1、最小化原則。受保護的敏感資訊只能在一定範圍內被共享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要。僅被授予其訪問資訊的適當許可權,稱為最小化原則。敏感資訊的。知情權”一定要加以限制,是在“滿足工作需要”前提下的一種限制性開放。可以將最小化原則細分為知所必須(need to know)和用所必須(need協峨)的原則。
2、分權制衡原則。在資訊系統中,對所有許可權應該進行適當地劃分,使每個授權主體只能擁有其中的一部分許可權,使他們之間相互制約、相互監督,共同保證資訊系統的安全。如果—個授權主體分配的許可權過大,無人監督和制約,就隱含了“濫用權力”、“一言九鼎”的安全隱患。
3、安全隔離原則。隔離和控制是實現資訊保安的基本方法,而隔離是進行控制的基礎。資訊保安的一個基本策略就是將資訊的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實施主體對客體的訪問。
1、最小化原則。受保護的敏感資訊只能在一定範圍內被共享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要。僅被授予其訪問資訊的適當許可權,稱為最小化原則。敏感資訊的。知情權”一定要加以限制,是在“滿足工作需要”前提下的一種限制性開放。可以將最小化原則細分為知所必須(need to know)和用所必須(need協峨)的原則。
2、分權制衡原則。在資訊系統中,對所有許可權應該進行適當地劃分,使每個授權主體只能擁有其中的一部分許可權,使他們之間相互制約、相互監督,共同保證資訊系統的安全。如果—個授權主體分配的許可權過大,無人監督和制約,就隱含了“濫用權力”、“一言九鼎”的安全隱患。
3、安全隔離原則。隔離和控制是實現資訊保安的基本方法,而隔離是進行控制的基礎。資訊保安的一個基本策略就是將資訊的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實施主體對客體的訪問。