En 400-6655-581
5
返回列表
> 资源中心 > 文章>产品>细粒度权限> 细粒度授权下的权限合规

细粒度授权下的权限合规

文章

2021-09-18浏览次数:390

随着信息化的快速发展和合规管理的深入普及,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解,越来越多企业开始关注企业数字化风险管控的措施和手段。

 

因此,企业在细粒度权限合规方面也逐渐面临越来越多的挑战:

  • 缺少统一集中的权限合规策略,业务系统在运营过程中,无法有效的进行风险管理和风险监督;

  • 无法满足对企业合规审计管理要求,导致企业安全管控要求不达标;

  • 业务安全和合规安全两个方面,最小化授权的原则无法充分体现和控制;

  • 核心与机密业务权限过大和失控,数据泄露的风险隐患巨大;

  • 权限合规管理制度与流程体现不健全,无法做到 IT 运营的强有力的保障。

建立权限合规管理服务中心是企业进行权限合规检查、违规权限排查和合规审计追溯的技术手段,企业权限管理中心通过权责互斥矩阵和权限业务互斥规则,依据企业审计要求和内控制度,帮助用户分析发现权限管理中潜在的风险,快速有效的进行权限合规检查及风险识别,通过内置可配的合规模型进行应用权限的管理及日常维护,对例外权限进行补偿控制,规避权限管理风险。

 

  权限合规模型有利于企业合规风险监管

 

针对用户进行权限互斥,通常包括角色、业务和管理互斥,不合格的权限允许但有预警,一旦发生互斥,其权限不能被授予。

SOD职责分离:基于角色的访问控制中通过实现不同的职责分离原则来达到不同的安全策略。在RBAC模型中,利用角色冲突实现职责分离,包括静态职责分离、动态职责分离、操作职责分离、历史职责分离。角色冲突的程度与权限冲突有一定的关系,权限在角色之间共享的程度影响角色冲突的程度,由此可以实现权责分离的合规互斥和业务安全状态监管。

业务合规模型:根据企业业务管理特性具备的合理权限与详细要求,如企业中的出纳和会计需要设置不同的岗位,核心采购岗位与费用中心岗位需要进行严格的业务要求。

 

管理合规模型:通常针对组织和部门的工作职责进行权限合规审计的精细化管理和互斥策略。

 

  权限合规能力加速企业安全管理的落地与推广

 

通过自动关联公司代码相关信息,预置近万条规则库;可自定义用户关键事务代码,可按需配置的SOD矩阵。支持自动生成权责分离问题清单,对用户不合规的权责互斥权限进行检查,可清晰地看到用户拥有权限的合规性。

序号

功能

功能详细描述

1

SOD审计

根据SOD互联清单列出所有用户,详细查看SOD定义的角色、授权对象、授权字段的关系

2

权限清单

列出所有最终用户、管理用户、特殊用户的权限列表

3

权限视图

根据用户的角色、部门、岗位展现清晰的权限关联和继承权限

4

跨业务权限

列出跨业务系统权限的用户

5

越权检查

列出违法SOD设置的越权用户对象及具备的权限

6

权限锁定

自动或手动锁定违规权限

7

角色检查

查询某个角色对应的合规权限和用户

8

用户检查

查询某个用户对应的合规权限和所属角色

9

权限检查

查询业务权限对应的人员和角色构成

10

互斥策略

定义权限互斥策略及权限最大和最小要求

11

合规报表

展现不同维度的权限合规报表

12

职责定义

根据定岗定编原则定义权限合规

13

业务定义

根据业务特性定义权限合规

14

管理定义

根据关联特性定义权限合规

15

合规流程

定义权限合规审阅流程,定义多人并行审批、串行审批

16

基础管理

配置全局策略、个性化策略及流程审批节点等

17

关联设置

设置授权资源、合规范围及合规用户对象

18

SOD设置

设置权责互斥清单

19

合规监控

权限出现互斥的监控、分析和报警关联

 

  统一权限合规管理为企业数字化建设带来的价值

 

建立统一规范化的流程,完善权限合规管理体系,加强风险管理能力,将风险管控模式与企业战略模式结合,有利于快速推动数字化转型的要求:

 

  • 通过合规审计能力,快速有效实现权限合规检查及风险识别审计;

  • 落实符合企业信息安全合规要求,实现企业的风险管控要求与指标;

  • 基于合规要求,建立权限合规审查与流程机制,形成安全体系架构;

  • 通过实现权限合规深度能力,帮助企业实现和推动数字化转型。