En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>細(xì)粒度權(quán)限> 細(xì)粒度授權(quán)下的權(quán)限合規(guī)

細(xì)粒度授權(quán)下的權(quán)限合規(guī)

文章

2021-09-18瀏覽次數(shù):388

隨著信息化的快速發(fā)展和合規(guī)管理的深入普及,企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,傳統(tǒng)的安全邊界逐漸瓦解,越來越多企業(yè)開始關(guān)注企業(yè)數(shù)字化風(fēng)險(xiǎn)管控的措施和手段。

 

因此,企業(yè)在細(xì)粒度權(quán)限合規(guī)方面也逐漸面臨越來越多的挑戰(zhàn):

  • 缺少統(tǒng)一集中的權(quán)限合規(guī)策略,業(yè)務(wù)系統(tǒng)在運(yùn)營(yíng)過程中,無法有效的進(jìn)行風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)監(jiān)督;

  • 無法滿足對(duì)企業(yè)合規(guī)審計(jì)管理要求,導(dǎo)致企業(yè)安全管控要求不達(dá)標(biāo);

  • 業(yè)務(wù)安全和合規(guī)安全兩個(gè)方面,最小化授權(quán)的原則無法充分體現(xiàn)和控制;

  • 核心與機(jī)密業(yè)務(wù)權(quán)限過大和失控,數(shù)據(jù)泄露的風(fēng)險(xiǎn)隱患巨大;

  • 權(quán)限合規(guī)管理制度與流程體現(xiàn)不健全,無法做到 IT 運(yùn)營(yíng)的強(qiáng)有力的保障。

建立權(quán)限合規(guī)管理服務(wù)中心是企業(yè)進(jìn)行權(quán)限合規(guī)檢查、違規(guī)權(quán)限排查和合規(guī)審計(jì)追溯的技術(shù)手段,企業(yè)權(quán)限管理中心通過權(quán)責(zé)互斥矩陣和權(quán)限業(yè)務(wù)互斥規(guī)則,依據(jù)企業(yè)審計(jì)要求和內(nèi)控制度,幫助用戶分析發(fā)現(xiàn)權(quán)限管理中潛在的風(fēng)險(xiǎn),快速有效的進(jìn)行權(quán)限合規(guī)檢查及風(fēng)險(xiǎn)識(shí)別,通過內(nèi)置可配的合規(guī)模型進(jìn)行應(yīng)用權(quán)限的管理及日常維護(hù),對(duì)例外權(quán)限進(jìn)行補(bǔ)償控制,規(guī)避權(quán)限管理風(fēng)險(xiǎn)。

 

  權(quán)限合規(guī)模型有利于企業(yè)合規(guī)風(fēng)險(xiǎn)監(jiān)管

 

針對(duì)用戶進(jìn)行權(quán)限互斥,通常包括角色、業(yè)務(wù)和管理互斥,不合格的權(quán)限允許但有預(yù)警,一旦發(fā)生互斥,其權(quán)限不能被授予。

SOD職責(zé)分離:基于角色的訪問控制中通過實(shí)現(xiàn)不同的職責(zé)分離原則來達(dá)到不同的安全策略。在RBAC模型中,利用角色沖突實(shí)現(xiàn)職責(zé)分離,包括靜態(tài)職責(zé)分離、動(dòng)態(tài)職責(zé)分離、操作職責(zé)分離、歷史職責(zé)分離。角色沖突的程度與權(quán)限沖突有一定的關(guān)系,權(quán)限在角色之間共享的程度影響角色沖突的程度,由此可以實(shí)現(xiàn)權(quán)責(zé)分離的合規(guī)互斥和業(yè)務(wù)安全狀態(tài)監(jiān)管。

業(yè)務(wù)合規(guī)模型:根據(jù)企業(yè)業(yè)務(wù)管理特性具備的合理權(quán)限與詳細(xì)要求,如企業(yè)中的出納和會(huì)計(jì)需要設(shè)置不同的崗位,核心采購(gòu)崗位與費(fèi)用中心崗位需要進(jìn)行嚴(yán)格的業(yè)務(wù)要求。

 

管理合規(guī)模型:通常針對(duì)組織和部門的工作職責(zé)進(jìn)行權(quán)限合規(guī)審計(jì)的精細(xì)化管理和互斥策略。

 

  權(quán)限合規(guī)能力加速企業(yè)安全管理的落地與推廣

 

通過自動(dòng)關(guān)聯(lián)公司代碼相關(guān)信息,預(yù)置近萬條規(guī)則庫(kù);可自定義用戶關(guān)鍵事務(wù)代碼,可按需配置的SOD矩陣。支持自動(dòng)生成權(quán)責(zé)分離問題清單,對(duì)用戶不合規(guī)的權(quán)責(zé)互斥權(quán)限進(jìn)行檢查,可清晰地看到用戶擁有權(quán)限的合規(guī)性。

序號(hào)

功能

功能詳細(xì)描述

1

SOD審計(jì)

根據(jù)SOD互聯(lián)清單列出所有用戶,詳細(xì)查看SOD定義的角色、授權(quán)對(duì)象、授權(quán)字段的關(guān)系

2

權(quán)限清單

列出所有最終用戶、管理用戶、特殊用戶的權(quán)限列表

3

權(quán)限視圖

根據(jù)用戶的角色、部門、崗位展現(xiàn)清晰的權(quán)限關(guān)聯(lián)和繼承權(quán)限

4

跨業(yè)務(wù)權(quán)限

列出跨業(yè)務(wù)系統(tǒng)權(quán)限的用戶

5

越權(quán)檢查

列出違法SOD設(shè)置的越權(quán)用戶對(duì)象及具備的權(quán)限

6

權(quán)限鎖定

自動(dòng)或手動(dòng)鎖定違規(guī)權(quán)限

7

角色檢查

查詢某個(gè)角色對(duì)應(yīng)的合規(guī)權(quán)限和用戶

8

用戶檢查

查詢某個(gè)用戶對(duì)應(yīng)的合規(guī)權(quán)限和所屬角色

9

權(quán)限檢查

查詢業(yè)務(wù)權(quán)限對(duì)應(yīng)的人員和角色構(gòu)成

10

互斥策略

定義權(quán)限互斥策略及權(quán)限最大和最小要求

11

合規(guī)報(bào)表

展現(xiàn)不同維度的權(quán)限合規(guī)報(bào)表

12

職責(zé)定義

根據(jù)定崗定編原則定義權(quán)限合規(guī)

13

業(yè)務(wù)定義

根據(jù)業(yè)務(wù)特性定義權(quán)限合規(guī)

14

管理定義

根據(jù)關(guān)聯(lián)特性定義權(quán)限合規(guī)

15

合規(guī)流程

定義權(quán)限合規(guī)審閱流程,定義多人并行審批、串行審批

16

基礎(chǔ)管理

配置全局策略、個(gè)性化策略及流程審批節(jié)點(diǎn)等

17

關(guān)聯(lián)設(shè)置

設(shè)置授權(quán)資源、合規(guī)范圍及合規(guī)用戶對(duì)象

18

SOD設(shè)置

設(shè)置權(quán)責(zé)互斥清單

19

合規(guī)監(jiān)控

權(quán)限出現(xiàn)互斥的監(jiān)控、分析和報(bào)警關(guān)聯(lián)

 

  統(tǒng)一權(quán)限合規(guī)管理為企業(yè)數(shù)字化建設(shè)帶來的價(jià)值

 

建立統(tǒng)一規(guī)范化的流程,完善權(quán)限合規(guī)管理體系,加強(qiáng)風(fēng)險(xiǎn)管理能力,將風(fēng)險(xiǎn)管控模式與企業(yè)戰(zhàn)略模式結(jié)合,有利于快速推動(dòng)數(shù)字化轉(zhuǎn)型的要求:

 

  • 通過合規(guī)審計(jì)能力,快速有效實(shí)現(xiàn)權(quán)限合規(guī)檢查及風(fēng)險(xiǎn)識(shí)別審計(jì);

  • 落實(shí)符合企業(yè)信息安全合規(guī)要求,實(shí)現(xiàn)企業(yè)的風(fēng)險(xiǎn)管控要求與指標(biāo);

  • 基于合規(guī)要求,建立權(quán)限合規(guī)審查與流程機(jī)制,形成安全體系架構(gòu);

  • 通過實(shí)現(xiàn)權(quán)限合規(guī)深度能力,幫助企業(yè)實(shí)現(xiàn)和推動(dòng)數(shù)字化轉(zhuǎn)型。