企業(yè)的現(xiàn)代化建設離不開權限管理，但隨著數(shù)字化程度的不斷加深，企業(yè)內(nèi)部的權限管理也面臨著巨大的考驗，諸如企業(yè)內(nèi)部權限管理模型種類數(shù)量繁多，統(tǒng)一管理標準建立困難、實際應用場景局限性明顯、權限分配錯誤、人員崗位變動導致權限漏洞等諸多問題頻發(fā)，致使企業(yè)的數(shù)字化轉型和業(yè)務發(fā)展受到阻礙，影響到了企業(yè)的安全文化和風控管控。權限管理系統(tǒng)本應作為助力企業(yè)內(nèi)部建設和高效治理的利器，卻因為上述問題成為了掣肘企業(yè)全面發(fā)展、成長的攔路虎，因此越來越多的廠商開始將企業(yè)權限管理系統(tǒng)的數(shù)字化變革與創(chuàng)新計劃提上日程。

　　近日，安全牛邀請到了數(shù)字身份管理領域專家、美的集團美云智數(shù)身份云總經(jīng)理滕偉先生，圍繞“業(yè)權一體化”權限管理模型，對企業(yè)長期以來所面臨的權限管理難題、現(xiàn)階段解決方案以及未來發(fā)展趨勢和方向進行了剖析。

　　一、現(xiàn)階段企業(yè)所面臨的權限管理挑戰(zhàn)主要有哪些？對企業(yè)造成了何種影響？

　　滕偉：企業(yè)的權限管理問題由來已久，可以追溯到二十年前，但在數(shù)字化浪潮下真正落地實現(xiàn)系統(tǒng)化、集中化、標準化的模型管理卻是近幾年的事。阻礙因素主要有以下幾個原因：

　　時耗長、效率低：權限管理系統(tǒng)本身所帶來的管理和維護工作對一個企業(yè)來說就是一個挑戰(zhàn)。對于中大型企業(yè)來說每個員工按照工作需求，逐一開通各自權限十分耗時；另外，過去，企業(yè)內(nèi)部的權限管理模型雜亂、繁多且不透明，管理層無法清晰的知曉每個員工的具體權限是什么，新員工的入職、老員工的調(diào)崗或離職都會涉及到權限的開通與關閉，但以往企業(yè)內(nèi)部權限管理系統(tǒng)對于權限功能的描述表達“IT語言”專業(yè)性較強，普通員工大數(shù)情況根本看不懂，同時企業(yè)內(nèi)部的權限管理模型又無統(tǒng)一規(guī)范要求，種類百花齊放，管理混亂如麻。

　　權限管理機制斷層：由于權限管理系統(tǒng)都是由IT人員開發(fā)的，因此長久以來，大家都是想當然的認為權限管理系統(tǒng)都該由IT負責。但實際上IT對于業(yè)務并不了解，對于權限管理并沒有準確的判斷能力，尤其是在公司內(nèi)部沒有明確的審核流程的情況下，很容易出現(xiàn)“來者必開，開者必大”的情況；同時，企業(yè)一般沒有權限開放與回收的聯(lián)動機制，“只開不關”的情況也頻繁出現(xiàn)，很多用戶離職后還持有相關權限的例子并不少見。以上這些情況，都對公司產(chǎn)生了嚴重的安全威脅。

　　權限不集中，無法標簽化管理：當安全信息和管控策略分散在企業(yè)內(nèi)部的各個系統(tǒng)時，是無法進行標簽分類管理的。但針對上述情況我們知道，權限必須集中化后才能方便審查、審核，并根據(jù)實際需求及時調(diào)整、關閉不必要的項目類別。另外權限集中之后還有一個值得一提的優(yōu)勢，即為人力資源部提供關鍵崗位預測的數(shù)據(jù)資料。眾所周知，企業(yè)的人力資源部門每年需要投入很大的資金來判別哪些是關鍵崗位，因此，如果企業(yè)能夠實現(xiàn)權限統(tǒng)一管理，在另一層面上來說也是在實現(xiàn)降本增效。

　　二、美云智數(shù)日前聯(lián)合發(fā)布了業(yè)權一體化白皮書，提出了從企業(yè)業(yè)務的角度來應對權限管理的挑戰(zhàn)。請您談談我們應該如何理解業(yè)權一體化的概念。

　　滕偉：談起權限管理，我們理所當然的想到企權限管理中的四大要點：賬號（account）、認證（authentication）、權限（authority）和審計（audit）。

　　業(yè)權一體化實際上是指由業(yè)務部門負責權限管理的職能，進而實現(xiàn)業(yè)務和IT系統(tǒng)權限配置、管理一體化，讓IT聚焦數(shù)字，讓權限回歸業(yè)務。以便更加高效、精準的滿足組織運營的風控合規(guī)需求，實現(xiàn)權限管理真正意義上“4A”落地，為業(yè)內(nèi)全面了解和應用第四代權限產(chǎn)品提供一個服務窗口。

　　三、相比較目前行業(yè)中現(xiàn)有的權限管理方案，用戶采用業(yè)權一體化解決方案的收益會有哪些？

　　滕偉：市場上目前存在的權限管理模型多數(shù)只能適配一種或其中幾種權限管理系統(tǒng)。但實際狀況是，現(xiàn)存的管理系統(tǒng)有些是傳統(tǒng)的ABAC①和RBAC②模型，有些則是在此基礎上增加了更加多元化、延展性功能的“變型”產(chǎn)品，因此企業(yè)對權限管理模型適配能力的高要求不言而喻。

　　業(yè)權一體化基于原生的ABAC和RBAC進行了多維度的模型擴展，逐漸完善了更高層次的復合模型。能夠進一步解決業(yè)務發(fā)展帶來的安全管理、權限管理、資源管理和權限審查等問題。

　　另外，業(yè)權一體化模型能夠提供“原子化”的權限服務。即業(yè)務層構建專業(yè)化的領域能力服務，左邊與用戶拉通，右邊再與流程以及合規(guī)審計拉通，實現(xiàn)了企業(yè)權限管理全過程的業(yè)務閉環(huán)與智能化彈性伸縮能力；其次，業(yè)權一體化在幾乎適配所有主流權限管理系統(tǒng)模型的同時，還擁有直接與權限單獨掛鉤管理的功能，無需企業(yè)再花費時間分析權限管理模型類別，更加便捷高效。

　　四、權限管理涉及的業(yè)務系統(tǒng)眾多，項目建設難度往往較大。對不同類型的企業(yè)用戶來說，應該如何部署、應用業(yè)權一體化方案，需要進行哪些準備？

　　滕偉：其實企業(yè)在業(yè)權一體化解決方案的實際應用部署上，最重要的一點是實現(xiàn)思路上的轉變。

　　為什么說是思路上的轉變呢？過去，很多企業(yè)在做權限管理模型時，并沒有站在業(yè)務的角度進行思考，在實際應用時也都是推給IT來負責，業(yè)務被隔絕在外。但事實上，業(yè)務恰恰是其中的核心。業(yè)權一體化理念的提出，便是讓權限回歸業(yè)務，改善權限管理機制斷層的問題，保證企業(yè)的管理人員能夠清晰明了的掌握員工的權限開通情況，讓企業(yè)每個部門、每個成員的權限開關都有理可依、有序可循，實現(xiàn)標準化的權限開放與回收閉環(huán)。

　　在實際操作應用方面，企業(yè)在實施權限管理時，最大的困難點在于現(xiàn)狀梳理、標準定義，以及需要適配復雜多樣的權限管理模型，并在有特殊情況存在時進行模型的調(diào)整和改造，否則統(tǒng)一平臺都已經(jīng)非常困難，更遑論自助化、自動化等降本增效的高階業(yè)務。因此，美云智數(shù)業(yè)權一體化參考傳統(tǒng)中醫(yī)治療“望、聞、問、切”方法，構建了一套EPM（企業(yè)權限機器）方法論1.0/2.0/3.0。

　　首先拉通賬戶，以先進的用戶身份進行畫像，建立全新的業(yè)權一體多驅動運作模式，這便是“望”；通過用戶驅動、組織驅動、大數(shù)據(jù)AI驅動，閉環(huán)實現(xiàn)統(tǒng)一的業(yè)權管理平臺集中化（業(yè)務平滑過渡）、標準化（最小標準迭代與執(zhí)行）、自動化（入轉調(diào)離）和可視化（權限審計報表、權限運營報告），這便是“聞”；接下來，權限治理（迭代優(yōu)化、柔性治理），根據(jù)審計和實際需要靈活變動，對不同類型的用戶和系統(tǒng)，全過程柔性接入，這便是“問”；最終一步，就是配置好流程之后，只要員工到達相關的部門崗位，便能按照統(tǒng)一規(guī)范，自動開通權限管理，這就是“切”。

　　借助這一套方法，幫助企業(yè)從“權限體檢服務、權限中臺服務、權限流程服務、用戶權限自助服務、權限審計分析服務”等全業(yè)務維度，實現(xiàn)權限管理快速高效落地。結合實際適配案例，部分企業(yè)最快一天之內(nèi)就可以完全適配應用。

　　五、身份安全是企業(yè)網(wǎng)絡安全建設的重要領域，也是企業(yè)數(shù)值化轉型的基礎性保障。對于業(yè)權一體化的解決方案而言，未來會有哪些發(fā)展趨勢？

　　滕偉：在數(shù)字化轉型變革的浪潮下，權限管理一定會從“幕后”走向“臺前”，與業(yè)務深度融合。所以，業(yè)權一體化這種權限回歸業(yè)務的應用模式將會進一步發(fā)展壯大，而且，運用用戶“看得懂、聽得懂”的語言來替代“IT語言”的定義與表達，進而實現(xiàn)系統(tǒng)權限的精細化管理也將成為主流。

　　與此同時，業(yè)權管理也將繼續(xù)以高速發(fā)展姿態(tài)向前呈現(xiàn)出業(yè)務權限集中化、自助化、自動化、智能化和運營化五大趨勢。

　　很長一段時間以來，大多數(shù)廠商在權限管理領域中，都將重點放在集中管理上，也就是集中化。在逐漸實現(xiàn)這一目標之后，接下來，自助化和自動化將成為發(fā)展的重點難點。目前我們只能看到權限管理的范圍和內(nèi)容，但是無法知道權限是何時何地被使用的；另外一方面，權限的識別、分類再到制定統(tǒng)一管理標準的過程，都需要時間和精力，現(xiàn)階段更多的是通過人工交流和分析的手段來確定，自動化、智能化識別還很難實現(xiàn)。

　　但在逐步實現(xiàn)自助化、自動化和智能化之后，鑒權也就是權限管理的運營也會成為領域內(nèi)的一個重要發(fā)展方向，舉例來說，按需求控制用戶在指定的時間段進行權限訪問即動態(tài)訪問控制就是其中一個重要方向。合理的運營能夠讓企業(yè)的業(yè)務流程更加高效，安全防護也會更加完善。

　　安全牛評

　　身份管理是企業(yè)數(shù)字化轉型中必須面對的問題，也是企業(yè)信息安全建設的重要基石。權限管理則是目前企業(yè)身份安全“木桶”中的一大短板，是目前企業(yè)亟需攻克的難題。我們看到，身份安全廠商正在轉變傳統(tǒng)的思維模式，助力用戶將權限管理全面回歸業(yè)務，形成集建、用、管、審、銷服務于一體的業(yè)務權限管理體系，降本增效，有效改善了長期以來企業(yè)內(nèi)部權限管理機制斷層、權限管理體系混亂的狀況，讓企業(yè)在安全管理建設和業(yè)務發(fā)展上實現(xiàn)了較好的提升。

　　權限管理作為多業(yè)務系統(tǒng)融合的重要一環(huán)，其未來在權限管理模型和權限管理技術水平方面還將會進一步發(fā)展完善，應時而變。而權限管理技術的落地和實施也會貫徹始終，成為企業(yè)數(shù)字化發(fā)展中必需要面對和跨越的關卡，這個過程需要企業(yè)在業(yè)務發(fā)展和企業(yè)安全管理的革新中不斷去思考、去創(chuàng)新、去踐行。