李德辉 众图识人 CEO 一种真正以业务为中 心的访问控制模型 目录 从信息化视角看访问控制 一种真正以业务为中心的访问控制模型 开始使用 ABAC目录企业信息化不同阶段产生的业务价值 分散建设独立信息系统 单一部门信息化统一建设全局信息系统 企业级信息化持续提升与集成共享信息系统 产业链级信息化 RBAC 满足需求 RBAC 角色爆炸 需要新的访问控制模型各部门采用信息系统替代独立 业务的手工操作，提高企业核 心竞争力的作用有限。通过统一的信息系统平台实现 内部业务信息的集成和跨部门、 跨地区、多业务的综合协同， 企业核心竞争力和各部门间的 协调作业能力大幅提升。信息化开始成为企业发展战略的 重要组成部分，实现信息技术与 公司各项业务和环节的全面融合， 信息系统持续集成，整体应用水 平显著提升。 信息化不同阶段产生 的业务价值增长曲线分散建设阶段 •访问用户少，业务范围小 •访问控制到操作级别，不进行数据级控制 •访问环境简单：设备固定，网络环境简单 •适合RBAC 模型各业务部门为了提高工作效率，纷纷采用信息系统 替代手工操作，开展基于各自业务的单一信息化建 设业务驱动力 访问控制 •各部门独立建设 •信息系统数量多，系统用户少、规模小 •系统应用效率低，建设、维护成本较高 •形成众多的信息孤岛，信息共享程度低 •无法有效支持业务协调和战略决策信息化特点 •企业各业务部门处理各自相对简单的研发设计、生产及 经营业务，提高了工作效率 •对提高企业核心竞争力的作用有限业务价值RBAC 权限管理模型 操作权限 操作权限 操作权限 操作权限 操作权限统一建设阶段 •访问用户多，必须区分业务范围 •需要根据业务上下文进行访问控制 •继续采用 RBAC 模型导致角色爆炸通过统一的信息系统平台实现内部业务信息的集成 和跨部门、跨地区、多业务的综合应用，企业核心 竞争力和各部门间的协调作业能力大幅提升业务驱动力 访问控制挑战 •信息系统数量大幅减少 •各系统用户多、规模大、应用范围广 •系统应用效率高，整体运行维护成本下降 •信息孤岛数量大幅度减少，信息共享成都大幅提高 •信息安全和在被体系基本完备信息化特点 •实现业务、资金、信息在一个平台上管理 •实现业务信息的跨部门、跨地区、多业务综合应用 •企业的核心竞争力和各部门间的协调作业能力大幅提升 •基本实现业务系统和支持战略决策业务价值RBAC 在加入业务上下文后产生角色爆炸 某股份制银行： 不同网点柜员，可选择的金融产品和操作的 金额不一样，银行在全国有上万个网点，产生上千种角色 某大型制造业 ：不同地区公司的相同岗位的人能够访问的 数据不同，能够进行的操作不同， ERP 中的数十万角色 +操作权限 操作权限 操作权限 操作权限 操作权限数据范围 角色爆炸持续提升阶段 •信息系统相互集成需要访问控制： •系统级的访问控制 •操作级的访问控制 •数据级的访问控制 •结合访问环境上下文进行访问控制信息化开始成为企业发展战略的重要组成部分， 实现信息技术与公司各项业务和环节的全面融合， 信息系统持续集成，整体应用水平显著提升业务驱动力 访问控制挑战 •系统功能持续完善，系统集成度持续提升，更 加满足业务需求 •系统的应用更深入，更广泛，对业务的支持作 用持续提升 •信息化 与业务战略发展和转型实现一体化信息化特点 •信息化全面融入研发、设计、生产、经营、管 理、决策活动，基于知识进行快速战略决策 •多行业、多地区、多业务全面集成与协同，有 效改造和提升企业价值链业务价值不同粒度的访问控制 系统级 RBAC/ACL ABAC 策略 设备、网络、时间操作级 数据级仅身份认证信息化发展及新技术应用对访问控制的挑战 用户 内部员工 供应商、合作伙伴 外包员工、客户访问环境 受管理的 PC 内网有线访问 PC、平板、移动电话、 企业网络、移动互联网信息系统 各部门分散建设 统一建设，分级管理数据 分散存储在信息系统中 仅部门内访问 建立数据分布，满足用户在 任何地方以任何方式访问已 授权的信息IT 基础设施 传统数据中心 混合云、公有云目录 从信息化视角看访问控制 一种真正以业务为中心的访问控制模型 开始使用 ABAC目录