细粒度授权下的权限合规

• 缺少统一集中的权限合规策略，业务系统在运营过程中，无法有效的进行风险管理和风险监督；

• 无法满足对企业合规审计管理要求，导致企业安全管控要求不达标；

• 业务安全和合规安全两个方面，最小化授权的原则无法充分体现和控制；

• 核心与机密业务权限过大和失控，数据泄露的风险隐患巨大；

• 权限合规管理制度与流程体现不健全，无法做到 IT 运营的强有力的保障。

建立权限合规管理服务中心是企业进行权限合规检查、违规权限排查和合规审计追溯的技术手段，企业权限管理中心通过权责互斥矩阵和权限业务互斥规则，依据企业审计要求和内控制度，帮助用户分析发现权限管理中潜在的风险，快速有效的进行权限合规检查及风险识别，通过内置可配的合规模型进行应用权限的管理及日常维护，对例外权限进行补偿控制，规避权限管理风险。

针对用户进行权限互斥，通常包括角色、业务和管理互斥，不合格的权限允许但有预警，一旦发生互斥，其权限不能被授予。

SOD职责分离：基于角色的访问控制中通过实现不同的职责分离原则来达到不同的安全策略。在RBAC模型中，利用角色冲突实现职责分离，包括静态职责分离、动态职责分离、操作职责分离、历史职责分离。角色冲突的程度与权限冲突有一定的关系，权限在角色之间共享的程度影响角色冲突的程度，由此可以实现权责分离的合规互斥和业务安全状态监管。

业务合规模型：根据企业业务管理特性具备的合理权限与详细要求，如企业中的出纳和会计需要设置不同的岗位，核心采购岗位与费用中心岗位需要进行严格的业务要求。

• 通过合规审计能力，快速有效实现权限合规检查及风险识别审计；

• 落实符合企业信息安全合规要求，实现企业的风险管控要求与指标；

• 基于合规要求，建立权限合规审查与流程机制，形成安全体系架构；

• 通过实现权限合规深度能力，帮助企业实现和推动数字化转型。