现今,在云计算、大数据、物联网、人工智能等信息技术的深度应用下,身份与访问管理平台(IAM)已经成为企业网络安全系统的重要组成部分,通过基于角色的控制,可以帮助企业组织管理数字身份以及用户对组织内系统、网络和关键信息的访问行为。
身份治理规划总体概述
随着企业信息化水平快速提升,身份治理作为企业管理平台和基础安全平台,已被大多数企业纳入企业整体经营战略规划中,那么企业如何结合自身业务形态和信息安全管理要求进行身份治理规划设计呢?我们从四个方面进行身份治理的统一规划和建设考虑:
风险评估:围绕身份治理管理要求,针对企业面临的信息安全挑战与存在问题,充分评估身份治理风险于合理性;
规划设计:结合企业的战略规划与IT规划,制定符合企业业务发展与管理模式的身份治理规划蓝图;
平台建设:引入身份治理建设经验与专业实施商,明确实施路径与目标,推动身份安全平台与体系建设;
生态融合:推动数字化转型与创新,实现身份治理线下线上、云端及物联网等多场景业务融合与生态融合。
新兴的身份管理系统
电子身份 eID
eID 是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统” 签发给公民的网络电子身份标识,它的特点是能够在不泄露身份信息的前提下在线远程识别身份。
具体来说,用户开通 eID 时,智能安全芯片内部会采用非对称密钥算法生成一组公私钥对,这组公私钥对可用于电子签名,基本原理是:用户可以使用自己的 eID 私钥对信息进行电子签名后发送给其他人,其他人可以使用用户的 eID公钥对签名信息进行验签。
用户使用 eID 通过网络向应用方自证身份时,应用方会向连接“公安部公民网络身份识别系统”的服务机构发出请求,以核实用户网络身份的真实性和有效性。
一旦用户网络身份通过验证,应用方就能得到用户在当前应用上的网络身份应用标识。由于用户在不同的线上应用所使用的网络身份应用标识编码不同,因此可以避免用户在不同线上应用中的行为数据被汇聚、分析和追踪。
目前,我国的电子身份 eID 已发行 5000 万张并且在在银行、证券、保险、征信、互联网金融、电子商务等领域广泛应用。欧盟多个国家也已经颁发了eID来替代传统的身份证件,使eID既具备了线下身份识别的功能,又具备了网络远程身份识别功能。
OAuth
OAuth 是 Open Authority 的缩写,它是一个授权框架,或称授权标准,它可以使第三方应用程序(微信、QQ 等)或客户端获得对HTTP 服务上(例如 Google、GitHub)用户信息的有限的访问权限。
OAuth 通过将用户身份验证委派给托管用户的服务以及授权客户端访问用户进行工作。它可以为 Web 应用和桌面应用以及移动应用提供授权流程。
OpenID协议
OpenID 是 Live Journal社区创办人Brad Fitzpatrick 提出的一个去中心化的网上身份认证系统。OpenID允许用户使用现有账户登录多个网站,而无需创建新密码。
取而代之的是,他们只需要预先在一个 OpenID 身份提供者的网站上注册,就可以任意享用支持 OpenID 的网站上面的资源。
OpenID 的最大特点是采用了去中心化的架构,任何网站都可以使用 OpenID 来作为用户登录的一种方式,任何网站也都可以作为OpenID 身份提供者。
目前,OpenID 正在网络上迅速普及,超过 10 亿个支持 OpenID 的用户账户和超过 50000 个网站接受 OpenID 登录,包括谷歌、Facebook、雅虎、微软、MySpace、Novell、Sun、意大利电信等等。
2020身份与访问管理趋势
身份和访问管理即服务
管理一组应用程序和文件的访问可能很棘手,且要求很高。尽管IAM早已迁移到云中(即使Microsoft的古老Active Directory软件也跳到了Azure),但对应用程序进行精细维护的责任仍然在于管理员。
借助IAM即服务(IAMaaS),许多IAM功能被转移到云中并实现了自动化。远程用户可以轻松而轻松地访问其工具:他们只需使用一次登录(SSO)即可访问所需的所有资源和解决方案。
借助IAMaaS,用户可以轻松、自动化地连接安全和防欺诈保护系统,提高应用程序和文件的安全性,而无需付出额外的努力。此外,自动化工具将大大减少管理员的工作负担。
微服务的身份和访问管理
微服务已经席卷了IT世界。开发人员使用链接的容器化小程序而不是单个整体应用程序来执行以前由单个集成应用程序完成的功能。即使一个组件失败,整个应用程序也不会崩溃。
取而代之的是,自动化系统启动了故障组件的副本,使用户的停机时间降至零。
从传统的IAM的角度来看,这是有问题的。现在,应用程序的各个组件可以通过网络进行通信,这意味着攻击者有可能窃听或伪造这些通信。有时,这些服务使用公共互联网在多个数据中心之间进行通信,这使得加密和安全性变得更加重要。
因此,IAM解决方案开始与微服务集成。在一个这样的解决方案中,微服务之间的每个通信还包括一个唯一的令牌,该令牌在收到后便会得到验证。应用程序仅在收到有效令牌后才执行请求的功能。
这对应用程序造成的性能影响很小,但却可以防止不良行为者假冒微服务或窃听您的应用程序。
自主身份
用户所拥有的身份数据,需重复证明,也不属于自己,这是一件怪诞但现实的事情,这不仅仅带来不便,而且是数据泄露的万恶之源。
自主主权身份是搭建在区块链上的数字身份,也是用户对数字身份掌控度最高的形式,此类数字身份因为结合了区块链的去中心化、分布式、共识机制、哈希加密等特性,因此在自主、安全、可控层面更上一层楼。
在物理世界中,用户可以通过多种方式来验证其身份,而无需用户名或密码。他们可能会出示驾照、护照、社会保险卡或其他身份证。
过去,显示完整账号的信用卡收据使身份盗窃变得容易。而所谓的自主身份,指的是当个人使用这些实体来验证其身份时,没有第三方(发行机构除外)维护副本,因此被盗的风险较小。
简而言之,自我主权身份使用户在网上也能够以“亲自证明”相同的方式对自己进行身份验证。用户可以存储自己的个人识别数据,而不必将其提交到某个公司管理的集中化数据库中,因为如果这些公司被黑客入侵,数据泄露将不可避免。
自我主权身份的问题在于,目前还没有一种普遍认同的媒介可以用来存储自己的身份并对其进行验证。现在,许多自我主权身份的支持者认为,区块链是一种加密的去中心化个人信息数据库,代表了个人可以轻松地在线验证其身份的理想机制。
因此,整合区块链有可能在很大程度上改变IAM。根据您的居住地、您的用户名和密码可能会替换为政府颁发的数字身份。这已经在瑞士的楚格(Zug)市发生,您的城镇可能是下一个。
总之,可以预见的是,随着全球主要公司和政府努力“消灭密码”,在线身份识别和管理方式也正面临一场巨变。
身份与访问管理产品及解决方案
卫士通
统一身份认证系统
产品介绍:
卫士通通过身份管理与身份认证系统提供了一套统一的、高安全性和高可靠性的统一身份认证解决方案,将分散用户和权限资源进行统一、集中的管控,用户访问应用的安全认证和单点登录。用户一次认证登录后就可访问所有有权访问的应用系统,避免频繁登录,并且能够保证用户身份的合法性和唯一性,对于应用系统的访问建立一套完整的安全防护和用户管理机制。身份管理与身份认证的核心业务场景如下:
身份管理与身份认证的核心业务场景
方案特性
· 满足单位内组织架构、用户统一身份管理、同一单位不同网络域统一身份管理与身份认证、行业上下级单位统一身份管理与身份认证;
· 支持多种基于国密算法的身份认证模式,并可根据业务应用系统安全登记设置应用系统认证方式和等级;
· 支持统一授予用户访问业务应用系统权限,支持授权模板,参照模板自动授权;
· 支持用户操作日志、认证日志、访问日志统一管理与审计。
客户关注的主要功能
· 组织管理:对单位内的组织机构进行维护,支持手动录入在组织信息、EXCEL导入组织信息;
· 用户管理:支持对单位内的用户信息进行维护,为用户分配唯一身份标识;
· 应用资源管理:维护应用系统基本信息,分配应用系统身份标识;
· 人员分组管理:按照人员属性建立人员分组,可支持属性分组、离散用户分组;
· 身份订阅:支持为业务应用系统订阅组织架构数据、用户身份数据;
· 应用授权:支持授予用户访问业务应用系统权限,支持分组授权;
· 身份认证:支持用户名口令认证、证书认证、短信认证、二维码扫码认证、动态口令认证、二次认证、多因素认证。
给客户带来的核心价值
卫士通统一身份认证系统面向各企事业单位,提供安全且可靠的身份管理、身份认证,是企事业单位信息化建设过程中的基础和核心业务支撑系统。其可实现企事业单位资源有序共享,业务安全协同,达到一次认证,全网通行的效果,有力地保障业务应用和数据的安全。
