最小权限原则
最小权限作为控制系统:访问、审批与审计证据。
已发布:
Admin User
published
最小权限原则
最小权限原则通过仅授予执行任务所需的访问权限来降低风险。
在企业系统中,它必须与审批和审计证据相结合。
另请参阅
访问与身份(操作手册) 审计就绪 密钥管理常见问题
什么是最小权限原则?
仅授予执行任务所需的访问权限,且仅在所需时间内授予。
审批如何融入其中?
高风险访问应要求明确的审批并记录以供审计。
常见的反模式是什么?
共享账户或未经审查的永久性提升权限。
我们如何衡量进展?
跟踪特权访问事件、完成的审查以及常设权限的减少。
第一个改进是什么?
清点特权角色并移除未使用的访问权限;引入有时限的权限提升。