记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

随笔:“知所应知”,你所不知道的秘密

2017-12-23 11:45

作为IT安全人员,相信每一位都知道“知所必须”原则,结合“最小权限”的就是两个“最小化”原则,是很多IT安全人员在入门课上就学到的。怎样才是最小,相信也是IT安全人员一直孜孜追求的,很多人困惑于“如何将信息尽可能少的传递、权限尽可能小的授予,并能保证该岗位执行其正常工作。

首先,我们来看一个广为流传案例:“沃尔玛的任何一位员工,不论他/她的级别如何,如果获知其他地方卖的某样东西比沃尔玛便宜,他/她就有权把沃尔玛的同类商品进行降价”。这是一个授权,而这个权利对于很多企业来讲,非常“不小“。而沃尔玛的授权体系远不止如此,他们采取“店中店”的模式授权部门经理管理自己的业务,并认为信息共享的前提下,授权才会起到作用,因此沃尔玛的员工对采购价格、运输成本等数据(这些数据在很多企业被视为机密数据)都了如指掌的,难道沃尔玛不怕泄密事件的发生吗?

在此,笔者结合工作经验,来讲一些你所不知道的秘密。

应知的信息和应有的权限,是业务战略的结果。信息是为业务目标服务的,这一条是信息安全的基本定律,而很多信息安全人员在工作中却不知道或者忘记了这一基本定律,从信息安全去推导业务。从信息安全推导战略是一个错误的方向,信息安全需要结合行业特色、企业业务战略来制定,而不是采用僵化的所谓信息安全理论限制企业业务的发展。作为企业的管理层,更需要知道信息安全与业务战略之间的关系,并采取相应的风险管理策略。

信息的时效是信息安全的策略和手段需要重点关注的属性。例如:企业财务报告,尤其是上市公司的财务报告,被特定人群获知的时间点会影响其股票价格等因素,因此在某时点前是秘密,而在公开后必须保持持续可见性。

信息安全的属性是弹性的,与企业管理特色相关。例如:奖金信息,在某些企业是用来作为激励手段,只有公开了奖金信息,最少也应该分等级公开才能起到激励作用。随着互联网的发展,我们已经越来越处于公开的信息的社会,笔者相信公开信息会越来越多,这也是社会整体利益所推动的。

从技术实现来看,系统中同时支持权限递加或递减可以带来配置的灵活性。

最后,强调一下,信息安全对于不同企业,哪怕他们处在同一行业,都是千变万化的;对于同一企业而言,不同时点的信息安全手段也是不同的;企业文化对信息安全管理的影响不可小觑。

知识来源: www.freebuf.com/column/158039.html

阅读:73269 | 评论:0 | 标签:专栏 企业安全

想收藏或者和大家分享这篇好文章→复制链接地址

“随笔:“知所应知”,你所不知道的秘密”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云