隨著信息化的快速發(fā)展和合規(guī)管理的深入普及,企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,傳統(tǒng)的安全邊界逐漸瓦解,越來越多企業(yè)開始關(guān)注企業(yè)數(shù)字化風(fēng)險(xiǎn)管控的措施和手段。
因此,企業(yè)在細(xì)粒度權(quán)限合規(guī)方面也逐漸面臨越來越多的挑戰(zhàn):
缺少統(tǒng)一集中的權(quán)限合規(guī)策略,業(yè)務(wù)系統(tǒng)在運(yùn)營(yíng)過程中,無法有效的進(jìn)行風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)監(jiān)督;
無法滿足對(duì)企業(yè)合規(guī)審計(jì)管理要求,導(dǎo)致企業(yè)安全管控要求不達(dá)標(biāo);
業(yè)務(wù)安全和合規(guī)安全兩個(gè)方面,最小化授權(quán)的原則無法充分體現(xiàn)和控制;
核心與機(jī)密業(yè)務(wù)權(quán)限過大和失控,數(shù)據(jù)泄露的風(fēng)險(xiǎn)隱患巨大;
權(quán)限合規(guī)管理制度與流程體現(xiàn)不健全,無法做到 IT 運(yùn)營(yíng)的強(qiáng)有力的保障。
建立權(quán)限合規(guī)管理服務(wù)中心是企業(yè)進(jìn)行權(quán)限合規(guī)檢查、違規(guī)權(quán)限排查和合規(guī)審計(jì)追溯的技術(shù)手段,企業(yè)權(quán)限管理中心通過權(quán)責(zé)互斥矩陣和權(quán)限業(yè)務(wù)互斥規(guī)則,依據(jù)企業(yè)審計(jì)要求和內(nèi)控制度,幫助用戶分析發(fā)現(xiàn)權(quán)限管理中潛在的風(fēng)險(xiǎn),快速有效的進(jìn)行權(quán)限合規(guī)檢查及風(fēng)險(xiǎn)識(shí)別,通過內(nèi)置可配的合規(guī)模型進(jìn)行應(yīng)用權(quán)限的管理及日常維護(hù),對(duì)例外權(quán)限進(jìn)行補(bǔ)償控制,規(guī)避權(quán)限管理風(fēng)險(xiǎn)。
權(quán)限合規(guī)模型有利于企業(yè)合規(guī)風(fēng)險(xiǎn)監(jiān)管
針對(duì)用戶進(jìn)行權(quán)限互斥,通常包括角色、業(yè)務(wù)和管理互斥,不合格的權(quán)限允許但有預(yù)警,一旦發(fā)生互斥,其權(quán)限不能被授予。
SOD職責(zé)分離:基于角色的訪問控制中通過實(shí)現(xiàn)不同的職責(zé)分離原則來達(dá)到不同的安全策略。在RBAC模型中,利用角色沖突實(shí)現(xiàn)職責(zé)分離,包括靜態(tài)職責(zé)分離、動(dòng)態(tài)職責(zé)分離、操作職責(zé)分離、歷史職責(zé)分離。角色沖突的程度與權(quán)限沖突有一定的關(guān)系,權(quán)限在角色之間共享的程度影響角色沖突的程度,由此可以實(shí)現(xiàn)權(quán)責(zé)分離的合規(guī)互斥和業(yè)務(wù)安全狀態(tài)監(jiān)管。
業(yè)務(wù)合規(guī)模型:根據(jù)企業(yè)業(yè)務(wù)管理特性具備的合理權(quán)限與詳細(xì)要求,如企業(yè)中的出納和會(huì)計(jì)需要設(shè)置不同的崗位,核心采購(gòu)崗位與費(fèi)用中心崗位需要進(jìn)行嚴(yán)格的業(yè)務(wù)要求。
管理合規(guī)模型:通常針對(duì)組織和部門的工作職責(zé)進(jìn)行權(quán)限合規(guī)審計(jì)的精細(xì)化管理和互斥策略。
權(quán)限合規(guī)能力加速企業(yè)安全管理的落地與推廣
通過自動(dòng)關(guān)聯(lián)公司代碼相關(guān)信息,預(yù)置近萬條規(guī)則庫(kù);可自定義用戶關(guān)鍵事務(wù)代碼,可按需配置的SOD矩陣。支持自動(dòng)生成權(quán)責(zé)分離問題清單,對(duì)用戶不合規(guī)的權(quán)責(zé)互斥權(quán)限進(jìn)行檢查,可清晰地看到用戶擁有權(quán)限的合規(guī)性。
序號(hào) |
功能 |
功能詳細(xì)描述 |
1 |
SOD審計(jì) |
根據(jù)SOD互聯(lián)清單列出所有用戶,詳細(xì)查看SOD定義的角色、授權(quán)對(duì)象、授權(quán)字段的關(guān)系 |
2 |
權(quán)限清單 |
列出所有最終用戶、管理用戶、特殊用戶的權(quán)限列表 |
3 |
權(quán)限視圖 |
根據(jù)用戶的角色、部門、崗位展現(xiàn)清晰的權(quán)限關(guān)聯(lián)和繼承權(quán)限 |
4 |
跨業(yè)務(wù)權(quán)限 |
列出跨業(yè)務(wù)系統(tǒng)權(quán)限的用戶 |
5 |
越權(quán)檢查 |
列出違法SOD設(shè)置的越權(quán)用戶對(duì)象及具備的權(quán)限 |
6 |
權(quán)限鎖定 |
自動(dòng)或手動(dòng)鎖定違規(guī)權(quán)限 |
7 |
角色檢查 |
查詢某個(gè)角色對(duì)應(yīng)的合規(guī)權(quán)限和用戶 |
8 |
用戶檢查 |
查詢某個(gè)用戶對(duì)應(yīng)的合規(guī)權(quán)限和所屬角色 |
9 |
權(quán)限檢查 |
查詢業(yè)務(wù)權(quán)限對(duì)應(yīng)的人員和角色構(gòu)成 |
10 |
互斥策略 |
定義權(quán)限互斥策略及權(quán)限最大和最小要求 |
11 |
合規(guī)報(bào)表 |
展現(xiàn)不同維度的權(quán)限合規(guī)報(bào)表 |
12 |
職責(zé)定義 |
根據(jù)定崗定編原則定義權(quán)限合規(guī) |
13 |
業(yè)務(wù)定義 |
根據(jù)業(yè)務(wù)特性定義權(quán)限合規(guī) |
14 |
管理定義 |
根據(jù)關(guān)聯(lián)特性定義權(quán)限合規(guī) |
15 |
合規(guī)流程 |
定義權(quán)限合規(guī)審閱流程,定義多人并行審批、串行審批 |
16 |
基礎(chǔ)管理 |
配置全局策略、個(gè)性化策略及流程審批節(jié)點(diǎn)等 |
17 |
關(guān)聯(lián)設(shè)置 |
設(shè)置授權(quán)資源、合規(guī)范圍及合規(guī)用戶對(duì)象 |
18 |
SOD設(shè)置 |
設(shè)置權(quán)責(zé)互斥清單 |
19 |
合規(guī)監(jiān)控 |
權(quán)限出現(xiàn)互斥的監(jiān)控、分析和報(bào)警關(guān)聯(lián) |
統(tǒng)一權(quán)限合規(guī)管理為企業(yè)數(shù)字化建設(shè)帶來的價(jià)值
建立統(tǒng)一規(guī)范化的流程,完善權(quán)限合規(guī)管理體系,加強(qiáng)風(fēng)險(xiǎn)管理能力,將風(fēng)險(xiǎn)管控模式與企業(yè)戰(zhàn)略模式結(jié)合,有利于快速推動(dòng)數(shù)字化轉(zhuǎn)型的要求:
通過合規(guī)審計(jì)能力,快速有效實(shí)現(xiàn)權(quán)限合規(guī)檢查及風(fēng)險(xiǎn)識(shí)別審計(jì);
落實(shí)符合企業(yè)信息安全合規(guī)要求,實(shí)現(xiàn)企業(yè)的風(fēng)險(xiǎn)管控要求與指標(biāo);
基于合規(guī)要求,建立權(quán)限合規(guī)審查與流程機(jī)制,形成安全體系架構(gòu);
通過實(shí)現(xiàn)權(quán)限合規(guī)深度能力,幫助企業(yè)實(shí)現(xiàn)和推動(dòng)數(shù)字化轉(zhuǎn)型。