2007年7月份,外审要求严格用户权限管理,特别对于SOD的分析,可让我头大。
无奈之下,将原先的用户授权方式取消,改成了用户组(角色组)授权。改动时,可是受罪了,许多用户还是习惯过去的一些无限制权限方式,不能操作就乱发脾气,好像是我们故意为难他们。只好临时放大权限。
经过2个月的边整流程、控制,边调整组权限,现在终于到了收获的时候。昨天,德勤审计人员来检查用户权限,虽然这次又有所调整,但我已经了然于胸,且已经完成大部分,所以回签他们的SOD,也轻松过去。虽然SOD的冲突表不是我写的,但前面的权限分析表是我一手完成的,且授权控制与系统参数相结合的控制方式,也是我直接与顾问审计方面沟通定下来的,所以感觉权限这一块还是确实通过了。
回头看,如果不是采用了组权限方式,现在,SOD肯定过不了。分析原因如下:
1、公司仍处在急剧扩张阶段,人员变动、岗位变动都非常大,我们无法跟上每一位用户的权限变化而进行维护;
2、在SOD分析表中,针对用户、角色等冲突分析,面对100以上的用户,其冲突分析也实在难于检验与统计,结果漏洞可想而知;
3、顾问师都有2个专人统计分析SOD冲突,我们半个人一个月不到的工作量,是无法通过人员授权完成任务的。
