您现在的位置是:首页 > IT基础架构 > 网络与安全 >
信息安全防护应重视权限控制思路
摘要在军事情报活动上向来是每个政治团体的机密,打探他国情报数据是任何一个政治团体的必然行为。台湾,一个小岛,十月以来,爆发三起所谓的“共谍案”,23日的“国防部后备司令部“退役中校郑林峰和蔡登汉被爆遭大陆情报单位吸收;26日的澎湖湾广电台长陈益瑞以”共谍案“被羁押;30日的前台军大气海洋局退役军官泄密护渔任务数据案…… ...
在军事情报活动上向来是每个政治团体的机密,打探他国情报数据是任何一个政治团体的必然行为。台湾,一个小岛,十月以来,爆发三起所谓的“共谍案”,23日的“国防部后备司令部“退役中校郑林峰和蔡登汉被爆遭大陆情报单位吸收;26日的澎湖湾广电台长陈益瑞以”共谍案“被羁押;30日的前台军大气海洋局退役军官泄密护渔任务数据案……
且不管此共谍案泄密程度有多深,危害有多大,试想这些高涉密国家机关理应是事先制定了一系列信息安全措施,连它们都发生如此频繁的泄密事件,那对于普通企业、行业组织来说,商业机密(研发代码、设计图纸、客户资料)作为命脉,更应该寻找最可靠、最完善的信息安全防护策略,把防范信息安全提升到重要高度。
从往年来各大泄密案的共通点可以看出,泄密涉及人员的级别程度偏高,共谍案的少将到台长,企业间谍门的经理到总裁,有把机密文件直接拷贝的,有把文件扫描做成光盘的,种种案件无一不证明最可靠的信息安全防护策略还应落实到人的权限如何控制,是解决企业哪些人有权利接触机密信息、操作机密信息、传送机密信息的问题。在部署防护策略时把权限控制作为解决方案的一部分是有效保障企业内部信息安全的前提。
目前许多成熟厂商早已融入权限控制功能到各大信息安全解决方案中,如帷幄办公信息安全系统、亿赛通文档安全管理系统等。帷幄技术更是早早意识到人在信息防护中的关键作用,把授权控制作为重要思路独立出来,并提醒各大企业要注意过于慷慨的权限,一个用户能做什么不能做什么要很明确,对内部的权限管理也应当适时的调整和移除。
一般而言,权限控制是实现差异化的一种管理,可以根据企业组织规划,对不同员工、不同部门进行组织和权限划分。仅仅在企业内部统一用大策略是无法确保安全的,要把组织和权限划分的更细致点,比如在设计部门是按照项目组来做设计的,领导又怕项目组之间泄露信息,就可以把人员划分区隔开来,设置不同的策略,让其对文件的操作有选择性。若是想限制研发部门上网,可以针对部门指定不同软件(如QQ、MSN)的使用权限。
无论是国家机密部门还是企业组织,都需重视将授权控制思路运用到信息安全防护中去。权限控制的解决思路融入不同的安全产品便发挥不同的作用,或确保不进行违规上网操作,或保证重要资料的安全流通,目的都是为了从根本上保护办公信息的安全。若是本文开头台军共谍案中对各高层军官进行了授权控制,如此拷贝文档、传送资料的共谍案定不会如此轻易发生。
(本文不涉密)
责任编辑:
下一篇:敲响警钟 重估国家信息安全