文件管理之三权分立
文件管理的权利问题
专业的文件管理系统,在权限控制标准中通常选择基于角色的访问控制 (Role-based access control),简称RBAC模型,这是一种围绕角色和权限定义的策略中立的访问控制机制,悦库企业网盘的权限管理也是基于这种模型。
在企业组织内,为各种工作职能创建角色,如“超级管理员”、“系统管理员”、“部门管理员”、“普通员工”,然后将文件操作的权限分配给特定角色,通过这些角色获得执行文件操作所需的权限,这样每个员工都有自己的文件访问范围,看起来井然有序。
但这种权限管理方法,存在一些安全问题:
-
超级管理员拥有所有权限,是集权��者,权利过大,行为不可控。
“小明是某公司文件管理系统的超级管理员,因为与上司三观不合,提出离职,离职前小明将公司所有文件打包带走,给公司信息安全造成巨大隐患。”
-
权限分配无人监督,存在越权访问问题。
“小谢是某公司业务部门经理,拥有部门管理员权限,为了方便和一个重要客户共享资料,直接为该客户在内部文件管理系统中创建了账号并默认指定了可以访问本部门内文件的权限,导致公司重要文件外泄。
-
系统运维人员,违规访问业务数据。
“小王是某公司文件管理系统的运维人员,出于好奇,为自己创建了财务部门账号,下载并查看了一些员工的工资报表,然后将账号删除。”
从以上案例我们可以看出,虽然对文件的访问做了权限管理,但依然存在重大数据外泄隐患,其主要原因在于集权访问制度,即员工的操作行为不受他人监督,是否违规全凭自觉。
权利的平衡
“一切有权力的人都容易滥用权力;要防止滥用权力,就必须以权力约束权力!” --- 法国启蒙思想家 孟德斯鸠
以权力约束权力使其保持平衡,是解决集权问题之道,于是我去寻找构建权利平衡的方法论:
去年到四川某部队出差,与安全部门主管对接文件管理需求时聊到文件管理的权利平衡问题,我们一致认可国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》中提出的“三员”管理概念,三权分立,用监督制约权利。
我查阅资料,有一些心得,下面与您分享。
三权的起源
三权分立,是西方民主国家的基本政治制度的建制原则。三权分立原则起源于亚里士多德时代,他首次将国家的政权划分为议 事权、行政权和审判权。1680年,英国思想家洛克发表了《政府论》,主张治理权与统治权应当分离。随后,1748年,孟德斯鸠发表了《论法的精神》,其站在新兴资产阶级的立场上,提出了著名的“三权分立”。
三权分立主要阐述政府的立法权、司法权与行政权三权分离,各司其职,三种权力互相制约,防止掌权者权力的滥用。
三员概念
“三员”,在国家保密标准BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》中提出,要求涉密信息系统应当配备系统管理员、安全保密员和安全审计员三类安全保密管理人员(简称为“三员”),分别负责系统运行、安全保密管理和安全审计工作。“三员”担负维护系统安全、稳定、可靠运行的重要任务,对涉密信息系统和国家秘密安全具有重要作??。
“三员”在悦库企业网盘中落地
“三员”并不是对RBAC模型的革新,而是基于RBAC模型之上构建的更为安全的权利管理体系,通过“三员”机制的实施,可以大幅度提高文件安全级别。
在悦库系统中的“三员”模式下,去除了超级管理员角色,为系统创建三种基础角色:“系统管理员”,“安全保密员”,“安全审计员”,如图:
“安全保密员” 负责为员工设置空间、文件夹、文件访问授权,为我的组织内员工变更角色(需低于安全保密员的角色权利值)。推荐由部门或项目组核心员工担任。
“系统管理员” 负责系统日常的运行维护工作,包括系统配置、新员工创建、员工的三员属性变更。可由公司普通运维人员担任。其中三员属性变更操作需安全审计员审核。
“安全审计员” 可接收系统的安全审计报告,审查我的组织中的“安全保密员”提交的文件访问授权,审查“系统管理员”的新建用户和运维报告,审批“系统管理员”提交的三员属性变更授权。推荐由部门主管或项目经理等领导层担任。
其他事项:
三员模型初始化时,需要确认三员属性拥有者,初始化操作有系统管理员触发,仅能触发一次。
任何人不能修改自身角色。
参考资料:
基于角色的访问控制 (Role-based access control)
BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》,是国家“秘密级”文件,传播违法。