組織は機密文書をどこに保存しますか?彼らはどのように彼らを保護しますか?
組織は機密文書をどこに保存しますか?
彼らはどのように彼らを保護しますか?
各方法の長所と短所は何ですか? (一般的なものが複数ある場合)
[〜#〜] edit [〜#〜]:私は、組織がHR/Finance/IP ...などの機密文書を保存するために使用するアプリケーションまたはそれらが使用される何らかの方法について言及しています。それを保護します。
あなたは文書管理システムについて話している。通常、これらのシステムでは、ユーザーはドキュメントを保存し、ユーザーまたはグループレベルで読み取り/書き込みアクセスを委任できます。また、ユーザーがいつドキュメントにアクセスするかを監査することもできます。また、ドキュメントの編集とコピー、さらには印刷を制限する場合もあります(そのようなすべてのアクションの監査に加えて)。
単純なものから複雑なものまであります。基本的なNASとADグループポリシーを使用するものもあります。暗号化のレイヤーを追加するものもあります(フルディスク暗号化、TrueCrypt、その他)。
最後に、「エンタープライズ」システムがあります。これらには、ワークフローと公開管理、複雑なACL、およびドキュメントの保護とすべてのアクティビティのログ記録に関するオプションがあります。
XerosはDocuShare(http://docushare.xerox.com/と呼ばれるシステムを販売していますが、現在はCMSとして販売されています)。これはいくつかの国連組織が使用していることを私は知っています。 KnowledgeTree(https://www.knowledgetree.com/)もあります
これらは多くのうちの2つにすぎません。実際のビジネスニーズに応じたYMMV。これがお役に立てば幸いです。
どのような組織とどのようなドキュメントを保護していますか?スケーラビリティ、使いやすさ、理解、実施の観点から、どのようなソリューションを考えていますか?
アクセス制御モデルを参照している場合、 Bell-LaPadulaモデル は機密性そして以下を確実にすることによる機密情報へのアクセス:
- 読み取りなし:特定のセキュリティレベルから、より高いレベルで読み取ることはできません
- 書き留めない:特定のセキュリティレベルから、より低いセキュリティレベルで書き留めてはなりません
関連するもう1つのことは [〜#〜] mac [〜#〜] s(必須アクセス制御)に興味がある場合情報の整合性、 Biba モデルはそのためのものです(読み取りなし、書き込みなし)。
または、暗号化することもできます:)
私は大規模な銀行で働いていますが、実際には、主にパスワードを保持するためにCyber-Arkを使用しています。 EntrustベースのPKIがあり、ほとんどの場合、データを保護するためにPKIおよび一部のHSMと統合する社内アプリケーションを使用しています。一部の古いアプリケーションは、HSMによって生成された難読化された対称鍵を使用します。
これは開発者の観点からのものであり、財務情報や人事情報がどこに保存されているかはわかりません。