企業(yè)的現(xiàn)代化建設(shè)離不開權(quán)限管理，但隨著數(shù)字化程度的不斷加深，企業(yè)內(nèi)部的權(quán)限管理也面臨著巨大的考驗，諸如企業(yè)內(nèi)部權(quán)限管理模型種類數(shù)量繁多，統(tǒng)一管理標準建立困難、實際應(yīng)用場景局限性明顯、權(quán)限分配錯誤、人員崗位變動導致權(quán)限漏洞等諸多問題頻發(fā)，致使企業(yè)的數(shù)字化轉(zhuǎn)型和業(yè)務(wù)發(fā)展受到阻礙，影響到了企業(yè)的安全文化和風控管控。權(quán)限管理系統(tǒng)本應(yīng)作為助力企業(yè)內(nèi)部建設(shè)和高效治理的利器，卻因為上述問題成為了掣肘企業(yè)全面發(fā)展、成長的攔路虎，因此越來越多的廠商開始將企業(yè)權(quán)限管理系統(tǒng)的數(shù)字化變革與創(chuàng)新計劃提上日程。

　　近日，安全牛邀請到了數(shù)字身份管理領(lǐng)域?qū)＜?、美的集團美云智數(shù)身份云總經(jīng)理滕偉先生，圍繞“業(yè)權(quán)一體化”權(quán)限管理模型，對企業(yè)長期以來所面臨的權(quán)限管理難題、現(xiàn)階段解決方案以及未來發(fā)展趨勢和方向進行了剖析。

　　一、現(xiàn)階段企業(yè)所面臨的權(quán)限管理挑戰(zhàn)主要有哪些？對企業(yè)造成了何種影響？

　　滕偉：企業(yè)的權(quán)限管理問題由來已久，可以追溯到二十年前，但在數(shù)字化浪潮下真正落地實現(xiàn)系統(tǒng)化、集中化、標準化的模型管理卻是近幾年的事。阻礙因素主要有以下幾個原因：

　　時耗長、效率低：權(quán)限管理系統(tǒng)本身所帶來的管理和維護工作對一個企業(yè)來說就是一個挑戰(zhàn)。對于中大型企業(yè)來說每個員工按照工作需求，逐一開通各自權(quán)限十分耗時；另外，過去，企業(yè)內(nèi)部的權(quán)限管理模型雜亂、繁多且不透明，管理層無法清晰的知曉每個員工的具體權(quán)限是什么，新員工的入職、老員工的調(diào)崗或離職都會涉及到權(quán)限的開通與關(guān)閉，但以往企業(yè)內(nèi)部權(quán)限管理系統(tǒng)對于權(quán)限功能的描述表達“IT語言”專業(yè)性較強，普通員工大數(shù)情況根本看不懂，同時企業(yè)內(nèi)部的權(quán)限管理模型又無統(tǒng)一規(guī)范要求，種類百花齊放，管理混亂如麻。

　　權(quán)限管理機制斷層：由于權(quán)限管理系統(tǒng)都是由IT人員開發(fā)的，因此長久以來，大家都是想當然的認為權(quán)限管理系統(tǒng)都該由IT負責。但實際上IT對于業(yè)務(wù)并不了解，對于權(quán)限管理并沒有準確的判斷能力，尤其是在公司內(nèi)部沒有明確的審核流程的情況下，很容易出現(xiàn)“來者必開，開者必大”的情況；同時，企業(yè)一般沒有權(quán)限開放與回收的聯(lián)動機制，“只開不關(guān)”的情況也頻繁出現(xiàn)，很多用戶離職后還持有相關(guān)權(quán)限的例子并不少見。以上這些情況，都對公司產(chǎn)生了嚴重的安全威脅。

　　權(quán)限不集中，無法標簽化管理：當安全信息和管控策略分散在企業(yè)內(nèi)部的各個系統(tǒng)時，是無法進行標簽分類管理的。但針對上述情況我們知道，權(quán)限必須集中化后才能方便審查、審核，并根據(jù)實際需求及時調(diào)整、關(guān)閉不必要的項目類別。另外權(quán)限集中之后還有一個值得一提的優(yōu)勢，即為人力資源部提供關(guān)鍵崗位預測的數(shù)據(jù)資料。眾所周知，企業(yè)的人力資源部門每年需要投入很大的資金來判別哪些是關(guān)鍵崗位，因此，如果企業(yè)能夠?qū)崿F(xiàn)權(quán)限統(tǒng)一管理，在另一層面上來說也是在實現(xiàn)降本增效。

　　二、美云智數(shù)日前聯(lián)合發(fā)布了業(yè)權(quán)一體化白皮書，提出了從企業(yè)業(yè)務(wù)的角度來應(yīng)對權(quán)限管理的挑戰(zhàn)。請您談?wù)勎覀儜?yīng)該如何理解業(yè)權(quán)一體化的概念。

　　滕偉：談起權(quán)限管理，我們理所當然的想到企權(quán)限管理中的四大要點：賬號（account）、認證（authentication）、權(quán)限（authority）和審計（audit）。

　　業(yè)權(quán)一體化實際上是指由業(yè)務(wù)部門負責權(quán)限管理的職能，進而實現(xiàn)業(yè)務(wù)和IT系統(tǒng)權(quán)限配置、管理一體化，讓IT聚焦數(shù)字，讓權(quán)限回歸業(yè)務(wù)。以便更加高效、精準的滿足組織運營的風控合規(guī)需求，實現(xiàn)權(quán)限管理真正意義上“4A”落地，為業(yè)內(nèi)全面了解和應(yīng)用第四代權(quán)限產(chǎn)品提供一個服務(wù)窗口。

　　三、相比較目前行業(yè)中現(xiàn)有的權(quán)限管理方案，用戶采用業(yè)權(quán)一體化解決方案的收益會有哪些？

　　滕偉：市場上目前存在的權(quán)限管理模型多數(shù)只能適配一種或其中幾種權(quán)限管理系統(tǒng)。但實際狀況是，現(xiàn)存的管理系統(tǒng)有些是傳統(tǒng)的ABAC①和RBAC②模型，有些則是在此基礎(chǔ)上增加了更加多元化、延展性功能的“變型”產(chǎn)品，因此企業(yè)對權(quán)限管理模型適配能力的高要求不言而喻。

　　業(yè)權(quán)一體化基于原生的ABAC和RBAC進行了多維度的模型擴展，逐漸完善了更高層次的復合模型。能夠進一步解決業(yè)務(wù)發(fā)展帶來的安全管理、權(quán)限管理、資源管理和權(quán)限審查等問題。

　　另外，業(yè)權(quán)一體化模型能夠提供“原子化”的權(quán)限服務(wù)。即業(yè)務(wù)層構(gòu)建專業(yè)化的領(lǐng)域能力服務(wù)，左邊與用戶拉通，右邊再與流程以及合規(guī)審計拉通，實現(xiàn)了企業(yè)權(quán)限管理全過程的業(yè)務(wù)閉環(huán)與智能化彈性伸縮能力；其次，業(yè)權(quán)一體化在幾乎適配所有主流權(quán)限管理系統(tǒng)模型的同時，還擁有直接與權(quán)限單獨掛鉤管理的功能，無需企業(yè)再花費時間分析權(quán)限管理模型類別，更加便捷高效。

　　四、權(quán)限管理涉及的業(yè)務(wù)系統(tǒng)眾多，項目建設(shè)難度往往較大。對不同類型的企業(yè)用戶來說，應(yīng)該如何部署、應(yīng)用業(yè)權(quán)一體化方案，需要進行哪些準備？

　　滕偉：其實企業(yè)在業(yè)權(quán)一體化解決方案的實際應(yīng)用部署上，最重要的一點是實現(xiàn)思路上的轉(zhuǎn)變。

　　為什么說是思路上的轉(zhuǎn)變呢？過去，很多企業(yè)在做權(quán)限管理模型時，并沒有站在業(yè)務(wù)的角度進行思考，在實際應(yīng)用時也都是推給IT來負責，業(yè)務(wù)被隔絕在外。但事實上，業(yè)務(wù)恰恰是其中的核心。業(yè)權(quán)一體化理念的提出，便是讓權(quán)限回歸業(yè)務(wù)，改善權(quán)限管理機制斷層的問題，保證企業(yè)的管理人員能夠清晰明了的掌握員工的權(quán)限開通情況，讓企業(yè)每個部門、每個成員的權(quán)限開關(guān)都有理可依、有序可循，實現(xiàn)標準化的權(quán)限開放與回收閉環(huán)。

　　在實際操作應(yīng)用方面，企業(yè)在實施權(quán)限管理時，最大的困難點在于現(xiàn)狀梳理、標準定義，以及需要適配復雜多樣的權(quán)限管理模型，并在有特殊情況存在時進行模型的調(diào)整和改造，否則統(tǒng)一平臺都已經(jīng)非常困難，更遑論自助化、自動化等降本增效的高階業(yè)務(wù)。因此，美云智數(shù)業(yè)權(quán)一體化參考傳統(tǒng)中醫(yī)治療“望、聞、問、切”方法，構(gòu)建了一套EPM（企業(yè)權(quán)限機器）方法論1.0/2.0/3.0。

　　首先拉通賬戶，以先進的用戶身份進行畫像，建立全新的業(yè)權(quán)一體多驅(qū)動運作模式，這便是“望”；通過用戶驅(qū)動、組織驅(qū)動、大數(shù)據(jù)AI驅(qū)動，閉環(huán)實現(xiàn)統(tǒng)一的業(yè)權(quán)管理平臺集中化（業(yè)務(wù)平滑過渡）、標準化（最小標準迭代與執(zhí)行）、自動化（入轉(zhuǎn)調(diào)離）和可視化（權(quán)限審計報表、權(quán)限運營報告），這便是“聞”；接下來，權(quán)限治理（迭代優(yōu)化、柔性治理），根據(jù)審計和實際需要靈活變動，對不同類型的用戶和系統(tǒng)，全過程柔性接入，這便是“問”；最終一步，就是配置好流程之后，只要員工到達相關(guān)的部門崗位，便能按照統(tǒng)一規(guī)范，自動開通權(quán)限管理，這就是“切”。

　　借助這一套方法，幫助企業(yè)從“權(quán)限體檢服務(wù)、權(quán)限中臺服務(wù)、權(quán)限流程服務(wù)、用戶權(quán)限自助服務(wù)、權(quán)限審計分析服務(wù)”等全業(yè)務(wù)維度，實現(xiàn)權(quán)限管理快速高效落地。結(jié)合實際適配案例，部分企業(yè)最快一天之內(nèi)就可以完全適配應(yīng)用。

　　五、身份安全是企業(yè)網(wǎng)絡(luò)安全建設(shè)的重要領(lǐng)域，也是企業(yè)數(shù)值化轉(zhuǎn)型的基礎(chǔ)性保障。對于業(yè)權(quán)一體化的解決方案而言，未來會有哪些發(fā)展趨勢？

　　滕偉：在數(shù)字化轉(zhuǎn)型變革的浪潮下，權(quán)限管理一定會從“幕后”走向“臺前”，與業(yè)務(wù)深度融合。所以，業(yè)權(quán)一體化這種權(quán)限回歸業(yè)務(wù)的應(yīng)用模式將會進一步發(fā)展壯大，而且，運用用戶“看得懂、聽得懂”的語言來替代“IT語言”的定義與表達，進而實現(xiàn)系統(tǒng)權(quán)限的精細化管理也將成為主流。

　　與此同時，業(yè)權(quán)管理也將繼續(xù)以高速發(fā)展姿態(tài)向前呈現(xiàn)出業(yè)務(wù)權(quán)限集中化、自助化、自動化、智能化和運營化五大趨勢。

　　很長一段時間以來，大多數(shù)廠商在權(quán)限管理領(lǐng)域中，都將重點放在集中管理上，也就是集中化。在逐漸實現(xiàn)這一目標之后，接下來，自助化和自動化將成為發(fā)展的重點難點。目前我們只能看到權(quán)限管理的范圍和內(nèi)容，但是無法知道權(quán)限是何時何地被使用的；另外一方面，權(quán)限的識別、分類再到制定統(tǒng)一管理標準的過程，都需要時間和精力，現(xiàn)階段更多的是通過人工交流和分析的手段來確定，自動化、智能化識別還很難實現(xiàn)。

　　但在逐步實現(xiàn)自助化、自動化和智能化之后，鑒權(quán)也就是權(quán)限管理的運營也會成為領(lǐng)域內(nèi)的一個重要發(fā)展方向，舉例來說，按需求控制用戶在指定的時間段進行權(quán)限訪問即動態(tài)訪問控制就是其中一個重要方向。合理的運營能夠讓企業(yè)的業(yè)務(wù)流程更加高效，安全防護也會更加完善。

　　安全牛評

　　身份管理是企業(yè)數(shù)字化轉(zhuǎn)型中必須面對的問題，也是企業(yè)信息安全建設(shè)的重要基石。權(quán)限管理則是目前企業(yè)身份安全“木桶”中的一大短板，是目前企業(yè)亟需攻克的難題。我們看到，身份安全廠商正在轉(zhuǎn)變傳統(tǒng)的思維模式，助力用戶將權(quán)限管理全面回歸業(yè)務(wù)，形成集建、用、管、審、銷服務(wù)于一體的業(yè)務(wù)權(quán)限管理體系，降本增效，有效改善了長期以來企業(yè)內(nèi)部權(quán)限管理機制斷層、權(quán)限管理體系混亂的狀況，讓企業(yè)在安全管理建設(shè)和業(yè)務(wù)發(fā)展上實現(xiàn)了較好的提升。

　　權(quán)限管理作為多業(yè)務(wù)系統(tǒng)融合的重要一環(huán)，其未來在權(quán)限管理模型和權(quán)限管理技術(shù)水平方面還將會進一步發(fā)展完善，應(yīng)時而變。而權(quán)限管理技術(shù)的落地和實施也會貫徹始終，成為企業(yè)數(shù)字化發(fā)展中必需要面對和跨越的關(guān)卡，這個過程需要企業(yè)在業(yè)務(wù)發(fā)展和企業(yè)安全管理的革新中不斷去思考、去創(chuàng)新、去踐行。