论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 13 篇帖子 ] 
作者 内容
 文章标题 : 谁知道何为“必需知道”原则?
帖子发表于 : 2010-11-16 08:58 
离线
初级用户

注册: 2010-11-07 19:30
最近: 2015-05-21 15:35
拥有: 673.00 安全币

奖励: 0 安全币
在线: 146 点
帖子: 22
帐号分配上应该遵从 必需知道  最小授权  两个原则。


但是谁知道何为“必需知道”原则?  怎么理解?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-11-16 09:07 
离线
高级用户

注册: 2006-10-22 09:46
最近: 2015-07-28 14:27
拥有: 2,474.30 安全币

奖励: 3516 安全币
在线: 1035 点
帖子: 200
Need to know吧?即为开展业务所必须知道的信息或拥有的权限


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-11-17 09:38 
离线
初级用户

注册: 2010-11-07 19:30
最近: 2015-05-21 15:35
拥有: 673.00 安全币

奖励: 0 安全币
在线: 146 点
帖子: 22
我有疑问
为何不是“必须知道”  而是 “必需知道”  ?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-11-17 10:54 
离线
超级用户

注册: 2008-11-26 20:21
最近: 2014-10-12 16:16
拥有: 1,491.80 安全币

奖励: 2211 安全币
在线: 2147 点
帖子: 565
。。。。没有太大的区别吧。
安全需知和最小权限是权限控制的有效方式。
最小权限算是技术控制手段
安全需知则算是管理控制手段,有规定对象知道的义务,权利,风险等。


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-11-17 15:07 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2017-12-10 14:29
拥有: 10,029.00 安全币

奖励: 878536 安全币
在线: 107528 点
帖子: 3276
robinson 写道:
我有疑问
为何不是“必须知道”  而是 “必需知道”  ?


这是授权管理中的基本原则,与最小特权原则是一致的, 不过是另一个角度的表达。“最小特权”要求只能给被授权者工作所需的权限,多一点都不行;“需知原则”要求给被授权者工作工作所需的权限,少一点也不行。

这里翻译为“需”还是有道理的,对于被授权者来说,需要这些权限才能工作,是被授权者应该拥有的权利,不是其必须遵循的义务。不过也没有必要咬文嚼字,意思差不多。

我觉得需知和最小特权是授权管理基本原则从两个不同角度的描述,不存在谁用技术手段谁用管理手段实现的区别。无论何种手段,都需要同时尽量满足这两项要求,只强调最小特权忽视需知会造成工作不便甚至无法工作,即可用性问题;只强调需知而忽视最小特权会造成保密性或完整性问题,对安全都是不利的。不过不同的工作环境对两个要求的严格程度不同,同时严格满足两项要求一般会导致管理负担加重。


--------本帖迄今已累计获得33安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-11-17 15:32 
离线
中级用户

注册: 2010-03-25 15:18
最近: 2014-04-18 14:30
拥有: 3,618.00 安全币

奖励: 0 安全币
在线: 6777 点
帖子: 126
翻译问题而已,和least privilege是一对互释原则

精确的含义应当为 "仅知(执行工作)所必需(的信息)",但往往大家都把仅这个关键字给省略掉了

“必”表示信息表达的充分条件,“仅”表示信息限制的必要条件

当然了,英文里很多东西翻成中文就变味,比如网路设备接口控制有时会提到“administrative interface management”之类就完全没法翻

所以重要的概念还是用英文表述比较好


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-11-22 21:01 
离线
新手

注册: 2010-02-21 11:58
最近: 2011-03-17 11:02
拥有: 26.00 安全币

奖励: 0 安全币
在线: 6 点
帖子: 6
通俗的讲“need to know”就是你需要去了解和知道。在企业里面也总结为“与工作相关”,你所有需要的权限,首先是工作需要,否则,不会给你开放权限。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-12-13 22:15 
离线
中级用户

注册: 2010-01-07 07:07
最近: 2012-02-05 16:18
拥有: 547.00 安全币

奖励: 636 安全币
在线: 390 点
帖子: 127
need to know + least privilege = ideal control
但是实际上没有企业可以做到


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2010-12-13 22:43 
离线
超级用户

注册: 2009-03-09 22:30
最近: 2016-04-27 13:16
拥有: 7,501.00 安全币

奖励: 34250 安全币
在线: 2000 点
帖子: 313
学习了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2011-04-08 16:25 
离线
中级用户

关注按钮

注册: 2010-06-02 12:11
最近: 2017-09-29 13:53
拥有: 1,347.00 安全币

奖励: 2661 安全币
在线: 1200 点
帖子: 112
need to know 和least privilege
一个保证拥有必需的权限,能完成相应的工作
举个例子:HR部门需要知道所有部门人员的薪资和个人信息
另一个保证不存在权限过大可能引起的越权等方面的安全问题
举个例子:采购部门经理可能只有本部门人的个人信息和薪资情况


--------本帖迄今已累计获得8安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2011-04-08 19:02 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 3,982.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
举个例子:HR部门需要知道所有部门人员的薪资和个人信息
另一个保证不存在权限过大可能引起的越权等方面的安全问题


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2011-04-09 06:37 
离线
顶级用户

注册: 2010-02-26 10:11
最近: 2017-08-17 14:51
拥有: 3,982.00 安全币

奖励: 0 安全币
在线: 1811 点
帖子: 1159
need to know + least privilege = ideal control


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 谁知道何为“必需知道”原则?
帖子发表于 : 2011-04-20 14:39 
离线
初级用户

注册: 2008-10-16 11:22
最近: 2015-05-13 14:18
拥有: 134.20 安全币

奖励: 1 安全币
在线: 847 点
帖子: 52
地址: China
phrack 写道:
robinson 写道:
我有疑问
为何不是“必须知道”  而是 “必需知道”  ?


这是授权管理中的基本原则,与最小特权原则是一致的, 不过是另一个角度的表达。“最小特权”要求只能给被授权者工作所需的权限,多一点都不行;“需知原则”要求给被授权者工作工作所需的权限,少一点也不行。

这里翻译为“需”还是有道理的,对于被授权者来说,需要这些权限才能工作,是被授权者应该拥有的权利,不是其必须遵循的义务。不过也没有必要咬文嚼字,意思差不多。

我觉得需知和最小特权是授权管理基本原则从两个不同角度的描述,不存在谁用技术手段谁用管理手段实现的区别。无论何种手段,都需要同时尽量满足这两项要求,只强调最小特权忽视需知会造成工作不便甚至无法工作,即可用性问题;只强调需知而忽视最小特权会造成保密性或完整性问题,对安全都是不利的。不过不同的工作环境对两个要求的严格程度不同,同时严格满足两项要求一般会导致管理负担加重。


站长大人的回答真是入木三分。
我目前的CISSP学习是记忆阶段,要能提升到这种理解阶段,看来还有很长的路要走。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 13 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012