KM系统的构建及安全考量 – 作者:softgirl

「知识只有透过有目的、有系统、有组织的学习,知识才会变成力量。」——彼得杜拉克

KM(Knowledge Management),是有系统的管理与运用企业的经营智能,透过信息技术加以存储和呈现,并作为企业营运的参考信息。比尔.盖兹在《数字神经系统一以思考的速度经营企业》中对知识管理的定义就是企业智商(Corporate IQ)。企业智商的高低,取决于企业能否广泛地分享与运用信息。

KM系统的构建,目的是化知识为力量并使其产生价值。而如何通过组织系统的学习方式,提升员工的附加价值与经验的累积,成为建立KM的基础。知识和经验的积累不是一蹴而就的,它需要一个比较漫长的过程,常规的发展路线及周期如下:

价值和经验的积累是基础,那么组织内赖以沟通、协调的管理制度与信息,就成为建立KM的关键核心。一般的KM系统结构图如下:

其中,KM系统可分为五基础三模块,五基础是指战略、业务、知识、员工和安全,三模块是指个人模块、团队模块和其他服务模块。整个KM是基于企业战略、业务价值、知识体系、员工成长和系统安全,围绕个人、团队和其他模块构建的完整平台。

在构建KM系统时,安全是必不可少的基础框架,包括管理手段和技术手段。

管理手段主要体现在安全协议和违规处罚。员工第一次跟KM接触的时候,就必须阅读并签订安全协议,安全协议需明确访问系统的安全要求,如禁止账号共享、禁止暴力破解、禁止恶意攻击、禁止转载外泄知识文档、禁止发布敏感言论、发现安全漏洞及时上报等,并明确违规的处罚措施。

先明确一点,KM一般为对内系统,仅限内网访问。本文也仅限于探讨KM系统的核心安全管控,常规的安全管控如漏洞管理、配置安全、WEB安全之类的,不在本文讨论范围内。在此基础上,我们的技术手段主要聚焦在权限管控、内容安全、数据安全、安全审计几方面。

一、权限管控:规避越权访问风险。KM系统有个人空间、有专题、有团队空间,如何设计权限才能保障用户的易用性和安全性呢?目前比较通用的方式是三层授权。第一层是基于角色的授权,比如你是外包、你是正式员工、你是海外员工等,会根据你的角色默认开通你的专栏板块(如外包专栏、行业趣闻、海外专区等)访问权限;第二层是基于团队授权,你有归属的团队,就可访问该团队的专栏或相关知识;第三层是基于需求授权,本来你是A团队,但是基于业务需求要开通B团队的专栏访问权限,走审理流程后进行按需授权。授权可细分,包括只读、只写、可读可写、可评论、不可评论、可转载、不能转载、可复制、不可复制等。

二、内容安全:规避敏感内容风险。内容安全指不能出现反党、色情、暴力等敏感内容。常规做法是提示警告和敏感词库。提示警告是指在发表文章、帖子或评论时,在下方进行告警提示“禁止提交反党、色情、暴力等敏感信息,否则按违规处理。”,敏感词库是使用开源或购买第三方的敏感词库进行过滤,一旦出现敏感词语则无法提交。

三、数据安全:规避数据泄露风险。规避员工将内部的信息转载到外部媒介,造成信息泄露。对于该类风险,首先要做好安全意识的宣传,在安全协议上写清楚要求;其次要做好权限管控,参考权限管控部分;最后做好日志审核,一旦发现外泄或非授权转载情况,按照违规情况进行处罚,并在内部公告。

四、安全审计:规避无法追责风险。KM系统的日志一定要做好保存和备份,如果资源允许可以进行业务分析和异常预警。如发现在广州办公的A在北京登陆了系统,可能账号出现异常,也可能是出差了;发现B突然在半夜2:00访问系统,账号可能存在异常,也可能是失眠;发现C在1小时内下载了500多份文件,行为异常等。如果资源不允许,日志可以用于安全事件的追查,明确是谁在什么时候做了什么。

前面一直说KM系统构成和安全,最后简单说一下系统的运营。优秀的KM系统,主要靠运营,只有吸引用户、让用户觉得对自己有价值,系统才会被大家认可并推广;认可并推广后,企业才会看到系统的价值,愿意投资源;有足够的资源后,KM才能持续运营并思考更多的可能性。

PS:以上内容纯属个人理解结合行业调研,旨在为有需要的人提供一些思路和想法,如有不妥,欢迎探讨交流。

*本文原创作者:softgirl,本文属于FreeBuf原创奖励计划,未经许可禁止转载

来源:freebuf.com 2020-02-10 10:00:30 by: softgirl

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论