“来公司第一天,我在申请权限上花了一天的时间,和IT管理员打了十几个电话,申请流程至今不知道到哪了......
来公司一个月了,我仍然不知道自己到底该申请什么权限。只有等工作需要来了,我又继续申请相应的权限,和管理员“battle”一天......
在公司一年了,我至今也不清楚自己都有哪些权限。现在调个岗,我又开始为新岗位的权限申请头疼中......”
系统权限申请难、开通慢、不清楚该申请什么权限,一旦发生“入转调离”变动,又将上演一场权限申请、开通、关闭的“兵荒马乱”。
企业员工苦权限久矣!
当然,管理员同样是有苦难言:
“企业系统多,人员数量大,用户类型还复杂,常见的业务系统权限管理往往还不支持批量处理,维护用户权限的工作量大。
员工提交的权限申请往往又描述不清,分析和确权工作就占了日常工作的大量时间。每天还要接几十/上百个电话的咨询和催促。有时候,没办法,只能盲批。
最头疼的还有人员身份入-转-调-离的变更。下游若干个系统权限变更工作庞杂,无法系统的查看每个员工都有哪些权限,变更过程中极易出错。
这也是为什么员工权限申请难又慢的原因。”
01
权限管理两难,安全风险暗藏
伴随着上述权限申请与管理业务的不规范,企业用户权限只增不减,权限持续放大。系统存在大量冗余角色,过期权限未及时回收,敏感权限、权限互斥等不合规情况持续累积。
系统使用越久,权限管理越紊乱。许多业务系统还缺乏权限审计和追溯能力,越权与数据泄露事件滋生。
这也是为什么近年来,因权限管理不当引发不合规现象时有发生;离职未清权、越权访问引发的安全事件层出不穷,让多少安全运营人员苦不堪言。
因此,如何结合实际业务运营管理要求与法律法规,针对身份、账号、权限管控过程中的问题风险点,改善分散的、不标准的、存在安全隐患的内外部各业务系统中的用户权限管理现状;
建立一套统一标准化、流程化、自动化、智能化的业务权限运营规范体系,成为许多企业组织的当务之急。
02
权限“收管治”,问题全搞定
派拉软件权限“收管治”三步走权限治理方案,一站式解决上述员工、业务系统管理员、安全运营人员所有权限烦恼。
.png)
1
收:系统全面梳理应收尽收
权限治理第一步,多方调研论证,在充分了解业务权限、身份源、授权流程现状及后续项目建设重点诉求的基础上,采用多种方式,改变现有松散的权限管理体系,将下游业务系统分散化、各自为政的权限进行集中回收。
.png)
基于标准化权限模型的建立,实现各业务系统角色、菜单、数据级细粒度授权,形成符合当前业务需求的权限管理规范体系,实现权限管理的流程化、标准化和规范化。
基于派拉软件对SAP、财务系统等大型核心系统对接回收经验以及新应用快速对接能力,实现权限集中化、规范化管理,打造可持续运营优化的业务权限分配与管理体系。
2
管:权限集中化规范化管理
针对普通员工权限服务管理上,借助平台自助服务中心,员工可快速查看我的权限预览、权限待办、推荐权限、常用可申请权限、权限搜索、应用中心等。
若需新权限,可在线快速发起申请。申请流程按前期制定的规章制度,严格映射至线上流程,方便员工快速、自动化、流程化、规范化完成权限申请。
.png)
业务系统管理员接收申请后,可按照用户角色、职责、属性等情况,快速进行权限复制。平台也会自动按照身份角色与属性以及权限因子分析,基于相应权限模型,自动进行权限智能推荐,方便管理员安全、高效授权,解决用户权限申请不规范、申请流程不清、需要反复申请等问题。
当出现人员状态变化时,结合员工入转调离全生命周期,基于最小权限分配原则,系统通过策略与授权模型,自动进行权限变更、清权、授权,及时回收原岗位权限,确保只有经过授权的用户能够获得适当级别的权限,实现自动化、动态化、智能化的细粒度授权。
.png)
在业务权限管理上,依托权限管理平台,管理员可快速对下游业务应用系统角色、菜单、甚至数据级权限进行集中回收、权限供应策略维护及多维度授权机制管理。
支持根据用户、群组、岗位、组织架构、自定义组织、业务角色等维度,通过策略自动实现权限赋值,支持应用级、菜单级、功能级、数据级等多种细颗粒度权限授权能力。
.png)
根据企业实际业务需求,管理员还可在线自定义高敏权限,并针对敏感应用角色、敏感应用账号、敏感应用资源、敏感应用组进行分类查看,可查看敏感权限详情、权限动态、关联人员等,确保核心业务系统权限安全可控。
3
治:权限稽核与可视化视图
通过全局可视化应用/个人权限视图、授权审计、权限变更审计、异常授权审计,安全运营人员可快速查看当前的权限情况,辅助分析审查其中的漏洞,对发现的违规情况进行追溯和分析。
.png)
此外,审计人员、安全运营人员可通过权限中台建立合规审计规则,通过权限合规治理机制,结合策略动态进行权限互斥、权限合规检测,识别权限申请-授权-变更-回收等环节中存在的各类不合规风险;
避免授权范围过宽、授权操作过大、权限违反业务规则、过期权限等风险。结合主动提醒、拒绝授权、定期检查等处理手段,实现权限业务全面规范、合规治理。
03
四类权限用户,治理收效显著
随着企业权限“收管治”建设完成,企业四大用户群体(普通用户、业务运营人员、IT安全运营人员、经营管理者)在权限申请、管理、审计、安全等方面都得到了极大改善:
1
普通用户:便捷权限申请与自服务
清晰了解自己申请的权限内容,根据工作需要,准确找到自己要申请的权限内容以及权限分配过程,减缓因权限不够延误工作任务事件发生;
集中、简洁、快速的自助密码修改与自助权限申请入口。根据岗位、职责、任务等维度进行不同粒度的权限自动化、流程化申请,及时掌握权限申请进程,自助进行流程查看、催办;
权限大厅实时直观掌握自身被赋予的各项权限以及敏感权限。
2
业务运营人员:权限管理灵活自动化
账号集中、自动化开通、回收,人员“入转调离”账号同步调整,及时回收僵尸账号、孤儿账号等,提升账号维护工作效率;
提供快速便捷的权限申请和管理入口,通过自动化流程进行权限申请的快速审批,批量授权给有需要的人员;
灵活根据岗位、组织部门、属性和工作任务进行不同粒度权限的分配、回收和查询;能清晰掌握系统自身权限分配情况,并实时掌握本业务系统人员权限分配以及访问控制状态。
3
IT安全运营人员:权限监控与风险审计
下游敏感资源快速回收,并对敏感资源识别、监控;识别授权阶段角色互斥、授权范围过宽、授权操作过大、过期权限、违反业务规则等风险;
针对访问过程中,频次异常、下载异常、水平越权访问、垂直越权访问、权限滥用、权限误用等风险和违规行为进行审计、追溯、分析,事后提供全面的审计日志与报告;
借助可视化审计看板,对权限管理过程、角色权限分配进行分析和优化,及时撤销未被使用权限,实现账号、权限优化治理。
4
经营管理者:权限标准化可持续运营
建立一套标准的、适合的人员账号、权限管理维护规范和流程,纳入多方人员,实现身份、业务权限长期优化运营;
通过角色梳理、权限模型梳理、权限规则制定、技术能力支撑等建设,支撑业务授权过程高效、平稳、合规;
将业务权限对下属进行精细化临时授权,提高业务处理效率和灵活性,通过分级管控查看下属员工的权限/应用访问情况。
数字时代,你的企业是时候来一场破釜沉舟的统一权限治理行动了!更多权限治理方案内容与细节,欢迎扫码在线咨询。
7*24小时服务
专属安全顾问
Gartner推荐
IDC创新者
权威安全认证© 2021 Paraview Software. All rights reserved. 沪ICP备13029541号-1 
沪公网安备 31011502012922号
员工身份与访问控制eIAM
客户身份与访问控制cIAM
云身份治理IDaaS
智能身份认证IDA
细粒度权限管理xBAC
API安全网关API-SGW
API安全监测API-SD
API管理平台APIM
ESB 企业服务总线
特权访问管理PAM
数据库访问管理CQ
数据治理平台PDMP
一体化零信任
运维安全
数据安全治理
远程办公安全
国产化替代
企业合规管控
数字化集成平台
数字化员工门户
热门文章
