公司刚招了两个新人,老板随手把财务系统账号密码发到群里:‘你们先用这个登录,改密码的事回头再说。’这种场景在中小公司太常见了。看着省事,其实是在给网络安全挖坑。
权限不是越多越好
很多人觉得,多给点权限方便干活,反正都是自己人。可现实是,销售员顺手导出客户名单卖给同行,离职员工删光项目文件泄愤,这类新闻并不少见。权限一旦放开,就很难收回。更麻烦的是,大多数人连自己有多少权限都说不清楚。
默认全开?风险就在那一瞬间
新员工入职,IT 小哥直接给个管理员账号,说‘你先用着,等流程走完再调整’。这一等可能就是几个月。这段时间里,这个人能访问服务器、数据库、人事档案,甚至能安装软件。一个小疏忽,整个内网都可能被拖下水。
最小权限原则才靠谱
每个岗位只需要完成工作必需的权限。会计不需要看研发代码,客服也不用访问合同原件。按角色分配权限,比如:
<role name="sales">
<permission>view_customers</permission>
<permission>create_orders</permission>
<permission exclude="true">export_data</permission>
</role>这样的配置虽然多花点时间,但能挡住大部分内部风险。
定期清理比补漏更重要
员工调岗、离职,权限往往跟着人走不动。张三从技术转去做行政,还留着数据库写入权限;李四已经离职三个月,账号居然还能登录VPN。每季度做一次权限审计,删掉不用的账号,关掉多余的权限,就像打扫卫生一样该成习惯。
用工具不难,关键是有人管
市面上有不少轻量级权限管理系统,几百块就能用起来。关键不是买多贵的软件,而是得有个人负责这事。可以是老板盯,也可以指定一个主管,定期检查谁有什么权限,有没有异常登录记录。没人管的系统,再好的功能也是摆设。