让权限管理回归到企业业务本身
2021-06-11
来源:安全牛
企业的现代化建设离不开权限管理,但随着数字化程度的不断加深,企业内部的权限管理也面临着巨大的考验,诸如企业内部权限管理模型种类数量繁多,统一管理标准建立困难、实际应用场景局限性明显、权限分配错误、人员岗位变动导致权限漏洞等诸多问题频发,致使企业的数字化转型和业务发展受到阻碍,影响到了企业的安全文化和风控管控。权限管理系统本应作为助力企业内部建设和高效治理的利器,却因为上述问题成为了掣肘企业全面发展、成长的拦路虎,因此越来越多的厂商开始将企业权限管理系统的数字化变革与创新计划提上日程。
近日,安全牛邀请到了数字身份管理领域专家、美的集团美云智数身份云总经理滕伟先生,围绕“业权一体化”权限管理模型,对企业长期以来所面临的权限管理难题、现阶段解决方案以及未来发展趋势和方向进行了剖析。
一、现阶段企业所面临的权限管理挑战主要有哪些?对企业造成了何种影响?
滕伟:企业的权限管理问题由来已久,可以追溯到二十年前,但在数字化浪潮下真正落地实现系统化、集中化、标准化的模型管理却是近几年的事。阻碍因素主要有以下几个原因:
时耗长、效率低:权限管理系统本身所带来的管理和维护工作对一个企业来说就是一个挑战。对于中大型企业来说每个员工按照工作需求,逐一开通各自权限十分耗时;另外,过去,企业内部的权限管理模型杂乱、繁多且不透明,管理层无法清晰的知晓每个员工的具体权限是什么,新员工的入职、老员工的调岗或离职都会涉及到权限的开通与关闭,但以往企业内部权限管理系统对于权限功能的描述表达“IT语言”专业性较强,普通员工大数情况根本看不懂,同时企业内部的权限管理模型又无统一规范要求,种类百花齐放,管理混乱如麻。
权限管理机制断层:由于权限管理系统都是由IT人员开发的,因此长久以来,大家都是想当然的认为权限管理系统都该由IT负责。但实际上IT对于业务并不了解,对于权限管理并没有准确的判断能力,尤其是在公司内部没有明确的审核流程的情况下,很容易出现“来者必开,开者必大”的情况;同时,企业一般没有权限开放与回收的联动机制,“只开不关”的情况也频繁出现,很多用户离职后还持有相关权限的例子并不少见。以上这些情况,都对公司产生了严重的安全威胁。
权限不集中,无法标签化管理:当安全信息和管控策略分散在企业内部的各个系统时,是无法进行标签分类管理的。但针对上述情况我们知道,权限必须集中化后才能方便审查、审核,并根据实际需求及时调整、关闭不必要的项目类别。另外权限集中之后还有一个值得一提的优势,即为人力资源部提供关键岗位预测的数据资料。众所周知,企业的人力资源部门每年需要投入很大的资金来判别哪些是关键岗位,因此,如果企业能够实现权限统一管理,在另一层面上来说也是在实现降本增效。
二、美云智数日前联合发布了业权一体化白皮书,提出了从企业业务的角度来应对权限管理的挑战。请您谈谈我们应该如何理解业权一体化的概念。
滕伟:谈起权限管理,我们理所当然的想到企权限管理中的四大要点:账号(account)、认证(authentication)、权限(authority)和审计(audit)。
业权一体化实际上是指由业务部门负责权限管理的职能,进而实现业务和IT系统权限配置、管理一体化,让IT聚焦数字,让权限回归业务。以便更加高效、精准的满足组织运营的风控合规需求,实现权限管理真正意义上“4A”落地,为业内全面了解和应用第四代权限产品提供一个服务窗口。
三、相比较目前行业中现有的权限管理方案,用户采用业权一体化解决方案的收益会有哪些?
滕伟:市场上目前存在的权限管理模型多数只能适配一种或其中几种权限管理系统。但实际状况是,现存的管理系统有些是传统的ABAC①和RBAC②模型,有些则是在此基础上增加了更加多元化、延展性功能的“变型”产品,因此企业对权限管理模型适配能力的高要求不言而喻。
业权一体化基于原生的ABAC和RBAC进行了多维度的模型扩展,逐渐完善了更高层次的复合模型。能够进一步解决业务发展带来的安全管理、权限管理、资源管理和权限审查等问题。
另外,业权一体化模型能够提供“原子化”的权限服务。即业务层构建专业化的领域能力服务,左边与用户拉通,右边再与流程以及合规审计拉通,实现了企业权限管理全过程的业务闭环与智能化弹性伸缩能力;其次,业权一体化在几乎适配所有主流权限管理系统模型的同时,还拥有直接与权限单独挂钩管理的功能,无需企业再花费时间分析权限管理模型类别,更加便捷高效。
四、权限管理涉及的业务系统众多,项目建设难度往往较大。对不同类型的企业用户来说,应该如何部署、应用业权一体化方案,需要进行哪些准备?
滕伟:其实企业在业权一体化解决方案的实际应用部署上,最重要的一点是实现思路上的转变。
为什么说是思路上的转变呢?过去,很多企业在做权限管理模型时,并没有站在业务的角度进行思考,在实际应用时也都是推给IT来负责,业务被隔绝在外。但事实上,业务恰恰是其中的核心。业权一体化理念的提出,便是让权限回归业务,改善权限管理机制断层的问题,保证企业的管理人员能够清晰明了的掌握员工的权限开通情况,让企业每个部门、每个成员的权限开关都有理可依、有序可循,实现标准化的权限开放与回收闭环。
在实际操作应用方面,企业在实施权限管理时,最大的困难点在于现状梳理、标准定义,以及需要适配复杂多样的权限管理模型,并在有特殊情况存在时进行模型的调整和改造,否则统一平台都已经非常困难,更遑论自助化、自动化等降本增效的高阶业务。因此,美云智数业权一体化参考传统中医治疗“望、闻、问、切”方法,构建了一套EPM(企业权限机器)方法论1.0/2.0/3.0。
首先拉通账户,以先进的用户身份进行画像,建立全新的业权一体多驱动运作模式,这便是“望”;通过用户驱动、组织驱动、大数据AI驱动,闭环实现统一的业权管理平台集中化(业务平滑过渡)、标准化(最小标准迭代与执行)、自动化(入转调离)和可视化(权限审计报表、权限运营报告),这便是“闻”;接下来,权限治理(迭代优化、柔性治理),根据审计和实际需要灵活变动,对不同类型的用户和系统,全过程柔性接入,这便是“问”;最终一步,就是配置好流程之后,只要员工到达相关的部门岗位,便能按照统一规范,自动开通权限管理,这就是“切”。
借助这一套方法,帮助企业从“权限体检服务、权限中台服务、权限流程服务、用户权限自助服务、权限审计分析服务”等全业务维度,实现权限管理快速高效落地。结合实际适配案例,部分企业最快一天之内就可以完全适配应用。
五、身份安全是企业网络安全建设的重要领域,也是企业数值化转型的基础性保障。对于业权一体化的解决方案而言,未来会有哪些发展趋势?
滕伟:在数字化转型变革的浪潮下,权限管理一定会从“幕后”走向“台前”,与业务深度融合。所以,业权一体化这种权限回归业务的应用模式将会进一步发展壮大,而且,运用用户“看得懂、听得懂”的语言来替代“IT语言”的定义与表达,进而实现系统权限的精细化管理也将成为主流。
与此同时,业权管理也将继续以高速发展姿态向前呈现出业务权限集中化、自助化、自动化、智能化和运营化五大趋势。
很长一段时间以来,大多数厂商在权限管理领域中,都将重点放在集中管理上,也就是集中化。在逐渐实现这一目标之后,接下来,自助化和自动化将成为发展的重点难点。目前我们只能看到权限管理的范围和内容,但是无法知道权限是何时何地被使用的;另外一方面,权限的识别、分类再到制定统一管理标准的过程,都需要时间和精力,现阶段更多的是通过人工交流和分析的手段来确定,自动化、智能化识别还很难实现。
但在逐步实现自助化、自动化和智能化之后,鉴权也就是权限管理的运营也会成为领域内的一个重要发展方向,举例来说,按需求控制用户在指定的时间段进行权限访问即动态访问控制就是其中一个重要方向。合理的运营能够让企业的业务流程更加高效,安全防护也会更加完善。
安全牛评
身份管理是企业数字化转型中必须面对的问题,也是企业信息安全建设的重要基石。权限管理则是目前企业身份安全“木桶”中的一大短板,是目前企业亟需攻克的难题。我们看到,身份安全厂商正在转变传统的思维模式,助力用户将权限管理全面回归业务,形成集建、用、管、审、销服务于一体的业务权限管理体系,降本增效,有效改善了长期以来企业内部权限管理机制断层、权限管理体系混乱的状况,让企业在安全管理建设和业务发展上实现了较好的提升。
权限管理作为多业务系统融合的重要一环,其未来在权限管理模型和权限管理技术水平方面还将会进一步发展完善,应时而变。而权限管理技术的落地和实施也会贯彻始终,成为企业数字化发展中必需要面对和跨越的关卡,这个过程需要企业在业务发展和企业安全管理的革新中不断去思考、去创新、去践行。