公司网络权限管理 🕹
🔔
基于最小必要原则的内网权限架构与管控实践
一、核心管理原则
📌
1. 最小必要原则
权限与岗位职责严格匹配,仅开放业务必需资源。
2. 权限分级管控
按角色划分6大权限等级(基础员工、专业岗、管理岗、运维岗、敏感岗、临时岗)。
3. 动态审计机制
所有操作留痕,异常行为实时告警,定期生成审计报告。
4. 变更闭环管理
权限申请/变更需经“部门负责人OA审批→支撑组审核”双流程。
二、权限架构分级说明(按角色分类)
📍
基础员工层
| 角色 | 权限范围 |
|---|---|
| 生产/方案/审核/负责人 | Teamones系统(查看/提交个人数据、流程审批)、部门共享文件夹(本部门非敏感文档,只读/有限编辑)、业务共享文件夹(本人岗位相关模块) |
| 人事行政专员 | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹、招聘白名单(BOSS直聘等)、企业网盘、钉钉/微信权限 |
| 财务专员 | 普通员工基础权限+财务系统(账务录入/凭证审核/税务申报/薪资核算/资金支付发起)、财务加密文件夹(记账凭证/税务报表等) |
| 导演组(执行导演) | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹、R盘(成片存储+本人项目素材调用) |
| 剪辑/环节制片/生产制片 | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹、R盘(成片素材)、项目前期资料交互路径 |
专业创作层
| 角色 | 权限范围 |
|---|---|
| 美术组 | 内网前期资料交互路径+授权外网 |
| 创意组 | 内网前期资料交互路径+授权外网 |
| 内容组 | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹、R盘(成片存储+本人项目素材调用) |
| AI人员 | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹、AI神创系统 |
运维层
| 角色 | 权限范围 | 高级管控规则 |
|---|---|---|
| 网络/服务器运维小组 | 内网交换机/防火墙后台(配置查看+基础故障排查)、服务器机房(物理巡检)、终端管理系统(远程协助+软件安装)、审计日志系统(查看/分析/异常) | 核心配置修改(如交换机ACL)需双人复核(IT经理+运维组长)、禁止查看业务数据、操作全程留痕+24小时审计报告、机房出入登记 |
| 网络安全运维小组 | 内网接入交换机分析/防火墙基础权限、服务器机房(物理巡检)、终端管理系统、审计日志系统、钉钉(仅聊天) | 仅允许登录接入交换机(查看MAC对应VLAN)、防火墙仅开通配置管理员权限(部分只读)、仅维护SCM项目服务器、禁止登录百度网盘私人账号 |
| 日常运维小组 | 基础运维权限、服务器机房(物理巡检)、终端管理系统、审计日志系统、钉钉(仅聊天) | 禁止Telnet/SSH登录交换机、禁止修改防火墙策略/VSAN集群配置、禁止登录百度网盘私人账号、NAS文件管理员权限(可分配生产权限) |
敏感管控层
| 角色 | 权限范围 |
|---|---|
| 临时访客(外包) | 按外援所在部门分配对应生产权限 |
| 商务 | 总部商务访问分公司商务盘、部门共享文件夹、办公终端、业务共享文件夹、微信/QQ |
| 品宣 | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹 |
技术开发层
| 角色 | 权限范围 |
|---|---|
| TD/UE/TO开发 | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹、工作白名单(Git/博思白板/Maya/UE官方等) |
| 标准组 | Teamones系统、部门共享文件夹、办公终端、业务共享文件夹、部门内部文件路径其他组只读权限 |
三、关键管控机制
1. 权限申请与变更流程
2. 审计与监控体系
| 审计类型 | 监控内容 | 告警规则 |
|---|---|---|
| 操作审计 | 核心设备配置变更、敏感数据访问、权限变更流程 | 实时告警+24小时生成审计报告 |
| 双网行为审计 | 内网素材修改/导出/原稿调取、外网URL访问 | 异常行为(如私传素材)立即告警 |
| 远程软件审计 | 向日葵/ToDesk文件传输记录、剪贴板操作 | 拦截未授权数据传输 |
| 内网存储审计 | P/M盘访问尝试行为(拦截并留存日志) | 记录违规请求 |
3. 物理与环境安全
● 机房管理:出入登记制度,非IT运维人员须上报审批后登记进入。
● 终端安全:禁止修改IP/MAC地址,部署IPguard监控HTTP/HTTPS行为
四、权限整改成果(2025年)
🏷
1. 钉钉权限规范化
| 权限类型 | 整改前问题 | 整改后措施 |
|---|---|---|
| 上传下载权限 | 全员默认开放 | 仅总监/制片/组长开放,其他角色仅聊天权限(可查看图片/视频/文档,无上传下载) |
| 外包权限 | 无差异化管控 | 外包账号禁用文件传输,单次传输≤100MB且需标注“内部协作专用”+加水印 |
| 分公司权限 | 四地权限混乱(武汉/苏州/成都/广州) | 武汉/苏州/成都新增IPguard授权(共45节点),广州维持原状;按部门分配权限 |
2. 敏感数据保护升级
● 财务/人事数据:隔离(M/P盘)、薪资核算独立审批(财务专员负责,人事仅提供考勤/工龄数据)。
● AI研发数据:P/M盘只读权限,HTTPS操作全程留痕(AI人员)。
3. 技术工具部署
● IPguard部署:长沙(170节点,无需新增)、武汉(25节点)、苏州(15节点)、成都(5节点)、广州(5节点,无需新增),共新增45节点
● 百度网盘管控:企业账号加密分享(链接限1人+3天有效期),违规罚款20元/次,由标准组审计。
五、后续优化计划
1. 季度权限审计
每季度核查权限冗余,清理离职/转岗人员权限。