IT猿人
下载贤集网APP入驻自媒体
“机密性“也称“保密性“,这个要素从如何保护数据和信息角度出发,避免外部入侵和防止内部威胁,通过安全控制手段保证信息不泄露给未经授权的进程、应用或主体。 针对“机密性”的安全控制: 其一、需要建立有效的授权机制和策略,其基本原则之一是权限分配要基于“最小权限原则“和“按需知密”。那么如何通过技术和流程做到“按需知密”呢?企业的信息和数据量如此庞大,有机密的、有可以公开的、有不合适公开而只适用于在公司内部交流和访问的,因此只有对所有业务数据(安全对象)进行合理分类,划分出例如:极为敏感、一般敏感和非敏感的不同安全级别类别,通过对这些归类的对象进行不同安全域的 “三层”隔离,并施以 “五层”安全控制,“按需知密“原则就能最大程度地得到实现。 其二、要分层、分级做好访问控制和监控,访问控制策略可以是自主访问控制、强制访问控制,及其在身份鉴别基础上实施的“基于角色”的访问控制。作为和权限控制紧密相连的身份鉴别要素,其重要性与日俱增,我们会在后面小节中着重介绍。 其三、采用加密手段,防止数据被窃取或破坏。
