En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>細粒度權(quán)限> 細粒度授權(quán)下的權(quán)限合規(guī)

細粒度授權(quán)下的權(quán)限合規(guī)

文章

2021-09-18瀏覽次數(shù):1338

隨著信息化的快速發(fā)展和合規(guī)管理的深入普及,企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,傳統(tǒng)的安全邊界逐漸瓦解,越來越多企業(yè)開始關(guān)注企業(yè)數(shù)字化風險管控的措施和手段。

 

因此,企業(yè)在細粒度權(quán)限合規(guī)方面也逐漸面臨越來越多的挑戰(zhàn):

  • 缺少統(tǒng)一集中的權(quán)限合規(guī)策略,業(yè)務(wù)系統(tǒng)在運營過程中,無法有效的進行風險管理和風險監(jiān)督;

  • 無法滿足對企業(yè)合規(guī)審計管理要求,導(dǎo)致企業(yè)安全管控要求不達標;

  • 業(yè)務(wù)安全和合規(guī)安全兩個方面,最小化授權(quán)的原則無法充分體現(xiàn)和控制;

  • 核心與機密業(yè)務(wù)權(quán)限過大和失控,數(shù)據(jù)泄露的風險隱患巨大;

  • 權(quán)限合規(guī)管理制度與流程體現(xiàn)不健全,無法做到 IT 運營的強有力的保障。

建立權(quán)限合規(guī)管理服務(wù)中心是企業(yè)進行權(quán)限合規(guī)檢查、違規(guī)權(quán)限排查和合規(guī)審計追溯的技術(shù)手段,企業(yè)權(quán)限管理中心通過權(quán)責互斥矩陣和權(quán)限業(yè)務(wù)互斥規(guī)則,依據(jù)企業(yè)審計要求和內(nèi)控制度,幫助用戶分析發(fā)現(xiàn)權(quán)限管理中潛在的風險,快速有效的進行權(quán)限合規(guī)檢查及風險識別,通過內(nèi)置可配的合規(guī)模型進行應(yīng)用權(quán)限的管理及日常維護,對例外權(quán)限進行補償控制,規(guī)避權(quán)限管理風險。

 

  權(quán)限合規(guī)模型有利于企業(yè)合規(guī)風險監(jiān)管

 

針對用戶進行權(quán)限互斥,通常包括角色、業(yè)務(wù)和管理互斥,不合格的權(quán)限允許但有預(yù)警,一旦發(fā)生互斥,其權(quán)限不能被授予。

SOD職責分離:基于角色的訪問控制中通過實現(xiàn)不同的職責分離原則來達到不同的安全策略。在RBAC模型中,利用角色沖突實現(xiàn)職責分離,包括靜態(tài)職責分離、動態(tài)職責分離、操作職責分離、歷史職責分離。角色沖突的程度與權(quán)限沖突有一定的關(guān)系,權(quán)限在角色之間共享的程度影響角色沖突的程度,由此可以實現(xiàn)權(quán)責分離的合規(guī)互斥和業(yè)務(wù)安全狀態(tài)監(jiān)管。

業(yè)務(wù)合規(guī)模型:根據(jù)企業(yè)業(yè)務(wù)管理特性具備的合理權(quán)限與詳細要求,如企業(yè)中的出納和會計需要設(shè)置不同的崗位,核心采購崗位與費用中心崗位需要進行嚴格的業(yè)務(wù)要求。

 

管理合規(guī)模型:通常針對組織和部門的工作職責進行權(quán)限合規(guī)審計的精細化管理和互斥策略。

 

  權(quán)限合規(guī)能力加速企業(yè)安全管理的落地與推廣

 

通過自動關(guān)聯(lián)公司代碼相關(guān)信息,預(yù)置近萬條規(guī)則庫;可自定義用戶關(guān)鍵事務(wù)代碼,可按需配置的SOD矩陣。支持自動生成權(quán)責分離問題清單,對用戶不合規(guī)的權(quán)責互斥權(quán)限進行檢查,可清晰地看到用戶擁有權(quán)限的合規(guī)性。

序號

功能

功能詳細描述

1

SOD審計

根據(jù)SOD互聯(lián)清單列出所有用戶,詳細查看SOD定義的角色、授權(quán)對象、授權(quán)字段的關(guān)系

2

權(quán)限清單

列出所有最終用戶、管理用戶、特殊用戶的權(quán)限列表

3

權(quán)限視圖

根據(jù)用戶的角色、部門、崗位展現(xiàn)清晰的權(quán)限關(guān)聯(lián)和繼承權(quán)限

4

跨業(yè)務(wù)權(quán)限

列出跨業(yè)務(wù)系統(tǒng)權(quán)限的用戶

5

越權(quán)檢查

列出違法SOD設(shè)置的越權(quán)用戶對象及具備的權(quán)限

6

權(quán)限鎖定

自動或手動鎖定違規(guī)權(quán)限

7

角色檢查

查詢某個角色對應(yīng)的合規(guī)權(quán)限和用戶

8

用戶檢查

查詢某個用戶對應(yīng)的合規(guī)權(quán)限和所屬角色

9

權(quán)限檢查

查詢業(yè)務(wù)權(quán)限對應(yīng)的人員和角色構(gòu)成

10

互斥策略

定義權(quán)限互斥策略及權(quán)限最大和最小要求

11

合規(guī)報表

展現(xiàn)不同維度的權(quán)限合規(guī)報表

12

職責定義

根據(jù)定崗定編原則定義權(quán)限合規(guī)

13

業(yè)務(wù)定義

根據(jù)業(yè)務(wù)特性定義權(quán)限合規(guī)

14

管理定義

根據(jù)關(guān)聯(lián)特性定義權(quán)限合規(guī)

15

合規(guī)流程

定義權(quán)限合規(guī)審閱流程,定義多人并行審批、串行審批

16

基礎(chǔ)管理

配置全局策略、個性化策略及流程審批節(jié)點等

17

關(guān)聯(lián)設(shè)置

設(shè)置授權(quán)資源、合規(guī)范圍及合規(guī)用戶對象

18

SOD設(shè)置

設(shè)置權(quán)責互斥清單

19

合規(guī)監(jiān)控

權(quán)限出現(xiàn)互斥的監(jiān)控、分析和報警關(guān)聯(lián)

 

  統(tǒng)一權(quán)限合規(guī)管理為企業(yè)數(shù)字化建設(shè)帶來的價值

 

建立統(tǒng)一規(guī)范化的流程,完善權(quán)限合規(guī)管理體系,加強風險管理能力,將風險管控模式與企業(yè)戰(zhàn)略模式結(jié)合,有利于快速推動數(shù)字化轉(zhuǎn)型的要求:

 

  • 通過合規(guī)審計能力,快速有效實現(xiàn)權(quán)限合規(guī)檢查及風險識別審計;

  • 落實符合企業(yè)信息安全合規(guī)要求,實現(xiàn)企業(yè)的風險管控要求與指標;

  • 基于合規(guī)要求,建立權(quán)限合規(guī)審查與流程機制,形成安全體系架構(gòu);

  • 通過實現(xiàn)權(quán)限合規(guī)深度能力,幫助企業(yè)實現(xiàn)和推動數(shù)字化轉(zhuǎn)型。