权限管理中台：构筑企业内控体系建设的闭环

随着云计算、5G、物联网等新兴技术的兴起，用户、设备、应用、数据及服务的体量急剧扩大，组织面临日益严峻的信息泄露威胁。纵观众多数据泄露事件，由于用户访问权限设置不当、内部人员利用已有权限泄露数据的比例持续上升。

国务院国资委2019年发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》的通知中第八条提出：逐步实现内控体系与业务信息系统互联互通、有机融合。要进一步梳理和规范业务系统的审批流程及各层级管理人员权限设置，将内控体系管控措施嵌入各类业务信息系统，确保自动识别并终止超越权限、逾越程序等行为。我们可以看到，权限控制作为组织健全内控管理机制的重要抓手，如何做好用户权限的全生命周期管控，保障正确的人在正确的时间访问有权限的数据显得尤为重要。本期发布牛品推荐——深圳竹云科技有限公司“权限中台”产品。

权限治理、动态鉴权、无感授权、权限赋能、权限溯源、统一权限模型

组织中存在众多信息孤岛，无法对所有用户的访问权限、访问行为进行集中有效管控，造成大量数据泄密；权限治理标准化只靠制度，落地难。

1、申请难

没有权限统一申请入口和统一自助申请能力。

2、效率低

• 管理员授权工作耗费较大工作量，应用系统缺乏快速的权限复制、回收、多维度授权等管理能力；

  
  

• 没有自动授权机制和功能，定岗后不能自动定权、授权，调岗后不能自动调权。

3、监管难

• 数据安全愈加重要，但绝大部分系统无统一权限视图，无法满足审计要求；

  
  

• 无法支持权限互斥职责分离合规检测等监管要求；

  
  

• 无全流程溯源能力，无法洞察权限的分配时间和缘由。

4、重复建设成本高

重复开发、重复建设问题严重。权限管理属于业务系统的配套功能，通用的权限查询、申请、快速授权、统计分析等能力不足，这些能力的建设都会导致需求梳理、产品设计、研发、测试的人力成本重复投入。

竹云权限中台产品BPC是一个权限全生命周期管理赋能平台，从企业管理、业务发展、快速研发和便捷运维四方面需要出发，为员工在入职、转岗、调岗、离职过程中，提供权限查询、申请、授予、回收、合规审计、统计分析、安全管控等多方面能力，为企业、政府打造权限管理抓手，构建能力化、标准化、自动化、可视化、模式化、平台化权限治理体系，同时能为零信任的动态鉴权提供有力保障。

1、权限统一管理，防止权限滥用

权限中台提供统一权限入口、统一权限模型、统一授权、权限生命周期自动化管理、权限合规分析、权限画像等服务，帮助解决企业当前权限管理面临的开通难、统一难、授权难、溯源难、查询难、回收难、监管难的问题；

打造科学的权限治理体系，整合企业权限资源，实现用户、应用、设备、服务器、操作系统、API 权限可管、可控、可视。

2、端到端的权限生命周期审阅服务

权限中台能为组织中不同类型的用户包含正式员工、外聘人员、合作伙伴、临时员工、管理员、审计员等提供统一的权限申请入口。当权限中台收到各类权限申请的审批通知时，它会依据每个用户的岗位权限自动化地为其授予最小权限。同时在用户离职时，通过平台能一键回收其已有的权限，堵住信息安全“后门”。实现对用户权限生命周期违反合规的现象，提供基于工作流的自动修复，实现端到端的闭环权限监控管控。

3、权限360°闭环审计溯源机制

权限中台通过权限合规审计功能，依托权限合规策略引擎，实现权限的安全合规管理。在集中权限管理的基础上设定权限合规策略，进行审查、预警、处理、报表的合规闭环管理，提供权限画像、权限生命周期溯源、应用权限扫描、权限操作行为审计、权限合规审阅报告，降低过度授权、越权访问等安全风险，减少信息泄露安全隐患。

“通过竹云实施的权限管理项目，我们制定了政务数据分级分类、权限管理等相关制度，同时应用权限中台产品，形成权限安全管理的有力抓手。权限中台具备多种灵活的权限模型与各应用系统适配。通过权限实时统计分析技术，实现人员权限视图/权限清单汇聚功能，让我们能够快速明晰权限分配现状。”

--来自某区政府

“通过应用竹云权限中台，我们建立权限合规管理机制，保障最小化合理赋权。通过权限中台集成数十个应用系统，实现权限的集中管理。整合分散权限申请流程，实现权限申请入口的统一，降低权限申请、授权时间，提升工作效率。”

--来自某地产集团

“竹云权限中台的集成框架兼容多种方式，通过SDK、API调用、统一权限框架等，快速实现应用系统权限的统一管控。通过按岗自动化授权功能，依托“岗-权”联动授权策略引擎，我们实现了岗定权定、岗动权动的自动化授权功能，授权效率从“3~5天”提升为“实时”。

--来自某消费电子企业

“竹云这套系统，是一套真正能落地的系统。使用这套系统能在非常短的时间内，帮助应用系统完成几个人年要做的事情。这正是集团数字化战略中期望的，即通过建设一批可复用的技术、产品和解决方案，开放给使用方，全面支撑集团内企业信息化建设，使企业建设重心放在业务上，在降低投资成本的同时，缩短建设时间，提高建设质量。”

--来自某大型集团企业

权限治理是诸多信息安全技术实现的基石，无论是数据的分级分类管控还是零信任机制的落地，其基础均是对身份的梳理、认证、识别、授权。

权限治理需要关注两方面问题，一个问题是如何把权限管理好，即保障权限的安全性；另一个问题是如何把权限用好，即如何实现权限对其它技术的支撑。

竹云权限中台产品，聚焦于权限的全生命周期管理，统一赋权、统一变更、统一收回、统一审计。在安全性上，权限生命周期过程留痕可追溯，让权限管理成为一个可管控的闭环。在业务提升上，减少权限工作带来的时间成本，清晰流程、自动化操作，大幅提升工作效率。