“來公司第一天,我在申請權限上花了一天的時間,和IT管理員打了十幾個電話,申請流程至今不知道到哪了......
來公司一個月了,我仍然不知道自己到底該申請什么權限。只有等工作需要來了,我又繼續(xù)申請相應的權限,和管理員“battle”一天......
在公司一年了,我至今也不清楚自己都有哪些權限?,F(xiàn)在調個崗,我又開始為新崗位的權限申請頭疼中......”
系統(tǒng)權限申請難、開通慢、不清楚該申請什么權限,一旦發(fā)生“入轉調離”變動,又將上演一場權限申請、開通、關閉的“兵荒馬亂”。
企業(yè)員工苦權限久矣!
當然,管理員同樣是有苦難言:
“企業(yè)系統(tǒng)多,人員數(shù)量大,用戶類型還復雜,常見的業(yè)務系統(tǒng)權限管理往往還不支持批量處理,維護用戶權限的工作量大。
員工提交的權限申請往往又描述不清,分析和確權工作就占了日常工作的大量時間。每天還要接幾十/上百個電話的咨詢和催促。有時候,沒辦法,只能盲批。
最頭疼的還有人員身份入-轉-調-離的變更。下游若干個系統(tǒng)權限變更工作龐雜,無法系統(tǒng)的查看每個員工都有哪些權限,變更過程中極易出錯。
這也是為什么員工權限申請難又慢的原因。”
01
權限管理兩難,安全風險暗藏
伴隨著上述權限申請與管理業(yè)務的不規(guī)范,企業(yè)用戶權限只增不減,權限持續(xù)放大。系統(tǒng)存在大量冗余角色,過期權限未及時回收,敏感權限、權限互斥等不合規(guī)情況持續(xù)累積。
系統(tǒng)使用越久,權限管理越紊亂。許多業(yè)務系統(tǒng)還缺乏權限審計和追溯能力,越權與數(shù)據(jù)泄露事件滋生。
這也是為什么近年來,因權限管理不當引發(fā)不合規(guī)現(xiàn)象時有發(fā)生;離職未清權、越權訪問引發(fā)的安全事件層出不窮,讓多少安全運營人員苦不堪言。
因此,如何結合實際業(yè)務運營管理要求與法律法規(guī),針對身份、賬號、權限管控過程中的問題風險點,改善分散的、不標準的、存在安全隱患的內外部各業(yè)務系統(tǒng)中的用戶權限管理現(xiàn)狀;
建立一套統(tǒng)一標準化、流程化、自動化、智能化的業(yè)務權限運營規(guī)范體系,成為許多企業(yè)組織的當務之急。
02
權限“收管治”,問題全搞定
派拉軟件權限“收管治”三步走權限治理方案,一站式解決上述員工、業(yè)務系統(tǒng)管理員、安全運營人員所有權限煩惱。
1
收:系統(tǒng)全面梳理應收盡收
權限治理第一步,多方調研論證,在充分了解業(yè)務權限、身份源、授權流程現(xiàn)狀及后續(xù)項目建設重點訴求的基礎上,采用多種方式,改變現(xiàn)有松散的權限管理體系,將下游業(yè)務系統(tǒng)分散化、各自為政的權限進行集中回收。
基于標準化權限模型的建立,實現(xiàn)各業(yè)務系統(tǒng)角色、菜單、數(shù)據(jù)級細粒度授權,形成符合當前業(yè)務需求的權限管理規(guī)范體系,實現(xiàn)權限管理的流程化、標準化和規(guī)范化。
基于派拉軟件對SAP、財務系統(tǒng)等大型核心系統(tǒng)對接回收經驗以及新應用快速對接能力,實現(xiàn)權限集中化、規(guī)范化管理,打造可持續(xù)運營優(yōu)化的業(yè)務權限分配與管理體系。
2
管:權限集中化規(guī)范化管理
針對普通員工權限服務管理上,借助平臺自助服務中心,員工可快速查看我的權限預覽、權限待辦、推薦權限、常用可申請權限、權限搜索、應用中心等。
若需新權限,可在線快速發(fā)起申請。申請流程按前期制定的規(guī)章制度,嚴格映射至線上流程,方便員工快速、自動化、流程化、規(guī)范化完成權限申請。
業(yè)務系統(tǒng)管理員接收申請后,可按照用戶角色、職責、屬性等情況,快速進行權限復制。平臺也會自動按照身份角色與屬性以及權限因子分析,基于相應權限模型,自動進行權限智能推薦,方便管理員安全、高效授權,解決用戶權限申請不規(guī)范、申請流程不清、需要反復申請等問題。
當出現(xiàn)人員狀態(tài)變化時,結合員工入轉調離全生命周期,基于最小權限分配原則,系統(tǒng)通過策略與授權模型,自動進行權限變更、清權、授權,及時回收原崗位權限,確保只有經過授權的用戶能夠獲得適當級別的權限,實現(xiàn)自動化、動態(tài)化、智能化的細粒度授權。
在業(yè)務權限管理上,依托權限管理平臺,管理員可快速對下游業(yè)務應用系統(tǒng)角色、菜單、甚至數(shù)據(jù)級權限進行集中回收、權限供應策略維護及多維度授權機制管理。
支持根據(jù)用戶、群組、崗位、組織架構、自定義組織、業(yè)務角色等維度,通過策略自動實現(xiàn)權限賦值,支持應用級、菜單級、功能級、數(shù)據(jù)級等多種細顆粒度權限授權能力。
根據(jù)企業(yè)實際業(yè)務需求,管理員還可在線自定義高敏權限,并針對敏感應用角色、敏感應用賬號、敏感應用資源、敏感應用組進行分類查看,可查看敏感權限詳情、權限動態(tài)、關聯(lián)人員等,確保核心業(yè)務系統(tǒng)權限安全可控。
3
治:權限稽核與可視化視圖
通過全局可視化應用/個人權限視圖、授權審計、權限變更審計、異常授權審計,安全運營人員可快速查看當前的權限情況,輔助分析審查其中的漏洞,對發(fā)現(xiàn)的違規(guī)情況進行追溯和分析。
此外,審計人員、安全運營人員可通過權限中臺建立合規(guī)審計規(guī)則,通過權限合規(guī)治理機制,結合策略動態(tài)進行權限互斥、權限合規(guī)檢測,識別權限申請-授權-變更-回收等環(huán)節(jié)中存在的各類不合規(guī)風險;
避免授權范圍過寬、授權操作過大、權限違反業(yè)務規(guī)則、過期權限等風險。結合主動提醒、拒絕授權、定期檢查等處理手段,實現(xiàn)權限業(yè)務全面規(guī)范、合規(guī)治理。
03
四類權限用戶,治理收效顯著
隨著企業(yè)權限“收管治”建設完成,企業(yè)四大用戶群體(普通用戶、業(yè)務運營人員、IT安全運營人員、經營管理者)在權限申請、管理、審計、安全等方面都得到了極大改善:
1
普通用戶:便捷權限申請與自服務
清晰了解自己申請的權限內容,根據(jù)工作需要,準確找到自己要申請的權限內容以及權限分配過程,減緩因權限不夠延誤工作任務事件發(fā)生;
集中、簡潔、快速的自助密碼修改與自助權限申請入口。根據(jù)崗位、職責、任務等維度進行不同粒度的權限自動化、流程化申請,及時掌握權限申請進程,自助進行流程查看、催辦;
權限大廳實時直觀掌握自身被賦予的各項權限以及敏感權限。
2
業(yè)務運營人員:權限管理靈活自動化
賬號集中、自動化開通、回收,人員“入轉調離”賬號同步調整,及時回收僵尸賬號、孤兒賬號等,提升賬號維護工作效率;
提供快速便捷的權限申請和管理入口,通過自動化流程進行權限申請的快速審批,批量授權給有需要的人員;
靈活根據(jù)崗位、組織部門、屬性和工作任務進行不同粒度權限的分配、回收和查詢;能清晰掌握系統(tǒng)自身權限分配情況,并實時掌握本業(yè)務系統(tǒng)人員權限分配以及訪問控制狀態(tài)。
3
IT安全運營人員:權限監(jiān)控與風險審計
下游敏感資源快速回收,并對敏感資源識別、監(jiān)控;識別授權階段角色互斥、授權范圍過寬、授權操作過大、過期權限、違反業(yè)務規(guī)則等風險;
針對訪問過程中,頻次異常、下載異常、水平越權訪問、垂直越權訪問、權限濫用、權限誤用等風險和違規(guī)行為進行審計、追溯、分析,事后提供全面的審計日志與報告;
借助可視化審計看板,對權限管理過程、角色權限分配進行分析和優(yōu)化,及時撤銷未被使用權限,實現(xiàn)賬號、權限優(yōu)化治理。
4
經營管理者:權限標準化可持續(xù)運營
建立一套標準的、適合的人員賬號、權限管理維護規(guī)范和流程,納入多方人員,實現(xiàn)身份、業(yè)務權限長期優(yōu)化運營;
通過角色梳理、權限模型梳理、權限規(guī)則制定、技術能力支撐等建設,支撐業(yè)務授權過程高效、平穩(wěn)、合規(guī);
將業(yè)務權限對下屬進行精細化臨時授權,提高業(yè)務處理效率和靈活性,通過分級管控查看下屬員工的權限/應用訪問情況。
數(shù)字時代,你的企業(yè)是時候來一場破釜沉舟的統(tǒng)一權限治理行動了!更多權限治理方案內容與細節(jié),歡迎掃碼在線咨詢。