En 400-6655-581
5
返回列表
> 資源中心 > 文章>產品>細粒度權限> 細粒度授權下的權限合規(guī)

細粒度授權下的權限合規(guī)

文章

2021-09-18瀏覽次數(shù):551

隨著信息化的快速發(fā)展和合規(guī)管理的深入普及,企業(yè)IT架構正在從“有邊界”向“無邊界”轉變,傳統(tǒng)的安全邊界逐漸瓦解,越來越多企業(yè)開始關注企業(yè)數(shù)字化風險管控的措施和手段。

 

因此,企業(yè)在細粒度權限合規(guī)方面也逐漸面臨越來越多的挑戰(zhàn):

  • 缺少統(tǒng)一集中的權限合規(guī)策略,業(yè)務系統(tǒng)在運營過程中,無法有效的進行風險管理和風險監(jiān)督;

  • 無法滿足對企業(yè)合規(guī)審計管理要求,導致企業(yè)安全管控要求不達標;

  • 業(yè)務安全和合規(guī)安全兩個方面,最小化授權的原則無法充分體現(xiàn)和控制;

  • 核心與機密業(yè)務權限過大和失控,數(shù)據(jù)泄露的風險隱患巨大;

  • 權限合規(guī)管理制度與流程體現(xiàn)不健全,無法做到 IT 運營的強有力的保障。

建立權限合規(guī)管理服務中心是企業(yè)進行權限合規(guī)檢查、違規(guī)權限排查和合規(guī)審計追溯的技術手段,企業(yè)權限管理中心通過權責互斥矩陣和權限業(yè)務互斥規(guī)則,依據(jù)企業(yè)審計要求和內控制度,幫助用戶分析發(fā)現(xiàn)權限管理中潛在的風險,快速有效的進行權限合規(guī)檢查及風險識別,通過內置可配的合規(guī)模型進行應用權限的管理及日常維護,對例外權限進行補償控制,規(guī)避權限管理風險。

 

  權限合規(guī)模型有利于企業(yè)合規(guī)風險監(jiān)管

 

針對用戶進行權限互斥,通常包括角色、業(yè)務和管理互斥,不合格的權限允許但有預警,一旦發(fā)生互斥,其權限不能被授予。

SOD職責分離:基于角色的訪問控制中通過實現(xiàn)不同的職責分離原則來達到不同的安全策略。在RBAC模型中,利用角色沖突實現(xiàn)職責分離,包括靜態(tài)職責分離、動態(tài)職責分離、操作職責分離、歷史職責分離。角色沖突的程度與權限沖突有一定的關系,權限在角色之間共享的程度影響角色沖突的程度,由此可以實現(xiàn)權責分離的合規(guī)互斥和業(yè)務安全狀態(tài)監(jiān)管。

業(yè)務合規(guī)模型:根據(jù)企業(yè)業(yè)務管理特性具備的合理權限與詳細要求,如企業(yè)中的出納和會計需要設置不同的崗位,核心采購崗位與費用中心崗位需要進行嚴格的業(yè)務要求。

 

管理合規(guī)模型:通常針對組織和部門的工作職責進行權限合規(guī)審計的精細化管理和互斥策略。

 

  權限合規(guī)能力加速企業(yè)安全管理的落地與推廣

 

通過自動關聯(lián)公司代碼相關信息,預置近萬條規(guī)則庫;可自定義用戶關鍵事務代碼,可按需配置的SOD矩陣。支持自動生成權責分離問題清單,對用戶不合規(guī)的權責互斥權限進行檢查,可清晰地看到用戶擁有權限的合規(guī)性。

序號

功能

功能詳細描述

1

SOD審計

根據(jù)SOD互聯(lián)清單列出所有用戶,詳細查看SOD定義的角色、授權對象、授權字段的關系

2

權限清單

列出所有最終用戶、管理用戶、特殊用戶的權限列表

3

權限視圖

根據(jù)用戶的角色、部門、崗位展現(xiàn)清晰的權限關聯(lián)和繼承權限

4

跨業(yè)務權限

列出跨業(yè)務系統(tǒng)權限的用戶

5

越權檢查

列出違法SOD設置的越權用戶對象及具備的權限

6

權限鎖定

自動或手動鎖定違規(guī)權限

7

角色檢查

查詢某個角色對應的合規(guī)權限和用戶

8

用戶檢查

查詢某個用戶對應的合規(guī)權限和所屬角色

9

權限檢查

查詢業(yè)務權限對應的人員和角色構成

10

互斥策略

定義權限互斥策略及權限最大和最小要求

11

合規(guī)報表

展現(xiàn)不同維度的權限合規(guī)報表

12

職責定義

根據(jù)定崗定編原則定義權限合規(guī)

13

業(yè)務定義

根據(jù)業(yè)務特性定義權限合規(guī)

14

管理定義

根據(jù)關聯(lián)特性定義權限合規(guī)

15

合規(guī)流程

定義權限合規(guī)審閱流程,定義多人并行審批、串行審批

16

基礎管理

配置全局策略、個性化策略及流程審批節(jié)點等

17

關聯(lián)設置

設置授權資源、合規(guī)范圍及合規(guī)用戶對象

18

SOD設置

設置權責互斥清單

19

合規(guī)監(jiān)控

權限出現(xiàn)互斥的監(jiān)控、分析和報警關聯(lián)

 

  統(tǒng)一權限合規(guī)管理為企業(yè)數(shù)字化建設帶來的價值

 

建立統(tǒng)一規(guī)范化的流程,完善權限合規(guī)管理體系,加強風險管理能力,將風險管控模式與企業(yè)戰(zhàn)略模式結合,有利于快速推動數(shù)字化轉型的要求:

 

  • 通過合規(guī)審計能力,快速有效實現(xiàn)權限合規(guī)檢查及風險識別審計;

  • 落實符合企業(yè)信息安全合規(guī)要求,實現(xiàn)企業(yè)的風險管控要求與指標;

  • 基于合規(guī)要求,建立權限合規(guī)審查與流程機制,形成安全體系架構;

  • 通過實現(xiàn)權限合規(guī)深度能力,幫助企業(yè)實現(xiàn)和推動數(shù)字化轉型。