随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战。为了满足身份管理法规要求并管理风险,企业必须清点、分析和管理用户的访问权限。如今,越来越多的员工采用移动设备进行工作,企业数据与个人应用程序共享同一设备空间,导致关键数据的所有权变得模糊不清。企业需要采取更加综合和创新的安全措施,以确保数据中心内部的资源和信息受到充分的保护。谁具有特定数据的访问权限?您的企业是否实现了对员工权限的有效管理?
01.权限管理四大难题
开通难
人员入转调离后账号和权限无法自动更新状态,容易造成账号泄密,并且企业内部无审计日志,账号操作也无法追溯。当企业的员工规模庞大且员工流动率较高时,传统的手动权限管理往往变得异常繁琐且低效,导致权限漏洞和错误配置。随着企业规模的扩大,系统的功能权限、附加权限、菜单权限等,甚至下沉到业务本身,针对相同员工在不同系统内的角色划分、业务责任也不尽相同。运营人员需要投入更多的时间和精力来管理权限,极大降低了工作效率。
管理难
由于业务架构、技术能力、区域法规等多种客观因素的差异,各子公司基于自身业务架构和管理需求独立建设数字化体系,不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同。随着企业业务的不断扩展和复杂化,涉及资源共建共享和跨部门协同协作等,用户的角色和资源授权关系复杂且常常发生变化,企业管理员对各个系统的使用情况难以把控,容易造成数据安全隐患。传统权限管理方法无法实现细粒度的权限授予,缺乏统一的权限实体,难以贴合业务现况。
审计难
2018 年证监会发布《证券基金经营机构信息技术管理办法》(第 152 号令),第三十二条明确提出关于账号管理“最少功能、最小权限分配原则”和“对信息系统权限的定期检查与核对机制,确保用户权限与其工作职责相匹配,防止出现授权不当的情形”的监管要求。依据监管要求,部分企业定期开展信息系统用户权限检查与核对的审计工作,需要各系统管理员导出用户权限,结合公司人事信息对 IT 系统用户权限进行审计比对和抽检。但内外审计周期长,需要多部门人员参与配合审计工作,且不同信息系统的权限管理模式不统一,未形成统一的管理规范。同时权限变更工作未留痕,发现风险隐患时难以追查责任。传统人工审计缺乏自动化工作抓手,难以及时发现权限风