一、前言

在網(wǎng)絡(luò)安全中，身份管理和訪問(wèn)控制（IAM）在對(duì)于訪問(wèn)對(duì)象的管理和信息傳遞的聯(lián)系中起著至關(guān)重要的作用。身份管理與訪問(wèn)控制不僅要管理身份信息錯(cuò)誤風(fēng)險(xiǎn)，還要保障在存儲(chǔ)、處理乃至其他環(huán)節(jié)的機(jī)密性、完整性以及可用性。

根據(jù)Cybersecurity Ventures預(yù)測(cè)，到2021年，網(wǎng)絡(luò)犯罪造成的損失將從2015年的3萬(wàn)億美元增加到每年6萬(wàn)億美元。除外部攻擊外，內(nèi)部人員的“參與”將進(jìn)一步增加事件發(fā)生的可能性和影響程度，如賦予員工或承包商超過(guò)其職責(zé)所需的訪問(wèn)權(quán)限時(shí)，容易產(chǎn)生敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。正因如此，組織對(duì)于身份的識(shí)別和管理控制的重視程度連年提升。一套健全的身份管理和訪問(wèn)控制體系是利用保障組織中用戶訪問(wèn)策略以提升企業(yè)對(duì)于信息資產(chǎn)保護(hù)、解決組織內(nèi)管理身份權(quán)限的需要，包括組織應(yīng)對(duì)國(guó)內(nèi)外合規(guī)等各類(lèi)網(wǎng)絡(luò)安全需求。

IAM是一個(gè)策略與技術(shù)的框架集合，用以確保組織中成員能夠在合適地訪問(wèn)相應(yīng)地信息資源，主要為：1）用戶身份鑒別2）憑證3）公鑰基礎(chǔ)設(shè)施4）授權(quán)5）訪問(wèn)控制?？偠灾?#xff0c;身份管理與訪問(wèn)控制體系的部署和實(shí)施，不僅能節(jié)省企業(yè)成本，提升用戶體驗(yàn)，起到承擔(dān)合規(guī)管理工具的任務(wù)。因此，它能清晰的描述企業(yè)內(nèi)部風(fēng)險(xiǎn)，有效幫助企業(yè)靈活調(diào)整用戶權(quán)限，檢測(cè)、預(yù)防并控制內(nèi)外風(fēng)險(xiǎn)，以降低組織整體面臨的風(fēng)險(xiǎn)。

該領(lǐng)域國(guó)內(nèi)市場(chǎng)活躍性的增高，尤其是政府部門(mén)、金融業(yè)、銀行業(yè)等較為顯著，因?yàn)槲覈?guó)的信息化建設(shè)發(fā)展到一定階段，存有穩(wěn)健增長(zhǎng)發(fā)展的基礎(chǔ)，國(guó)內(nèi)企業(yè)和組織重視信息系統(tǒng)的建設(shè)嗎，所以該領(lǐng)域得以順應(yīng)發(fā)展。其二，不論是歐盟GDPR，或是網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系的頒布，無(wú)不推動(dòng)了身份管理與訪問(wèn)控制行業(yè)的發(fā)展。

本報(bào)告主要探討和研究國(guó)內(nèi)身份管理與訪問(wèn)控制的發(fā)展情況，分析國(guó)內(nèi)企業(yè)和組織的需求，推進(jìn)該領(lǐng)域的落地實(shí)施和高效發(fā)展，提出組織在實(shí)施中的難點(diǎn)和常見(jiàn)解決方案。

二、身份管理與訪問(wèn)控制的挑戰(zhàn)和威脅

1.安全挑戰(zhàn)
常見(jiàn)的身份管理和訪問(wèn)控制的安全挑戰(zhàn)，大多因?yàn)閿?shù)據(jù)位于不同的位置和業(yè)務(wù)部門(mén)，因此組織難以審查身份、批準(zhǔn)訪問(wèn)請(qǐng)求。訪問(wèn)權(quán)限尋求的過(guò)程中所遇到的一定程度上的阻礙，導(dǎo)致請(qǐng)求者跨越適當(dāng)審核過(guò)程直接上報(bào)給高層管理人員。負(fù)責(zé)審核的人員對(duì)于請(qǐng)求發(fā)起者和申請(qǐng)?jiān)L問(wèn)內(nèi)容缺乏洞察力，無(wú)法準(zhǔn)確定位哪些員工需要訪問(wèn)機(jī)密數(shù)據(jù)。

挑戰(zhàn)主要包括對(duì)于身份管理，用戶缺少集中性的身份數(shù)據(jù)庫(kù)；系統(tǒng)特權(quán)的分發(fā)超過(guò)或者低于原本授予的訪問(wèn)權(quán)限。對(duì)于訪問(wèn)控制，認(rèn)證時(shí)審查員對(duì)獲取需求的知識(shí)不同，更不用講業(yè)務(wù)部門(mén)之間的流程往往是手動(dòng)的，難以進(jìn)行標(biāo)準(zhǔn)化，審查人員需進(jìn)行多次重復(fù)和細(xì)致的驗(yàn)證；當(dāng)手動(dòng)配置無(wú)效時(shí)，這些預(yù)配置和預(yù)定標(biāo)示之間會(huì)產(chǎn)生矛盾；無(wú)法刪除的不適當(dāng)?shù)腎AM特權(quán)或者無(wú)法克隆訪問(wèn)配置文件，如果無(wú)法分工并監(jiān)察管理員、高級(jí)用戶和臨時(shí)訪問(wèn)權(quán)限，可能會(huì)阻礙規(guī)則執(zhí)行。其他問(wèn)題包括缺乏對(duì)集中式訪問(wèn)管理解決方案的支持，例如目錄和單點(diǎn)登錄，過(guò)時(shí)或不存在的訪問(wèn)管理策略以及無(wú)法建立基于規(guī)則的訪問(wèn)。

組織機(jī)構(gòu)中身份管理與訪問(wèn)控制的常見(jiàn)問(wèn)題有：

1）各應(yīng)用系統(tǒng)賬號(hào)管理分散，缺少統(tǒng)一的管理機(jī)制；

2）共用賬號(hào)、無(wú)主賬號(hào)現(xiàn)象大量存在，無(wú)法定位責(zé)任人；

3）應(yīng)用系統(tǒng)認(rèn)證各自獨(dú)立，沒(méi)有統(tǒng)一認(rèn)證策略，沒(méi)有建立安全的單點(diǎn)登錄機(jī)制；

4）采用傳統(tǒng)的賬號(hào)與口令認(rèn)證方式，安全強(qiáng)度低；

5）授權(quán)管理和訪問(wèn)控制缺少完整性、真實(shí)性、抗抵賴(lài)性等安全信任保障；

6）無(wú)法滿足企業(yè)進(jìn)行集中身份與訪問(wèn)過(guò)程記錄與審計(jì)需要。

然而，在組織中由于特權(quán)身份管理帶來(lái)的挑戰(zhàn)有：

1）管理帳戶憑據(jù)：許多IT組織依靠人工密集型且易于出錯(cuò)的管理流程來(lái)輪換和更新特權(quán)憑據(jù)。這可能是一種低效且昂貴的方法。

2）跟蹤特權(quán)活動(dòng)：許多企業(yè)無(wú)法集中監(jiān)視和控制特權(quán)會(huì)話，從而使企業(yè)面臨網(wǎng)絡(luò)安全威脅和合規(guī)性違規(guī)行為。

3）監(jiān)視和分析威脅：許多組織缺乏全面的威脅分析工具，無(wú)法主動(dòng)識(shí)別可疑活動(dòng)并補(bǔ)救安全事件。

4）控制特權(quán)用戶訪問(wèn)：組織經(jīng)常難以有效地控制特權(quán)用戶對(duì)云平臺(tái)（基礎(chǔ)架構(gòu)即服務(wù)和平臺(tái)即服務(wù)）、軟件即服務(wù)（SaaS）應(yīng)用程序、社交媒體等的訪問(wèn)，從而造成合規(guī)性風(fēng)險(xiǎn)和運(yùn)營(yíng)復(fù)雜性。

5）保護(hù)Windows域控制器：網(wǎng)絡(luò)攻擊者可以利用Kerberos身份驗(yàn)證協(xié)議中的漏洞來(lái)模擬授權(quán)用戶并獲得對(duì)關(guān)鍵IT資源和機(jī)密數(shù)據(jù)的訪問(wèn)權(quán)限。

2.安全威脅
保護(hù)用戶身份及權(quán)限可信，企業(yè)的關(guān)鍵業(yè)務(wù)均大量地采用計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)技術(shù)，因此企業(yè)基于 IT 環(huán)境的業(yè)務(wù)系統(tǒng)越來(lái)越多、越來(lái)越龐大，除了傳統(tǒng)的服務(wù)中斷、黑客攻擊，也帶來(lái)了新的威脅和風(fēng)險(xiǎn)，如未經(jīng)授權(quán)的訪問(wèn)、訪問(wèn)權(quán)限混亂、授權(quán)管理復(fù)雜等，進(jìn)一步突出了信息安全的重要性，這就要求采取適當(dāng)?shù)墓芾泶胧┖图夹g(shù)手段確保權(quán)限授予的合理性和合規(guī)性，企業(yè)面臨的具體存在的問(wèn)題與風(fēng)險(xiǎn)如：安全風(fēng)險(xiǎn)、數(shù)據(jù)泄露、管控風(fēng)險(xiǎn)造成大面積企業(yè)內(nèi)部信息泄露、合規(guī)審計(jì)難以支撐等安全威脅。

3.客戶需求分析
1）賬戶無(wú)分類(lèi)：內(nèi)部用戶、外包用戶、應(yīng)用賬號(hào)、 公共賬號(hào)、系統(tǒng)賬號(hào)等分級(jí)機(jī)制沒(méi) 有建立，無(wú)法統(tǒng)一進(jìn)行管控；用戶無(wú)統(tǒng)一賬號(hào)，分散賬號(hào)體系， 用戶體驗(yàn)較差。

2）認(rèn)證無(wú)分級(jí)：無(wú)論訪問(wèn)者、被訪問(wèn)資料是否機(jī)密，均使用相同等級(jí)的認(rèn)證，沒(méi)有針對(duì)場(chǎng)景進(jìn)行相關(guān)的增強(qiáng)認(rèn)證。

3）授權(quán)無(wú)規(guī)則：崗位對(duì)應(yīng)的權(quán)限無(wú)合規(guī)限定；核心系統(tǒng)細(xì)粒度權(quán)限無(wú)合規(guī)檢查機(jī)制 ；超越合規(guī)權(quán)限如何管理無(wú)定義。

4）密碼無(wú)管理：不同系統(tǒng)的密碼管理機(jī)制不相同；沒(méi)有統(tǒng)一的密碼標(biāo)準(zhǔn)；沒(méi)有弱密碼檢測(cè)機(jī)制。

5）全方位審計(jì)缺乏：用戶的所有訪問(wèn)日志，時(shí)間、 地點(diǎn)、服務(wù)器IP等信息，沒(méi)有統(tǒng)一審計(jì)機(jī)制；用戶信息修改，個(gè)人修改、管理員修改等沒(méi)有統(tǒng)一審計(jì)機(jī)制。

6）定期審閱機(jī)制欠缺部門(mén)領(lǐng)導(dǎo)不會(huì)定期審閱下屬員工權(quán)限；應(yīng)用管理員不會(huì)定期審閱使用者權(quán)限；內(nèi)部管理人員不會(huì)定期審閱外包人員權(quán)限；應(yīng)用離職賬號(hào)及弱密碼無(wú)法自動(dòng)審閱及告警，無(wú)法滿足銀保監(jiān)定期審查要求。

隨著該客戶業(yè)務(wù)的迅速發(fā)展，各種系統(tǒng)資源和用戶數(shù)量的不斷增加，網(wǎng)絡(luò)規(guī)模迅速擴(kuò)大，信息安全問(wèn)題愈見(jiàn)突出，對(duì)系統(tǒng)之間的整合提出了更高的要求。對(duì)于各部門(mén)的運(yùn)維帳號(hào)權(quán)限現(xiàn)狀無(wú)從得知，管理策略和標(biāo)準(zhǔn)也無(wú)法統(tǒng)一，造成了運(yùn)維帳號(hào)權(quán)限管理能力參差不齊，策略、流程不統(tǒng)一，沒(méi)有統(tǒng)一的運(yùn)維視圖，全景境況模糊不清，存在安全死角和風(fēng)險(xiǎn)不容易發(fā)現(xiàn)的混亂現(xiàn)象。原有的運(yùn)維帳號(hào)權(quán)限管理措施已不能滿足山東廣電目前及未來(lái)信息化系統(tǒng)發(fā)展的要求。

用戶在發(fā)展中對(duì)IT產(chǎn)品或者系統(tǒng)的主要需求，或者企業(yè)在發(fā)展中遇到的IT系統(tǒng)阻礙業(yè)務(wù)發(fā)展的難題。目前，社會(huì)公眾辦理政務(wù)服務(wù)業(yè)務(wù)非常頻繁，部委政務(wù)服務(wù)中的身份認(rèn)證服務(wù)主要支撐兩方面的業(yè)務(wù)，一是本業(yè)務(wù)的身份認(rèn)證服務(wù)，涉及到業(yè)務(wù)內(nèi)用戶注冊(cè)、用戶管理、身份認(rèn)證和單點(diǎn)登錄，使得用戶在本業(yè)務(wù)內(nèi)能夠安全的認(rèn)證登錄；二是跨業(yè)務(wù)系統(tǒng)的身份認(rèn)證服務(wù)，涉及到用戶在跨業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)申辦時(shí)需要進(jìn)行的跨業(yè)務(wù)系統(tǒng)身份認(rèn)證和單點(diǎn)登錄，實(shí)現(xiàn)用戶使用非本系統(tǒng)賬戶進(jìn)行登錄認(rèn)證，實(shí)現(xiàn)真正的“單點(diǎn)登錄，全網(wǎng)通辦”。

隨著互聯(lián)網(wǎng)的發(fā)展，各身份認(rèn)證廠商構(gòu)建了種類(lèi)繁多的身份認(rèn)證方式，如用戶名/密碼、郵箱/密碼、手機(jī)號(hào)/密碼、證書(shū)登錄、生物特征識(shí)別、手機(jī)或APP輔助登錄等方式，這些方式基于不同的認(rèn)證技術(shù)在不同程度上識(shí)別了登錄用戶的身份，然而單一的認(rèn)證技術(shù)無(wú)法保證用戶身份的可信，從“所知、所持、所是”三個(gè)角度來(lái)看，用戶名、郵箱、手機(jī)號(hào)等登錄方式均采用了“所知”這一層次的認(rèn)證方式，雖然認(rèn)證方式最為簡(jiǎn)潔但安全性較低，而證書(shū)登錄、手機(jī)或APP輔助登錄等采用了“所持”這一層次的認(rèn)證方式，保證了較高的認(rèn)證可信，生物特征識(shí)別作為“所是”這一層次的認(rèn)證方式，能夠體現(xiàn)最高的用戶可信性，但其認(rèn)證流程和認(rèn)證方式較為復(fù)雜，便捷性不足。因此，構(gòu)建身份認(rèn)證方式時(shí)，應(yīng)深入分析業(yè)務(wù)應(yīng)用的安全需求，綜合考慮“所知、所持、所是”三方面用戶屬性，尋求適當(dāng)?shù)纳矸菡J(rèn)證模式，構(gòu)建安全便捷的身份認(rèn)證服務(wù)。

三、IAM產(chǎn)品形態(tài)與功能構(gòu)成

? 產(chǎn)品形態(tài)
現(xiàn)將參與本次調(diào)研的網(wǎng)絡(luò)安全企業(yè)身份管理與訪問(wèn)控制的產(chǎn)品形態(tài)歸納總結(jié)如下：

? 功能構(gòu)成

用戶身份管理：

主要分為兩種內(nèi)部用戶和外部用戶，內(nèi)部用戶則分為HR用戶和非HR用戶，便于用戶集中管理，其他功能委派給最終用戶使用。IAM利用每天的定時(shí)任務(wù)到內(nèi)部HR用戶以獲取當(dāng)天數(shù)據(jù)并寫(xiě)入IAM主數(shù)據(jù)庫(kù)。返回問(wèn)題數(shù)據(jù)到中間表，IAM對(duì)于中間表輪詢(xún)校驗(yàn)，直到返回值無(wú)誤后寫(xiě)入主數(shù)據(jù)庫(kù)。非HR用戶創(chuàng)建時(shí)制定相關(guān)責(zé)任人（HR用戶），責(zé)任人更新職責(zé)分配或離職時(shí)相關(guān)非HR用戶也需同步變更責(zé)任人等信息來(lái)提高系統(tǒng)數(shù)據(jù)的準(zhǔn)確性，保障系統(tǒng)安全性。外部用戶通過(guò)隔離區(qū)在外網(wǎng)注冊(cè)和使用相關(guān)服務(wù)，外部用戶數(shù)據(jù)存于獨(dú)立的專(zhuān)門(mén)庫(kù)。

賬號(hào)管理則是將自然人與其擁有的所有系統(tǒng)賬號(hào)關(guān)聯(lián)，集中進(jìn)行管理，包括按照密碼策略自動(dòng)更改密碼，不同系統(tǒng)間的賬號(hào)同步等。

單點(diǎn)登錄（SSO）：

一種對(duì)于許多相互關(guān)連，但是又是各自獨(dú)立的軟件系統(tǒng)，提供訪問(wèn)控制的屬性。當(dāng)擁有這項(xiàng)屬性時(shí)，當(dāng)用戶登錄時(shí)，就可以獲取所有系統(tǒng)的訪問(wèn)權(quán)限，不用對(duì)每個(gè)單一系統(tǒng)都逐一登錄。這項(xiàng)功能通常是以輕型目錄訪問(wèn)協(xié)議（LDAP）來(lái)實(shí)現(xiàn)，在服務(wù)器上會(huì)將用戶信息存儲(chǔ)到LDAP數(shù)據(jù)庫(kù)中。相同的，單一退出（single sign-off）就是指，只需要單一的退出動(dòng)作，就可以結(jié)束對(duì)于多個(gè)系統(tǒng)的訪問(wèn)權(quán)限。

特權(quán)賬戶管理（PAM）：

人是最薄弱的一環(huán)。從內(nèi)部特權(quán)用戶濫用其訪問(wèn)級(jí)別，到外部網(wǎng)絡(luò)攻擊者瞄準(zhǔn)并竊取用戶特權(quán)以作為“特權(quán)內(nèi)部人員”進(jìn)行隱匿操作，人類(lèi)始終是網(wǎng)絡(luò)安全鏈中最薄弱的環(huán)節(jié)。特權(quán)訪問(wèn)管理可幫助組織確保人們僅獲得進(jìn)行工作所需的訪問(wèn)級(jí)別。PAM還使安全團(tuán)隊(duì)能夠識(shí)別與特權(quán)濫用有關(guān)的惡意活動(dòng)，并迅速采取措施來(lái)補(bǔ)救風(fēng)險(xiǎn)。

在數(shù)字業(yè)務(wù)中，特權(quán)無(wú)處不在。系統(tǒng)必須能夠相互訪問(wèn)和通信才能共同工作。隨著組織采用云、DevOps、機(jī)器人流程自動(dòng)化、IoT等技術(shù)，需要特權(quán)訪問(wèn)的機(jī)器和應(yīng)用程序數(shù)量激增，攻擊面也越來(lái)越大。這些非人類(lèi)實(shí)體的數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)典型組織中的人數(shù)，并且更難監(jiān)控和管理，甚至根本無(wú)法識(shí)別?，F(xiàn)成的商用（COTS）應(yīng)用程序通常需要訪問(wèn)網(wǎng)絡(luò)的各個(gè)部分，可能被攻擊者所利用。強(qiáng)大的特權(quán)訪問(wèn)管理策略可在存在特權(quán)的本地、云或混合環(huán)境中處理它們，并在發(fā)生異常活動(dòng)時(shí)進(jìn)行檢測(cè)。

網(wǎng)絡(luò)攻擊者將端點(diǎn)和工作站作為目標(biāo)。在企業(yè)中，默認(rèn)情況下，每個(gè)端點(diǎn)（筆記本電腦、智能手機(jī)、平板電腦、臺(tái)式機(jī)、服務(wù)器等）都包含特權(quán)。內(nèi)置的管理員帳戶使IT團(tuán)隊(duì)可以在本地解決問(wèn)題，但也會(huì)帶來(lái)巨大的風(fēng)險(xiǎn)。攻擊者可以利用管理員帳戶，然后從一個(gè)工作站跳到另一個(gè)工作站竊取其他憑據(jù)、提升特權(quán)，并通過(guò)網(wǎng)絡(luò)橫向移動(dòng)，直到到達(dá)所需的位置。積極主動(dòng)的PAM計(jì)劃應(yīng)考慮完全刪除工作站上的本地管理權(quán)限，以降低風(fēng)險(xiǎn)。

PAM對(duì)于實(shí)現(xiàn)合規(guī)性至關(guān)重要。監(jiān)視和檢測(cè)環(huán)境中的可疑事件的能力非常重要，但是如果沒(méi)有明確關(guān)注表現(xiàn)出最大風(fēng)險(xiǎn)（不受管控、不受監(jiān)視和不受保護(hù)的特權(quán)訪問(wèn)）的因素，企業(yè)將仍然易于受到攻擊。在全面的安全和風(fēng)險(xiǎn)管理策略中實(shí)施PAM可使組織記錄與關(guān)鍵IT基礎(chǔ)架構(gòu)和敏感信息有關(guān)的所有活動(dòng)，從而幫助他們簡(jiǎn)化審核和合規(guī)性要求。

特權(quán)訪問(wèn)特指超出標(biāo)準(zhǔn)用戶訪問(wèn)權(quán)限等特殊訪問(wèn)情況，特權(quán)訪問(wèn)能夠有效保護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序，有效維持業(yè)務(wù)運(yùn)營(yíng)并保護(hù)敏感信息不受侵害。組織實(shí)施PAM以防止憑據(jù)盜用和特權(quán)濫用所造成的威脅。PAM是指由人員、流程和技術(shù)組成的綜合網(wǎng)絡(luò)安全策略，用于控制、監(jiān)視、保護(hù)和審核整個(gè)企業(yè)IT環(huán)境中所有特權(quán)身份和活動(dòng)。PAM有時(shí)被稱(chēng)為特權(quán)身份管理或特權(quán)訪問(wèn)安全，其以最小權(quán)限原則為基礎(chǔ)，即用戶僅獲得執(zhí)行其工作職能所需的最低訪問(wèn)級(jí)別。最小權(quán)限原則被廣泛認(rèn)為是網(wǎng)絡(luò)安全的最佳實(shí)踐，并且是保護(hù)對(duì)高價(jià)值數(shù)據(jù)和資產(chǎn)的特權(quán)訪問(wèn)的基本步驟。通過(guò)執(zhí)行最小權(quán)限原則，組織可以減少攻擊面并降低惡意內(nèi)部人士或外部網(wǎng)絡(luò)攻擊可能導(dǎo)致代價(jià)高昂的數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

目前，市場(chǎng)上安全企業(yè)常見(jiàn)特權(quán)訪問(wèn)管理實(shí)施解決方案有：1）保護(hù)和控制基礎(chǔ)架構(gòu)帳戶。將所有眾所周知的基礎(chǔ)架構(gòu)帳戶都放在一個(gè)集中管理的數(shù)字保管庫(kù)中，并在每次使用后定期自動(dòng)輪換密碼。2）限制身份的橫向訪問(wèn)行為3）管理更新SSH密鑰。保持存儲(chǔ)在服務(wù)器上的SSH密鑰定期更換4）對(duì)于云端/組織內(nèi)部定期輪換、檢索管理特權(quán)賬戶、密鑰和API密鑰。

認(rèn)證管理：

身份認(rèn)證是信息安全的第一道防線，用以實(shí)現(xiàn)支撐系統(tǒng)對(duì)操作者身份的合法性檢查。對(duì)信息統(tǒng)中的各種服務(wù)和應(yīng)用來(lái)說(shuō)，身份認(rèn)證是一個(gè)基本的安全考慮。身份認(rèn)證的方式可以有多種，包括靜態(tài)口令方式、動(dòng)態(tài)口令方式、基于公鑰證書(shū)的認(rèn)證方式以及基于各種生物特征的認(rèn)證方式。

統(tǒng)一認(rèn)證功能主要包括：1）多平臺(tái)認(rèn)證2）身份認(rèn)證服務(wù)插件或SDK體系3）分級(jí)安全策略4）多因子認(rèn)證4）多種認(rèn)證方式兼容的認(rèn)證方式

基于策略的集中式授權(quán)和審計(jì)：

將一個(gè)企業(yè)Web 應(yīng)用程序中的客戶、合作伙伴和員工的訪問(wèn)管理都集起來(lái)。因此，不需要冗余、特定于應(yīng)用程序的安全邏輯?？梢园从脩魧傩?、角色、組和動(dòng)態(tài)組對(duì)訪問(wèn)權(quán)進(jìn)行限制，并按位置和時(shí)間確定訪問(wèn)權(quán)。授權(quán)可以在文件、頁(yè)面或?qū)ο蠹?jí)別上進(jìn)行。此外，受控制的“模擬”（在此情形中，諸如客戶服務(wù)代表的某個(gè)授權(quán)用戶，可以訪問(wèn)其他用戶可以訪問(wèn)的資源）也由策略定義。

審計(jì)是指收集、記錄用戶對(duì)支撐系統(tǒng)資源的使用情況，以便于統(tǒng)計(jì)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)情況，并且在出現(xiàn)安全事故時(shí)，可以追蹤原因，追究相關(guān)人員的責(zé)任，以減少由于內(nèi)部計(jì)算機(jī)用戶濫用網(wǎng)絡(luò)資源造成的安全危害。

動(dòng)態(tài)授權(quán)：

授權(quán)是指對(duì)用戶使用支撐系統(tǒng)資源的具體情況進(jìn)行合理分配的技術(shù)，實(shí)現(xiàn)不同用戶對(duì)系統(tǒng)不同部分資源的訪問(wèn)。從安全意義上，默認(rèn)權(quán)限越小越好，滿足基本需求即可。

基于從不同本地或外部源（包括Web服務(wù)和數(shù)據(jù)庫(kù)）實(shí)時(shí)觸發(fā)評(píng)估數(shù)據(jù)的安全策略，從而確定進(jìn)行訪問(wèn)授權(quán)或拒絕訪問(wèn)。通過(guò)環(huán)境相關(guān)的評(píng)估，可獲得更加細(xì)化的授權(quán)。例如，限制滿足特定條件（最小帳戶余額）的客戶對(duì)特定應(yīng)用程序（特定銀行服務(wù)）的訪問(wèn)權(quán)。授權(quán)策略還可以與外部系統(tǒng)（例如，基于風(fēng)險(xiǎn)的安全系統(tǒng)）結(jié)合應(yīng)用。

用戶身份鑒別：

在公鑰密碼中，發(fā)送者用公鑰加密，接受者用私鑰解密。公鑰一般為公開(kāi)的，不必?fù)?dān)心受到監(jiān)聽(tīng)，解決了對(duì)稱(chēng)密碼中密鑰配送的問(wèn)題。但接收者仍然無(wú)法判斷公鑰的合法性，無(wú)法排出中間人假冒以發(fā)起攻擊。于是，需要對(duì)公鑰進(jìn)行簽名，從而確認(rèn)公鑰有無(wú)被篡改。加了數(shù)字簽名的公鑰稱(chēng)為證書(shū)。PKI中的認(rèn)證是一種具有一定權(quán)威性的證明身份過(guò)程。

四、身份管理與訪問(wèn)控制解決方案

——以下方案順序隨機(jī)排序，不分先后

亞信安全——國(guó)務(wù)院下正屬部級(jí)單位：

以身份為核心的認(rèn)證服務(wù)

緊抓身份關(guān)鍵要素，建立以身份證號(hào)等可以確定用戶身份的標(biāo)識(shí)信息，建立不同標(biāo)識(shí)唯一性的標(biāo)識(shí)序列，按次序進(jìn)行身份整合，以整合身份為核心，串聯(lián)不同應(yīng)用系統(tǒng)中的用戶數(shù)據(jù)，形成明確的用戶身份。以此為核心，提供的統(tǒng)一登錄驗(yàn)證服務(wù)可以方便地為各個(gè)應(yīng)用系統(tǒng)提供統(tǒng)一認(rèn)證、動(dòng)態(tài)認(rèn)證和增強(qiáng)認(rèn)證，方便使用者在不同應(yīng)用系統(tǒng)中進(jìn)行跨應(yīng)用操作，無(wú)需多次認(rèn)證，滿足政務(wù)服務(wù)“一號(hào)一窗一網(wǎng)”的要求。

應(yīng)用管理

根據(jù)部委用戶實(shí)際情況，建立應(yīng)用管理機(jī)制，對(duì)每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)建立應(yīng)用標(biāo)識(shí)、以區(qū)分每個(gè)應(yīng)用系統(tǒng)，為每個(gè)應(yīng)用建立相關(guān)配置數(shù)據(jù)，并為每個(gè)應(yīng)用建立密鑰，以便在認(rèn)證時(shí)方便判斷應(yīng)用所需的認(rèn)證要素，按動(dòng)態(tài)認(rèn)證原則顯示所需的認(rèn)證方式，完成動(dòng)態(tài)認(rèn)證，并及時(shí)按配置的回調(diào)地址等返回應(yīng)用系統(tǒng)，無(wú)需每次都將回調(diào)地址等參數(shù)在URL中傳遞，提升系統(tǒng)效率。而應(yīng)用密鑰為加密傳輸?shù)闹匾?#xff0c;為通訊安全提供了有力保障

實(shí)名核驗(yàn)

實(shí)名核驗(yàn)?zāi)芰κ巧矸莨芾淼闹匾?#xff0c;沒(méi)有了實(shí)名核驗(yàn)，所謂的用戶身份只是一堆代碼。實(shí)名等級(jí)也需要實(shí)名核驗(yàn)?zāi)芰M(jìn)行等級(jí)設(shè)定和驗(yàn)證。實(shí)名核驗(yàn)?zāi)芰ㄔO(shè)的關(guān)鍵是與權(quán)威部門(mén)或機(jī)構(gòu)對(duì)接，將用戶信息傳遞到權(quán)威部門(mén)進(jìn)行核驗(yàn)，是對(duì)對(duì)接能力的一個(gè)考驗(yàn)。為保障部委外網(wǎng)統(tǒng)一登錄驗(yàn)證系統(tǒng)順利實(shí)施，將實(shí)名核驗(yàn)?zāi)芰ㄔO(shè)作為重點(diǎn)。

以用戶行為核心的安全審計(jì)

安全審計(jì)是重要的環(huán)節(jié)。在系統(tǒng)中對(duì)以下審計(jì)做重點(diǎn)支持。

登錄認(rèn)證審計(jì)

主要為業(yè)務(wù)系統(tǒng)登錄認(rèn)證記錄的審計(jì)。包括登錄認(rèn)證和單點(diǎn)登錄。審計(jì)主要內(nèi)容包括用戶名或其他標(biāo)識(shí)、用戶ID、令牌、認(rèn)證要素等，以及時(shí)間等其他輔助性信息。

用戶身份合并記錄審計(jì)：主要指部委外網(wǎng)統(tǒng)一登錄驗(yàn)證系統(tǒng)對(duì)身份的合并記錄。

實(shí)名核驗(yàn)審計(jì)：主要指部委外網(wǎng)統(tǒng)一登錄驗(yàn)證系統(tǒng)進(jìn)行實(shí)名核驗(yàn)的記錄，包括核驗(yàn)請(qǐng)求的相關(guān)信息和后端核驗(yàn)的過(guò)程的相關(guān)信息。

場(chǎng)景增強(qiáng)認(rèn)證審計(jì)：主要指業(yè)務(wù)系統(tǒng)發(fā)起場(chǎng)景增強(qiáng)認(rèn)證的請(qǐng)求、場(chǎng)景增強(qiáng)認(rèn)證過(guò)程與結(jié)果等相關(guān)信息。

重要場(chǎng)景的增強(qiáng)認(rèn)證

動(dòng)態(tài)認(rèn)證用于業(yè)務(wù)系統(tǒng)未存在登錄會(huì)話時(shí)進(jìn)行登錄認(rèn)證。而在動(dòng)態(tài)認(rèn)證以外，還存在其他需要場(chǎng)景進(jìn)行增強(qiáng)認(rèn)證的情況，舉例如下：

某重要業(yè)務(wù)場(chǎng)景需要保證當(dāng)前操作是用戶本人進(jìn)行操作、而非其他人進(jìn)行的操作，而此時(shí)距離登錄認(rèn)證已過(guò)去很長(zhǎng)時(shí)間，無(wú)法保證此時(shí)操作的人與登錄時(shí)的操作人是否為同一人。這時(shí)，業(yè)務(wù)系統(tǒng)需要彈出增強(qiáng)認(rèn)證窗口，由使用者進(jìn)行增強(qiáng)認(rèn)證，保證當(dāng)前操作者持有符合認(rèn)證強(qiáng)度需要的認(rèn)證憑據(jù)，用以確認(rèn)當(dāng)前操作者是符合業(yè)務(wù)場(chǎng)景所需要的權(quán)限，以滿足業(yè)務(wù)系統(tǒng)的安全要求。

數(shù)據(jù)安全與隱私保護(hù)

亞信安全在本次項(xiàng)目建設(shè)中著重在系統(tǒng)安全、應(yīng)用安全與數(shù)據(jù)安全方面，尤其是隱私數(shù)據(jù)保護(hù)等方面進(jìn)行了詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)。

首先，亞信安全統(tǒng)一登錄驗(yàn)證系統(tǒng)對(duì)于業(yè)務(wù)安全有關(guān)明確的安全要求，安全要求覆蓋賬號(hào)口令、驗(yàn)證碼、異常處理、異常登錄等方面。

針對(duì)不同通訊安全級(jí)別采用不同加密傳輸機(jī)制，減少系統(tǒng)開(kāi)銷(xiāo)和開(kāi)發(fā)成本的同時(shí)，保障傳輸安全。針對(duì)統(tǒng)一登錄驗(yàn)證系統(tǒng)中存在大量用戶身份信息這一情況，采用隱私數(shù)據(jù)保護(hù)方案，對(duì)用戶隱私進(jìn)行有力保護(hù)，保障系統(tǒng)安全。

用戶受益：

綜述亞信安全解決方案對(duì)用戶系統(tǒng)功能的改善與提高，給用戶帶來(lái)的價(jià)值提升。結(jié)合“互聯(lián)網(wǎng)+電子政務(wù)”總體指導(dǎo)思想和技術(shù)架構(gòu)、政務(wù)服務(wù)線上“一網(wǎng)通辦”的主要目標(biāo)，通過(guò)建設(shè)本部委外網(wǎng)統(tǒng)一登錄驗(yàn)證系統(tǒng)，充分整合、集成部委外網(wǎng)所有政務(wù)服務(wù)系統(tǒng)，對(duì)所有系統(tǒng)的用戶登錄、身份驗(yàn)證等進(jìn)行統(tǒng)一管理，對(duì)外滿足自然人、法人等系統(tǒng)用戶“一次登錄、全網(wǎng)通辦”，提高政務(wù)服務(wù)便捷性，對(duì)內(nèi)滿足各業(yè)務(wù)系統(tǒng)內(nèi)部管理和使用人員的統(tǒng)一登錄、認(rèn)證和審計(jì)等管理，不斷提升政務(wù)服務(wù)效能。

派拉軟件——某核電集團(tuán)

1.統(tǒng)一組織賬號(hào)，實(shí)現(xiàn)單點(diǎn)登錄
派拉軟件統(tǒng)一身份管理產(chǎn)品幫助某核電集團(tuán)構(gòu)建統(tǒng)一的辦公入口。為需要與統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)集成的系統(tǒng)制定統(tǒng)一的組織編碼和賬號(hào)管理規(guī)則，通過(guò)多應(yīng)用系統(tǒng)有序集成，實(shí)現(xiàn)單點(diǎn)登陸、身份管理、任務(wù)管理，用戶可通過(guò)統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)“我的應(yīng)用”訪問(wèn)其他業(yè)務(wù)系統(tǒng)。同時(shí)，組織人員信息可實(shí)現(xiàn)一點(diǎn)調(diào)整，相關(guān)應(yīng)用自動(dòng)更新，無(wú)需多系統(tǒng)重復(fù)操作。

2.入轉(zhuǎn)調(diào)離-全生命周期賬號(hào)管理
1)員工入職-賬號(hào)開(kāi)通

在HR系統(tǒng)中錄入人員信息后，統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)可自動(dòng)為該員工開(kāi)通平臺(tái)賬號(hào)，根據(jù)開(kāi)通策略，部分通用業(yè)務(wù)系統(tǒng)賬號(hào)自動(dòng)開(kāi)通，并可在系統(tǒng)中自動(dòng)同步組織人員信息，無(wú)需多系統(tǒng)重復(fù)操作；

2)員工調(diào)/轉(zhuǎn)崗-賬號(hào)變更

正式員工調(diào)動(dòng)必須由HR在系統(tǒng)中進(jìn)行調(diào)整，至相應(yīng)系統(tǒng)IT管理員進(jìn)行相應(yīng)權(quán)限開(kāi)通關(guān)閉操作，權(quán)限調(diào)整響應(yīng)及時(shí)；

3)員工離職/退休-賬號(hào)清權(quán)

員工離開(kāi)工作崗位后，管理員通過(guò)統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)可一鍵停用賬號(hào)，并對(duì)該賬號(hào)所關(guān)聯(lián)的所有系統(tǒng)進(jìn)行清權(quán)操作，無(wú)需多系統(tǒng)后臺(tái)重復(fù)清權(quán)，有效規(guī)避離職員工的賬號(hào)風(fēng)險(xiǎn)；

除此之外，還可進(jìn)行賬號(hào)限時(shí)權(quán)限管理，例如正式員工兼職時(shí)，兼職賬號(hào)到期時(shí)系統(tǒng)可自動(dòng)回收權(quán)限；同時(shí)，統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)也與ERP結(jié)合，更好的管理聘用工的信息維護(hù)和權(quán)限開(kāi)通；也可全面掌控承包商在核電的服務(wù)狀態(tài)，以便給與相應(yīng)授權(quán)和應(yīng)對(duì)措施。
3.統(tǒng)一身份授權(quán)，強(qiáng)化權(quán)限管控
1)用戶權(quán)限查詢(xún)

統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)通過(guò)ESB調(diào)用下游應(yīng)用系統(tǒng)的權(quán)限接口服務(wù)，用戶或管理員可在統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)中查詢(xún)自己具體的應(yīng)用權(quán)限。

2)用戶權(quán)限申請(qǐng)

用戶若想申請(qǐng)相應(yīng)系統(tǒng)權(quán)限，需通過(guò)統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)提交權(quán)限申請(qǐng)審批流程，審批通過(guò)后申請(qǐng)人方可獲得相應(yīng)系統(tǒng)權(quán)限，不再允許系統(tǒng)管理員私自在后臺(tái)進(jìn)行授權(quán)操作。

3)多點(diǎn)授權(quán)

系統(tǒng)可分配多級(jí)別的管理員，各級(jí)別的管理員的權(quán)限應(yīng)可靈活分配。通過(guò)數(shù)據(jù)同步的功能將用戶從賬號(hào)信息同步到應(yīng)用系統(tǒng)后，由應(yīng)用系統(tǒng)完成用戶在應(yīng)用系統(tǒng)中的權(quán)限管理（細(xì)粒度授權(quán)）。

4）一點(diǎn)清權(quán)

由于采用了集中的管控方式，當(dāng)用戶離職時(shí)，管理員可以通過(guò)一點(diǎn)對(duì)用戶在所有業(yè)務(wù)系統(tǒng)中的賬號(hào)進(jìn)行刪除，實(shí)現(xiàn)“一點(diǎn)清權(quán)”，防止孤兒賬號(hào)的存在，保證了系統(tǒng)的安全性。

在實(shí)現(xiàn)用戶集中管理時(shí)，統(tǒng)一用戶管理系統(tǒng)通過(guò)已有的適配器與用戶數(shù)據(jù)進(jìn)行連接，并實(shí)現(xiàn)用戶的增加、修改、刪除和回收等操作。

用戶價(jià)值：建立標(biāo)準(zhǔn)規(guī)范，統(tǒng)一任務(wù)管理，提升業(yè)務(wù)效率

1）“身份主數(shù)據(jù)”，標(biāo)準(zhǔn)化規(guī)范化

建立了一套標(biāo)準(zhǔn)化規(guī)范，包括組織和用戶集成的標(biāo)準(zhǔn)化規(guī)范、單點(diǎn)登錄的集成標(biāo)準(zhǔn)和待辦集成的標(biāo)準(zhǔn)化規(guī)范，并根據(jù)項(xiàng)目需要，整理了公司組織和賬號(hào)的標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)。組織和人員信息管理是安全管理中一個(gè)重要的組成部分，通過(guò)人員身份管理，可以及時(shí)有效了解系統(tǒng)中的賬戶情況，從而消除由于人員所帶來(lái)的安全隱患。

企業(yè)內(nèi)的員工來(lái)源于SAP HR系統(tǒng)，通過(guò)SAP PI發(fā)布的ESB平臺(tái)的訂閱服務(wù)，統(tǒng)一身份管理系統(tǒng)定時(shí)增量通過(guò)訂閱的服務(wù)進(jìn)行人員及組織信息同步。對(duì)于沒(méi)有業(yè)務(wù)系統(tǒng)支撐的通過(guò)管理員錄入的方式進(jìn)行處理。

企業(yè)員工可以代理外部人員申請(qǐng)相關(guān)應(yīng)用系統(tǒng)的權(quán)限，可及時(shí)了解外部人員的賬號(hào)狀態(tài)及授權(quán)。除了AD、TDS采用直接通過(guò)LDAP協(xié)議連接的方式，其他集成都將通過(guò)ESB平臺(tái)實(shí)現(xiàn)。

數(shù)據(jù)同步有詳細(xì)的日志記錄，便于查看同步情況。當(dāng)同步出錯(cuò)時(shí)，發(fā)出短信/郵件給管理員，提醒管路員手動(dòng)處理。

2）“個(gè)人工作臺(tái)”，一站式業(yè)務(wù)開(kāi)展

統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)通過(guò)ESB企業(yè)服務(wù)總線實(shí)現(xiàn)了超強(qiáng)數(shù)據(jù)集成能力，通過(guò)統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)，用戶無(wú)需切換應(yīng)用系統(tǒng)，便可查看賬號(hào)信息、發(fā)起業(yè)務(wù)流程、處理待辦事宜、查看郵件、查看日程安排、接收通知公告等。用戶也可根據(jù)自己的使用習(xí)慣，自由配置常用菜單、應(yīng)用等頁(yè)面。

3）“我的待辦”，多系統(tǒng)待辦消息整合展現(xiàn)

統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)平臺(tái)全面集成下游應(yīng)用系統(tǒng)，整合同步各系統(tǒng)中待辦信息，形成統(tǒng)一的待辦中心。用戶可通過(guò)統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)集中處理待辦事宜，同時(shí)各系統(tǒng)新的待辦提醒也可直接推送至統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)平臺(tái)。重要待辦不遺漏，業(yè)務(wù)處理效率大幅提升！

4） “遠(yuǎn)程辦公”，零信任防護(hù)身份和安全

先認(rèn)證后連接，永不信任持續(xù)驗(yàn)證。遠(yuǎn)程辦公的用戶先通過(guò)VPN進(jìn)行用戶認(rèn)證后連接內(nèi)網(wǎng)后才能訪問(wèn)統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)，從統(tǒng)一身份認(rèn)證與任務(wù)集中處理平臺(tái)再訪問(wèn)下游系統(tǒng)，實(shí)時(shí)的重復(fù)校驗(yàn)用戶身份和安全狀態(tài)，融入多因子強(qiáng)認(rèn)證對(duì)于風(fēng)險(xiǎn)用戶進(jìn)行多次認(rèn)證后才能持續(xù)訪問(wèn)下游資源系統(tǒng)。

竹云科技——某大型央企案例

統(tǒng)一身份管理
建立統(tǒng)一身份管理平臺(tái)，為集團(tuán)內(nèi)部員工、外包用戶、外部用戶等不同維度用戶提供集中用戶身份存儲(chǔ)、集中用戶管理、身份信息同步、統(tǒng)一密碼策略、員工自服務(wù)等功能，實(shí)現(xiàn)集團(tuán)統(tǒng)一用戶、統(tǒng)一賬號(hào)的全生命周期管理。同時(shí)梳理集團(tuán)內(nèi)外用戶的身份管理流程，落地符合集團(tuán)業(yè)務(wù)需求的統(tǒng)一身份管理能力。

智能融合認(rèn)證
建立統(tǒng)一認(rèn)證服務(wù)中心，提供各類(lèi)應(yīng)用的統(tǒng)一登錄入口和集中導(dǎo)航，實(shí)現(xiàn)一套賬號(hào)體系登錄、全網(wǎng)通行；通過(guò)“認(rèn)證鏈”的方式融合多種認(rèn)證方式，構(gòu)建統(tǒng)一認(rèn)證服務(wù)能力，支持包括密碼、證書(shū)、短信等傳統(tǒng)認(rèn)證方式，指紋、聲紋、人臉等生物識(shí)別方式，AD、企業(yè)微信等第三方認(rèn)證服務(wù)等，同時(shí)支持快速擴(kuò)展其他認(rèn)證方式。

統(tǒng)一權(quán)限管理
建立統(tǒng)一權(quán)限管理服務(wù)，實(shí)現(xiàn)應(yīng)用系統(tǒng)應(yīng)用級(jí)，角色級(jí)的權(quán)限集中管控。建立權(quán)限統(tǒng)一管理的入口，根據(jù)身份權(quán)限流程實(shí)現(xiàn)業(yè)務(wù)權(quán)限、系統(tǒng)權(quán)限的自動(dòng)化賦予與回收，支持用戶自助開(kāi)通、變更、撤銷(xiāo)權(quán)限等操作，確?？尚诺娜嗽诤侠淼臅r(shí)間訪問(wèn)適當(dāng)?shù)南到y(tǒng)和數(shù)據(jù)。

智能風(fēng)險(xiǎn)控制
提供統(tǒng)一用戶范圍內(nèi)的用戶，賬號(hào)，權(quán)限以及用戶訪問(wèn)行為的統(tǒng)計(jì)和分析能力。實(shí)現(xiàn)基于動(dòng)態(tài)策略的用戶訪問(wèn)過(guò)程的預(yù)警及控制能力。

規(guī)范建立與應(yīng)用接入

為保障集團(tuán)應(yīng)用的安全性以及自上而下連接與交互的貫通性，發(fā)布應(yīng)用系統(tǒng)集成與統(tǒng)一用戶和權(quán)限管理相關(guān)標(biāo)準(zhǔn)規(guī)范。

客戶收益：
身份集中，認(rèn)證便捷。提供單點(diǎn)登錄及多種認(rèn)證方式，提供對(duì)內(nèi)外網(wǎng)用戶的支持，滿足集團(tuán)互聯(lián)網(wǎng)化的需求，實(shí)現(xiàn)實(shí)名制的全生命周期管理。統(tǒng)一規(guī)范，簡(jiǎn)化應(yīng)用。提供標(biāo)準(zhǔn)的應(yīng)用接入和接口規(guī)范，簡(jiǎn)化應(yīng)用集成難度，提供多種集成手段，最大化滿足企業(yè)復(fù)雜應(yīng)用場(chǎng)景需要，自主可控，安全合規(guī)，打破國(guó)外技術(shù)壁壘，實(shí)現(xiàn)知識(shí)產(chǎn)權(quán)自主可控，滿足公安部信息系統(tǒng)安全等級(jí)保護(hù)要求。運(yùn)營(yíng)感知，集中管控。實(shí)現(xiàn)對(duì)主要服務(wù)和應(yīng)用狀態(tài)的實(shí)時(shí)監(jiān)控，實(shí)現(xiàn)對(duì)設(shè)備和應(yīng)用的集中管控，提供統(tǒng)一報(bào)表，提升運(yùn)維感知粒度，滿足對(duì)上市企業(yè)合規(guī)審計(jì)的需求。

寧盾——某客戶身份管理解決方案：

架構(gòu)中各組件之間相互支撐協(xié)作：
DKEY AM：基于SSO協(xié)議（如標(biāo)準(zhǔn)OAuth2.0、SAML、CAS、OIDC及EasySSO協(xié)議等）與各業(yè)務(wù)系統(tǒng)對(duì)接，接管各業(yè)務(wù)系統(tǒng)身份認(rèn)證；通過(guò)LDAP目錄服務(wù)或DB中存儲(chǔ)的用戶數(shù)據(jù)和權(quán)限，并為用戶提供統(tǒng)一認(rèn)證、訪問(wèn)控制、授權(quán)管理及雙因素認(rèn)證等服務(wù)。

LDAP Server/DB數(shù)據(jù)庫(kù)：是整個(gè)方案的身份信息數(shù)據(jù)中心，作為賬號(hào)源負(fù)責(zé)賬號(hào)的統(tǒng)一存儲(chǔ)（如AD、IBM TDS等），為DKEY AM提供用戶身份數(shù)據(jù)源并提供同步服務(wù)。

User Center：作為用戶登錄認(rèn)證門(mén)戶Portal的后端服務(wù)器，提供各應(yīng)用系統(tǒng)的統(tǒng)一登錄，為終端用戶存儲(chǔ)應(yīng)用列表及提供如賬號(hào)密碼修改、令牌綁定等自助服務(wù)。門(mén)戶Portal為終端用戶提供多業(yè)務(wù)系統(tǒng)的SSO單點(diǎn)登錄入口，并負(fù)責(zé)傳遞單點(diǎn)登錄用戶token，是統(tǒng)一身份認(rèn)證過(guò)程中終端用戶唯一能直觀感知到的。

統(tǒng)一應(yīng)用接入：寧盾身份管理通過(guò)單點(diǎn)登錄協(xié)議與不同的業(yè)務(wù)系統(tǒng)對(duì)接，建立信任關(guān)系，使用戶在一個(gè)應(yīng)用登錄后，可以訪問(wèn)相應(yīng)的應(yīng)用系統(tǒng)群，而無(wú)需每次訪問(wèn)業(yè)務(wù)系統(tǒng)都要使用不同的賬號(hào)和密碼進(jìn)行一次登錄。寧盾支持主流SSO標(biāo)準(zhǔn)，并提供自研EasySSO協(xié)議，降低應(yīng)用對(duì)接成本，實(shí)現(xiàn)本地、云應(yīng)用及企業(yè)自研發(fā)等所有應(yīng)用系統(tǒng)的統(tǒng)一接入和認(rèn)證。具體按應(yīng)用自身情況以下面三類(lèi)方式進(jìn)行對(duì)接。

統(tǒng)一賬號(hào)映射：寧盾身份管理可創(chuàng)建一個(gè)唯一一個(gè)主賬號(hào)源體系，并通過(guò)姓名、手機(jī)號(hào)、郵箱、身份證號(hào)等屬性與各應(yīng)用之間的賬號(hào)身份進(jìn)行關(guān)聯(lián)映射，以達(dá)到統(tǒng)一身份和單點(diǎn)登錄的效果。寧盾從預(yù)先選定好的用戶數(shù)據(jù)較全面的應(yīng)用系統(tǒng)或HR系統(tǒng)或AD/LDAP中同步用戶信息作為主賬號(hào)源。再根據(jù)定義好的策略，實(shí)現(xiàn)與其他應(yīng)用系統(tǒng)的用戶屬性字段的映射匹配，支持批量自動(dòng)映射或單個(gè)映射?？赏接脩舴纸M/角色等信息，實(shí)現(xiàn)用戶權(quán)限自動(dòng)分配，從而方便對(duì)單點(diǎn)登錄認(rèn)證的授權(quán)和各應(yīng)用系統(tǒng)權(quán)限的授權(quán)。當(dāng)用戶使用尚未同步至寧盾系統(tǒng)的賬號(hào)初次登錄時(shí)，寧盾會(huì)自動(dòng)為該用戶創(chuàng)建賬號(hào)作為主賬號(hào)源，這樣在系統(tǒng)運(yùn)行后逐步地消除零散賬號(hào)，從而建立統(tǒng)一的用戶身份信息庫(kù)。

在賬號(hào)源上，寧盾支持本地賬號(hào)，兼容企業(yè)AD/LDAP等外部賬號(hào)源，支持關(guān)聯(lián)微信、釘釘?shù)壬缃毁~號(hào)，及SAAS和公有云應(yīng)用賬號(hào)。

統(tǒng)一認(rèn)證門(mén)戶：單點(diǎn)登錄Portal門(mén)戶集中展示了企業(yè)所有業(yè)務(wù)系統(tǒng)，是最終用戶訪問(wèn)各應(yīng)用并單點(diǎn)登錄的唯一入口。用戶在門(mén)戶內(nèi)可以看到其有權(quán)訪問(wèn)的應(yīng)用列表，直接點(diǎn)擊應(yīng)用圖標(biāo)就可實(shí)現(xiàn)訪問(wèn)。

安全認(rèn)證：寧盾提供完善的雙因素認(rèn)證產(chǎn)品，幫助企業(yè)加強(qiáng)用戶身份安全。動(dòng)態(tài)密碼安全認(rèn)證：在單點(diǎn)登錄過(guò)程中，通過(guò)在賬號(hào)密碼認(rèn)證的基礎(chǔ)上增加動(dòng)態(tài)密碼，形成身份認(rèn)證安全加固。寧盾動(dòng)態(tài)令牌支持手機(jī)令牌、企業(yè)微信/釘釘H5令牌、硬件令牌、短信令牌等多令牌形式。還可兼容第三方令牌形式（如RSA SecurID、Google Authentication等），接管第三方令牌認(rèn)證，實(shí)現(xiàn)逐步性替換，不改變用戶原有的認(rèn)證習(xí)慣。企業(yè)微信（釘釘）掃碼認(rèn)證：通過(guò)與手機(jī)號(hào)、郵箱、企業(yè)微信賬號(hào)等主賬號(hào)進(jìn)行關(guān)聯(lián)，可實(shí)現(xiàn)借助企業(yè)微信或釘釘“掃一掃”來(lái)登錄User Center，省去賬號(hào)密碼輸入過(guò)程，提升BYOD等移動(dòng)用戶的登錄認(rèn)證安全。

權(quán)限管理：統(tǒng)一權(quán)限管理分為三個(gè)等級(jí)。一級(jí)權(quán)限管理僅實(shí)現(xiàn)對(duì)用戶的粗粒度控制，即用戶是否具有訪問(wèn)某應(yīng)用的權(quán)限，形成用戶在Portal門(mén)戶的應(yīng)用列表。二級(jí)權(quán)限管理基于RBAC模型（基于角色的訪問(wèn)控制Role-Based Access Control），身份管理系統(tǒng)通過(guò)向各業(yè)務(wù)系統(tǒng)返回用戶角色，角色與權(quán)限匹配，實(shí)現(xiàn)中粒度權(quán)限。三級(jí)權(quán)限管理需要梳理各業(yè)務(wù)系統(tǒng)建立統(tǒng)一的權(quán)限管理策略標(biāo)準(zhǔn)，并將權(quán)限粒度精確到對(duì)象，實(shí)現(xiàn)細(xì)粒度權(quán)限。越高級(jí)別的權(quán)限管理，企業(yè)對(duì)應(yīng)用系統(tǒng)的管控力度越強(qiáng)，但要求對(duì)應(yīng)用系統(tǒng)的改造量越大、實(shí)施周期更長(zhǎng)，項(xiàng)目風(fēng)險(xiǎn)也就越大。

在實(shí)際業(yè)務(wù)模型中，大多數(shù)統(tǒng)一身份認(rèn)證系統(tǒng)能做到的，是基于用戶角色/用戶組的中粗粒度的權(quán)限控制。如可以授予角色為“管理員”的用戶在相應(yīng)的業(yè)務(wù)系統(tǒng)中擁有管理員權(quán)限，或設(shè)置僅在“財(cái)務(wù)”組的用戶可訪問(wèn)那些財(cái)務(wù)部門(mén)內(nèi)的應(yīng)用系統(tǒng)。

流程引擎：企業(yè)級(jí)的工作流體系，往往需要跨越多個(gè)服務(wù)器或業(yè)務(wù)系統(tǒng)。流程引擎（如BPM、OA）連接各業(yè)務(wù)系統(tǒng)，根據(jù)業(yè)務(wù)邏輯定義工作流流程，并負(fù)責(zé)驅(qū)動(dòng)流程流動(dòng)和控制流動(dòng)路徑。

負(fù)載均衡與高可用：寧盾利用Heartbeat/Keepalive服務(wù)為DKEY AM認(rèn)證服務(wù)進(jìn)行高可用部署。DKEY AM之間通過(guò)主從復(fù)制方式進(jìn)行數(shù)據(jù)的實(shí)時(shí)同步。在正常情況下，當(dāng)主機(jī)出現(xiàn)異常時(shí)，服務(wù)ip自動(dòng)切換到備機(jī)進(jìn)行工作，對(duì)業(yè)務(wù)不產(chǎn)生影響。User Center提供無(wú)狀態(tài)服務(wù)，本身不存儲(chǔ)任何關(guān)鍵業(yè)務(wù)信息，利用負(fù)載均衡器實(shí)現(xiàn)系統(tǒng)負(fù)載均衡。

客戶價(jià)值：
整合認(rèn)證：不論企業(yè)總部還是分支，所有終端用戶訪問(wèn)各業(yè)務(wù)系統(tǒng)，統(tǒng)一通過(guò)Portal門(mén)戶來(lái)進(jìn)入。用戶操作平臺(tái)（User Center）向身份認(rèn)證平臺(tái)（DKEY AM）發(fā)送認(rèn)證請(qǐng)求。身份認(rèn)證平臺(tái)（DKEY AM）調(diào)取LDAP服務(wù)器/DB數(shù)據(jù)庫(kù)中存儲(chǔ)的身份信息并進(jìn)行驗(yàn)證。僅一次身份驗(yàn)證通過(guò)后，用戶即可訪問(wèn)所有業(yè)務(wù)系統(tǒng)，而不需要切換到每個(gè)業(yè)務(wù)系統(tǒng)中做多次重復(fù)驗(yàn)證。

身份信息存儲(chǔ)：借助LDAP或DB數(shù)據(jù)庫(kù)存儲(chǔ)用戶身份信息，形成身份信息庫(kù)，包含了用戶基本信息（如工號(hào)、姓名、性別等）、用戶類(lèi)型（如員工、代理商、外包等）、職能信息（如崗位、部門(mén)、職級(jí)等）、屬性信息（如身份證號(hào)、家庭地址等）、認(rèn)證信息（如賬號(hào)密碼等）、授權(quán)信息（如角色、分組等）。企業(yè)一般采用身份信息庫(kù)的工號(hào)/用戶ID等作為用戶的唯一身份標(biāo)識(shí)，映射到各應(yīng)用系統(tǒng)中。

賬號(hào)生命周期管理：借助流程引擎，如BPM（Business Process Manager業(yè)務(wù)流程管理）或OA（Office Automation辦公自動(dòng)化），連接HR及其他各業(yè)務(wù)系統(tǒng)，為不同類(lèi)型的用戶（如員工、外包、供應(yīng)商等）自定義賬號(hào)創(chuàng)建、審批等業(yè)務(wù)流，形成與企業(yè)自身業(yè)務(wù)相匹配的生命周期管理流程。當(dāng)有新人員進(jìn)入時(shí)，企業(yè)為其在HR系統(tǒng)中新增一條身份數(shù)據(jù)，這時(shí)針對(duì)該用戶的賬號(hào)生命周期管理流程啟動(dòng)。流程引擎在探測(cè)到該數(shù)據(jù)后，驅(qū)動(dòng)LDAP或類(lèi)似服務(wù)創(chuàng)建對(duì)應(yīng)賬號(hào)并存儲(chǔ)在用戶身份信息庫(kù)中。然后各業(yè)務(wù)系統(tǒng)根據(jù)流程引擎的預(yù)定義，以用戶的唯一身份標(biāo)識(shí)來(lái)創(chuàng)建各自的賬號(hào)。同理，流程引擎探測(cè)到該用戶的身份信息發(fā)生變更，會(huì)驅(qū)動(dòng)各業(yè)務(wù)系統(tǒng)自動(dòng)/半自動(dòng)同步更新。

安全認(rèn)證：身份認(rèn)證（Authentication）是對(duì)用戶身份進(jìn)行認(rèn)證的過(guò)程，以判斷出該用戶是否可以訪問(wèn)或使用某些系統(tǒng)資源。身份認(rèn)證在整個(gè)信息安全中占據(jù)著很重要的位置，是其他安全機(jī)制的基礎(chǔ)。SSO門(mén)戶作為用戶訪問(wèn)所有業(yè)務(wù)系統(tǒng)的唯一入口，一個(gè)賬號(hào)打通所有應(yīng)用，賬號(hào)安全的重要性可想而知。再加之為適應(yīng)包括供應(yīng)商、外包、合作伙伴、員工移動(dòng)辦公等多類(lèi)型人員的訪問(wèn)需求，SSO門(mén)戶通常直接暴露至公網(wǎng)，賬號(hào)密碼泄露、破解風(fēng)險(xiǎn)時(shí)刻存在。為使用戶身份得到更高的安全性，在用戶輸入賬號(hào)密碼登錄門(mén)戶時(shí)，通常會(huì)借助雙因素認(rèn)證技術(shù)，額外增加一層認(rèn)證因子，如動(dòng)態(tài)口令令牌、掃二維碼等。動(dòng)態(tài)口令雙因素認(rèn)證，通過(guò)為用戶提供隨機(jī)的數(shù)字密碼來(lái)二次驗(yàn)證用戶身份，該密碼隨著時(shí)間自動(dòng)變化，具有唯一性，從而加固了用戶賬戶安全。

數(shù)字認(rèn)證——某省政務(wù)服務(wù)網(wǎng)

隨著某省政務(wù)服務(wù)網(wǎng)不斷拓展完善，特別是市民個(gè)人網(wǎng)頁(yè)、企業(yè)專(zhuān)屬網(wǎng)頁(yè)等應(yīng)用逐步建立，辦事人在網(wǎng)上辦理過(guò)程中存在著：多處注冊(cè)，賬戶信息難以管理；多處登錄，操作繁瑣；持有多家CA證書(shū)，辦事成本高等問(wèn)題，因此，建設(shè)“以用戶為中心”的政府服務(wù)需求十分迫切，某省政務(wù)服務(wù)網(wǎng)通過(guò)數(shù)字認(rèn)證統(tǒng)一身份認(rèn)證管理系統(tǒng)搭建全省自然人和法人的統(tǒng)一身份認(rèn)證體系，解決以上問(wèn)題：

主要建設(shè)內(nèi)容如下：

（一）構(gòu)建全省統(tǒng)一身份認(rèn)證平臺(tái)門(mén)戶

對(duì)全省用戶的普通賬戶和CA賬號(hào)提供網(wǎng)上辦事業(yè)務(wù)統(tǒng)一身份認(rèn)證平臺(tái)門(mén)戶，為各省直部門(mén)、地市部門(mén)業(yè)務(wù)系統(tǒng)提供身份認(rèn)證入口的統(tǒng)一管理，配置、維護(hù)和管理多種身份認(rèn)證方式，形成人員和應(yīng)用統(tǒng)一入口、統(tǒng)一管理，支持對(duì)省網(wǎng)辦大廳本地普通賬戶認(rèn)證和多CA交叉認(rèn)證，支持建行、工行網(wǎng)銀U盾登錄，支持微警認(rèn)證、政務(wù)服務(wù)APP掃碼登錄、中國(guó)政務(wù)服務(wù)平臺(tái)賬號(hào)等第三方信任源登錄方式。

（二）構(gòu)建全省普通賬戶信息注冊(cè)及認(rèn)證管理體系

通過(guò)集中統(tǒng)一的用戶管理，解決各個(gè)信息系統(tǒng)之間基本用戶信息共享，實(shí)現(xiàn)互聯(lián)互通，減少管理的重復(fù)性。針對(duì)全省網(wǎng)辦大廳普通用戶進(jìn)行完善的用戶信息管理，對(duì)用戶進(jìn)行集中管理和分級(jí)認(rèn)證管理，提供多種用戶實(shí)名認(rèn)證模式，包括現(xiàn)場(chǎng)窗口認(rèn)證，CA證書(shū)、銀行U盾、等第三方驗(yàn)證方式。

（三）構(gòu)建全省網(wǎng)辦大廳多CA數(shù)字證書(shū)交叉認(rèn)證機(jī)制

構(gòu)建全省網(wǎng)上辦事業(yè)務(wù)多CA交叉認(rèn)證服務(wù)體系，結(jié)合省數(shù)字證書(shū)交叉認(rèn)證平臺(tái)、省信息中心本地CA信息管理、省直部門(mén)交叉認(rèn)證平臺(tái)等對(duì)CA 賬戶進(jìn)行多CA交叉認(rèn)證服務(wù)，整合現(xiàn)有資源，打破條塊分割，實(shí)現(xiàn)邏輯上集中、物理上分布、應(yīng)用上透明的全省多CA交叉認(rèn)證應(yīng)用體系，實(shí)現(xiàn)數(shù)字證書(shū)互聯(lián)互通、“一證通用”。

（四）建立省政務(wù)服務(wù)網(wǎng)與各省直部門(mén)、地市部門(mén)業(yè)務(wù)系統(tǒng)單點(diǎn)登錄功能，實(shí)現(xiàn)全省統(tǒng)一身份認(rèn)證

通過(guò)省政務(wù)服務(wù)網(wǎng)與地市部門(mén)和省直部門(mén)業(yè)務(wù)系統(tǒng)有效對(duì)接，實(shí)現(xiàn)省政務(wù)服務(wù)網(wǎng)與地市部門(mén)、省直部門(mén)業(yè)務(wù)系統(tǒng)訪問(wèn)入口間實(shí)現(xiàn)平滑的系統(tǒng)切換，無(wú)需重復(fù)登錄，實(shí)現(xiàn)“一個(gè)賬號(hào)，全省通用；一次登錄，全省通行”。

客戶價(jià)值：
某省政務(wù)服務(wù)網(wǎng)統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)，提升了用戶網(wǎng)上辦事的體驗(yàn)，切實(shí)做到網(wǎng)上辦事“以用戶為中心”。省政務(wù)服務(wù)網(wǎng)、省直部門(mén)和地市部門(mén)業(yè)務(wù)系統(tǒng)按照統(tǒng)一規(guī)范接入統(tǒng)一身份認(rèn)證平臺(tái)，實(shí)現(xiàn)從省政務(wù)服務(wù)網(wǎng)到省直部門(mén)、地市部門(mén)業(yè)務(wù)系統(tǒng)的“統(tǒng)一認(rèn)證、單點(diǎn)登錄”。用戶可通過(guò)PC端、移動(dòng)端、自助終端等渠道訪問(wèn)省政務(wù)服務(wù)網(wǎng)，在省政務(wù)網(wǎng)登錄成功后，通過(guò)單點(diǎn)登錄跳轉(zhuǎn)至省直部門(mén)、地市部門(mén)的業(yè)務(wù)系統(tǒng)，無(wú)需用戶重復(fù)登錄，實(shí)現(xiàn)“一個(gè)賬號(hào)，全省通用；一次登錄，全省通行”，降低自然人、法人的辦事成本和難度，提升全省政務(wù)服務(wù)能力與水平，實(shí)現(xiàn)為公眾提供高效、便捷的網(wǎng)上辦事服務(wù)。

螞蟻金服——IIFAA聯(lián)盟實(shí)踐方案

主要圍繞基于可信的身份確認(rèn)過(guò)程，實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)設(shè)備的可信認(rèn)證以及對(duì)于操作者身份的可信確認(rèn)，從而確定該用戶對(duì)物聯(lián)網(wǎng)資源是否具有 相應(yīng)的訪問(wèn)和使用權(quán)限，進(jìn)而使物聯(lián)網(wǎng)系統(tǒng)的訪問(wèn)控制策略能夠可靠、有效的執(zhí)行。物聯(lián)網(wǎng)系統(tǒng)的訪問(wèn)控制策略可應(yīng)用于用戶與設(shè)備、設(shè)備與設(shè)備、設(shè)備與系統(tǒng)/服務(wù)間的訪問(wèn)環(huán)節(jié)。在身份認(rèn)證過(guò)程中，還可以進(jìn)一步確定雙方數(shù)據(jù)交互的安全防護(hù)手段，從而確保設(shè)備和系統(tǒng)能夠安全、有效地運(yùn)行，防止攻擊者非法竊聽(tīng)、篡改交互過(guò)程中產(chǎn)生的數(shù)據(jù)并進(jìn)一步假冒合法用戶身份獲得設(shè)備的操作權(quán)限，從而保證系統(tǒng)和數(shù)據(jù)的安全以及合法用戶的利益。


省政務(wù)服務(wù)網(wǎng)統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)系統(tǒng)架構(gòu)圖

主要建設(shè)內(nèi)容如下：

（一）構(gòu)建全省統(tǒng)一身份認(rèn)證平臺(tái)門(mén)戶

對(duì)全省用戶的普通賬戶和CA賬號(hào)提供網(wǎng)上辦事業(yè)務(wù)統(tǒng)一身份認(rèn)證平臺(tái)門(mén)戶，為各省直部門(mén)、地市部門(mén)業(yè)務(wù)系統(tǒng)提供身份認(rèn)證入口的統(tǒng)一管理，配置、維護(hù)和管理多種身份認(rèn)證方式，形成人員和應(yīng)用統(tǒng)一入口、統(tǒng)一管理，支持對(duì)省網(wǎng)辦大廳本地普通賬戶認(rèn)證和多CA交叉認(rèn)證，支持建行、工行網(wǎng)銀U盾登錄，支持微警認(rèn)證、政務(wù)服務(wù)APP掃碼登錄、中國(guó)政務(wù)服務(wù)平臺(tái)賬號(hào)等第三方信任源登錄方式。

（二）構(gòu)建全省普通賬戶信息注冊(cè)及認(rèn)證管理體系

通過(guò)集中統(tǒng)一的用戶管理，解決各個(gè)信息系統(tǒng)之間基本用戶信息共享，實(shí)現(xiàn)互聯(lián)互通，減少管理的重復(fù)性。針對(duì)全省網(wǎng)辦大廳普通用戶進(jìn)行完善的用戶信息管理，對(duì)用戶進(jìn)行集中管理和分級(jí)認(rèn)證管理，提供多種用戶實(shí)名認(rèn)證模式，包括現(xiàn)場(chǎng)窗口認(rèn)證，CA證書(shū)、銀行U盾、等第三方驗(yàn)證方式。

（三）構(gòu)建全省網(wǎng)辦大廳多CA數(shù)字證書(shū)交叉認(rèn)證機(jī)制

構(gòu)建全省網(wǎng)上辦事業(yè)務(wù)多CA交叉認(rèn)證服務(wù)體系，結(jié)合省數(shù)字證書(shū)交叉認(rèn)證平臺(tái)、省信息中心本地CA信息管理、省直部門(mén)交叉認(rèn)證平臺(tái)等對(duì)CA 賬戶進(jìn)行多CA交叉認(rèn)證服務(wù)，整合現(xiàn)有資源，打破條塊分割，實(shí)現(xiàn)邏輯上集中、物理上分布、應(yīng)用上透明的全省多CA交叉認(rèn)證應(yīng)用體系，實(shí)現(xiàn)數(shù)字證書(shū)互聯(lián)互通、“一證通用”。

（四）建立省政務(wù)服務(wù)網(wǎng)與各省直部門(mén)、地市部門(mén)業(yè)務(wù)系統(tǒng)單點(diǎn)登錄功能，實(shí)現(xiàn)全省統(tǒng)一身份認(rèn)證

通過(guò)省政務(wù)服務(wù)網(wǎng)與地市部門(mén)和省直部門(mén)業(yè)務(wù)系統(tǒng)有效對(duì)接，實(shí)現(xiàn)省政務(wù)服務(wù)網(wǎng)與地市部門(mén)、省直部門(mén)業(yè)務(wù)系統(tǒng)訪問(wèn)入口間實(shí)現(xiàn)平滑的系統(tǒng)切換，無(wú)需重復(fù)登錄，實(shí)現(xiàn)“一個(gè)賬號(hào)，全省通用；一次登錄，全省通行”。

客戶價(jià)值：
某省政務(wù)服務(wù)網(wǎng)統(tǒng)一身份認(rèn)證平臺(tái)的建設(shè)，提升了用戶網(wǎng)上辦事的體驗(yàn)，切實(shí)做到網(wǎng)上辦事“以用戶為中心”。省政務(wù)服務(wù)網(wǎng)、省直部門(mén)和地市部門(mén)業(yè)務(wù)系統(tǒng)按照統(tǒng)一規(guī)范接入統(tǒng)一身份認(rèn)證平臺(tái)，實(shí)現(xiàn)從省政務(wù)服務(wù)網(wǎng)到省直部門(mén)、地市部門(mén)業(yè)務(wù)系統(tǒng)的“統(tǒng)一認(rèn)證、單點(diǎn)登錄”。用戶可通過(guò)PC端、移動(dòng)端、自助終端等渠道訪問(wèn)省政務(wù)服務(wù)網(wǎng)，在省政務(wù)網(wǎng)登錄成功后，通過(guò)單點(diǎn)登錄跳轉(zhuǎn)至省直部門(mén)、地市部門(mén)的業(yè)務(wù)系統(tǒng)，無(wú)需用戶重復(fù)登錄，實(shí)現(xiàn)“一個(gè)賬號(hào)，全省通用；一次登錄，全省通行”，降低自然人、法人的辦事成本和難度，提升全省政務(wù)服務(wù)能力與水平，實(shí)現(xiàn)為公眾提供高效、便捷的網(wǎng)上辦事服務(wù)。

螞蟻金服——IIFAA聯(lián)盟實(shí)踐方案

主要圍繞基于可信的身份確認(rèn)過(guò)程，實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)設(shè)備的可信認(rèn)證以及對(duì)于操作者身份的可信確認(rèn)，從而確定該用戶對(duì)物聯(lián)網(wǎng)資源是否具有 相應(yīng)的訪問(wèn)和使用權(quán)限，進(jìn)而使物聯(lián)網(wǎng)系統(tǒng)的訪問(wèn)控制策略能夠可靠、有效的執(zhí)行。物聯(lián)網(wǎng)系統(tǒng)的訪問(wèn)控制策略可應(yīng)用于用戶與設(shè)備、設(shè)備與設(shè)備、設(shè)備與系統(tǒng)/服務(wù)間的訪問(wèn)環(huán)節(jié)。在身份認(rèn)證過(guò)程中，還可以進(jìn)一步確定雙方數(shù)據(jù)交互的安全防護(hù)手段，從而確保設(shè)備和系統(tǒng)能夠安全、有效地運(yùn)行，防止攻擊者非法竊聽(tīng)、篡改交互過(guò)程中產(chǎn)生的數(shù)據(jù)并進(jìn)一步假冒合法用戶身份獲得設(shè)備的操作權(quán)限，從而保證系統(tǒng)和數(shù)據(jù)的安全以及合法用戶的利益。


物聯(lián)網(wǎng)身份認(rèn)證整體架構(gòu)

面向物聯(lián)網(wǎng)用戶的可信身份認(rèn)證和管理：

主要包括在用戶身份認(rèn)證注冊(cè)、身份認(rèn)證以及身份認(rèn)證注銷(xiāo)等環(huán)節(jié)中，都應(yīng)能夠使用有效的技術(shù)手段確認(rèn)該用戶的身份及其是否具備相應(yīng)的權(quán)限完成對(duì)物聯(lián)網(wǎng)的操作請(qǐng)求。需要注意的是，因?yàn)槲锫?lián)網(wǎng)應(yīng)用場(chǎng)景的多樣性，實(shí)際過(guò)程中對(duì)于用戶進(jìn)行身份認(rèn)證的方案有多種。根據(jù)在認(rèn)證環(huán)節(jié)中是否需要連接身份認(rèn)證服務(wù)器，可大體分為離線認(rèn)證模式和在線認(rèn)證模式。

離線認(rèn)證模式:

該模式下，用戶的身份認(rèn)證憑據(jù)一般是存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備中（比如用戶設(shè)置的口令或者錄入的生物特征）或者存儲(chǔ)在用戶所持有的一個(gè)Token 中，這樣在認(rèn)證過(guò)程中，可以無(wú)需連接位于云端的身份認(rèn)證服務(wù)器即可完成認(rèn)證。

與之相對(duì)應(yīng)是，在身份認(rèn)證注冊(cè)環(huán)節(jié)，一般是用戶在提供了身份證實(shí)材料并審核通過(guò)后，即可在物聯(lián)網(wǎng)設(shè)備上直接設(shè)置身份認(rèn)證憑據(jù)，或者是通過(guò)身份認(rèn)證服務(wù)器對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行安全配置更新;在身份認(rèn)證環(huán)節(jié)中，用戶直接操作物聯(lián)網(wǎng)設(shè)備或者通過(guò)物聯(lián)網(wǎng)控制設(shè)備與物聯(lián)網(wǎng)設(shè)備進(jìn)行交互，提供認(rèn)證憑據(jù)實(shí)現(xiàn)對(duì)用戶的身份認(rèn)證;在身份認(rèn)證注銷(xiāo)環(huán)節(jié)中，相對(duì)應(yīng)的是在物聯(lián)網(wǎng)設(shè)備上直接刪除跟該用戶相關(guān)的身份認(rèn)證憑據(jù)，或者是通過(guò)身份認(rèn)證服務(wù)器對(duì)設(shè)備進(jìn)行安全配置更新。

在線認(rèn)證模式:

在該模式的認(rèn)證過(guò)程中，需要連接到位于云端的身份認(rèn)證服務(wù)器來(lái)完成對(duì)用戶的身份認(rèn)證。IFAA 此前在移動(dòng)智能終端上制定的本地免密解決方案和遠(yuǎn)程人臉認(rèn)證解決方案，即是這種結(jié)合了身份認(rèn)證服務(wù)器實(shí)現(xiàn)的在線認(rèn)證方案。事實(shí)上，移動(dòng)智能終端在物聯(lián)網(wǎng)中也是一種非常重要的物聯(lián)網(wǎng)控制設(shè)備，IFAA 本地免密解決方案和遠(yuǎn)程人臉認(rèn)證解決方案也可以應(yīng)用于物聯(lián)網(wǎng)身份認(rèn)證領(lǐng)域中。差異點(diǎn)在于，在通過(guò)物聯(lián)網(wǎng)控制設(shè)備完成對(duì)用戶的在線身份認(rèn)證后，還需要將這種認(rèn)證結(jié)果通過(guò)可信的方式傳遞給設(shè)備本身。

奇安信——某部委大數(shù)據(jù)中心的跨網(wǎng)數(shù)據(jù)訪問(wèn)案例

數(shù)據(jù)集中導(dǎo)致安全風(fēng)險(xiǎn)增加
大數(shù)據(jù)中心的建設(shè)實(shí)現(xiàn)了數(shù)據(jù)的集中存儲(chǔ)與融合，促進(jìn)了數(shù)據(jù)統(tǒng)一管理和價(jià)值挖掘；但同時(shí)大數(shù)據(jù)的集中意味著風(fēng)險(xiǎn)的集中，數(shù)據(jù)更容易成為被攻擊的目標(biāo)。

基于邊界的安全措施難以應(yīng)對(duì)高級(jí)安全威脅
現(xiàn)有安全防護(hù)技術(shù)手段大多基于傳統(tǒng)的網(wǎng)絡(luò)邊界防御方式，假定處于網(wǎng)絡(luò)內(nèi)的設(shè)備和用戶都被信任，這種傳統(tǒng)架構(gòu)缺乏對(duì)訪問(wèn)用戶的持續(xù)認(rèn)證和授權(quán)控制，無(wú)法有效應(yīng)對(duì)愈演愈烈的內(nèi)部和外部威脅。

靜態(tài)的訪問(wèn)控制規(guī)則難以應(yīng)對(duì)數(shù)據(jù)動(dòng)態(tài)流動(dòng)場(chǎng)景
大數(shù)據(jù)中心在滿足不同的用戶訪問(wèn)需求時(shí)，將面臨各種復(fù)雜的安全問(wèn)題：訪問(wèn)請(qǐng)求可能來(lái)自于不同的部門(mén)或者組織外部人員，難以確保其身份可信；訪問(wèn)人員可能隨時(shí)隨地在不同的終端設(shè)備上發(fā)起訪問(wèn)，難以有效保障訪問(wèn)終端的設(shè)備可信；訪問(wèn)過(guò)程中，難以有效度量訪問(wèn)過(guò)程中可能發(fā)生的風(fēng)險(xiǎn)行為并進(jìn)行持續(xù)信任評(píng)估，并根據(jù)信任程度動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限。如上安全挑戰(zhàn)難以通過(guò)現(xiàn)有的靜態(tài)安全措施和訪問(wèn)控制策略來(lái)緩解。

圖：大數(shù)據(jù)中心安全場(chǎng)景
為應(yīng)對(duì)上述安全挑戰(zhàn)，基于零信任架構(gòu)構(gòu)建安全接入?yún)^(qū)，在用戶、外部應(yīng)用和大數(shù)據(jù)中心應(yīng)用、服務(wù)之間構(gòu)建動(dòng)態(tài)可信訪問(wèn)控制機(jī)制，確保用戶訪問(wèn)應(yīng)用、服務(wù)之間API調(diào)用的安全可信，保障大數(shù)據(jù)中心的數(shù)據(jù)資產(chǎn)安全。

解決方案：

梳理核心資產(chǎn)訪問(wèn)路徑，構(gòu)建虛擬身份邊界

奇安信零信任安全解決方案應(yīng)用于某部委的整體安全規(guī)劃與建設(shè)之中，在新建大數(shù)據(jù)共享業(yè)務(wù)平臺(tái)的場(chǎng)景下，訪問(wèn)場(chǎng)景和人員復(fù)雜，數(shù)據(jù)敏感度高?；诹阈湃渭軜?gòu)設(shè)計(jì)，數(shù)據(jù)子網(wǎng)不再暴露物理網(wǎng)絡(luò)邊界，建設(shè)跨網(wǎng)安全訪問(wèn)控制區(qū)隱藏業(yè)務(wù)應(yīng)用和數(shù)據(jù)。解決方案通過(guò)構(gòu)建零信任安全接入?yún)^(qū)，所有用戶接入、終端接入、API調(diào)用都通過(guò)安全接入?yún)^(qū)訪問(wèn)內(nèi)部業(yè)務(wù)系統(tǒng)，同時(shí)實(shí)現(xiàn)了內(nèi)外部人員對(duì)于部委內(nèi)部應(yīng)用以及外部應(yīng)用或數(shù)據(jù)服務(wù)平臺(tái)對(duì)于部委數(shù)據(jù)中心API服務(wù)的安全接入，并且可根據(jù)訪問(wèn)主體實(shí)現(xiàn)細(xì)粒度的訪問(wèn)授權(quán)，在訪問(wèn)過(guò)程中，可基于用戶環(huán)境的風(fēng)險(xiǎn)狀態(tài)進(jìn)行動(dòng)態(tài)授權(quán)調(diào)整，以持續(xù)保障數(shù)據(jù)訪問(wèn)的安全性。

圖：奇安信零信任安全解決方案部署圖

客戶收益：
目前奇安信零信任安全解決方案在某部委大數(shù)據(jù)中心已經(jīng)大規(guī)模穩(wěn)定運(yùn)行超過(guò)半年，通過(guò)零信任安全接入?yún)^(qū)，覆蓋應(yīng)用達(dá)到60多個(gè)，用戶終端超過(guò)1萬(wàn)，每天的應(yīng)用訪問(wèn)次數(shù)超過(guò)200萬(wàn)次，每天的數(shù)據(jù)流量超過(guò)600G，有效保證了相關(guān)大型組織對(duì)大數(shù)據(jù)中心的安全。奇安信零信任安全解決方案，能夠幫助客戶實(shí)現(xiàn)終端的環(huán)境感知、業(yè)務(wù)的訪問(wèn)控制與動(dòng)態(tài)授權(quán)與鑒權(quán)，確保業(yè)務(wù)安全訪問(wèn)，最終實(shí)現(xiàn)全面身份化、授權(quán)動(dòng)態(tài)化、風(fēng)險(xiǎn)度量化、管理自動(dòng)化的新一代網(wǎng)絡(luò)安全架構(gòu)，構(gòu)建組織的“內(nèi)生安全”能力，極大地收縮暴露面，有效緩解外部攻擊和內(nèi)部威脅，為數(shù)字化轉(zhuǎn)型奠定安全根基。

五、IAM核心技術(shù)的未來(lái)趨勢(shì)

? 零信任爆發(fā)增長(zhǎng)趨勢(shì)。其架構(gòu)的應(yīng)用是大勢(shì)所趨，勢(shì)必將成為網(wǎng)絡(luò)安全的新戰(zhàn)略，身份認(rèn)證與訪問(wèn)產(chǎn)品將越發(fā)廣泛地在零信任架構(gòu)的框架下進(jìn)行發(fā)展與升級(jí)。目前外網(wǎng)辦公、分公司訪問(wèn)子公司資源、家庭辦公、出差等，都對(duì)傳統(tǒng)的以防火墻物理邊界作為安全邊界的策略提出了挑戰(zhàn)，對(duì)于資源的訪問(wèn)控制不應(yīng)該依賴(lài)于網(wǎng)絡(luò)邊界的保護(hù)，在這種條件下如何持續(xù)的對(duì)用戶身份進(jìn)行認(rèn)證和訪問(wèn)控制成了零信任策略的關(guān)鍵問(wèn)題，而解決這種關(guān)鍵問(wèn)題的基礎(chǔ)就是完善的IAM系統(tǒng)，只有完善的IAM系統(tǒng)才能夠從全局實(shí)現(xiàn)對(duì)資源的持續(xù)認(rèn)證與訪問(wèn)控制。

? 身份管理與訪問(wèn)控制（IAM）產(chǎn)品會(huì)隨著業(yè)務(wù)場(chǎng)景的不斷變化和技術(shù)更新迭代，IAM技術(shù)經(jīng)歷了由點(diǎn)到面，由單一功能模塊到全面數(shù)字身份治理體系的演進(jìn)過(guò)程。從SSO發(fā)展到4A，再發(fā)展壯大直至現(xiàn)在的IAM，以及由IAM延伸的IGA（Identity Governance and Administration）、IDaaS（Identity-As-A-Service）、CIAM（Consumer IAM）等，業(yè)務(wù)范圍從內(nèi)網(wǎng)到外網(wǎng)，從線下到云端、移動(dòng)端、IoT等領(lǐng)域。

? 未來(lái)身份認(rèn)證產(chǎn)品邁向身份治理（IGA）階段，包含權(quán)限合規(guī)治理、職責(zé)分離、身份數(shù)據(jù)的智能分析和審計(jì)，該階段強(qiáng)調(diào)的是管理和安全，與此同時(shí)需滿足日益嚴(yán)苛的合規(guī)監(jiān)管以及對(duì)法律法律（網(wǎng)絡(luò)安全法、等保2.0、SOX、GDPR）的遵從。任何人對(duì)應(yīng)用的訪問(wèn)、對(duì)數(shù)據(jù)的訪問(wèn)、對(duì)設(shè)備的訪問(wèn)都應(yīng)該圍繞著身份來(lái)展開(kāi)。圍繞著這個(gè)理念把全域的管控隱私的保護(hù)按零信任的體系有機(jī)結(jié)合。

? EIAM企業(yè)內(nèi)部人員對(duì)統(tǒng)一認(rèn)證的需求增強(qiáng)。目前企業(yè)的信息化程度越來(lái)越高，一些大型企業(yè)主要的業(yè)務(wù)流程完全信息化，但這些系統(tǒng)相互獨(dú)立，都有各自的一套賬號(hào)，導(dǎo)致人員的入職、轉(zhuǎn)崗、離職等信息變更繁瑣，難以保證信息的一致性。同時(shí)，由于人員標(biāo)識(shí)不一致，難以從全局對(duì)人員進(jìn)行訪問(wèn)控制及審計(jì)，帶來(lái)一些安全風(fēng)險(xiǎn)。

? CIAM公眾用戶統(tǒng)一認(rèn)證的需求增強(qiáng)。無(wú)論是互聯(lián)網(wǎng)+政務(wù)、還是向公眾提供服務(wù)的某些特定領(lǐng)域，一般都是由多個(gè)信息系統(tǒng)組成，因此，需要構(gòu)建統(tǒng)一認(rèn)證身份平臺(tái)，整合各個(gè)服務(wù)、整合各信息系統(tǒng)身份體系，實(shí)現(xiàn)統(tǒng)一身份管理。

? 隨著5G、IoT技術(shù)的深入應(yīng)用，IAM產(chǎn)品將為人物、物物互聯(lián)提供身份安全管理的功能。IAM平臺(tái)未來(lái)將以一種高度流動(dòng)的方式工作，因?yàn)樾枰罅空{(diào)用第三方服務(wù)來(lái)驗(yàn)證信息的正確性，技術(shù)架構(gòu)需是輕量級(jí)、松耦合，基于微服務(wù)架構(gòu)，實(shí)現(xiàn)IAM能力的全面微服務(wù)化，快速地和IT基礎(chǔ)設(shè)施以及其他應(yīng)用進(jìn)行融合。目前通過(guò)去中心化的技術(shù)比如區(qū)塊鏈來(lái)解決設(shè)備之間的互信問(wèn)題已 經(jīng)成為行業(yè)內(nèi)的熱點(diǎn)方向，還有更多的新技術(shù)需要探索。

? 為提升智能識(shí)別用戶異常訪問(wèn)行為的能力，IAM從基于靜態(tài)規(guī)則和策略的安全管理模式走向動(dòng)態(tài)的自適應(yīng)風(fēng)控體系，實(shí)時(shí)感知用戶訪問(wèn)過(guò)程中的安全環(huán)境變化，動(dòng)態(tài)調(diào)整安全控制策略，并持續(xù)評(píng)估應(yīng)用、用戶、數(shù)據(jù)流的安全性和風(fēng)險(xiǎn)狀態(tài)，為數(shù)字身份安全提供智能化防御。

信息泄漏了不要慌，學(xué)了網(wǎng)安就能?chē)虖?/p>

白嫖資料就上車(chē)

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專(zhuān)家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的自己身份信息泄漏了怎么办，别怕，带你了解身份管理与访问控制的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。