最佳实践｜ 探索 Authing 企业级云原生权限治理平台

在现代企业中，数据已经成为最重要的资产之一。

有数据显示，全球大约有一半的组织在过去的一年中经历了至少一次成功的网络攻击事件，其中，39% 的攻击事件是由内部人员造成的。为了保护企业的数据和信息资产，许多政府和行业规范要求企业必须实施权限管理措施。证监会第 152 号文中要求证券基金经营机构应当建立对信息系统权限的定期检查与核对机制，我国《信息安全技术-网络安全等级保护基本要求》中也明确指出身份与访问控制、安全审计工均作为网络安全保护的重要测评单元。

目前，在金融、医药研发、先进制造等行业客户出于数据资产安全及合规的需求，对统一的细粒度权限管理的诉求日益增长。Authing 基于行业客户的痛点及先进实践，与行业客户共同探索企业级云原生权限治理平台的最佳实践。

01 企业如何进行统一权限治理？

权限治理是围绕着企业核心资产所实施的一系列综合性的管理过程。对员工信息、业务系统、核心数据等进行访问权限、数据权限、功能权限等方面的管控，以加强信息安全、提高管理效率、优化资源配置。

企业在不同阶段的权限治理成熟度模型

企业规模、业务类型和组织结构的不同对权限治理的要求也有所不同，但企业在各个阶段进行权限管理有其共同性，在实施权限治理方案时都会面临相似的挑战。

• 权限统一管理难：企业员工的身份信息分散在不同应用系统中，以及不同业务场景下对不同角色的不同权限难以精准分配。这导致企业统一权限管理困难，也增加了因权限泄露和不当操作带来的安全风险。

• 权限生命周期管理难：在员工的入转调离全生命周期过程中，涉及权限的创建、增加、修改、禁用、删除等操作，需要IT部门逐个系统修改操作。例如：员工离职后，企业需要及时地收回其访问权限，但如何确保权限的及时回收，避免权限滥用和泄漏成为困扰多个企业的问题。

• 实现多维度权限控制难。企业需要在多个维度上控制权限，包括用户、角色、组织、应用程序、数据等。如何在不同