前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >KM系统的构建及安全考量

KM系统的构建及安全考量

作者头像
FB客服
发布2020-02-20 15:25:56
1.8K0
发布2020-02-20 15:25:56
举报
文章被收录于专栏:FreeBuf

「知识只有透过有目的、有系统、有组织的学习,知识才会变成力量。」——彼得杜拉克

KM(Knowledge Management),是有系统的管理与运用企业的经营智能,透过信息技术加以存储和呈现,并作为企业营运的参考信息。比尔.盖兹在《数字神经系统一以思考的速度经营企业》中对知识管理的定义就是企业智商(Corporate IQ)。企业智商的高低,取决于企业能否广泛地分享与运用信息。

KM系统的构建,目的是化知识为力量并使其产生价值。而如何通过组织系统的学习方式,提升员工的附加价值与经验的累积,成为建立KM的基础。知识和经验的积累不是一蹴而就的,它需要一个比较漫长的过程,常规的发展路线及周期如下:

价值和经验的积累是基础,那么组织内赖以沟通、协调的管理制度与信息,就成为建立KM的关键核心。一般的KM系统结构图如下:

其中,KM系统可分为五基础三模块,五基础是指战略、业务、知识、员工和安全,三模块是指个人模块、团队模块和其他服务模块。整个KM是基于企业战略、业务价值、知识体系、员工成长和系统安全,围绕个人、团队和其他模块构建的完整平台。

在构建KM系统时,安全是必不可少的基础框架,包括管理手段和技术手段。

管理手段主要体现在安全协议和违规处罚。员工第一次跟KM接触的时候,就必须阅读并签订安全协议,安全协议需明确访问系统的安全要求,如禁止账号共享、禁止暴力破解、禁止恶意攻击、禁止转载外泄知识文档、禁止发布敏感言论、发现安全漏洞及时上报等,并明确违规的处罚措施。

先明确一点,KM一般为对内系统,仅限内网访问。本文也仅限于探讨KM系统的核心安全管控,常规的安全管控如漏洞管理、配置安全、WEB安全之类的,不在本文讨论范围内。在此基础上,我们的技术手段主要聚焦在权限管控、内容安全、数据安全、安全审计几方面。

一、权限管控:规避越权访问风险。KM系统有个人空间、有专题、有团队空间,如何设计权限才能保障用户的易用性和安全性呢?目前比较通用的方式是三层授权。第一层是基于角色的授权,比如你是外包、你是正式员工、你是海外员工等,会根据你的角色默认开通你的专栏板块(如外包专栏、行业趣闻、海外专区等)访问权限;第二层是基于团队授权,你有归属的团队,就可访问该团队的专栏或相关知识;第三层是基于需求授权,本来你是A团队,但是基于业务需求要开通B团队的专栏访问权限,走审理流程后进行按需授权。授权可细分,包括只读、只写、可读可写、可评论、不可评论、可转载、不能转载、可复制、不可复制等。

二、内容安全:规避敏感内容风险。内容安全指不能出现反党、色情、暴力等敏感内容。常规做法是提示警告和敏感词库。提示警告是指在发表文章、帖子或评论时,在下方进行告警提示“禁止提交反党、色情、暴力等敏感信息,否则按违规处理。”,敏感词库是使用开源或购买第三方的敏感词库进行过滤,一旦出现敏感词语则无法提交。

三、数据安全:规避数据泄露风险。规避员工将内部的信息转载到外部媒介,造成信息泄露。对于该类风险,首先要做好安全意识的宣传,在安全协议上写清楚要求;其次要做好权限管控,参考权限管控部分;最后做好日志审核,一旦发现外泄或非授权转载情况,按照违规情况进行处罚,并在内部公告。

四、安全审计:规避无法追责风险。KM系统的日志一定要做好保存和备份,如果资源允许可以进行业务分析和异常预警。如发现在广州办公的A在北京登陆了系统,可能账号出现异常,也可能是出差了;发现B突然在半夜2:00访问系统,账号可能存在异常,也可能是失眠;发现C在1小时内下载了500多份文件,行为异常等。如果资源不允许,日志可以用于安全事件的追查,明确是谁在什么时候做了什么。

前面一直说KM系统构成和安全,最后简单说一下系统的运营。优秀的KM系统,主要靠运营,只有吸引用户、让用户觉得对自己有价值,系统才会被大家认可并推广;认可并推广后,企业才会看到系统的价值,愿意投资源;有足够的资源后,KM才能持续运营并思考更多的可能性。

PS:以上内容纯属个人理解结合行业调研,旨在为有需要的人提供一些思路和想法,如有不妥,欢迎探讨交流。

*本文原创作者:softgirl,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-02-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
应用安全开发
应用安全开发(Application Security Development,下文中也叫 Xcheck)为您提供优质的代码分析服务。Xcheck 凭借优秀的算法和工程实现,能在极低的误报率和漏报率前提下,以极快的速度发现代码中存在的安全漏洞。Xcheck 采用私有化部署的模式,所以产品使用的整个生命周期,源码都不会流出公司网络,杜绝源码泄露风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档