原則壹:最小權限原則。
最小權限原則要求是在企業網絡安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問權限,而不提供其他額外的權限。如企業現在有壹個文件服務器系統,為了安全的考慮,比如財務部門的文件會做壹些特殊的權限控制。財務部門會設置兩個文件夾,其中壹個文件夾用來放置壹些可以公開的文件,如空白的報銷憑證等等,方便其他員工填寫費用報銷憑證。還有壹個文件放置壹些機密文件,只有企業高層管理人員才能查看,如企業的現金流量表等等。此時在設置權限的時候,就要根據最小權限的原則,對於普通員工與高層管理人員進行發開設置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對於其沒有訪問權限的文件夾,則服務器要拒絕其訪問。最小權限原則除了在這個訪問權限上反映外,最常見的還有讀寫上面的控制。所以,要保證企業網絡應用的安全性,就壹定要堅持“最小權限”的原則,而不能因為管理上的便利,而采取了“最大權限”的原則。
原則二:完整性原則。
完整性原則指在企業網絡安全管理中,要確保未經授權的個人不能改變或者刪除信息,尤其要避免未經授權的人改變公司的關鍵文檔,如企業的財務信息、客戶聯系方式等等。完整性原則在企業網絡安全應用中,主要體現在兩個方面:
壹、未經授權的人,不得更改信息記錄。如在企業的ERP系統中,財務部門雖然有對客戶信息的訪問權利,但是,其沒有修改權利。其所需要對某些信息進行更改,如客戶的開票地址等等,壹般情況下,其必須要通知具體的銷售人員,讓其進行修改。這主要是為了保證相關信息的修改,必須讓這個信息的創始人知道。否則的話,若在記錄的創始人不知情的情況下,有員工私自把信息修改了,那麽就會造成信息不對稱的情況發生。所以,壹般在信息化管理系統中,如ERP管理系統中,默認都會有壹個權限控制“不允許他人修改、刪除記錄”。這個權限也就意味著只有記錄的本人可以修改相關的信息,其他員工最多只有訪問的權利,而沒有修改的權利。
二、指若有人修改時,必須要保存修改的歷史記錄,以便後續查詢。在某些情況下,若不允許其他人修改創始人的信息,也有些死板。如采購經理有權對采購員下的采購訂單進行修改、作廢等操作。遇到這種情況該怎麽處理呢?在ERP系統中,可以通過采購變更單處理。也就是說,其他人不能夠直接在原始單據上進行內容的修改,其要對采購單進行價格、數量等修改的話,無論是其他人又或者是采購訂單的主人,都必須通過采購變更單來解決。這主要是為了記錄的修改保留原始記錄及變更的過程。當以後發現問題時,可以稽核。若在修改時,不保存原始記錄的話,那出現問題時,就沒有記錄可查。所以,完整性原則的第二個要求就是在變更的時候,需要保留必要的變更日誌,以方便後續的追蹤。總之,完整性原則要求在安全管理的工作中,要保證未經授權的人對信息的非法修改,及信息的內容修改最好要保留歷史記錄,比如網絡管理員可以使用日事清的日誌管理功能,詳細的記錄每日信息內容的修改情況,可以給日後的回顧和檢查做好參考。
原則三:速度與控制之間平衡的原則。
在對信息作了種種限制的時候,必然會對信息的訪問速度產生影響。如當采購訂單需要變更時,員工不能在原有的單據上直接進行修改,而需要通過采購變更單進行修改等等。這會對工作效率產生壹定的影響。這就需要對訪問速度與安全控制之間找到壹個平衡點,或者說是兩者之間進行妥協。