-
-
[原创]一个不起眼的权限管理小漏洞,引发的一场企业安全大危机.....
-
发表于: 2024-9-20 14:32 1794
-
某公司因调任未将人员权限及时回收清理,导致发生ERP系统越权访问,获取敏感数据,引发严重的安全事件。无独有偶,某地方卫生系统因内部人员业务权限未与实际岗位对等匹配,造成50万+条的新生儿和预产孕妇数据泄漏.....
很难想象,一次不及时的权限回收、一个岗位与权限的不匹配,这些看似很小的一个点,却能轻松的让一家企业遭受一场安全危机或信任危机,更有甚者直接带给企业致命一击。
这里,不禁灵魂一问:你的企业权限管理真的规范吗?是否存在类似的、不易察觉的小漏洞?你对企业每个员工的权限心中有数吗......
事实上,根据派拉软件15年来的身份管理与访问控制管理安全实践,我们发现很多企业在信息化、数字化过程中,只注重业务系统的创新建设,却忽略了对各个业务系统身份与权限的统一治理与管控。
而随着信息化与数字化进程的日益深入,系统越来越多,权限愈加错综复杂,加之人员的不断扩增、变动,身份管理的碎片化、混乱,企业权限管控就像一团乱麻,各自为政又牵扯不清,剪不断,理还乱。
这时候,一场破釜沉舟的统一权限治理行动,或早或晚,势在必行!
一、盘点企业权限管控痛点与难点
派拉软件在服务2000+客户的实践经验累积下,从企业常见的授权流程与不同员工角色这两大角度,盘点总结了大多数企业在权限管理过程中存在的问题,具体如下图所示:
以上是权限管理的共性问题总结,却也基本涵盖了大部分企业权限管理的痛点与难点。当然,不同企业因管理要求与行业的不同,或多或少都会存在一些细微差异。
二、形成企业业权一体化模型与规范
从上述盘点中,我们发现,这些企业权限管理痛点与难点都非常细微。而这些的细微之处又往往是企业极易忽视,甚至看不到的地方。要管控这些看似不起眼的问题,技术固然重要,但流程与制度要求的规范化更重要。
因此,派拉软件会结合企业实际业务运营管理要求与相关法律法规,以及权限管控极易被忽视的问题点,为企业制定一系列规范化、标准化的管理标准与业务流程,帮助企业建立一整套完整、适合企业的业权运营规范体系。
在这套标准运营规范体系之下,派拉软件形成了一套成熟的业权一体化业务模型,有效应对企业各种复杂的权限管理现状与问题,具体如下图所示:
这套业权一体化业务模型,能够方便的对各类下游应用系统按照不同权限构成逻辑进行权限回收。在实际业务中,基于不同数字身份不同标识,结合相应的权限因子,适配合适的权限模型,通过各种便捷的授权机制,实现从现实中的人、端到业务应用之间的权限匹配,减少业务岗位和系统权限的断层,帮助企业达成权限治理的可视化、自动化、合规化。
三、建设业权一体化权限治理平台
在问题梳理与规章制度确定下,结合派拉软件业权一体化细粒度权限治理平台,帮助企业构建完整的业权一体化权限治理能力,具体如下图所示:
1、一个中心,可视化便捷自助服务
自助服务中心是为了帮助用户实现权限便捷自助申请,解决用户权限申请不规范、申请流程不清、需要反复申请等问题。员工通过自助服务中心可快速查看我的权限预览、权限待办、推荐权限、常用可申请权限、权限搜索、应用中心等。若需新权限,可在线快速发起申请。申请流程按前期制定的规章制度,严格映射至线上流程,方便员工快速、自动化、流程化、规范化完成权限申请。
管理员接收申请后,可按照用户角色、职责、属性等情况,快速进行权限复制。平台也会自动按照身份角色与属性以及权限因子分析,基于相应权限模型,自动进行权限推荐,方便管理员安全、高效授权。
2、一个后台,自动化高效动态授权
权限管理平台可支撑实现权限的集中回收、权限供应策略维护及多维度授权机制管理。依托派拉软件业权一体化细粒度权限管理平台,可对下游业务应用系统角色、菜单、甚至数据级权限进行集中回收。
基于最小权限分配原则,结合员工入转调离全生命周期变化,进行自动化授权、变更、清权。确保只有经过授权的用户能够获得适当级别的权限,实现自动化、动态化、智能化的细粒度授权。
3、一套日志,合规化全盘风险审计
通过全局可视化应用/个人权限视图、授权审计、权限变更审计、异常授权审计,快速查看当前的权限情况,辅助分析审查其中的漏洞,对发现的违规情况进行追溯和分析;
通过权限合规治理机制,识别权限申请-授权-变更-回收等环节存在的各类不合规风险,避免授权范围过宽、授权操作过大、权限违反业务规则、过期权限等风险,结合主动提醒、拒绝授权、定期检查等处理手段,实现权限业务全面规范、合规。
以上就是派拉软件提供的业权一体化细粒度权限治理方案。从介绍中,我们也看到整个权限治理脱离不了身份治理,这也就是为什么说权限治理是身份治理的延伸。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)