的de文wen件jian都dou恢hui複fu了le，那na其qi他ta用yong戶hu就jiu要yao叫jiao死si了le。 

　　總之，完整性原則要求我們在安全管理的工作中，要保證未經授權的人對信息的非法修改，及信息的內容修改最好要保留曆史記錄。 

　　原則三：速度與控製之間平衡的原則 

　　womenzaiduixinxizuolezhongzhongxianzhideshihou
，biranhuiduixinxidefangwensuduchanshengyingxiang。rudangcaigoudingdanxuyaobiangengshi
，yuangongbunengzaiyuanyoudedanjushangzhijiejinxingxiugai，erxuyaotongguocaigoubiangengdanjinxingxiugaidengdeng。zhehuiduigongzuoxiaolvchanshengyidingdeyingxiang。zhejiuxuyaowomenduifangwensuduyuanquankongzhizhijianzhaodaoyigepinghengdian，huozheshuoshiliangzhezhijianjinxingtuoxie。 

　　為了達到這個平衡的目的，我們可以如此做。 

　　一(yi)是(shi)把(ba)文(wen)件(jian)信(xin)息(xi)進(jin)行(xing)根(gen)據(ju)安(an)全(quan)性(xing)進(jin)行(xing)分(fen)級(ji)。對(dui)一(yi)些(xie)不(bu)怎(zen)麼(me)重(zhong)要(yao)的(de)信(xin)息(xi)，我(wo)們(men)可(ke)以(yi)把(ba)安(an)全(quan)控(kong)製(zhi)的(de)級(ji)別(bie)降(jiang)低(di)，從(cong)而(er)來(lai)提(ti)高(gao)用(yong)戶(hu)的(de)工(gong)作(zuo)效(xiao)率(lv)。如(ru)對(dui)於(yu)一(yi)些(xie)信(xin)息(xi)化(hua)管(guan)理(li)係(xi)統(tong)的(de)報(bao)表(biao)，我(wo)們(men)可(ke)以(yi)設(she)置(zhi)比(bi)較(jiao)低(di)的(de)權(quan)限(xian)
，如(ru)在(zai)部(bu)門(men)內(nei)部(bu)員(yuan)工(gong)可(ke)以(yi)察(cha)看(kan)各(ge)種(zhong)報(bao)表(biao)信(xin)息(xi)
，畢(bi)竟(jing)這(zhe)隻(zhi)是(shi)查(zha)詢(xun)，不(bu)會(hui)對(dui)數(shu)據(ju)進(jin)行(xing)修(xiu)改(gai)。 

　　二是盡量在組的級別上進行管理
，而不是在用戶的級別上進行權限控製。我們試想一下，若公司的文件服務器上有50geyuangongzhanghu，ruoyiyiweitamenshezhiwenjianfuwuqifangwenquanxiandehua，namewomendegongzuolianghuiyouduoda。suoyi，cishiwomenyinggailiyongzudejibieshangjinxingquanxiankongzhi。bajuyouxiangtongquanxianderenguileiweiyizu，ruyigebumendeputongyuangongjiukeyiguishuweiyizu
，rucidehua，jiukeyibayonghuguishuyuzhegezu
，womenzhixuyaozaizudejibieshangjinxingweihu，congerdaodakuaisuguanliyukongzhidemude。ruwomenzaijinxingERP等(deng)信(xin)息(xi)化(hua)管(guan)理(li)係(xi)統(tong)的(de)權(quan)限(xian)管(guan)理(li)時(shi)
，利(li)用(yong)組(zu)權(quan)限(xian)控(kong)製(zhi)以(yi)及(ji)一(yi)些(xie)例(li)外(wai)控(kong)製(zhi)規(gui)則(ze)，就(jiu)可(ke)以(yi)實(shi)現(xian)對(dui)信(xin)息(xi)的(de)全(quan)麵(mian)安(an)全(quan)管(guan)理(li)，而(er)且(qie)，其(qi)管(guan)理(li)的(de)效(xiao)率(lv)也(ye)會(hui)比(bi)較(jiao)高(gao)。 

　　三是要慎用臨時權限。有時候，可能某個員工需要某個權限
，如其需要導出客戶基本信息的權限，此時我們該怎麼辦呢?一yi般ban情qing況kuang下xia
，為wei了le防fang止zhi客ke戶hu信xin息xi的de泄xie露lu，我wo們men是shi不bu允yun許xu用yong戶hu成cheng批pi的de導dao出chu客ke戶hu信xin息xi。但dan是shi，有you時shi候hou出chu於yu一yi些xie諸zhu如ru客ke戶hu信xin息xi備bei檔dang等deng方fang麵mian的de需xu要yao
，用yong戶hu提ti出chu這zhe方fang麵mian權quan限xian的de申shen請qing的de時shi候hou
，我wo們men該gai如ru何he處chu理li呢ne?有(you)些(xie)人(ren)喜(xi)歡(huan)給(gei)他(ta)們(men)設(she)置(zhi)臨(lin)時(shi)權(quan)限(xian)來(lai)解(jie)決(jue)。我(wo)個(ge)人(ren)不(bu)怎(zen)麼(me)讚(zan)成(cheng)這(zhe)麼(me)處(chu)理(li)。因(yin)為(wei)臨(lin)時(shi)權(quan)限(xian)比(bi)較(jiao)難(nan)於(yu)管(guan)理(li)


，而(er)且(qie)，一(yi)旦(dan)開(kai)了(le)這(zhe)個(ge)口(kou)的(de)話(hua)

，下(xia)次(ci)遇(yu)到(dao)類(lei)似(si)問(wen)題(ti)的(de)時(shi)候(hou)，他(ta)們(men)就(jiu)會(hui)頻(pin)繁(fan)的(de)申(shen)請(qing)這(zhe)些(xie)臨(lin)時(shi)權(quan)限(xian)。我(wo)遇(yu)到(dao)這(zhe)種(zhong)情(qing)況(kuang)時(shi)，一(yi)般(ban)就(jiu)讓(rang)他(ta)們(men)去(qu)找(zhao)有(you)這(zhe)種(zhong)權(quan)限(xian)的(de)人(ren)。如(ru)普(pu)通(tong)銷(xiao)售(shou)員(yuan)沒(mei)有(you)客(ke)戶(hu)信(xin)息(xi)成(cheng)批(pi)導(dao)出(chu)的(de)權(quan)限(xian)，但(dan)是(shi)，銷(xiao)售(shou)經(jing)理(li)又(you)這(zhe)個(ge)權(quan)限(xian)，那(na)麼(me)就(jiu)讓(rang)銷(xiao)售(shou)員(yuan)告(gao)知(zhi)他(ta)們(men)的(de)銷(xiao)售(shou)經(jing)理(li)，讓(rang)他(ta)們(men)的(de)銷(xiao)售(shou)經(jing)理(li)幫(bang)助(zhu)其(qi)導(dao)出(chu)。而(er)且(qie)如(ru)此(ci)處(chu)理(li)的(de)話(hua)，銷(xiao)售(shou)經(jing)理(li)也(ye)知(zhi)道(dao)確(que)實(shi)有(you)這(zhe)麼(me)一(yi)回(hui)事(shi)情(qing)。若(ruo)我(wo)們(men)盲(mang)目(mu)的(de)給(gei)員(yuan)工(gong)走(zou)後(hou)門(men)、開綠色通道，那麼就會增加數據泄露的風險。