有两种方法可以在信息系统中建立角色模型。
第一种方法
角色是基于功能模型开发的。当组织具有专门的技术人员部门时,可以使用这种方法,我们将其称为“组织技术部门(OTO)”。在我们银行中,这样的部门是IT部门的一部分。该部门会将功能模型中描述的业务需求转换为IT语言:系统中必须提供的权利/选项/权力的语言才能执行特定功能。
当新系统投入运行并且从头开始形成榜样时,这种方法也很好。首先,您需要与系统的IT经理一起弄清楚如何授予权限,系统中是否有内部角色或组。然后,您需要与业务部门的负责人和广义相对论的技术人员一起,发展角色,包括必要的权利。然后,必须将创建的角色与业务部门的系统所有者进行协调,因为他负责与内部控制部门执行业务流程,以避免跨系统冲突,并与安全部门负责这样就不会违反公司批准的安全策略。之后,可以根据批准的角色模型来运行系统并分配权限。
第二种方法
角色由已经授予员工的现有权利形成。在大多数情况下,这正是您需要做的。系统已经运行了很长时间,因此有必要解决在多年运行中积累的用户权利问题。这里有一些特点。
如果系统不是很大,并且其中几乎没有不同的权限,那么在相同职位的员工中识别共同的重叠权限就不难了。与第一种情况一样,您可以从中组成一个角色,然后将其发送给资源的负责人,资源的所有者以及负责人,以供审批。如果系统具有很多权限(权力),并且被不同部门的大量员工使用,那么任务将变得更加复杂。在这种情况下,专门的公用事业部门进行了救援,称为角色挖掘使任务更加容易。他们将特定工作的匹配权利收集到标准角色中,并由利益相关者审核和批准。
使用第二种方法建立榜样
在我们的大型金融公司中,我们使用第二种方法建立了一个榜样,以将订单传递给已经正常工作的系统。对于其中用户几乎没有权限的那些用户,我们采取了一个清除的样本(仅活动用户)。我们已经为每个系统填充了角色矩阵的模板:回想一下,角色矩阵是与公司部门和职位相关的角色(一组权利)。模板已发送给这些系统的所有者以完成。这些人员依次从使用系统的部门收集信息,并返回已经完成的模板,以进一步与信息安全和内部控制服务进行协调。然后,将完成的模板(即角色矩阵)用于授予基于角色的访问权限,并将其包含在将来的自动化项目中。
不幸的是,没有这样的矩阵和系统可以将所有权利明确地划分为角色,并且角色与职位相关联。因为在这种情况下,您将获得一些相当通用的角色,其中某些权利将是多余的。或者,相反,角色太多了,它将不再基于角色,而是基于我们在第一部分中论述的自由裁量方法的个人访问。在大型组织中,职位通常不需要角色,但是特定功能需要角色。例如,几名员工可能担任同一职位,但执行不同的职能。因此,将部分相同功能添加到默认情况下将分配的基本角色是有意义的。并保留员工一些独特的功能来注册个人请求的权利,根据公司制定的程序将其发送以供批准。
填写角色矩阵的示例模板
我们的模板如下所示。在第一页的左侧(垂直)列出了位置和划分,在顶部(水平)列出了角色。在十字路口,有必要设置一个标记,指示哪个部门需要哪个角色。我们用彩色填充标记:绿色-任命职位时默认提供的角色;黄色-可以在单独的其他请求上请求特定职位或部门的角色。
在第二张纸上,我们放置了一个指南,该指南显示了角色具有个人权利(权力)的填充情况。
第三页包含SOD冲突矩阵(禁止角色可能的组合)。
我必须马上说,我们在第一个近似中谈到了SOD冲突这一主题,因为它是一个独立的大型活动,具有自己的流程。可以在单独角色的框架内,角色之间以及跨系统交互中建立对某些权限组合的禁止。此外,重要的是建立处理SOD冲突的流程并制定应对方案。这是一个单独考虑的主题。
对于具有许多用户和相当不同的权限结构的系统,很难手动创建矩阵。为此,我们使用了专用工具来构建角色模型角色挖掘...这些工具在工作逻辑,成本,可用性和其他特征上可能有很大差异。但是他们的共同操作原则和目标是在信息系统中收集有关雇员当前权利的信息,分析具有相同属性的雇员的这些权利的重复,将这些权利合并为角色,并最终建立反映当前情况的某种基本角色模型。状态。
现在,随着时间的流逝,并在一家开发访问控制软件的公司工作,我了解在大型系统中建立角色模型的更有效方法。组织越早采用自动整理工具,就越容易建立榜样。在这种情况下,自动化系统将成为角色的助手或帮助。自动化访问控制系统(IdM / IGA)的实施应从连接人员源和目标系统开始,以上传数据及其映射和分析。通过使用访问控制解决方案中内置的专用工具,您可以从一开始就基于自动化有效地构建必要的流程。这将大大降低人工成本,并在将来消除电击疗法。例如,使用帐户的过程将更快,更高效,即在第一阶段:
- 阻止发现的非法帐户,
- 识别孤儿帐户,
- 识别和注册外部员工帐户等
- 雇用员工时自动创建帐户,并在解雇时阻止帐户。
在第二阶段,使用自动访问控制系统已经可以提高使用用户权限和建立角色模型的效率,尤其是:
- 对不同的用户采用不同的比较权限的方法,
- 进行自动化的角色挖掘,并为某些类别的用户识别匹配权,并进行后续分析和批准。这样可以更快,更轻松地创建必要的访问权限矩阵。
我们正在实施访问权的新规定
我们到了可以使公司根据新的访问控制法规开始生存的地步:考虑到其新的结构,授予访问权限,进行修改和撤销。该法规应包含以下内容:
- 访问权限取决于特定信息系统的角色模型是否存在。如上所述,完全不可能一次为所有IS建立角色矩阵,您需要按照批准的计划逐步采取行动。
- 如果系统中尚无批准的角色模型,则至少应与部门负责人和资源所有者商定权利。
- 如果制定并批准了角色模型,则将基于该角色分配/更改权限。
- , .
. , , , .
. -, .
-, , , . IdM/IGA-, , . , , . , . , , . - . , .. , , . , , . . , .
角色模型不能是静态的。她像一个活的有机体一样,必须适应组织中发生的变化。更正的原因是什么?
首先是组织和人员结构的变化。在大型组织中,根据我自己的经验,我对此深信不疑,这种变化几乎每天都会发生。变更通常与部门和职位的重命名有关。同时,功能保持不变,但是,尽管如此,这些更改仍应反映在角色模型中,并且应及时进行所有调整。如果部门合并,或者相反,将部门合并为单独的组/部门,则更改将更加全球化。它们影响员工的功能,需要对其进行修订以更新功能模型,并在此基础上更改现有角色。或者,在角色模型中设计和实现新角色。
第二个是公司业务流程的变化。业务不能一成不变:引入了新的流程和机制,可以改善每个部门的工作。这样可以改善客户服务,增加销售并有助于实现战略目标。必须将每个新业务流程的引入纳入角色模型。将出现新角色,或者必须修改现有角色-并且它们需要包括新的选项和权限。
第三是改变系统架构。企业定期停用旧系统,然后将新系统投入运行。假设旧系统已停用,员工在其中执行的功能应转移到新系统中。为此,您将必须修改旧系统的所有角色及其相关性,分析新系统的已创建角色,并对新旧角色进行比较。在过渡期间,这些角色很可能会并行存在,直到将所有必要的功能转移到新系统并完善了角色模型为止。然后,您可以停止使用旧系统的角色,撤消用户访问权限,并将旧系统的数据发送到存档。
我们已经看到的所有更改都建议需要一个单独的过程来使角色模型保持最新。它应考虑到该组织与访问信息资源有关的所有活动。它应该包括一个更新角色模型的过程,该过程是事先计划好的,以便及时进行所有必要的更改。这是启动以自动或手动模式更改角色的应用程序,并协调和批准更改以及通过相关过程的更新进行调试。所有这些都应记录在维护和更新角色模型的法规中,在此还必须指出谁负责该过程的每个步骤。
除了基于上述原因的角色模型更改之外,还需要对权利进行系统和计划的修订。特别是对于金融公司,主管人员需要进行此类定期审查。修订有助于发现现有权限模型中的空白并改善对用户权限的控制。IGA / IdM系统大大简化了该问题的解决方案,该系统允许以给定的频率自动进行修订(重新认证)过程。
总结一下
使用基于角色的模型进行访问控制可提高公司的信息安全级别,因为 访问变得更加透明,可管理和可控制。这也减轻了IT部门在管理方面的负担。使用基于角色的访问控制可以轻松完成哪些工作?
- 您将能够向处于同一职位或在同一部门工作的许多员工授予相同的权利。赋予他们相同的角色就足够了。
- 只需单击几下,即可快速更改一个职位的员工的权利。作为普通角色的一部分,添加或删除权限就足够了。
- 您将能够构建角色层次结构并为继承权限设置规则,从而简化了访问结构。
- 您将可以输入权限划分(SOD)-禁止将一个角色与另一个角色组合使用。
但是,仅建立角色模型并不能解决大型公司中高质量和有效的访问控制的问题-这只是步骤之一。如果您建立一个榜样并对此冷静下来,一段时间后它将变得过时,所做的出色工作将完全无用。为什么?
- - , , - .
- - , -.
- .
- C .
- , , , .
- .
所有这些原因表明,重要的是访问控制措施集。我们需要根据公司生命周期的自动化工具,工作流程和机制,其支持,开发,更新和扩展。
作者:Solar inRights推广经理Lyudmila Sevastyanova