"能访问"不等于"应该访问"
很多人认为:我能访问的数据,就是我可以随便用的数据。
错了。访问权限只是"能访问",不等于"应该访问"。
什么是权限最小化原则?
权限最小化 = 只授予完成工作所需的最小权限。
简单理解
- 做什么工作,就给什么权限
- 不需要的权限,不给
- 用完即收回
为什么要权限最小化?
原因一:降低数据泄露风险
场景: 所有人都能访问所有数据。
风险:
- 一个人账号被盗,所有数据都泄露
- 一个人有意泄露,所有数据都泄露
权限最小化后: 即使账号被盗,也只泄露有限的范围。
原因二:符合合规要求
法规要求:
- 《个人信息保护法》要求采取必要措施保护个人信息安全
- 《数据安全法》要求采取必要措施保障数据安全
权限最小化是基本措施。
原因三:便于审计追溯
场景: 所有人都能访问,出了问题不知道是谁泄露的。
权限最小化后: 只有少数人能访问,问题更容易定位。
原因四:减少误操作
场景: 不该看的人看到了不该看的信息,可能误操作。
权限最小化后: 不该看的人看不到,减少了误操作的可能。
权限最小化的 4 个原则
原则一:按需分配
- 根据工作需要分配权限
- 不需要的权限不给
- 定期审查权限
原则二:最小范围
- 权限范围最小化
- 能访问部分数据,不给全部数据
- 能只读,不给写权限
原则三:定期审查
- 定期审查权限分配
- 及时收回不必要的权限
- 人员变动时及时调整
原则四:审批留痕
- 权限分配需要审批
- 权限使用需要记录
- 审批和使用记录可追溯
常见的权限过度问题
| 问题 | 后果 |
|---|---|
| 所有人都有全部数据访问权限 | 数据泄露风险极大 |
| 离职后账号未停用 | 离职员工仍可访问 |
| 项目结束后权限未收回 | 不必要的人仍有权限 |
| 临时权限未收回 | 临时权限变成长期权限 |
| 管理员权限滥用 | 管理员可访问所有数据 |
如何实施权限最小化?
1. 明确数据分类分级
- 知道哪些数据是敏感的
- 知道哪些数据需要限制访问
2. 定义角色权限
- 不同角色有不同的权限
- 权限与角色对应
- 角色变化时权限变化
3. 审批流程
- 权限申请需要审批
- 审批时评估必要性
- 留存审批记录
4. 定期审计
- 定期审查权限分配
- 检查是否有过度授权
- 及时收回不必要的权限
一句话总结
权限最小化 = 只给必要的权限。降低泄露风险、符合合规要求、便于审计追溯、减少误操作。
标签: 数据安全、权限管理、访问控制、信息安全意识