En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>細(xì)粒度權(quán)限> 一個(gè)不起眼的權(quán)限管理小漏洞,引發(fā)的一場(chǎng)企業(yè)安全大危機(jī)!

一個(gè)不起眼的權(quán)限管理小漏洞,引發(fā)的一場(chǎng)企業(yè)安全大危機(jī)!

文章

2023-10-19瀏覽次數(shù):555

某公司因調(diào)任未將人員權(quán)限及時(shí)回收清理,導(dǎo)致發(fā)生ERP系統(tǒng)越權(quán)訪問,獲取敏感數(shù)據(jù),引發(fā)嚴(yán)重的安全事件。

 

無獨(dú)有偶,某地方衛(wèi)生系統(tǒng)因內(nèi)部人員業(yè)務(wù)權(quán)限未與實(shí)際崗位對(duì)等匹配,造成50萬+條的新生兒和預(yù)產(chǎn)孕婦數(shù)據(jù)泄漏。

 

.....

 

很難想象,一次不及時(shí)的權(quán)限回收、一個(gè)崗位與權(quán)限的不匹配,這些看似很小的一個(gè)點(diǎn),卻能輕松的讓一家企業(yè)遭受一場(chǎng)安全危機(jī)或信任危機(jī),更有甚者直接帶給企業(yè)致命一擊。

 

這里,不禁靈魂一問:你的企業(yè)權(quán)限管理真的規(guī)范嗎?是否存在類似的、不易察覺的小漏洞?你對(duì)企業(yè)每個(gè)員工的權(quán)限心中有數(shù)嗎......

 

事實(shí)上,根據(jù)派拉軟件15年來的身份管理與訪問控制管理安全實(shí)踐,我們發(fā)現(xiàn)很多企業(yè)在信息化、數(shù)字化過程中,只注重業(yè)務(wù)系統(tǒng)的創(chuàng)新建設(shè),卻忽略了對(duì)各個(gè)業(yè)務(wù)系統(tǒng)身份與權(quán)限的統(tǒng)一治理與管控。

 

而隨著信息化與數(shù)字化進(jìn)程的日益深入,系統(tǒng)越來越多,權(quán)限愈加錯(cuò)綜復(fù)雜,加之人員的不斷擴(kuò)增、變動(dòng),身份管理的碎片化、混亂,企業(yè)權(quán)限管控就像一團(tuán)亂麻,各自為政又牽扯不清,剪不斷,理還亂。

 

這時(shí)候,一場(chǎng)破釜沉舟的統(tǒng)一權(quán)限治理行動(dòng),或早或晚,勢(shì)在必行!

 

派拉軟件在服務(wù)2000+客戶的實(shí)踐經(jīng)驗(yàn)累積下,從企業(yè)常見的授權(quán)流程與不同員工角色這兩大角度,盤點(diǎn)總結(jié)了大多數(shù)企業(yè)在權(quán)限管理過程中存在的問題,具體如下圖所示:

 

 

以上是權(quán)限管理的共性問題總結(jié),卻也基本涵蓋了大部分企業(yè)權(quán)限管理的痛點(diǎn)與難點(diǎn)。當(dāng)然,不同企業(yè)因管理要求與行業(yè)的不同,或多或少都會(huì)存在一些細(xì)微差異。

 

從上述盤點(diǎn)中,我們發(fā)現(xiàn),這些企業(yè)權(quán)限管理痛點(diǎn)與難點(diǎn)都非常細(xì)微。而這些的細(xì)微之處又往往是企業(yè)極易忽視,甚至看不到的地方。

 

要管控這些看似不起眼的問題,技術(shù)固然重要,但流程與制度要求的規(guī)范化更重要。

 

因此,派拉軟件會(huì)結(jié)合企業(yè)實(shí)際業(yè)務(wù)運(yùn)營管理要求與相關(guān)法律法規(guī),以及權(quán)限管控極易被忽視的問題點(diǎn),為企業(yè)制定一系列規(guī)范化、標(biāo)準(zhǔn)化的管理標(biāo)準(zhǔn)與業(yè)務(wù)流程,幫助企業(yè)建立一整套完整、適合企業(yè)的業(yè)權(quán)運(yùn)營規(guī)范體系。

 

在這套標(biāo)準(zhǔn)運(yùn)營規(guī)范體系之下,派拉軟件形成了一套成熟的業(yè)權(quán)一體化業(yè)務(wù)模型,有效應(yīng)對(duì)企業(yè)各種復(fù)雜的權(quán)限管理現(xiàn)狀與問題,具體如下圖所示:

 

 

這套業(yè)權(quán)一體化業(yè)務(wù)模型,能夠方便的對(duì)各類下游應(yīng)用系統(tǒng)按照不同權(quán)限構(gòu)成邏輯進(jìn)行權(quán)限回收。在實(shí)際業(yè)務(wù)中,基于不同數(shù)字身份不同標(biāo)識(shí),結(jié)合相應(yīng)的權(quán)限因子,適配合適的權(quán)限模型,通過各種便捷的授權(quán)機(jī)制,實(shí)現(xiàn)從現(xiàn)實(shí)中的人、端到業(yè)務(wù)應(yīng)用之間的權(quán)限匹配,減少業(yè)務(wù)崗位和系統(tǒng)權(quán)限的斷層,幫助企業(yè)達(dá)成權(quán)限治理的可視化、自動(dòng)化、合規(guī)化。

 

在問題梳理與規(guī)章制度確定下,結(jié)合派拉軟件業(yè)權(quán)一體化細(xì)粒度權(quán)限治理平臺(tái),幫助企業(yè)構(gòu)建完整的業(yè)權(quán)一體化權(quán)限治理能力,具體如下圖所示:

 

 

 

01

一個(gè)中心,可視化便捷自助服務(wù)

自助服務(wù)中心是為了幫助用戶實(shí)現(xiàn)權(quán)限便捷自助申請(qǐng),解決用戶權(quán)限申請(qǐng)不規(guī)范、申請(qǐng)流程不清、需要反復(fù)申請(qǐng)等問題。

 

員工通過自助服務(wù)中心可快速查看我的權(quán)限預(yù)覽、權(quán)限待辦、推薦權(quán)限、常用可申請(qǐng)權(quán)限、權(quán)限搜索、應(yīng)用中心等。若需新權(quán)限,可在線快速發(fā)起申請(qǐng)。申請(qǐng)流程按前期制定的規(guī)章制度,嚴(yán)格映射至線上流程,方便員工快速、自動(dòng)化、流程化、規(guī)范化完成權(quán)限申請(qǐng)。

 

管理員接收申請(qǐng)后,可按照用戶角色、職責(zé)、屬性等情況,快速進(jìn)行權(quán)限復(fù)制。平臺(tái)也會(huì)自動(dòng)按照身份角色與屬性以及權(quán)限因子分析,基于相應(yīng)權(quán)限模型,自動(dòng)進(jìn)行權(quán)限推薦,方便管理員安全、高效授權(quán)。

 

02

一個(gè)后臺(tái),自動(dòng)化高效動(dòng)態(tài)授權(quán)

權(quán)限管理平臺(tái)可支撐實(shí)現(xiàn)權(quán)限的集中回收、權(quán)限供應(yīng)策略維護(hù)及多維度授權(quán)機(jī)制管理。依托派拉軟件業(yè)權(quán)一體化細(xì)粒度權(quán)限管理平臺(tái),可對(duì)下游業(yè)務(wù)應(yīng)用系統(tǒng)角色、菜單、甚至數(shù)據(jù)級(jí)權(quán)限進(jìn)行集中回收。

 

基于最小權(quán)限分配原則,結(jié)合員工入轉(zhuǎn)調(diào)離全生命周期變化,進(jìn)行自動(dòng)化授權(quán)、變更、清權(quán)。確保只有經(jīng)過授權(quán)的用戶能夠獲得適當(dāng)級(jí)別的權(quán)限,實(shí)現(xiàn)自動(dòng)化、動(dòng)態(tài)化、智能化的細(xì)粒度授權(quán)。

 

03

一套日志,合規(guī)化全盤風(fēng)險(xiǎn)審計(jì)

通過全局可視化應(yīng)用/個(gè)人權(quán)限視圖、授權(quán)審計(jì)、權(quán)限變更審計(jì)、異常授權(quán)審計(jì),快速查看當(dāng)前的權(quán)限情況,輔助分析審查其中的漏洞,對(duì)發(fā)現(xiàn)的違規(guī)情況進(jìn)行追溯和分析;

 

通過權(quán)限合規(guī)治理機(jī)制,識(shí)別權(quán)限申請(qǐng)-授權(quán)-變更-回收等環(huán)節(jié)存在的各類不合規(guī)風(fēng)險(xiǎn),避免授權(quán)范圍過寬、授權(quán)操作過大、權(quán)限違反業(yè)務(wù)規(guī)則、過期權(quán)限等風(fēng)險(xiǎn),結(jié)合主動(dòng)提醒、拒絕授權(quán)、定期檢查等處理手段,實(shí)現(xiàn)權(quán)限業(yè)務(wù)全面規(guī)范、合規(guī)。

 

以上就是派拉軟件提供的業(yè)權(quán)一體化細(xì)粒度權(quán)限治理方案。從介紹中,我們也看到整個(gè)權(quán)限治理脫離不了身份治理,這也就是為什么說權(quán)限治理是身份治理的延伸。