安全資訊

身份和認證管理意即身份識別與訪(fǎng)問(wèn)管理（Identity and Access Management，簡(jiǎn)稱(chēng)IAM或者4A）。目的是讓正確的人或物出于正確的理由，在正確的時(shí)間、正確的地點(diǎn)通過(guò)正確的方式獲取到正確的信息，提供了集中的數字身份管理、認證、授權、審計的模式和平臺。IAM全面建立和維護信息系統用戶(hù)的數字身份并提供有效、安全訪(fǎng)問(wèn)的業(yè)務(wù)流程和管理手段，從而實(shí)現組織信息資產(chǎn)統一的身份認證、授權和身份數據集中管理與審計。

近幾年來(lái)用戶(hù)身份和認證管理的概念越來(lái)越熱，在各種場(chǎng)合下不斷地被提起，在各種網(wǎng)絡(luò )安全的架構中作為基礎安全組成部分得到了前所未有的重視。尤其是2017年6月1日《中華人民共和國網(wǎng)絡(luò )安全法》正式實(shí)施，把網(wǎng)絡(luò )安全工作以法律形式提高到了國家安全戰略的高度，并將網(wǎng)絡(luò )安全等級保護制度上升為法律，成為維護國家網(wǎng)絡(luò )空間主權、安全和發(fā)展利益的重要舉措?！毒W(wǎng)絡(luò )安全法》第二十四條明確規定了網(wǎng)絡(luò )服務(wù)提供者對注冊用戶(hù)實(shí)名制的要求；第四十二條明確規定網(wǎng)絡(luò )運營(yíng)者應當采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。2019年5月13日，網(wǎng)絡(luò )安全等級保護制度2.0標準正式發(fā)布，在2019年12月1日將正式實(shí)施。等級保護制度2.0明確要求等保三級及以上系統用戶(hù)身份鑒別必須采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來(lái)實(shí)現。

這一切都說(shuō)明了用戶(hù)身份和認證管理在今天的網(wǎng)絡(luò )安全管理中成為不可或缺的重要組成部分。其實(shí)用戶(hù)身份和認證管理的發(fā)展也經(jīng)過(guò)相當長(cháng)時(shí)間的發(fā)展。根據諾蘭信息發(fā)展模型，可以將信息系統用戶(hù)身份和認證管理大致劃分為如下無(wú)序階段、集成階段和管理階段。

在無(wú)序擴張階段，系統各自為政，互不關(guān)聯(lián)，存在一個(gè)個(gè)的信息孤島，用戶(hù)需要記住多個(gè)用戶(hù)名和密碼，為便于記憶，弱密碼大量存在，認證安全沒(méi)有規范要求，存在極大的安全隱患。

隨著(zhù)信息系統的爆炸式發(fā)展，單位內部的信息系統越來(lái)越多，企業(yè)意識到了存在的弊端，從用戶(hù)便利性的角度提出了統一賬號和單點(diǎn)登錄的解決方案。在實(shí)現上單純從技術(shù)角度出發(fā)，以方便用戶(hù)使用為目標，不考慮系統安全、賬號管理策略等因素，仍然是不安全的。

近幾年，由于信息技術(shù)的不斷發(fā)展，安全形勢不斷變化，信息安全在各個(gè)層面都受到高度重視，提高到了國家戰略層面，國家及行業(yè)不斷出臺相關(guān)法律法規對企業(yè)事業(yè)單位的信息安全建設進(jìn)行規劃和指導。在治理過(guò)程中，人們逐漸意識到信息安全最主要的因素還是人，對系統賬號的數據和訪(fǎng)問(wèn)控制進(jìn)行有效管理是保障信息安全的基本條件，而用戶(hù)身份治理和訪(fǎng)問(wèn)控制管理理所當然成為最重要的安全基礎平臺。

隨著(zhù)信息化大潮的發(fā)展，各種信息系統的種類(lèi)和數量不斷增加，在業(yè)務(wù)處理便利的同時(shí)，也給用戶(hù)帳號安全管理帶來(lái)了新的問(wèn)題，主要包括：

1）各應用系統賬號管理分散，缺少統一的管理機制，命名規則和密碼策略要求不一，用戶(hù)需要記住多個(gè)應用賬號和密碼；

2）員工真實(shí)身份和應用賬號沒(méi)有對應關(guān)系，多人共用同一賬號或一人在同一個(gè)系統中有多個(gè)賬號的現象大量存在，無(wú)法定位責任人；

3）在員工轉崗、離職時(shí)無(wú)法提供有效的手段及時(shí)更新或者撤銷(xiāo)授權信息，存在大量無(wú)主賬號；

4）應用系統認證各自獨立，沒(méi)有統一認證策略，沒(méi)有建立安全的單點(diǎn)登錄機制；

5）采用傳統的賬號與口令認證方式，安全強度低；

6）授權管理和訪(fǎng)問(wèn)控制缺少完整性、真實(shí)性、抗抵賴(lài)性等安全信任保障；

7）沒(méi)有集中的用戶(hù)身份和賬號管理視圖，無(wú)法展現企業(yè)信息系統用戶(hù)和應用賬號全貌；

8）沒(méi)有標準、統一的記錄用戶(hù)認證和訪(fǎng)問(wèn)日志規范，無(wú)法集中的展現、跟蹤和分析用戶(hù)訪(fǎng)問(wèn)行為；

9）沒(méi)有標準、規范的用戶(hù)和應用賬號操作記錄，不能確定為什么用戶(hù)具有當前的權限，不清楚用戶(hù)信息在何時(shí)被誰(shuí)修改過(guò)。

在這種情況下，企業(yè)網(wǎng)絡(luò )安全很難得到保障，出現問(wèn)題之后也難以確定問(wèn)題來(lái)源，無(wú)法及時(shí)反應。

今天網(wǎng)絡(luò )安全形勢已經(jīng)發(fā)生了很大的變化，攻擊不再僅僅是單個(gè)黑客行為，更多的是有組織、有預謀的團隊協(xié)作行為，攻擊入侵企業(yè)內部服務(wù)器，并植入惡意軟件長(cháng)期潛伏，搜集更多漏洞信息，伺機加以利用。一旦開(kāi)始發(fā)動(dòng)攻擊，有可能導致企業(yè)或組織信譽(yù)破產(chǎn)，甚至政府垮臺，造成嚴重的社會(huì )影響。

在當前網(wǎng)絡(luò )安全形勢下，傳統的邊界圍墻式被動(dòng)防護手段如防火墻、IPS、IDS等安全設備以及防惡意軟件已經(jīng)過(guò)時(shí)，不能提供可靠安全的環(huán)境。隨著(zhù)時(shí)間推移，越來(lái)越多的組織痛苦的發(fā)現，相對于外部威脅，因組織內部安全管理不規范而造成安全風(fēng)險越來(lái)越高。據統計，在近三年各類(lèi)安全事件中，由于內部脆弱性引發(fā)的事件占比越來(lái)越大，人的因素已經(jīng)成為網(wǎng)絡(luò )安全的關(guān)鍵，而其中用戶(hù)和認證管理成為重災區。IBM發(fā)行的《2016網(wǎng)絡(luò )安全情報索引》中指出，大約60%的數據泄露是內部員工導致。當然，其中75%是惡意的，25%是無(wú)意的。企業(yè)管理者終于意識到只有建立在有效管理用戶(hù)身份和認證策略的基礎上，才能發(fā)揮各種安全設備和軟件的能力，建立主動(dòng)防御的城墻，保障網(wǎng)絡(luò )環(huán)境的安全，在企業(yè)內部實(shí)施基于實(shí)名制的用戶(hù)身份和訪(fǎng)問(wèn)控制管理勢在必行。

當前市場(chǎng)上的身份識別與訪(fǎng)問(wèn)管理產(chǎn)品非常多，有國際大廠(chǎng)也有國內公司的產(chǎn)品在同臺競技，哪一款適合自己呢？這需要根據企業(yè)的情況具體分析，如用戶(hù)量、企業(yè)類(lèi)型以及準備管理的對象等。

一般的說(shuō)來(lái)，在國內銷(xiāo)售的產(chǎn)品首先需要滿(mǎn)足國家安全標準要求和業(yè)界安全規范，這是必要前提。在此基礎上，可根據企業(yè)自身情況，用戶(hù)量、部署要求、管理對象等進(jìn)行篩選。

從目前市場(chǎng)普遍的反應來(lái)看，從早期實(shí)現單點(diǎn)登錄基本需求逐漸向高安全性發(fā)展，相關(guān)法律法規以及企業(yè)自身的安全需求越來(lái)高，相關(guān)需求主要集中的如下幾點(diǎn)：

建立基于實(shí)名制的統一權威的用戶(hù)身份數據源，實(shí)現用戶(hù)全生命周期管理，消除賬號分散管理、沒(méi)有統一身份管理策略和強密碼策略的風(fēng)險；

1）建立集中、高強度的安全認證中心，以統一的安全認證策略和技術(shù)保障用戶(hù)認證安全；

2）建立應用接入規范和標準，支持當前主流的認證協(xié)議和認證技術(shù)，支持異構應用集成；

3）建立或者接入現有審計平臺，提供事后追溯甚至事中監測、報警乃至阻斷的能力；

4）除此之外，客戶(hù)還希望身份管理產(chǎn)品應具備一定的靈活配置和擴展能力，能夠和第三方身份、認證、審計平臺進(jìn)行整合，便于降低實(shí)施成本。

綜合以上要求，一個(gè)典型的IAM產(chǎn)品需具備如下功能：

1）用戶(hù)全生命周期管理

2）統一身份供應策略

3）強密碼策略

4）應用接入管理

5）認證管理

6）審計報表管理

身份管理系統實(shí)現用戶(hù)全生命周期管理服務(wù)，并為管理員和個(gè)人用戶(hù)提供不同權限的管理視圖。

統一認證為企業(yè)應用和用戶(hù)提供集中的訪(fǎng)問(wèn)入口，實(shí)現高強度的多因素認證技術(shù)保障應用認證安全。

統一接入提供應用賬號和認證集成服務(wù)，以數據同步接口與企業(yè)應用系統的集成，實(shí)現單位HR人員數據到身份管理系統的同步，以及與集成應用系統的賬號同步，包括廣泛使用的AD、SAP系統。為集成應用系統提供用戶(hù)訪(fǎng)問(wèn)的統一接入、聯(lián)邦認證和單點(diǎn)登錄服務(wù)。

系統應對用戶(hù)、應用、應用賬號的登錄、單點(diǎn)以及管理等操作進(jìn)行集中的日志記錄，提供基本的安全審計和常用報表功能。根據用戶(hù)需要可以將日志轉發(fā)第三方處理或者進(jìn)行定制化開(kāi)發(fā)實(shí)現更多功能。

當前云部署、容器部署已經(jīng)成為企業(yè)首選，所以產(chǎn)品應支持采用云技術(shù)實(shí)現系統模塊的部署，通過(guò)云架構的特點(diǎn)為用戶(hù)和應用提供更健壯的不間斷服務(wù)能力。以云的基礎服務(wù)為平臺，形成企業(yè)身份和認證管理的服務(wù)平臺。

我們產(chǎn)品提供集中的用戶(hù)和賬號管理平臺，建立統一的用戶(hù)身份管理流程，基于用戶(hù)實(shí)名制，提供全局統一且唯一用戶(hù)賬號，一個(gè)用戶(hù)身份對應唯一的用戶(hù)賬號，用戶(hù)賬號與應用賬號建立映射關(guān)系，確定應用賬號責任人，一人一個(gè)賬號，便于用戶(hù)記憶，提升使用體驗。

我們產(chǎn)品可以將HR系統或者其他系統作為權威用戶(hù)數據源進(jìn)行整合，根據員工入職、崗位變動(dòng)、離職、退休等事件驅動(dòng)用戶(hù)賬號狀態(tài)的變化，用戶(hù)賬號的狀態(tài)變化又驅動(dòng)應用賬號隨之聯(lián)動(dòng)變化。比如：用戶(hù)崗位變化之后，其所屬的應用賬號根據策略自動(dòng)進(jìn)行狀態(tài)調整，如果用戶(hù)退休則將用戶(hù)賬號禁用，其所屬應用賬號也將隨之禁用。

提供全局統一的強密碼策略，具有一定的強度，要求大小寫(xiě)英文字母、數字、特殊符號等的組合，必須定期修改，且不能和前N次密碼歷史相同。擴展開(kāi)來(lái)，密碼策略還應該基于用戶(hù)的角色、所屬組織及具備的屬性等條件進(jìn)行靈活設置，實(shí)現不同場(chǎng)景條件下的個(gè)性化需求。

密碼強度舉例說(shuō)明【數字越小強度越高】

• 密碼策略強度級別1：密碼有效期3個(gè)月，密碼歷史10次

• 密碼策略強度級別2：密碼有效期3個(gè)月，密碼歷史5次

• 密碼策略強度級別3：密碼有效期6個(gè)月，密碼歷史5次

從企業(yè)管理的角度出發(fā)，我們提供了應用集成注冊管理，通過(guò)人機交互界面實(shí)現了應用的注冊、修改、禁用、啟用、刪除等功能，簡(jiǎn)化應用集成管理工作，提高應用管理工作效率。

提供統一的認證策略和多因素認證技術(shù)，并實(shí)現集成應用間的單點(diǎn)登錄，為用戶(hù)提供了便利的系統訪(fǎng)問(wèn)模式，增強了系統安全性。

傳統的靜態(tài)口令認證存在多種安全隱患，應結合強認證技術(shù)實(shí)現多因素認證技術(shù)加強用戶(hù)對系統訪(fǎng)問(wèn)認證的安全防護，確保用戶(hù)登錄的可信性。根據認證安全三要素：所知、所有、獨有的條件來(lái)看，傳統的用戶(hù)名密碼為所知，數字證書(shū)、動(dòng)態(tài)口令為所有，而指紋、虹膜等生物特征則是用戶(hù)所獨有的，這三個(gè)要素的靈活結合就實(shí)現了雙因素/多因素（2FA/MFA）認證。

主流多因素認證技術(shù)包括數字證書(shū)、動(dòng)態(tài)口令、生物認證等，今天移動(dòng)互聯(lián)網(wǎng)的發(fā)展使得移動(dòng)設備的認證能力得到大幅提升，如二維碼、圖案、生物識別等都可以利用移動(dòng)設備提供。

根據應用系統的安全等級保護要求，我們可以提供多種強認證方式組合滿(mǎn)足不同的認證級別要求，為不同安全要求的應用提供多種層次和安全要求的認證方式。

4.5.1審計報表管理

將用戶(hù)認證、單點(diǎn)登錄、自助服務(wù)操作、管理員賬號操作以及用戶(hù)狀態(tài)變化自動(dòng)產(chǎn)生的日志集中存儲并提供統一的展示視圖。

基于多維度、多視角的個(gè)性化需求，系統提供對用戶(hù)賬號、組織機構、集成應用、應用賬號、系統角色等多種數據展示報表，可以根據需要自定義展示。

今天很多國家的法律法規都要求企業(yè)關(guān)注并強制實(shí)現身份管理，中國要遵循《中華人民共和國網(wǎng)絡(luò )安全法》和《網(wǎng)絡(luò )安全等級保護基本要求》，在美國上市的公司要遵循《薩班斯-奧克斯利法案》，歐洲有《通用數據保護條例》(GDPR)，這些法律法規對信息系統安全和用戶(hù)訪(fǎng)問(wèn)控制要求得越來(lái)越嚴格，我們能幫助企業(yè)符合這些規定。

自動(dòng)化的策略管理有助于企業(yè)IT部門(mén)擺脫一些重要但卻單調繁瑣的工作，從而將人力投入到更加重要工作崗位上。在今天網(wǎng)絡(luò )安全人才緊缺的現實(shí)情況下，可以大幅提升運營(yíng)效率并降低運營(yíng)成本。

在基于安全的前提下，對公司的信息系統進(jìn)行整合，實(shí)現單一身份、安全認證和單點(diǎn)登錄，消除信息孤島，增強辦公協(xié)同，從而提供更好的用戶(hù)訪(fǎng)問(wèn)和操作體驗，提升用戶(hù)和員工滿(mǎn)意度。

我們是企業(yè)網(wǎng)絡(luò )安全的重要基礎平臺，得到良好定義和嚴格執行的身份供應策略、訪(fǎng)問(wèn)控制策略可以為其他安全系統、設備提供安全可靠的身份和鑒權服務(wù)，這意味著(zhù)更好的用戶(hù)訪(fǎng)問(wèn)控制，降低了內部和外部數據泄露的風(fēng)險。