淺談大型企業(yè)搭建IAM平臺(tái)重要性之我見(jiàn)

張婷婷

摘要：隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷推進(jìn)，信息技術(shù)的應(yīng)用對(duì)業(yè)務(wù)的支撐和引領(lǐng)作用日益凸顯。近年，網(wǎng)絡(luò)安全事件頻發(fā)，現(xiàn)實(shí)不止一次教育我們網(wǎng)絡(luò)安全正在面臨嚴(yán)峻挑戰(zhàn)。身份管理基礎(chǔ)設(shè)施的設(shè)計(jì)及建設(shè)需適應(yīng)業(yè)務(wù)板塊快速發(fā)展和業(yè)務(wù)系統(tǒng)架構(gòu)模型，滿足系統(tǒng)安全訪問(wèn)的需求。當(dāng)下IAM服務(wù)已得到廣泛應(yīng)用。

關(guān)鍵詞：IAM 認(rèn)證 身份 訪問(wèn) 安全

一、數(shù)字化轉(zhuǎn)型時(shí)代企業(yè)面臨的安全挑戰(zhàn)

近年，網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)安全正在面臨嚴(yán)峻挑戰(zhàn)。在數(shù)字化轉(zhuǎn)型的大背景下，企業(yè)數(shù)字化程度越高越易遭受網(wǎng)絡(luò)攻擊，且當(dāng)今黑客的攻擊手法越發(fā)復(fù)雜、隱蔽。據(jù)Gartner統(tǒng)計(jì)，全球近13年累計(jì)泄露數(shù)據(jù)10.66億條，黑客入侵和來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)是兩大原因。

黑客入侵居首位，占比59%。黑客利用弱口令或被盜口令向企業(yè)網(wǎng)絡(luò)發(fā)起攻擊，一旦攻破網(wǎng)絡(luò)邊界、進(jìn)入內(nèi)網(wǎng)，便可輕松橫向移動(dòng)，逐步控制高價(jià)值目標(biāo)。來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)排名第二，占比33.9%，主要是由未經(jīng)授權(quán)非法訪問(wèn)特定的業(yè)務(wù)和數(shù)據(jù)資源造成。

基于物理邊界的安全防護(hù)工具無(wú)法檢測(cè)利用身份、憑證的惡意攻擊，亦無(wú)法感知信息系統(tǒng)訪問(wèn)控制不當(dāng)所帶來(lái)的安全威脅，這便成為絕大多數(shù)企業(yè)所面臨的安全挑戰(zhàn)。

絕大多數(shù)大型企業(yè)由于信息系統(tǒng)建設(shè)年代不同、對(duì)信息安全要求的標(biāo)準(zhǔn)不一，存在系統(tǒng)間身份數(shù)據(jù)庫(kù)獨(dú)立建設(shè)、認(rèn)證強(qiáng)度各異、缺少統(tǒng)一安全管理策略的共性問(wèn)題。主要表現(xiàn)在以下幾方面：

1. 大量信息系統(tǒng)采用不安全的明文認(rèn)證或明文傳輸，直接將用戶賬戶、密碼暴露在網(wǎng)絡(luò)中，導(dǎo)致賬戶密碼泄露。

2. 由于缺少用戶異常行為的檢測(cè)工具，當(dāng)用戶憑據(jù)被黑客非法利用時(shí)，不能及時(shí)發(fā)現(xiàn)。

3. 各業(yè)務(wù)部門獨(dú)自手工管理系統(tǒng)賬戶，未與人事系統(tǒng)聯(lián)動(dòng)，在崗位、任職狀態(tài)發(fā)生變化后，難以做到在每個(gè)信息系統(tǒng)中都及時(shí)調(diào)整權(quán)限，禁用或注銷其用戶賬戶，從而導(dǎo)致部分信息系統(tǒng)長(zhǎng)期存在著一些無(wú)人使用的“僵尸”賬戶，成為不可忽視的全隱患。這種孤島式的用戶和權(quán)限管理模式也造成信息安全審計(jì)的困難。

4. 未實(shí)現(xiàn)以實(shí)名制身份為核心的用戶全生命周期管理。

5. 缺少統(tǒng)一的認(rèn)證、訪問(wèn)控制能力，無(wú)法完成集中的身份鑒權(quán)及訪問(wèn)行為審計(jì)。

于此同時(shí)，國(guó)家對(duì)企業(yè)信息化建設(shè)要求不斷提高，以及企業(yè)自身對(duì)信息安全保密的需要越來(lái)越強(qiáng)烈，相繼出臺(tái)一系列政策、規(guī)范，企業(yè)勢(shì)必應(yīng)當(dāng)自審，應(yīng)當(dāng)加強(qiáng)內(nèi)部的安全管理和控制。

二、企業(yè)建設(shè)IAM平臺(tái)必要性分析

大多數(shù)大型企業(yè)在身份管理、認(rèn)證管理方面存在通病。例如：在賬戶管理方面，存在賬戶管理分散、賬戶命名規(guī)則不統(tǒng)一、賬戶管理流程不一致、多人共享賬戶不易定責(zé)、人員離職后賬戶更新滯后的問(wèn)題;在認(rèn)證管理方面，存在缺少全局認(rèn)證安全策略，各系統(tǒng)身份認(rèn)證模塊獨(dú)立建設(shè)，信息系統(tǒng)認(rèn)證強(qiáng)不一、認(rèn)證方式單一、賬戶密碼策略不統(tǒng)一、缺少全局訪問(wèn)控制策略，“木桶效應(yīng)”導(dǎo)致信息系統(tǒng)整體安全風(fēng)險(xiǎn)上升的現(xiàn)象;在授權(quán)管理方面，存在缺少全局權(quán)限管理策略、權(quán)限定義無(wú)標(biāo)準(zhǔn)、缺少全局權(quán)限視圖;在安全審計(jì)管理方面，存在缺少全局安全審計(jì)規(guī)劃，缺少全局安全審計(jì)日志存儲(chǔ)標(biāo)準(zhǔn)，不利于審計(jì)數(shù)據(jù)共享、安全隱患挖掘的問(wèn)題。而IAM平臺(tái)針對(duì)上述痛點(diǎn)可逐一擊破。在身份管理方面，通過(guò)構(gòu)建權(quán)威身份數(shù)據(jù)源，為應(yīng)用系統(tǒng)提供身份數(shù)據(jù)同步服務(wù);提供用戶賬戶全生命周期管理;建立集中用戶身份信息庫(kù)，收集、篩選所有系統(tǒng)的用戶屬性信息，做到用戶身份信息聚合。在認(rèn)證管理方面，將為所有應(yīng)用提供統(tǒng)一的訪問(wèn)入口;提供一次登錄、免密登錄服務(wù);支持PKI認(rèn)證服務(wù)體系、生物認(rèn)證、滑動(dòng)驗(yàn)證、OTP、短信等認(rèn)證服務(wù)，提高認(rèn)證操作的便捷性，同時(shí)加強(qiáng)認(rèn)證安全性。在授權(quán)管理方面，將實(shí)現(xiàn)統(tǒng)一的身份和訪問(wèn)控制管理策略;實(shí)現(xiàn)應(yīng)用入口級(jí)別訪問(wèn)控制，構(gòu)建企業(yè)全局用戶的業(yè)務(wù)系統(tǒng)訪問(wèn)權(quán)限畫(huà)像;甚至可支持跨地區(qū)、跨組織、跨時(shí)區(qū)的信息系統(tǒng)提供支撐鑒別授權(quán)的權(quán)威信任基礎(chǔ)設(shè)施。在審計(jì)管理方面，將對(duì)用戶的認(rèn)證、訪問(wèn)、操作等行為進(jìn)行全方位監(jiān)控、審計(jì);提供對(duì)登錄模式、訪問(wèn)時(shí)間、操作行為、訪問(wèn)習(xí)慣、訪問(wèn)關(guān)系等異常行為進(jìn)行監(jiān)控和預(yù)警。隨著機(jī)器學(xué)習(xí)和大數(shù)據(jù)技術(shù)的發(fā)展，安全防御手段逐漸智能化，一些成熟的身份管理方案已經(jīng)引入基于識(shí)別用戶可信身份的用戶行為風(fēng)險(xiǎn)控制能力。用戶行為風(fēng)險(xiǎn)控制能力的整體概念是基于大數(shù)據(jù)環(huán)境、基于數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)技術(shù)，快速的對(duì)入侵行為進(jìn)行識(shí)別。當(dāng)入侵行為發(fā)生時(shí)，可實(shí)時(shí)檢測(cè)、及時(shí)報(bào)警、及時(shí)響應(yīng);可快速通知用戶本人，立即采取防范措施;可建立風(fēng)險(xiǎn)規(guī)則庫(kù)，應(yīng)對(duì)入侵行為?；谏鲜鰯?shù)據(jù)，形成以用戶身份為主線的用戶行為畫(huà)像全景視圖，提升安全防范的能力。

三、企業(yè)建設(shè)IAM平臺(tái)的收益

企業(yè)自建IAM平臺(tái)，為企業(yè)內(nèi)部自用，不直接產(chǎn)生經(jīng)濟(jì)效益，但會(huì)回報(bào)直接的安全效益，整體提高企業(yè)信息系統(tǒng)的安全防護(hù)能力和信息安全管理水平。

1. 管理效益

IAM平臺(tái)的建設(shè)可為下游應(yīng)用提供更加堅(jiān)固、穩(wěn)定、強(qiáng)大的服務(wù)能力，進(jìn)一步提升對(duì)各級(jí)單位應(yīng)用的管理能力;可擴(kuò)大系統(tǒng)應(yīng)用范圍，使更多的下游IAM平臺(tái)應(yīng)用實(shí)現(xiàn)用戶身份統(tǒng)一管理和安全認(rèn)證，推進(jìn)企業(yè)用戶規(guī)范管理的進(jìn)程;采用統(tǒng)一規(guī)劃建設(shè)的IAM平臺(tái)進(jìn)行賬戶管理、統(tǒng)一認(rèn)證以及單點(diǎn)登錄集成，可消除信息孤島，方便用戶訪問(wèn)多個(gè)信息系統(tǒng);集中管控賬戶安全策略，規(guī)避非法賬戶存在以及弱口令等安全事件的發(fā)生，提升信息化安企業(yè)全管理水平;基于企業(yè)用戶管理與身份認(rèn)證應(yīng)用規(guī)范實(shí)施建設(shè)，為信息化規(guī)范管理打下堅(jiān)實(shí)基礎(chǔ)。

2. 經(jīng)濟(jì)效益分析

IAM平臺(tái)的建設(shè)將進(jìn)一步擴(kuò)大應(yīng)用集成范圍，提高信息系統(tǒng)用戶身份及訪問(wèn)管理效率，降低信息系統(tǒng)用戶管理模塊開(kāi)發(fā)成本;增強(qiáng)信息系統(tǒng)用戶操作便利性，提高員工工作效率;減少管理員的管理成本和工作強(qiáng)度，使得信息化工作人員可以投入到更多有意義的IT建設(shè)工作中;系統(tǒng)推廣建設(shè)，提高信息系統(tǒng)安全性，減少因賬戶管理及訪問(wèn)控制問(wèn)題而造成的損失;簡(jiǎn)化集成實(shí)施，采用的單點(diǎn)登錄方案在短期內(nèi)能夠改造完成，降低部門間協(xié)調(diào)成本和實(shí)施周期長(zhǎng)而帶來(lái)的經(jīng)濟(jì)損失;為后續(xù)的應(yīng)用開(kāi)發(fā)提供了統(tǒng)一的用戶身份認(rèn)證框架，投資利用率高，具有很好的可擴(kuò)展性，可滿足企事業(yè)單位不同發(fā)展階段的需求，一次投資可長(zhǎng)期使用。

3. 社會(huì)效益分析

IAM平臺(tái)的建設(shè)將規(guī)范企業(yè)內(nèi)部用戶管理，為內(nèi)控審計(jì)、遵循國(guó)際及國(guó)內(nèi)法律法規(guī)提供技術(shù)手段;推進(jìn)應(yīng)用國(guó)產(chǎn)化，關(guān)鍵服務(wù)、關(guān)鍵技術(shù)參考行業(yè)標(biāo)準(zhǔn)、自主可控，滿足國(guó)家有關(guān)信息化建設(shè)要求，提高社會(huì)影響力;減少因密碼問(wèn)題而帶來(lái)的安全風(fēng)險(xiǎn)，建立實(shí)名制的用戶唯一身份，提供不同安全級(jí)別的身份認(rèn)證方式，滿足國(guó)家規(guī)定的等級(jí)保護(hù)要求;提高信息化安全水平，企業(yè)更好地滿足企業(yè)安全建設(shè)需要，提高國(guó)際競(jìng)爭(zhēng)力提供了安全合規(guī)支撐。

參考文獻(xiàn)

[1]楊莉， 趙娜（譯）. ⅡA發(fā)布 最新全球技術(shù)審計(jì)指南—身份識(shí)別和訪問(wèn)管理[J]. 中國(guó)內(nèi)部審計(jì)， 2008（1）：25-25.

[2]夏冰，網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0，2017.