上一次,我们研究了构建
访问模型的方法 。 现在,我们需要考虑程序和技术手段:如何建立有助于控制访问的流程,以及如何实施。
首先,您应该考虑自己将要建立的
东西 -
从拥有的 东西到想要的东西 。 结果将高度依赖于起点。 每种方法都有其优点和缺点,值得一并考虑两者的前景和现实。
让我们脱离期望。
我们想要什么?- 系统本身会告诉我们违规和SoD冲突吗?
- 系统本身会建立榜样吗?
- 管理访问权限?
- 一切都在掌控之中吗?
- 通过生物识别等为用户提供物理和逻辑访问权限?
在这里,您可以想到更多,甚至所有这些都可以实现。 但是(!)很有可能这将是一个长期且昂贵的个体发展。
我们有什么?- 访问政策
- 提供访问权限的过程(根据用户的请求或没有用户的请求),
- 每个系统中内置的权限和角色。
在上一篇有关
成熟度模型的文章中,我并没有白费。 立即创建理想的流程将失败,但是如果公司有需求,那么通过精心计划的工作,您可以获得上述预期的结果。
在设计流程时,应该记住:系统
越简单,越透明,控制它就越容易 。 人为过程的条件和分支越多,发生的错误就越多。
以提供访问的过程为例,其中用户需要系统中的新权限才能执行任务。
创建此类业务流程时应考虑哪些
因素 ?
- 方便用户,协调员和表演者,
- 时间
- 实施每个步骤的成本,
- 对下一步的影响
首先,我们将确定
谁参与了此过程:
- 用户本人-请求访问权限,
- 其负责人-批准请求,确认生产需求,
- 信息安全官-通过监视权限冲突来协调访问(并非所有公司都具有此权限,但假设...),
- 信息系统管理员-完成应用程序。
该过程中可能会有更多的参与者,例如:资源的所有者,IT的其他控制器等。 同时,对于过程的构造分析,所指示的字符对我们来说足够了。
现在让我们决定操作字段。 首先,对于我们来说,该过程如下所示:
员工请求访问权限,其主管同意,然后由IS主管同意,然后系统管理员执行该请求。
这是一个简单的线性过程,看起来很简单,但仍然让我们弄清楚细节。 在构造流程时,请以以下示例为例。 对于您的公司和用户,某些因素的重要性-便利性,时间成本,速度以及对后续步骤的影响-可能会有所不同。
员工如何知道他需要什么访问权限以及确切要求什么? 有时,可以联系可以告诉您如何正确放置应用程序的人员-询问负责人,致电资源所有者或管理员,在技术支持中写一封信。 有时访问请求表本身会有所帮助,其中提供了清晰的选项供您选择,或者有一个字段来描述情况。
所有描述的选项通常都可用,但是需要一些时间。 因此,您需要选择最快,最人性化的选项。 (我们努力为企业提供优质的服务。)您可以保留1-2个相关的选项,但您可以-仅此而已。 在此阶段,重要的是简单地比较可用选项,以根据先前选择的参数来
标识所需的访问权限 。
下一步是
权限请求界面 。 用户如何请求访问权限?
想到的选项包括:电话,邮件,EDMS(电子文档管理系统),服务台,IdM接口或只是纸上的应用程序。 对于用户而言,应用方法简单明了很重要。
同样,您需要考虑时间因素:哪个更快-在服务台中写一封信或按几个按钮? 必须记住,下一步将是协调应用程序,这也需要迅速完成。
选择请求访问权限的接口后,请考虑
协商接口 。
选项:通过EDMS或Service Desk的IdM界面,以纸质形式(我们最初放置这样的选项)。
值得考虑的是协调路线的复杂性。 我们现在正在考虑具有2个匹配步骤的线性过程。 但是在生活中,一切通常都比较复杂,并且取决于请求什么访问权限的系统而有所不同。 因此,还应考虑与协调路线有关的所有参数。 可以采用几种协调方法,而这种情况需要更多的关注和支持。 例如:负责人通过在签名上签字来批准申请,而IS官员则在EDMS中进行申请扫描。 这给用户和谈判者都增加了复杂性和不便性。 因此,我们在这里考虑所有协调员的单一界面。
接下来,考虑
选项 。
在选项中-手动或自动。
同时,在某些情况下,不仅可以通过实现IdM来实现自动执行,还可以使用脚本来执行自动执行。
手动执行的优点是在某些情况下是必不可少的人,因为 可以分析情况,并进行调整,为用户提供必要的权利。 但是,这会使过程变得脆弱:毕竟,一个人可能会犯错误或忘记记录所做的事情。
自动执行可以避免与人为因素有关的错误,但是有其局限性。 在某些情况下(特别是如果我们正在谈论通过脚本对许多动作进行非系统的自动化),管理员仍然必须设置一些参数或控制执行。 在这种情况下,IdM可以使用在系统实现期间流程设计期间设置的参数以及应用程序的属性进行操作(如果我们将IdM用作访问问题的应用程序系统)。
我们已经分别对过程的每个要素进行了一些工作,现在,如果像拼砌拼图一样组合选定的步骤,则有必要评估我们得到的结果。
首先,让我们看看这个过程有哪些选择:
连接的数量是公平的。 重要的是选择一种组合,其中最少的时间和成本,最大的是用户便利性(包括谈判者和表演者)。 应该牢记,逐步过渡的“成本”取决于所选步骤的特征。
例如,考虑三个过程。
工艺1。假设我们按如下方式构建该过程:
使用此配置,习惯于通过邮件进行通信的用户将找到所需访问权限的正确应用程序的过程和格式。 结果,他们将能够选择以书面或电子邮件方式更方便地形成申请的方式。 该应用程序将通过邮件进行协调,管理员将手动执行该请求。
如果没有其他更现代的手段,这个过程将享有生命权。 但是:整个行动链将花费多少时间,以及在没有协调反应的情况下如何设想升级?
工艺2。让我们选择另一种配置:
在这里,我们看到员工为了编译正确的请求,先呼叫资源的所有者,然后在EDS或服务台中形成请求。 在那里,申请将被同意。 执行将取决于请求的内容-由管理员或脚本手动执行。
通常,在EDMS和服务台中,如果协调员做出长期决策,或者由于某种原因或其他原因而没有协调员,则可以配置升级。
该过程比我们审查的第一个过程看起来更方便,更快捷。 尽管如此,仍然出现问题:申请是否正式化?
如果用户输入“
我希望像Ivanov一样访问系统 ”,则只能手动执行。
如果应用程序已正式化(即,只有一定数量的选项可供选择),我们可以讨论自动化选项。 同时,您需要再次查看如何实现自动化-由谁,什么质量以及如何支持自动化。
工艺3。考虑IdM选项:
在这种情况下,用户可以从经理那里找到所需的访问权限,或者仅通过查看请求表即可找到(在IdM角色目录中,为了方便用户,您可以显示业务角色或具有清晰说明的角色)。
权利和角色的请求在IdM中进行,并且申请得到批准。
对于那些通过IdM连接进行管理的系统,在批准程序完成后,IdM将自动授予权利。 由于并非所有系统都需要连接进行控制(可以在数据采集模式下进行连接以进行控制),因此承包商将收到明确的任务以执行。 在这种情况下,如果发生管理员错误,系统将检测到应用程序与所授予的访问权限之间的差异,并通知相关方(例如,IS总监和系统管理员)。
对于每个过程,可以假定
支持成本 。
同时,不要忘记,除了构建为方便考虑而选择的授予访问权限的过程之外,还需要以下过程来实现最佳操作:
- 修改人员转移的访问权(增加,线性移动,从一家控股公司转移到另一控股公司),
- 根据时间表(根据您公司的要求-每季度,每年)修改访问权限,
- 解雇员工和冻结帐户后撤销权利,
- 审核等
因此,在决策过程中,您必须再次
“退后一步 ”以
查看整个访问控制过程系统 。
使用这种方法,您可以评估每个组织和技术解决方案的使用:
- 它如何影响公司的业务流程,
- 对用户来说方便吗
- 由于无法按时访问,员工的停机时间是否会增加,
- 将对公司的利润产生简单影响
- 这样的一系列过程是否会导致冲突,
- 我们可以审核访问权限吗
- 我们是否有足够的书面信息可用于有争议的情况或调查事件时,
- 我们将能够审查员工的访问权限等。
意识到新兴的访问控制流程的融合,人们可以更安全地选择组织措施和技术解决方案。
该系列的其他文章: