企業的現代化建設離不開權限管理,但隨著數字化程度的不斷加深,企業內部的權限管理也面臨著巨大的考驗,諸如企業內部權限管理模型種類數量繁多,統一管理標準建立困難、實際應用場景局限性明顯、權限分配錯誤、人員崗位變動導致權限漏洞等諸多問題頻發,致使企業的數字化轉型和業務發展受到阻礙,影響到了企業的安全文化和風控管控。權限管理系統本應作為助力企業內部建設和高效治理的利器,卻因為上述問題成為了掣肘企業全面發展、成長的攔路虎,因此越來越多的廠商開始將企業權限管理系統的數字化變革與創新計劃提上日程。
近日,安全牛邀請到了數字身份管理領域專家、美的集團美云智數身份云總經理滕偉先生,圍繞“業權一體化”權限管理模型,對企業長期以來所面臨的權限管理難題、現階段解決方案以及未來發展趨勢和方向進行了剖析。
一、現階段企業所面臨的權限管理挑戰主要有哪些?對企業造成了何種影響?
滕偉:企業的權限管理問題由來已久,可以追溯到二十年前,但在數字化浪潮下真正落地實現系統化、集中化、標準化的模型管理卻是近幾年的事。阻礙因素主要有以下幾個原因:
時耗長、效率低:權限管理系統本身所帶來的管理和維護工作對一個企業來說就是一個挑戰。對于中大型企業來說每個員工按照工作需求,逐一開通各自權限十分耗時;另外,過去,企業內部的權限管理模型雜亂、繁多且不透明,管理層無法清晰的知曉每個員工的具體權限是什么,新員工的入職、老員工的調崗或離職都會涉及到權限的開通與關閉,但以往企業內部權限管理系統對于權限功能的描述表達“IT語言”專業性較強,普通員工大數情況根本看不懂,同時企業內部的權限管理模型又無統一規范要求,種類百花齊放,管理混亂如麻。
權限管理機制斷層:由于權限管理系統都是由IT人員開發的,因此長久以來,大家都是想當然的認為權限管理系統都該由IT負責。但實際上IT對于業務并不了解,對于權限管理并沒有準確的判斷能力,尤其是在公司內部沒有明確的審核流程的情況下,很容易出現“來者必開,開者必大”的情況;同時,企業一般沒有權限開放與回收的聯動機制,“只開不關”的情況也頻繁出現,很多用戶離職后還持有相關權限的例子并不少見。以上這些情況,都對公司產生了嚴重的安全威脅。
權限不集中,無法標簽化管理:當安全信息和管控策略分散在企業內部的各個系統時,是無法進行標簽分類管理的。但針對上述情況我們知道,權限必須集中化后才能方便審查、審核,并根據實際需求及時調整、關閉不必要的項目類別。另外權限集中之后還有一個值得一提的優勢,即為人力資源部提供關鍵崗位預測的數據資料。眾所周知,企業的人力資源部門每年需要投入很大的資金來判別哪些是關鍵崗位,因此,如果企業能夠實現權限統一管理,在另一層面上來說也是在實現降本增效。
二、美云智數日前聯合發布了業權一體化白皮書,提出了從企業業務的角度來應對權限管理的挑戰。請您談談我們應該如何理解業權一體化的概念。
滕偉:談起權限管理,我們理所當然的想到企權限管理中的四大要點:賬號(account)、認證(authentication)、權限(authority)和審計(audit)。
業權一體化實際上是指由業務部門負責權限管理的職能,進而實現業務和IT系統權限配置、管理一體化,讓IT聚焦數字,讓權限回歸業務。以便更加高效、精準的滿足組織運營的風控合規需求,實現權限管理真正意義上“4A”落地,為業內全面了解和應用第四代權限產品提供一個服務窗口。
三、相比較目前行業中現有的權限管理方案,用戶采用業權一體化解決方案的收益會有哪些?
滕偉:市場上目前存在的權限管理模型多數只能適配一種或其中幾種權限管理系統。但實際狀況是,現存的管理系統有些是傳統的ABAC①和RBAC②模型,有些則是在此基礎上增加了更加多元化、延展性功能的“變型”產品,因此企業對權限管理模型適配能力的高要求不言而喻。
業權一體化基于原生的ABAC和RBAC進行了多維度的模型擴展,逐漸完善了更高層次的復合模型。能夠進一步解決業務發展帶來的安全管理、權限管理、資源管理和權限審查等問題。
另外,業權一體化模型能夠提供“原子化”的權限服務。即業務層構建專業化的領域能力服務,左邊與用戶拉通,右邊再與流程以及合規審計拉通,實現了企業權限管理全過程的業務閉環與智能化彈性伸縮能力;其次,業權一體化在幾乎適配所有主流權限管理系統模型的同時,還擁有直接與權限單獨掛鉤管理的功能,無需企業再花費時間分析權限管理模型類別,更加便捷高效。
四、權限管理涉及的業務系統眾多,項目建設難度往往較大。對不同類型的企業用戶來說,應該如何部署、應用業權一體化方案,需要進行哪些準備?
滕偉:其實企業在業權一體化解決方案的實際應用部署上,最重要的一點是實現思路上的轉變。
為什么說是思路上的轉變呢?過去,很多企業在做權限管理模型時,并沒有站在業務的角度進行思考,在實際應用時也都是推給IT來負責,業務被隔絕在外。但事實上,業務恰恰是其中的核心。業權一體化理念的提出,便是讓權限回歸業務,改善權限管理機制斷層的問題,保證企業的管理人員能夠清晰明了的掌握員工的權限開通情況,讓企業每個部門、每個成員的權限開關都有理可依、有序可循,實現標準化的權限開放與回收閉環。
在實際操作應用方面,企業在實施權限管理時,最大的困難點在于現狀梳理、標準定義,以及需要適配復雜多樣的權限管理模型,并在有特殊情況存在時進行模型的調整和改造,否則統一平臺都已經非常困難,更遑論自助化、自動化等降本增效的高階業務。因此,美云智數業權一體化參考傳統中醫治療“望、聞、問、切”方法,構建了一套EPM(企業權限機器)方法論1.0/2.0/3.0。
首先拉通賬戶,以先進的用戶身份進行畫像,建立全新的業權一體多驅動運作模式,這便是“望”;通過用戶驅動、組織驅動、大數據AI驅動,閉環實現統一的業權管理平臺集中化(業務平滑過渡)、標準化(最小標準迭代與執行)、自動化(入轉調離)和可視化(權限審計報表、權限運營報告),這便是“聞”;接下來,權限治理(迭代優化、柔性治理),根據審計和實際需要靈活變動,對不同類型的用戶和系統,全過程柔性接入,這便是“問”;最終一步,就是配置好流程之后,只要員工到達相關的部門崗位,便能按照統一規范,自動開通權限管理,這就是“切”。
借助這一套方法,幫助企業從“權限體檢服務、權限中臺服務、權限流程服務、用戶權限自助服務、權限審計分析服務”等全業務維度,實現權限管理快速高效落地。結合實際適配案例,部分企業最快一天之內就可以完全適配應用。
五、身份安全是企業網絡安全建設的重要領域,也是企業數值化轉型的基礎性保障。對于業權一體化的解決方案而言,未來會有哪些發展趨勢?
滕偉:在數字化轉型變革的浪潮下,權限管理一定會從“幕后”走向“臺前”,與業務深度融合。所以,業權一體化這種權限回歸業務的應用模式將會進一步發展壯大,而且,運用用戶“看得懂、聽得懂”的語言來替代“IT語言”的定義與表達,進而實現系統權限的精細化管理也將成為主流。
與此同時,業權管理也將繼續以高速發展姿態向前呈現出業務權限集中化、自助化、自動化、智能化和運營化五大趨勢。
很長一段時間以來,大多數廠商在權限管理領域中,都將重點放在集中管理上,也就是集中化。在逐漸實現這一目標之后,接下來,自助化和自動化將成為發展的重點難點。目前我們只能看到權限管理的范圍和內容,但是無法知道權限是何時何地被使用的;另外一方面,權限的識別、分類再到制定統一管理標準的過程,都需要時間和精力,現階段更多的是通過人工交流和分析的手段來確定,自動化、智能化識別還很難實現。
但在逐步實現自助化、自動化和智能化之后,鑒權也就是權限管理的運營也會成為領域內的一個重要發展方向,舉例來說,按需求控制用戶在指定的時間段進行權限訪問即動態訪問控制就是其中一個重要方向。合理的運營能夠讓企業的業務流程更加高效,安全防護也會更加完善。
安全牛評
身份管理是企業數字化轉型中必須面對的問題,也是企業信息安全建設的重要基石。權限管理則是目前企業身份安全“木桶”中的一大短板,是目前企業亟需攻克的難題。我們看到,身份安全廠商正在轉變傳統的思維模式,助力用戶將權限管理全面回歸業務,形成集建、用、管、審、銷服務于一體的業務權限管理體系,降本增效,有效改善了長期以來企業內部權限管理機制斷層、權限管理體系混亂的狀況,讓企業在安全管理建設和業務發展上實現了較好的提升。
權限管理作為多業務系統融合的重要一環,其未來在權限管理模型和權限管理技術水平方面還將會進一步發展完善,應時而變。而權限管理技術的落地和實施也會貫徹始終,成為企業數字化發展中必需要面對和跨越的關卡,這個過程需要企業在業務發展和企業安全管理的革新中不斷去思考、去創新、去踐行。
