。

为了满足身份管理法规要求并管理风险#xff0c;企业必须清点、分析和管理用户的访问权限。

如今#xff0c;越来越多的员工采用移动设备进行…

随着各领域加快向数字化、移动化、互联网化的发展企业信息环境变得庞大复杂身份和权限管理面临巨大的挑战。

为了满足身份管理法规要求并管理风险企业必须清点、分析和管理用户的访问权限。

如今越来越多的员工采用移动设备进行工作企业数据与个人应用程序共享同一设备空间导致关键数据的所有权变得模糊不清。

企业需要采取更加综合和创新的安全措施以确保数据中心内部的资源和信息受到充分的保护。

谁具有特定数据的访问权限您的企业是否实现了对员工权限的有效管理

01.权限管理四大难题

人员入转调离后账号和权限无法自动更新状态容易造成账号泄密并且企业内部无审计日志账号操作也无法追溯。

当企业的员工规模庞大且员工流动率较高时传统的手动权限管理往往变得异常繁琐且低效导致权限漏洞和错误配置。

随着企业规模的扩大系统的功能权限、附加权限、菜单权限等甚至下沉到业务本身针对相同员工在不同系统内的角色划分、业务责任也不尽相同。

运营人员需要投入更多的时间和精力来管理权限极大降低了工作效率。

管理难

由于业务架构、技术能力、区域法规等多种客观因素的差异各子公司基于自身业务架构和管理需求独立建设数字化体系不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同。

随着企业业务的不断扩展和复杂化涉及资源共建共享和跨部门协同协作等用户的角色和资源授权关系复杂且常常发生变化企业管理员对各个系统的使用情况难以把控容易造成数据安全隐患。

传统权限管理方法无法实现细粒度的权限授予缺乏统一的权限实体难以贴合业务现况。

审计难

号令第三十二条明确提出关于账号管理“最少功能、最小权限分配原则”和“对信息系统权限的定期检查与核对机制确保用户权限与其工作职责相匹配防止出现授权不当的情形”的监管要求。

依据监管要求部分企业定期开展信息系统用户权限检查与核对的审计工作需要各系统管理员导出用户权限结合公司人事信息对

系统用户权限进行审计比对和抽检。

但内外审计周期长需要多部门人员参与配合审计工作且不同信息系统的权限管理模式不统一未形成统一的管理规范。

同时权限变更工作未留痕发现风险隐患时难以追查责任。

传统人工审计缺乏自动化工作抓手难以及时发现权限风险且工作效率低下。

自研难

自行开发和维护权限管理系统是一个复杂和耗时的任务。

系统无论是技术框架还是业务逻辑的完备性和可扩展性方面很难做到产品通用化。

随着企业业务领域扩张自研系统的改造往往动一发而牵全身迭代速度难以跟上业务创新的需求。

特别是当自研系统需要上云或出海时会面临如下的困难部署方案重新构建、数据合规方案实施和技术框架升级改造。

企业需要投入大量人工和财力来维护自研系统这不仅成本高昂而且周期长。

因此企业更倾向于采用现成的解决方案以减轻管理权限的难题。

02.Authing

帮助企业能将多个不同权限架构的应用轻松集成至一个统一的后台将各应用的功能拆分为细粒度的资源即可集中控管各应用下的资源无需付出额外的应用对接成本。

目前被大家广泛采用的两种权限模型为基于角色的访问控制RBAC和基于属性的访问控制ABAC以及一种新的访问控制模型

下一代访问控制NGAC并比较三者之间的异同以及为什么你应该考虑

NGAC

指通过用户的角色Role授权其相关权限。

角色可以被定义为岗位、项目组、部门等企业只需把角色赋予成员即可授予成员该角色下的权限。

面向场景

你的企业是中小型企业外部用户很少并且组织角色有明确的定义。

比起复杂的权限场景你更需要快速地建立清晰的、扩展性强的权限管理架构。

通过

RBAC

权限模型能够帮助您快速建立适合您业务需求的权限结构无需过度复杂的配置和管理快速实施权限控制确保数据和资源的安全同时也提供了良好的扩展性以适应未来业务的增长和变化。

ABAC

指的是在授权资源时通过「属性」进行条件限制动态判断一个操作是否被允许。

属性包括

面向场景

你在一个人员流动高、内外部多方协作、重度依赖运营的大型企业中需要确保隐私安全符合政策监管需求权限管理需要更加精细和详尽从某一行数据到某一按钮的权限控制都必须考虑到。

大型企业通常面临复杂的组织结构和庞大的员工群体各种敏感数据和资源需要受到保护必须确保只有经过授权的人员才能访问特定的信息和执行特定的操作。

权限管理必须变得更加精细化以降低数据泄漏和滥用的风险应对复杂的业务需求和不断变化的组织结构。

下一代访问控制

可以实现系统化、策略一致的访问控制方法以高精细度授予或拒绝用户管理能力。

NGAC

使用图的概念以简单、集中的方式管理访问。

它可以在任何组织规模下线性扩展并且不会出现性能问题。

它最大的好处是灵活性——它可以允许基于对象属性、时间、位置或任何其他标准进行访问。

NGAC

的另一个独特功能是它支持实时访问例如它可以授予承包商对资源的一次性访问权以进行维护然后自动撤销访问权。

面向场景

是基于这样一个假设你可以用一个图来表示你要保护的系统这个图代表了你要保护的资源和你的组织结构这个图对你有意义并且符合你的组织语义。

在这个对你的组织非常特殊的模型之上你可以叠加策略。

在资源模型和用户模型之间定义了权限。

其本质上就是创建了一个图以对每个组织都有意义的方式对用户想要保护的资源和组织结构进行建模。

基于此自定义的组织模型管理员可以添加访问策略和权限。

这样

NGAC

提供了一种优雅的方式来表示你要保护的资源系统中的不同角色以及如何用权限把这两个世界联系在一起。

03.

的情况下需要跟踪所有对象的属性这造成了可管理性的负担。

RBAC

减少了负担因为提取了所有角色的访问信息但是这种模式存在角色爆炸的问题也会变得不可管理。

NGAC

通过使用一种新颖、优雅的革命性方法来修复这些差距在用户提供的现有世界表示之上叠加访问策略。

你也可以对

RBAC

真正出彩的地方在于灵活性。

它可以被配置为允许或不允许访问不仅基于对象属性而且基于其他条件

时间、位置等包括能够一致地设置策略以满足合规性要求和设置历时性策略的能力。

例如NGAC

可以在中断期间授予开发人员一次性的资源访问权而不会留下不必要的权限以免日后导致安全漏洞。

NGAC

可以在一个访问决策中评估和组合多个策略同时保持其线性时间的复杂度。

Authing

并保障流程配合业务的实时性变化一人离职全系统权限及账号秒级收回降低企业数据泄露风险。

当员工入职、离职或组织架构变动时

能自动触发管理流程并进行权限的申请、审批、开关能有效减少管理成本和漏关/错开权限带来的数据泄漏风险。

目前身份自动化已预集成了飞书、企业微信、钉钉、北森、金蝶云、阿里云、MySQL

等上百个应用与工具身份同步模板覆盖

以用户为单位提供可视化、全局的权限视图清晰展示每个用户在不同应用下的资源权限和关联策略为企业提供了全面的可视化信息帮助企业管理员轻松查看和管理员工的权限情况。

通过筛选生成多个权限视图企业能够更轻松地进行事后审计降低了重复低效的工作。

企业不再需要手动检查每个用户在每个应用中的权限而是可以依靠全局的权限视图来实现快速的权限管理和审计提高工作效率减少潜在的失误和风险确保企业在个人信息保护相关法律和法规方面数据合规。

04.最佳实践某大型金融企业

企业内部基于自身业务架构和管理需求独立构建系统组织结构复杂且人员变动频繁。

企业内部权限难统一管理手动操作不仅无法即时调整权限也将带来漏关/错开权限的巨大风险。

同时企业业务扩展这些独立的系统需要进行跨部门或跨业务线的信息共享和集成很难实现统一和标准化的身份验证和访问控制。

金融企业处于严格的法律和监管环境之中不同地区和国家的法规要求可能有所不同各种各样的法律和规定都对金融企业的身份管理提出了严格的要求。

金融企业必须时刻密切关注法规的变化并确保其身份管理和数据安全措施符合这些法规的要求。

任何数据泄露或违反隐私法规都可能导致巨大的罚款和声誉损害。

企业通常与各种外部组织和个体有密切的业务合作关系。

除了内部员工还需要管理大量的外部用户包括客户、合作伙伴、供应商等。

这些用户群体有着各自不同的业务需求和安全风险给身份管理带来了额外的复杂性。

在这种多方合作的环境中如何有效地管理各方的访问权限和身份信息成了一个巨大的挑战。

由于每个合作伙伴都有其自己的系统和数据需求因此需要一种能够跨系统、跨组织实现安全和合规性的身份管理解决方案。

解决方案

身份自动化能力一次配置好入/转/调/离涉及的业务流程实现自动化、

并保障流程配合业务的实时性变化一人离职全系统权限及账号秒级收回降低企业数据泄露风险。

Authing

身份云的解决方案可以追踪用户在系统中的行为并详细记录其访问和操作日志。

这些日志可以用于合规审计确保企业在个人信息保护相关法律和法规方面遵守规定。

一旦出现安全事件能够追踪到具体的操作人员和操作时间是解决问题的关键。

同时Authing

身份云还提供了报告和分析功能内部身份治理体系会记录所有的访问和操作信息不仅有助于事后调查也有助于企业进行风险评估和合规审计。

基于事件驱动的身份管理平台帮助企业可以随时调整自己的身份治理策略允许企业根据实际情况灵活地定义和修改事件响应规则以适应不断变化的外部环境和内部需求。

无论是新的业务合作、法律法规或是技术挑战事件驱动的身份基础设施都能为企业提供足够的灵活性确保其身份治理策略始终与时俱进。