第51章

    第51章 (第1/1页)



      可以使用以下这些方法进行验证：

      职位/工作组/职责列表。企业可以使用一张列表说明指定的员工可以访问哪些指定信息，并通过员工的职位、部门、工作组、职责或者综合这些进行分类。这一列表需要不断更新并提供授权信息的快捷访问方式。通常，信息所有者应当负责创建并维护这一列表，监控信息的访问。

      注释

      值得注意的是，维护这种列表是在邀请社会工程师，试想一下，如果攻击者将一家公司作为目标，就会知道这一列表的存在，并有足够的兴趣获取一份，这一列表能为攻击者打开方便之门，使公司陷入严重的危机之中。

      获得上司授权。员工联系他（或她）自己的上司，或者请求者的上司，请求授权同意这一请求。

      获得信息所有者或指定人员的授权。信息所有者可以决定是否允许访问，基于计算机的访问控制程序可以让员工联系他（或她）的顶头上司申请访问基于工作任务的信息，如果这一任务不存在，管理人员有责任联系相关的数据所有者请求许可。这一管理系统的实施应当保证信息所有者不会拒绝常用信息的请求。

      获得专业软件程序授权。对于高竞争性产业的大公司，可以使用专业软件程序进行授权。这种软件的数据库中存储了员工的姓名和机密信息访问权限，用户无法查看每个人的访问权限，但可以输入请求者的名字，并找到相关的权限信息。这种软件提供了响应标志，可以判断员工是否已被授权访问这一信息，并用独立的权限信息消除了创建个人列表的危险性。

      全书完

      声明：本书由来奇网(www.laiqi.net)网友分享，仅供预览，请在下载后的24小时内删除，版权归原作者和出版社所有，如果喜欢，请支持正版。