权力制约-让企业文件更安全
悦库企业网盘专注于企业文件安全管理,拥有完善的文件安全管控体系,包括:组织隔离和协作、职责分离、多级管理员、集团化组织、文件和职能权限等,这些特性为企业文件安全访问提供了强有力的保障。
在大中型企业,文件是重要的数据资产,在传统的文件管理系统中,普遍存在超级管理员角色,可以管理所有文件,相当于将数据权力全部集中到一人手中,这样一人可以对所有文件进行管理和操作,这种使用集中式权力对资产进行管理的方式有很大的安全风险,因为一切有权力的人都容易滥用权力。
为了确保数据资产的安全,需要对资产管理者的集中式权力进行拆分和监督,以权力制约权力使其保持平衡。
权力制约
在政治学领域,法国启蒙思想家孟德斯鸠在《论法的精神》中最先提出“三权分立”,这是现代权力制约体系的理论基础,为西方资本主义国家宪政实践提供了方法论,而美国1787年宪法首次将这一理论制度化,通过立法(国会)、行政(总统)、司法(最高法院)的权力分立与制衡,构建了现代民主政体的典范。
在网络安全与涉密管理领域,中国借鉴"三权分立"思想,发展出“三员”分立机制,并提出《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007)标准,指导涉密信息系统实施 “三员分立”,“三员”通常指:
-
系统管理员
负责系统日常运维,包括硬件维护、数据备份、故障修复等基础操作,确保系统稳定运行。
-
安全保密员
管理用户权限分配、安全策略配置及日志审查,是系统安全的第一道防线。
-
安全审计员
独立监督前两者的操作行为,通过日志分析发现违规行为并向管理机构汇报,保障审计的公正性。
在多年为企业提供文件管理服务的生产实践中,我们发现直接使用标准的"三员分立"机制进行文件管理分权难以实施,安全审计员通过日志分析进行安全审查并不现实,即使强行实施也是工作量巨大。于是我们借鉴了"三员分立"标准,结合现有的RBAC(基于角色的访问控制)模型,提出职责分离机制��,用于在文件管理领域中实现权力的制约。
职责分离
职责分离是悦库企业网盘中用于确保单个人员不具备完成恶意行为的所有必要权限的一种安全机制,以避免管理员权力过大造成安全隐患。
分权
在企业经营场景中,财务工作有发起⽀付和授权⽀付两个操作,任何⼀个⼈员同时拥有这两种操作的权限都会为企业财务带来风险。
在基于FTP服务器的简单文件管理场景中,运维人员的职责是系统运行维护,却可以超出自身职责,直接访问服务器上的所有企业文件(本应属于文件管理职责),运维人员的职责不明确,将为企业文件增加泄露风险。
为了解决权力集中问题,我们将管理权按职责拆分为职能管理权和文件管理权。职能管理权包括人事管理员和运维管理员两个角色,人事管理角色只负责管理组织和人员,运维管理角色则只负责管理系统运维相关工作,职能管理权不包括任何对文件访问权限的管理。文件管理员角色专门负责组织内的文件管理,不参与组织的职能管理。
禁用超级管理员
上帝创造了世界,然后消失了...
中本聪创造了比特币,然后消失了...
《三体》,罗辑拯救了人类世界,是存在的上帝,但人类并不感谢罗辑...
人类崇拜上帝,但可能并不真的需要上帝...
在大多数情况下,系统初始化时必须需要超级管理员进行权力拆分,并最终为各个管理角色指派相应的管理人员,当这个"上帝使命"完成,系统被正式启用后,超级管理员就没有存在的必要了。
只有使用最高权力,才能禁用超级管理员,但在职责分离机制下,权力是分散的。这就需要多个角色联合执行这个"至高无上"的操作,当文件管理员、人事管理员、运维管理员三个最高管理员达成共识,需要禁用超级管理员时,就可以联合执行这个操作,同样的在后续的使用中,如果确实由必要重新启用超级管理员,也需要同样的联合执行启用超级管理员的操作。
总结
通过借鉴政治学 "三权分立" 思想和涉密领域 "三员分立" 机制,创新性提出职责分离体系,将管理权拆分为职能管理(人事 / 运维)与文件管理两大独立维度,从根本上杜绝传统系统中超级管理员集权风险。通过强制多角色联合审批禁用超级管理员,并建立分权制衡机制,使任何单一管理员无法独立完成高危操作,形成 "权力制约权力" 的动态平衡体系,为企业文件资产构建起更安全的管理架构。