企業(yè)的現(xiàn)代化建設(shè)離不開權(quán)限管理，但隨著數(shù)字化程度的不斷加深，企業(yè)內(nèi)部的權(quán)限管理也面臨著巨大的考驗(yàn)，諸如企業(yè)內(nèi)部權(quán)限管理模型種類數(shù)量繁多，統(tǒng)一管理標(biāo)準(zhǔn)建立困難、實(shí)際應(yīng)用場景局限性明顯、權(quán)限分配錯(cuò)誤、人員崗位變動(dòng)導(dǎo)致權(quán)限漏洞等諸多問題頻發(fā)，致使企業(yè)的數(shù)字化轉(zhuǎn)型和業(yè)務(wù)發(fā)展受到阻礙，影響到了企業(yè)的安全文化和風(fēng)控管控。權(quán)限管理系統(tǒng)本應(yīng)作為助力企業(yè)內(nèi)部建設(shè)和高效治理的利器，卻因?yàn)樯鲜鰡栴}成為了掣肘企業(yè)全面發(fā)展、成長的攔路虎，因此越來越多的廠商開始將企業(yè)權(quán)限管理系統(tǒng)的數(shù)字化變革與創(chuàng)新計(jì)劃提上日程。

　　近日，安全牛邀請到了數(shù)字身份管理領(lǐng)域?qū)＜?、美的集團(tuán)美云智數(shù)身份云總經(jīng)理滕偉先生，圍繞“業(yè)權(quán)一體化”權(quán)限管理模型，對企業(yè)長期以來所面臨的權(quán)限管理難題、現(xiàn)階段解決方案以及未來發(fā)展趨勢和方向進(jìn)行了剖析。

　　一、現(xiàn)階段企業(yè)所面臨的權(quán)限管理挑戰(zhàn)主要有哪些？對企業(yè)造成了何種影響？

　　滕偉：企業(yè)的權(quán)限管理問題由來已久，可以追溯到二十年前，但在數(shù)字化浪潮下真正落地實(shí)現(xiàn)系統(tǒng)化、集中化、標(biāo)準(zhǔn)化的模型管理卻是近幾年的事。阻礙因素主要有以下幾個(gè)原因：

　　時(shí)耗長、效率低：權(quán)限管理系統(tǒng)本身所帶來的管理和維護(hù)工作對一個(gè)企業(yè)來說就是一個(gè)挑戰(zhàn)。對于中大型企業(yè)來說每個(gè)員工按照工作需求，逐一開通各自權(quán)限十分耗時(shí)；另外，過去，企業(yè)內(nèi)部的權(quán)限管理模型雜亂、繁多且不透明，管理層無法清晰的知曉每個(gè)員工的具體權(quán)限是什么，新員工的入職、老員工的調(diào)崗或離職都會(huì)涉及到權(quán)限的開通與關(guān)閉，但以往企業(yè)內(nèi)部權(quán)限管理系統(tǒng)對于權(quán)限功能的描述表達(dá)“IT語言”專業(yè)性較強(qiáng)，普通員工大數(shù)情況根本看不懂，同時(shí)企業(yè)內(nèi)部的權(quán)限管理模型又無統(tǒng)一規(guī)范要求，種類百花齊放，管理混亂如麻。

　　權(quán)限管理機(jī)制斷層：由于權(quán)限管理系統(tǒng)都是由IT人員開發(fā)的，因此長久以來，大家都是想當(dāng)然的認(rèn)為權(quán)限管理系統(tǒng)都該由IT負(fù)責(zé)。但實(shí)際上IT對于業(yè)務(wù)并不了解，對于權(quán)限管理并沒有準(zhǔn)確的判斷能力，尤其是在公司內(nèi)部沒有明確的審核流程的情況下，很容易出現(xiàn)“來者必開，開者必大”的情況；同時(shí)，企業(yè)一般沒有權(quán)限開放與回收的聯(lián)動(dòng)機(jī)制，“只開不關(guān)”的情況也頻繁出現(xiàn)，很多用戶離職后還持有相關(guān)權(quán)限的例子并不少見。以上這些情況，都對公司產(chǎn)生了嚴(yán)重的安全威脅。

　　權(quán)限不集中，無法標(biāo)簽化管理：當(dāng)安全信息和管控策略分散在企業(yè)內(nèi)部的各個(gè)系統(tǒng)時(shí)，是無法進(jìn)行標(biāo)簽分類管理的。但針對上述情況我們知道，權(quán)限必須集中化后才能方便審查、審核，并根據(jù)實(shí)際需求及時(shí)調(diào)整、關(guān)閉不必要的項(xiàng)目類別。另外權(quán)限集中之后還有一個(gè)值得一提的優(yōu)勢，即為人力資源部提供關(guān)鍵崗位預(yù)測的數(shù)據(jù)資料。眾所周知，企業(yè)的人力資源部門每年需要投入很大的資金來判別哪些是關(guān)鍵崗位，因此，如果企業(yè)能夠?qū)崿F(xiàn)權(quán)限統(tǒng)一管理，在另一層面上來說也是在實(shí)現(xiàn)降本增效。

　　二、美云智數(shù)日前聯(lián)合發(fā)布了業(yè)權(quán)一體化白皮書，提出了從企業(yè)業(yè)務(wù)的角度來應(yīng)對權(quán)限管理的挑戰(zhàn)。請您談?wù)勎覀儜?yīng)該如何理解業(yè)權(quán)一體化的概念。

　　滕偉：談起權(quán)限管理，我們理所當(dāng)然的想到企權(quán)限管理中的四大要點(diǎn)：賬號(hào)（account）、認(rèn)證（authentication）、權(quán)限（authority）和審計(jì)（audit）。

　　業(yè)權(quán)一體化實(shí)際上是指由業(yè)務(wù)部門負(fù)責(zé)權(quán)限管理的職能，進(jìn)而實(shí)現(xiàn)業(yè)務(wù)和IT系統(tǒng)權(quán)限配置、管理一體化，讓IT聚焦數(shù)字，讓權(quán)限回歸業(yè)務(wù)。以便更加高效、精準(zhǔn)的滿足組織運(yùn)營的風(fēng)控合規(guī)需求，實(shí)現(xiàn)權(quán)限管理真正意義上“4A”落地，為業(yè)內(nèi)全面了解和應(yīng)用第四代權(quán)限產(chǎn)品提供一個(gè)服務(wù)窗口。

　　三、相比較目前行業(yè)中現(xiàn)有的權(quán)限管理方案，用戶采用業(yè)權(quán)一體化解決方案的收益會(huì)有哪些？

　　滕偉：市場上目前存在的權(quán)限管理模型多數(shù)只能適配一種或其中幾種權(quán)限管理系統(tǒng)。但實(shí)際狀況是，現(xiàn)存的管理系統(tǒng)有些是傳統(tǒng)的ABAC①和RBAC②模型，有些則是在此基礎(chǔ)上增加了更加多元化、延展性功能的“變型”產(chǎn)品，因此企業(yè)對權(quán)限管理模型適配能力的高要求不言而喻。

　　業(yè)權(quán)一體化基于原生的ABAC和RBAC進(jìn)行了多維度的模型擴(kuò)展，逐漸完善了更高層次的復(fù)合模型。能夠進(jìn)一步解決業(yè)務(wù)發(fā)展帶來的安全管理、權(quán)限管理、資源管理和權(quán)限審查等問題。

　　另外，業(yè)權(quán)一體化模型能夠提供“原子化”的權(quán)限服務(wù)。即業(yè)務(wù)層構(gòu)建專業(yè)化的領(lǐng)域能力服務(wù)，左邊與用戶拉通，右邊再與流程以及合規(guī)審計(jì)拉通，實(shí)現(xiàn)了企業(yè)權(quán)限管理全過程的業(yè)務(wù)閉環(huán)與智能化彈性伸縮能力；其次，業(yè)權(quán)一體化在幾乎適配所有主流權(quán)限管理系統(tǒng)模型的同時(shí)，還擁有直接與權(quán)限單獨(dú)掛鉤管理的功能，無需企業(yè)再花費(fèi)時(shí)間分析權(quán)限管理模型類別，更加便捷高效。

　　四、權(quán)限管理涉及的業(yè)務(wù)系統(tǒng)眾多，項(xiàng)目建設(shè)難度往往較大。對不同類型的企業(yè)用戶來說，應(yīng)該如何部署、應(yīng)用業(yè)權(quán)一體化方案，需要進(jìn)行哪些準(zhǔn)備？

　　滕偉：其實(shí)企業(yè)在業(yè)權(quán)一體化解決方案的實(shí)際應(yīng)用部署上，最重要的一點(diǎn)是實(shí)現(xiàn)思路上的轉(zhuǎn)變。

　　為什么說是思路上的轉(zhuǎn)變呢？過去，很多企業(yè)在做權(quán)限管理模型時(shí)，并沒有站在業(yè)務(wù)的角度進(jìn)行思考，在實(shí)際應(yīng)用時(shí)也都是推給IT來負(fù)責(zé)，業(yè)務(wù)被隔絕在外。但事實(shí)上，業(yè)務(wù)恰恰是其中的核心。業(yè)權(quán)一體化理念的提出，便是讓權(quán)限回歸業(yè)務(wù)，改善權(quán)限管理機(jī)制斷層的問題，保證企業(yè)的管理人員能夠清晰明了的掌握員工的權(quán)限開通情況，讓企業(yè)每個(gè)部門、每個(gè)成員的權(quán)限開關(guān)都有理可依、有序可循，實(shí)現(xiàn)標(biāo)準(zhǔn)化的權(quán)限開放與回收閉環(huán)。

　　在實(shí)際操作應(yīng)用方面，企業(yè)在實(shí)施權(quán)限管理時(shí)，最大的困難點(diǎn)在于現(xiàn)狀梳理、標(biāo)準(zhǔn)定義，以及需要適配復(fù)雜多樣的權(quán)限管理模型，并在有特殊情況存在時(shí)進(jìn)行模型的調(diào)整和改造，否則統(tǒng)一平臺(tái)都已經(jīng)非常困難，更遑論自助化、自動(dòng)化等降本增效的高階業(yè)務(wù)。因此，美云智數(shù)業(yè)權(quán)一體化參考傳統(tǒng)中醫(yī)治療“望、聞、問、切”方法，構(gòu)建了一套EPM（企業(yè)權(quán)限機(jī)器）方法論1.0/2.0/3.0。

　　首先拉通賬戶，以先進(jìn)的用戶身份進(jìn)行畫像，建立全新的業(yè)權(quán)一體多驅(qū)動(dòng)運(yùn)作模式，這便是“望”；通過用戶驅(qū)動(dòng)、組織驅(qū)動(dòng)、大數(shù)據(jù)AI驅(qū)動(dòng)，閉環(huán)實(shí)現(xiàn)統(tǒng)一的業(yè)權(quán)管理平臺(tái)集中化（業(yè)務(wù)平滑過渡）、標(biāo)準(zhǔn)化（最小標(biāo)準(zhǔn)迭代與執(zhí)行）、自動(dòng)化（入轉(zhuǎn)調(diào)離）和可視化（權(quán)限審計(jì)報(bào)表、權(quán)限運(yùn)營報(bào)告），這便是“聞”；接下來，權(quán)限治理（迭代優(yōu)化、柔性治理），根據(jù)審計(jì)和實(shí)際需要靈活變動(dòng)，對不同類型的用戶和系統(tǒng)，全過程柔性接入，這便是“問”；最終一步，就是配置好流程之后，只要員工到達(dá)相關(guān)的部門崗位，便能按照統(tǒng)一規(guī)范，自動(dòng)開通權(quán)限管理，這就是“切”。

　　借助這一套方法，幫助企業(yè)從“權(quán)限體檢服務(wù)、權(quán)限中臺(tái)服務(wù)、權(quán)限流程服務(wù)、用戶權(quán)限自助服務(wù)、權(quán)限審計(jì)分析服務(wù)”等全業(yè)務(wù)維度，實(shí)現(xiàn)權(quán)限管理快速高效落地。結(jié)合實(shí)際適配案例，部分企業(yè)最快一天之內(nèi)就可以完全適配應(yīng)用。

　　五、身份安全是企業(yè)網(wǎng)絡(luò)安全建設(shè)的重要領(lǐng)域，也是企業(yè)數(shù)值化轉(zhuǎn)型的基礎(chǔ)性保障。對于業(yè)權(quán)一體化的解決方案而言，未來會(huì)有哪些發(fā)展趨勢？

　　滕偉：在數(shù)字化轉(zhuǎn)型變革的浪潮下，權(quán)限管理一定會(huì)從“幕后”走向“臺(tái)前”，與業(yè)務(wù)深度融合。所以，業(yè)權(quán)一體化這種權(quán)限回歸業(yè)務(wù)的應(yīng)用模式將會(huì)進(jìn)一步發(fā)展壯大，而且，運(yùn)用用戶“看得懂、聽得懂”的語言來替代“IT語言”的定義與表達(dá)，進(jìn)而實(shí)現(xiàn)系統(tǒng)權(quán)限的精細(xì)化管理也將成為主流。

　　與此同時(shí)，業(yè)權(quán)管理也將繼續(xù)以高速發(fā)展姿態(tài)向前呈現(xiàn)出業(yè)務(wù)權(quán)限集中化、自助化、自動(dòng)化、智能化和運(yùn)營化五大趨勢。

　　很長一段時(shí)間以來，大多數(shù)廠商在權(quán)限管理領(lǐng)域中，都將重點(diǎn)放在集中管理上，也就是集中化。在逐漸實(shí)現(xiàn)這一目標(biāo)之后，接下來，自助化和自動(dòng)化將成為發(fā)展的重點(diǎn)難點(diǎn)。目前我們只能看到權(quán)限管理的范圍和內(nèi)容，但是無法知道權(quán)限是何時(shí)何地被使用的；另外一方面，權(quán)限的識(shí)別、分類再到制定統(tǒng)一管理標(biāo)準(zhǔn)的過程，都需要時(shí)間和精力，現(xiàn)階段更多的是通過人工交流和分析的手段來確定，自動(dòng)化、智能化識(shí)別還很難實(shí)現(xiàn)。

　　但在逐步實(shí)現(xiàn)自助化、自動(dòng)化和智能化之后，鑒權(quán)也就是權(quán)限管理的運(yùn)營也會(huì)成為領(lǐng)域內(nèi)的一個(gè)重要發(fā)展方向，舉例來說，按需求控制用戶在指定的時(shí)間段進(jìn)行權(quán)限訪問即動(dòng)態(tài)訪問控制就是其中一個(gè)重要方向。合理的運(yùn)營能夠讓企業(yè)的業(yè)務(wù)流程更加高效，安全防護(hù)也會(huì)更加完善。

　　安全牛評

　　身份管理是企業(yè)數(shù)字化轉(zhuǎn)型中必須面對的問題，也是企業(yè)信息安全建設(shè)的重要基石。權(quán)限管理則是目前企業(yè)身份安全“木桶”中的一大短板，是目前企業(yè)亟需攻克的難題。我們看到，身份安全廠商正在轉(zhuǎn)變傳統(tǒng)的思維模式，助力用戶將權(quán)限管理全面回歸業(yè)務(wù)，形成集建、用、管、審、銷服務(wù)于一體的業(yè)務(wù)權(quán)限管理體系，降本增效，有效改善了長期以來企業(yè)內(nèi)部權(quán)限管理機(jī)制斷層、權(quán)限管理體系混亂的狀況，讓企業(yè)在安全管理建設(shè)和業(yè)務(wù)發(fā)展上實(shí)現(xiàn)了較好的提升。

　　權(quán)限管理作為多業(yè)務(wù)系統(tǒng)融合的重要一環(huán)，其未來在權(quán)限管理模型和權(quán)限管理技術(shù)水平方面還將會(huì)進(jìn)一步發(fā)展完善，應(yīng)時(shí)而變。而權(quán)限管理技術(shù)的落地和實(shí)施也會(huì)貫徹始終，成為企業(yè)數(shù)字化發(fā)展中必需要面對和跨越的關(guān)卡，這個(gè)過程需要企業(yè)在業(yè)務(wù)發(fā)展和企業(yè)安全管理的革新中不斷去思考、去創(chuàng)新、去踐行。