从 RBAC 到 NGAC ，企业如何实现自动化权限管理？

随着各领域加快向数字化、移动化、互联网化的发展，企业信息环境变得庞大复杂，身份和权限管理面临巨大的挑战。为了满足身份管理法规要求并管理风险，企业必须清点、分析和管理用户的访问权限。如今，越来越多的员工采用移动设备进行工作，企业数据与个人应用程序共享同一设备空间，导致关键数据的所有权变得模糊不清。企业需要采取更加综合和创新的安全措施，以确保数据中心内部的资源和信息受到充分的保护。谁具有特定数据的访问权限？您的企业是否实现了对员工权限的有效管理？

01.权限管理四大难题

开通难

人员入转调离后账号和权限无法自动更新状态，容易造成账号泄密，并且企业内部无审计日志，账号操作也无法追溯。当企业的员工规模庞大且员工流动率较高时，传统的手动权限管理往往变得异常繁琐且低效，导致权限漏洞和错误配置。随着企业规模的扩大，系统的功能权限、附加权限、菜单权限等，甚至下沉到业务本身，针对相同员工在不同系统内的角色划分、业务责任也不尽相同。运营人员需要投入更多的时间和精力来管理权限，极大降低了工作效率。

管理难

由于业务架构、技术能力、区域法规等多种客观因素的差异，各子公司基于自身业务架构和管理需求独立建设数字化体系，不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同。随着企业业务的不断扩展和复杂化，涉及资源共建共享和跨部门协同协作等，用户的角色和资源授权关系复杂且常常发生变化，企业管理员对各个系统的使用情况难以把控，容易造成数据安全隐患。传统权限管理方法无法实现细粒度的权限授予，缺乏统一的权限实体，难以贴合业务现况。

审计难

2018 年证监会发布《证券基金经营机构信息技术管理办法》（第 152 号令），第三十二条明确提出关于账号管理“最少功能、最小权限分配原则”和“对信息系统权限的定期检查与核对机制，确保用户权限与其工作职责相匹配，防止出现授权不当的情形”的监管要求。依据监管要求，部分企业定期开展信息系统用户权限检查与核对的审计工作，需要各系统管理员导出用户权限，结合公司人事信息对 IT 系统用户权限进行审计比对和抽检。但内外审计周期长，需要多部门人员参与配合审计工作，且不同信息系统的权限管理模式不统一，未形成统一的管理规范。同时权限变更工作未留痕，发现风险隐患时难以追查责任。传统人工审计缺乏自动化工作抓手，难以及时发现权限风