企業(yè)的現(xiàn)代化建設離不開權限管理,但隨著數(shù)字化程度的不斷加深,企業(yè)內(nèi)部的權限管理也面臨著巨大的考驗,諸如企業(yè)內(nèi)部權限管理模型種類數(shù)量繁多,統(tǒng)一管理標準建立困難、實際應用場景局限性明顯、權限分配錯誤、人員崗位變動導致權限漏洞等諸多問題頻發(fā),致使企業(yè)的數(shù)字化轉型和業(yè)務發(fā)展受到阻礙,影響到了企業(yè)的安全文化和風控管控。權限管理系統(tǒng)本應作為助力企業(yè)內(nèi)部建設和高效治理的利器,卻因為上述問題成為了掣肘企業(yè)全面發(fā)展、成長的攔路虎,因此越來越多的廠商開始將企業(yè)權限管理系統(tǒng)的數(shù)字化變革與創(chuàng)新計劃提上日程。
近日,安全牛邀請到了數(shù)字身份管理領域專家、美的集團美云智數(shù)身份云總經(jīng)理滕偉先生,圍繞“業(yè)權一體化”權限管理模型,對企業(yè)長期以來所面臨的權限管理難題、現(xiàn)階段解決方案以及未來發(fā)展趨勢和方向進行了剖析。
一、現(xiàn)階段企業(yè)所面臨的權限管理挑戰(zhàn)主要有哪些?對企業(yè)造成了何種影響?
滕偉:企業(yè)的權限管理問題由來已久,可以追溯到二十年前,但在數(shù)字化浪潮下真正落地實現(xiàn)系統(tǒng)化、集中化、標準化的模型管理卻是近幾年的事。阻礙因素主要有以下幾個原因:
時耗長、效率低:權限管理系統(tǒng)本身所帶來的管理和維護工作對一個企業(yè)來說就是一個挑戰(zhàn)。對于中大型企業(yè)來說每個員工按照工作需求,逐一開通各自權限十分耗時;另外,過去,企業(yè)內(nèi)部的權限管理模型雜亂、繁多且不透明,管理層無法清晰的知曉每個員工的具體權限是什么,新員工的入職、老員工的調(diào)崗或離職都會涉及到權限的開通與關閉,但以往企業(yè)內(nèi)部權限管理系統(tǒng)對于權限功能的描述表達“IT語言”專業(yè)性較強,普通員工大數(shù)情況根本看不懂,同時企業(yè)內(nèi)部的權限管理模型又無統(tǒng)一規(guī)范要求,種類百花齊放,管理混亂如麻。
權限管理機制斷層:由于權限管理系統(tǒng)都是由IT人員開發(fā)的,因此長久以來,大家都是想當然的認為權限管理系統(tǒng)都該由IT負責。但實際上IT對于業(yè)務并不了解,對于權限管理并沒有準確的判斷能力,尤其是在公司內(nèi)部沒有明確的審核流程的情況下,很容易出現(xiàn)“來者必開,開者必大”的情況;同時,企業(yè)一般沒有權限開放與回收的聯(lián)動機制,“只開不關”的情況也頻繁出現(xiàn),很多用戶離職后還持有相關權限的例子并不少見。以上這些情況,都對公司產(chǎn)生了嚴重的安全威脅。
權限不集中,無法標簽化管理:當安全信息和管控策略分散在企業(yè)內(nèi)部的各個系統(tǒng)時,是無法進行標簽分類管理的。但針對上述情況我們知道,權限必須集中化后才能方便審查、審核,并根據(jù)實際需求及時調(diào)整、關閉不必要的項目類別。另外權限集中之后還有一個值得一提的優(yōu)勢,即為人力資源部提供關鍵崗位預測的數(shù)據(jù)資料。眾所周知,企業(yè)的人力資源部門每年需要投入很大的資金來判別哪些是關鍵崗位,因此,如果企業(yè)能夠實現(xiàn)權限統(tǒng)一管理,在另一層面上來說也是在實現(xiàn)降本增效。
二、美云智數(shù)日前聯(lián)合發(fā)布了業(yè)權一體化白皮書,提出了從企業(yè)業(yè)務的角度來應對權限管理的挑戰(zhàn)。請您談談我們應該如何理解業(yè)權一體化的概念。
滕偉:談起權限管理,我們理所當然的想到企權限管理中的四大要點:賬號(account)、認證(authentication)、權限(authority)和審計(audit)。
業(yè)權一體化實際上是指由業(yè)務部門負責權限管理的職能,進而實現(xiàn)業(yè)務和IT系統(tǒng)權限配置、管理一體化,讓IT聚焦數(shù)字,讓權限回歸業(yè)務。以便更加高效、精準的滿足組織運營的風控合規(guī)需求,實現(xiàn)權限管理真正意義上“4A”落地,為業(yè)內(nèi)全面了解和應用第四代權限產(chǎn)品提供一個服務窗口。
三、相比較目前行業(yè)中現(xiàn)有的權限管理方案,用戶采用業(yè)權一體化解決方案的收益會有哪些?
滕偉:市場上目前存在的權限管理模型多數(shù)只能適配一種或其中幾種權限管理系統(tǒng)。但實際狀況是,現(xiàn)存的管理系統(tǒng)有些是傳統(tǒng)的ABAC①和RBAC②模型,有些則是在此基礎上增加了更加多元化、延展性功能的“變型”產(chǎn)品,因此企業(yè)對權限管理模型適配能力的高要求不言而喻。
業(yè)權一體化基于原生的ABAC和RBAC進行了多維度的模型擴展,逐漸完善了更高層次的復合模型。能夠進一步解決業(yè)務發(fā)展帶來的安全管理、權限管理、資源管理和權限審查等問題。
另外,業(yè)權一體化模型能夠提供“原子化”的權限服務。即業(yè)務層構建專業(yè)化的領域能力服務,左邊與用戶拉通,右邊再與流程以及合規(guī)審計拉通,實現(xiàn)了企業(yè)權限管理全過程的業(yè)務閉環(huán)與智能化彈性伸縮能力;其次,業(yè)權一體化在幾乎適配所有主流權限管理系統(tǒng)模型的同時,還擁有直接與權限單獨掛鉤管理的功能,無需企業(yè)再花費時間分析權限管理模型類別,更加便捷高效。
四、權限管理涉及的業(yè)務系統(tǒng)眾多,項目建設難度往往較大。對不同類型的企業(yè)用戶來說,應該如何部署、應用業(yè)權一體化方案,需要進行哪些準備?
滕偉:其實企業(yè)在業(yè)權一體化解決方案的實際應用部署上,最重要的一點是實現(xiàn)思路上的轉變。
為什么說是思路上的轉變呢?過去,很多企業(yè)在做權限管理模型時,并沒有站在業(yè)務的角度進行思考,在實際應用時也都是推給IT來負責,業(yè)務被隔絕在外。但事實上,業(yè)務恰恰是其中的核心。業(yè)權一體化理念的提出,便是讓權限回歸業(yè)務,改善權限管理機制斷層的問題,保證企業(yè)的管理人員能夠清晰明了的掌握員工的權限開通情況,讓企業(yè)每個部門、每個成員的權限開關都有理可依、有序可循,實現(xiàn)標準化的權限開放與回收閉環(huán)。
在實際操作應用方面,企業(yè)在實施權限管理時,最大的困難點在于現(xiàn)狀梳理、標準定義,以及需要適配復雜多樣的權限管理模型,并在有特殊情況存在時進行模型的調(diào)整和改造,否則統(tǒng)一平臺都已經(jīng)非常困難,更遑論自助化、自動化等降本增效的高階業(yè)務。因此,美云智數(shù)業(yè)權一體化參考傳統(tǒng)中醫(yī)治療“望、聞、問、切”方法,構建了一套EPM(企業(yè)權限機器)方法論1.0/2.0/3.0。
首先拉通賬戶,以先進的用戶身份進行畫像,建立全新的業(yè)權一體多驅動運作模式,這便是“望”;通過用戶驅動、組織驅動、大數(shù)據(jù)AI驅動,閉環(huán)實現(xiàn)統(tǒng)一的業(yè)權管理平臺集中化(業(yè)務平滑過渡)、標準化(最小標準迭代與執(zhí)行)、自動化(入轉調(diào)離)和可視化(權限審計報表、權限運營報告),這便是“聞”;接下來,權限治理(迭代優(yōu)化、柔性治理),根據(jù)審計和實際需要靈活變動,對不同類型的用戶和系統(tǒng),全過程柔性接入,這便是“問”;最終一步,就是配置好流程之后,只要員工到達相關的部門崗位,便能按照統(tǒng)一規(guī)范,自動開通權限管理,這就是“切”。
借助這一套方法,幫助企業(yè)從“權限體檢服務、權限中臺服務、權限流程服務、用戶權限自助服務、權限審計分析服務”等全業(yè)務維度,實現(xiàn)權限管理快速高效落地。結合實際適配案例,部分企業(yè)最快一天之內(nèi)就可以完全適配應用。
五、身份安全是企業(yè)網(wǎng)絡安全建設的重要領域,也是企業(yè)數(shù)值化轉型的基礎性保障。對于業(yè)權一體化的解決方案而言,未來會有哪些發(fā)展趨勢?
滕偉:在數(shù)字化轉型變革的浪潮下,權限管理一定會從“幕后”走向“臺前”,與業(yè)務深度融合。所以,業(yè)權一體化這種權限回歸業(yè)務的應用模式將會進一步發(fā)展壯大,而且,運用用戶“看得懂、聽得懂”的語言來替代“IT語言”的定義與表達,進而實現(xiàn)系統(tǒng)權限的精細化管理也將成為主流。
與此同時,業(yè)權管理也將繼續(xù)以高速發(fā)展姿態(tài)向前呈現(xiàn)出業(yè)務權限集中化、自助化、自動化、智能化和運營化五大趨勢。
很長一段時間以來,大多數(shù)廠商在權限管理領域中,都將重點放在集中管理上,也就是集中化。在逐漸實現(xiàn)這一目標之后,接下來,自助化和自動化將成為發(fā)展的重點難點。目前我們只能看到權限管理的范圍和內(nèi)容,但是無法知道權限是何時何地被使用的;另外一方面,權限的識別、分類再到制定統(tǒng)一管理標準的過程,都需要時間和精力,現(xiàn)階段更多的是通過人工交流和分析的手段來確定,自動化、智能化識別還很難實現(xiàn)。
但在逐步實現(xiàn)自助化、自動化和智能化之后,鑒權也就是權限管理的運營也會成為領域內(nèi)的一個重要發(fā)展方向,舉例來說,按需求控制用戶在指定的時間段進行權限訪問即動態(tài)訪問控制就是其中一個重要方向。合理的運營能夠讓企業(yè)的業(yè)務流程更加高效,安全防護也會更加完善。
安全牛評
身份管理是企業(yè)數(shù)字化轉型中必須面對的問題,也是企業(yè)信息安全建設的重要基石。權限管理則是目前企業(yè)身份安全“木桶”中的一大短板,是目前企業(yè)亟需攻克的難題。我們看到,身份安全廠商正在轉變傳統(tǒng)的思維模式,助力用戶將權限管理全面回歸業(yè)務,形成集建、用、管、審、銷服務于一體的業(yè)務權限管理體系,降本增效,有效改善了長期以來企業(yè)內(nèi)部權限管理機制斷層、權限管理體系混亂的狀況,讓企業(yè)在安全管理建設和業(yè)務發(fā)展上實現(xiàn)了較好的提升。
權限管理作為多業(yè)務系統(tǒng)融合的重要一環(huán),其未來在權限管理模型和權限管理技術水平方面還將會進一步發(fā)展完善,應時而變。而權限管理技術的落地和實施也會貫徹始終,成為企業(yè)數(shù)字化發(fā)展中必需要面對和跨越的關卡,這個過程需要企業(yè)在業(yè)務發(fā)展和企業(yè)安全管理的革新中不斷去思考、去創(chuàng)新、去踐行。