En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>IAM(身份與訪問控制)> 權(quán)限申請(qǐng)難、開通慢、管理難、風(fēng)險(xiǎn)大......逼瘋了多少人

權(quán)限申請(qǐng)難、開通慢、管理難、風(fēng)險(xiǎn)大......逼瘋了多少人

文章

2024-09-19瀏覽次數(shù):139

“來公司第一天,我在申請(qǐng)權(quán)限上花了一天的時(shí)間,和IT管理員打了十幾個(gè)電話,申請(qǐng)流程至今不知道到哪了......

 

來公司一個(gè)月了,我仍然不知道自己到底該申請(qǐng)什么權(quán)限。只有等工作需要來了,我又繼續(xù)申請(qǐng)相應(yīng)的權(quán)限,和管理員“battle”一天......

 

在公司一年了,我至今也不清楚自己都有哪些權(quán)限?,F(xiàn)在調(diào)個(gè)崗,我又開始為新崗位的權(quán)限申請(qǐng)頭疼中......”

 

系統(tǒng)權(quán)限申請(qǐng)難、開通慢、不清楚該申請(qǐng)什么權(quán)限,一旦發(fā)生“入轉(zhuǎn)調(diào)離”變動(dòng),又將上演一場權(quán)限申請(qǐng)、開通、關(guān)閉的“兵荒馬亂”。

 

企業(yè)員工苦權(quán)限久矣!

 

當(dāng)然,管理員同樣是有苦難言:

 

“企業(yè)系統(tǒng)多,人員數(shù)量大,用戶類型還復(fù)雜,常見的業(yè)務(wù)系統(tǒng)權(quán)限管理往往還不支持批量處理,維護(hù)用戶權(quán)限的工作量大。

 

員工提交的權(quán)限申請(qǐng)往往又描述不清,分析和確權(quán)工作就占了日常工作的大量時(shí)間。每天還要接幾十/上百個(gè)電話的咨詢和催促。有時(shí)候,沒辦法,只能盲批。

 

最頭疼的還有人員身份入-轉(zhuǎn)-調(diào)-離的變更。下游若干個(gè)系統(tǒng)權(quán)限變更工作龐雜,無法系統(tǒng)的查看每個(gè)員工都有哪些權(quán)限,變更過程中極易出錯(cuò)。

 

這也是為什么員工權(quán)限申請(qǐng)難又慢的原因。”

 

 

 

01

權(quán)限管理兩難,安全風(fēng)險(xiǎn)暗藏

 

伴隨著上述權(quán)限申請(qǐng)與管理業(yè)務(wù)的不規(guī)范,企業(yè)用戶權(quán)限只增不減,權(quán)限持續(xù)放大。系統(tǒng)存在大量冗余角色,過期權(quán)限未及時(shí)回收,敏感權(quán)限、權(quán)限互斥等不合規(guī)情況持續(xù)累積。

 

系統(tǒng)使用越久,權(quán)限管理越紊亂。許多業(yè)務(wù)系統(tǒng)還缺乏權(quán)限審計(jì)和追溯能力,越權(quán)與數(shù)據(jù)泄露事件滋生。

 

這也是為什么近年來,因權(quán)限管理不當(dāng)引發(fā)不合規(guī)現(xiàn)象時(shí)有發(fā)生;離職未清權(quán)、越權(quán)訪問引發(fā)的安全事件層出不窮,讓多少安全運(yùn)營人員苦不堪言。

 

因此,如何結(jié)合實(shí)際業(yè)務(wù)運(yùn)營管理要求與法律法規(guī),針對(duì)身份、賬號(hào)、權(quán)限管控過程中的問題風(fēng)險(xiǎn)點(diǎn),改善分散的、不標(biāo)準(zhǔn)的、存在安全隱患的內(nèi)外部各業(yè)務(wù)系統(tǒng)中的用戶權(quán)限管理現(xiàn)狀;

 

建立一套統(tǒng)一標(biāo)準(zhǔn)化、流程化、自動(dòng)化、智能化的業(yè)務(wù)權(quán)限運(yùn)營規(guī)范體系,成為許多企業(yè)組織的當(dāng)務(wù)之急。

 

 

 

 

 

02

權(quán)限“收管治”,問題全搞定

 

派拉軟件權(quán)限“收管治”三步走權(quán)限治理方案,一站式解決上述員工、業(yè)務(wù)系統(tǒng)管理員、安全運(yùn)營人員所有權(quán)限煩惱。

 

圖片

 

1

圖片

收:系統(tǒng)全面梳理應(yīng)收盡收

 

權(quán)限治理第一步,多方調(diào)研論證,在充分了解業(yè)務(wù)權(quán)限、身份源、授權(quán)流程現(xiàn)狀及后續(xù)項(xiàng)目建設(shè)重點(diǎn)訴求的基礎(chǔ)上,采用多種方式,改變現(xiàn)有松散的權(quán)限管理體系,將下游業(yè)務(wù)系統(tǒng)分散化、各自為政的權(quán)限進(jìn)行集中回收。

 

圖片

 

基于標(biāo)準(zhǔn)化權(quán)限模型的建立,實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)角色、菜單、數(shù)據(jù)級(jí)細(xì)粒度授權(quán),形成符合當(dāng)前業(yè)務(wù)需求的權(quán)限管理規(guī)范體系,實(shí)現(xiàn)權(quán)限管理的流程化、標(biāo)準(zhǔn)化和規(guī)范化。

 

基于派拉軟件對(duì)SAP、財(cái)務(wù)系統(tǒng)等大型核心系統(tǒng)對(duì)接回收經(jīng)驗(yàn)以及新應(yīng)用快速對(duì)接能力,實(shí)現(xiàn)權(quán)限集中化、規(guī)范化管理,打造可持續(xù)運(yùn)營優(yōu)化的業(yè)務(wù)權(quán)限分配與管理體系。

 

2

圖片

管:權(quán)限集中化規(guī)范化管理

 

針對(duì)普通員工權(quán)限服務(wù)管理上,借助平臺(tái)自助服務(wù)中心,員工可快速查看我的權(quán)限預(yù)覽、權(quán)限待辦、推薦權(quán)限、常用可申請(qǐng)權(quán)限、權(quán)限搜索、應(yīng)用中心等。

 

若需新權(quán)限,可在線快速發(fā)起申請(qǐng)。申請(qǐng)流程按前期制定的規(guī)章制度,嚴(yán)格映射至線上流程,方便員工快速、自動(dòng)化、流程化、規(guī)范化完成權(quán)限申請(qǐng)。

 

圖片

 

業(yè)務(wù)系統(tǒng)管理員接收申請(qǐng)后,可按照用戶角色、職責(zé)、屬性等情況,快速進(jìn)行權(quán)限復(fù)制。平臺(tái)也會(huì)自動(dòng)按照身份角色與屬性以及權(quán)限因子分析,基于相應(yīng)權(quán)限模型,自動(dòng)進(jìn)行權(quán)限智能推薦,方便管理員安全、高效授權(quán),解決用戶權(quán)限申請(qǐng)不規(guī)范、申請(qǐng)流程不清、需要反復(fù)申請(qǐng)等問題。

 

當(dāng)出現(xiàn)人員狀態(tài)變化時(shí),結(jié)合員工入轉(zhuǎn)調(diào)離全生命周期,基于最小權(quán)限分配原則,系統(tǒng)通過策略與授權(quán)模型,自動(dòng)進(jìn)行權(quán)限變更、清權(quán)、授權(quán),及時(shí)回收原崗位權(quán)限,確保只有經(jīng)過授權(quán)的用戶能夠獲得適當(dāng)級(jí)別的權(quán)限,實(shí)現(xiàn)自動(dòng)化、動(dòng)態(tài)化、智能化的細(xì)粒度授權(quán)。

 

圖片

 

在業(yè)務(wù)權(quán)限管理上,依托權(quán)限管理平臺(tái),管理員可快速對(duì)下游業(yè)務(wù)應(yīng)用系統(tǒng)角色、菜單、甚至數(shù)據(jù)級(jí)權(quán)限進(jìn)行集中回收、權(quán)限供應(yīng)策略維護(hù)及多維度授權(quán)機(jī)制管理。

 

支持根據(jù)用戶、群組、崗位、組織架構(gòu)、自定義組織、業(yè)務(wù)角色等維度,通過策略自動(dòng)實(shí)現(xiàn)權(quán)限賦值,支持應(yīng)用級(jí)、菜單級(jí)、功能級(jí)、數(shù)據(jù)級(jí)等多種細(xì)顆粒度權(quán)限授權(quán)能力。

 

圖片

 

根據(jù)企業(yè)實(shí)際業(yè)務(wù)需求,管理員還可在線自定義高敏權(quán)限,并針對(duì)敏感應(yīng)用角色、敏感應(yīng)用賬號(hào)、敏感應(yīng)用資源、敏感應(yīng)用組進(jìn)行分類查看,可查看敏感權(quán)限詳情、權(quán)限動(dòng)態(tài)、關(guān)聯(lián)人員等,確保核心業(yè)務(wù)系統(tǒng)權(quán)限安全可控。

 

3

圖片

治:權(quán)限稽核與可視化視圖

 

通過全局可視化應(yīng)用/個(gè)人權(quán)限視圖、授權(quán)審計(jì)、權(quán)限變更審計(jì)、異常授權(quán)審計(jì),安全運(yùn)營人員可快速查看當(dāng)前的權(quán)限情況,輔助分析審查其中的漏洞,對(duì)發(fā)現(xiàn)的違規(guī)情況進(jìn)行追溯和分析。

 

圖片

 

此外,審計(jì)人員、安全運(yùn)營人員可通過權(quán)限中臺(tái)建立合規(guī)審計(jì)規(guī)則,通過權(quán)限合規(guī)治理機(jī)制,結(jié)合策略動(dòng)態(tài)進(jìn)行權(quán)限互斥、權(quán)限合規(guī)檢測,識(shí)別權(quán)限申請(qǐng)-授權(quán)-變更-回收等環(huán)節(jié)中存在的各類不合規(guī)風(fēng)險(xiǎn);

 

避免授權(quán)范圍過寬、授權(quán)操作過大、權(quán)限違反業(yè)務(wù)規(guī)則、過期權(quán)限等風(fēng)險(xiǎn)。結(jié)合主動(dòng)提醒、拒絕授權(quán)、定期檢查等處理手段,實(shí)現(xiàn)權(quán)限業(yè)務(wù)全面規(guī)范、合規(guī)治理。

 

 

 

03

四類權(quán)限用戶,治理收效顯著

 

隨著企業(yè)權(quán)限“收管治”建設(shè)完成,企業(yè)四大用戶群體(普通用戶、業(yè)務(wù)運(yùn)營人員、IT安全運(yùn)營人員、經(jīng)營管理者)在權(quán)限申請(qǐng)、管理、審計(jì)、安全等方面都得到了極大改善:

 

1

圖片

普通用戶:便捷權(quán)限申請(qǐng)與自服務(wù)

 

清晰了解自己申請(qǐng)的權(quán)限內(nèi)容,根據(jù)工作需要,準(zhǔn)確找到自己要申請(qǐng)的權(quán)限內(nèi)容以及權(quán)限分配過程,減緩因權(quán)限不夠延誤工作任務(wù)事件發(fā)生;

集中、簡潔、快速的自助密碼修改與自助權(quán)限申請(qǐng)入口。根據(jù)崗位、職責(zé)、任務(wù)等維度進(jìn)行不同粒度的權(quán)限自動(dòng)化、流程化申請(qǐng),及時(shí)掌握權(quán)限申請(qǐng)進(jìn)程,自助進(jìn)行流程查看、催辦;

權(quán)限大廳實(shí)時(shí)直觀掌握自身被賦予的各項(xiàng)權(quán)限以及敏感權(quán)限。

 

2

圖片

業(yè)務(wù)運(yùn)營人員:權(quán)限管理靈活自動(dòng)化

 

賬號(hào)集中、自動(dòng)化開通、回收,人員“入轉(zhuǎn)調(diào)離”賬號(hào)同步調(diào)整,及時(shí)回收僵尸賬號(hào)、孤兒賬號(hào)等,提升賬號(hào)維護(hù)工作效率;

提供快速便捷的權(quán)限申請(qǐng)和管理入口,通過自動(dòng)化流程進(jìn)行權(quán)限申請(qǐng)的快速審批,批量授權(quán)給有需要的人員;

靈活根據(jù)崗位、組織部門、屬性和工作任務(wù)進(jìn)行不同粒度權(quán)限的分配、回收和查詢;能清晰掌握系統(tǒng)自身權(quán)限分配情況,并實(shí)時(shí)掌握本業(yè)務(wù)系統(tǒng)人員權(quán)限分配以及訪問控制狀態(tài)。

 

3

圖片

IT安全運(yùn)營人員:權(quán)限監(jiān)控與風(fēng)險(xiǎn)審計(jì)

 

下游敏感資源快速回收,并對(duì)敏感資源識(shí)別、監(jiān)控;識(shí)別授權(quán)階段角色互斥、授權(quán)范圍過寬、授權(quán)操作過大、過期權(quán)限、違反業(yè)務(wù)規(guī)則等風(fēng)險(xiǎn);

針對(duì)訪問過程中,頻次異常、下載異常、水平越權(quán)訪問、垂直越權(quán)訪問、權(quán)限濫用、權(quán)限誤用等風(fēng)險(xiǎn)和違規(guī)行為進(jìn)行審計(jì)、追溯、分析,事后提供全面的審計(jì)日志與報(bào)告;

借助可視化審計(jì)看板,對(duì)權(quán)限管理過程、角色權(quán)限分配進(jìn)行分析和優(yōu)化,及時(shí)撤銷未被使用權(quán)限,實(shí)現(xiàn)賬號(hào)、權(quán)限優(yōu)化治理。

 

4

圖片

經(jīng)營管理者:權(quán)限標(biāo)準(zhǔn)化可持續(xù)運(yùn)營

 

建立一套標(biāo)準(zhǔn)的、適合的人員賬號(hào)、權(quán)限管理維護(hù)規(guī)范和流程,納入多方人員,實(shí)現(xiàn)身份、業(yè)務(wù)權(quán)限長期優(yōu)化運(yùn)營;

通過角色梳理、權(quán)限模型梳理、權(quán)限規(guī)則制定、技術(shù)能力支撐等建設(shè),支撐業(yè)務(wù)授權(quán)過程高效、平穩(wěn)、合規(guī);

將業(yè)務(wù)權(quán)限對(duì)下屬進(jìn)行精細(xì)化臨時(shí)授權(quán),提高業(yè)務(wù)處理效率和靈活性,通過分級(jí)管控查看下屬員工的權(quán)限/應(yīng)用訪問情況。

 

數(shù)字時(shí)代,你的企業(yè)是時(shí)候來一場破釜沉舟的統(tǒng)一權(quán)限治理行動(dòng)了!更多權(quán)限治理方案內(nèi)容與細(xì)節(jié),歡迎掃碼在線咨詢。