什么才是好的身份安全管理？

本篇文章2429字，读完约6分钟

在现实世界中，我们每个人在互联网上都有一个身份，那就是某个系统的用户标识。但是，应该说一旦网上身份被盗，就意味着风险会到来，而这种风险与系统的价值密切相关。

因此，自互联网诞生以来，身份安全一直受到重视。无论是口令、双因素认证、安全令牌还是最近越来越流行的生物识别，它们都有相同的目的，即确保身份安全而不被恶意使用。事实上，过去几年发生的几起大规模安全事件都与身份安全密不可分，如雅虎数据泄露事件、乌克兰电网攻击事件等。，甚至有许多因身份管理不当而导致离职员工恶意删除公司数据的案例。

身份安全是信息安全的基石，其重要性日益突出。以谷歌公司为例，谷歌公司实施的beyondcorp计划打破了内部和外部网络。此时，是什么保证了放弃防火墙保护的企业网络的安全呢？毫无疑问，身份安全和访问控制是重中之重。从大环境来看，随着云和移动的加速，网络边界变得越来越模糊，身份安全成为关键。

如何做好身份安全管理？

身份安全需要做什么？Gartner报告指出，身份安全应该确保正确的人在正确的时间出于正确的原因访问正确的资源。具体来说，如何管理身份安全？在我们回答这个问题之前，我们需要弄清楚身份安全涉及到什么。

首先，4a这个词对很多人来说并不陌生，它指的是账户管理、认证、授权和审计。在许多大型企业中，4a用于统一和集中的账户管理，为用户提供不同的认证方法、集中的访问权限控制、集中的记录管理以及对所有用户操作日志的分析等。

在这方面，亚信安全拥有最大的发言权，其在移动和电信领域的4a覆盖面超过50%，受管用户超过100万，受管账户超过1000万，受管设备超过20万。以江苏移动为例，江苏移动采用亚信安全4a方案，覆盖了内部办公网络、业务网络和核心运营网络。可以说，目前江苏移动的所有信息技术系统都由4a控制，6万名员工的所有系统都包含在4a控制范围内。

其次，对于外部世界，服务提供商应确保用户的身份安全和合规访问，如互联网接入认证、网站统一认证、身份威胁分析等。，广泛应用于电信、金融、电子商务等行业。

以互联网接入认证为例，中国电信也选择了亚信安全。通过构建中国电信互联网统一认证平台，中国电信用户只需使用自己的手机号码和相应的密码即可登录中国电信所有增值业务系统，实现一次性认证和普遍接入。中国电信网站的统一认证平台服务于5亿多用户，高峰支持平均1300次/秒和9700次/秒的用户访问高峰，因此身份认证产品的性能和可靠性非常重要。

亚信网络安全事业部副总经理吴东

亚信安全网络安全事业部副总经理吴东表示，亚信安全支持全球最大规模的身份安全用户部署。身份安全有什么不同，或者企业应该如何选择身份安全管理方案？吴东举了几个应用场景作为例子:

首先是账户的全生命周期管理。例如，当一个员工加入公司时，人力资源系统会输入他的信息和职位，iam系统会在5分钟内自动打开oa、crm、erp、考勤和财务系统的账户和权限。当他的职位被调动时，在人力资源系统被调整后，iam也将创建新部门的系统帐户和权限，并恢复以前部门的系统帐户。

二是国库模式加强授权控制。在很多情况下，企业进行静态账户管理，但是对于高度敏感的系统或数据，他们不仅要有静态管理，还要有动态管理。例如，当访问核心系统或数据时，资金模式会加强管理。基于关键操作、多人完成和多人制衡的原则，从技术上保证一个人不能单独完成高度敏感的操作。

此外，还包括建立基于4a的安全、封闭的工作环境，如员工只能查看而不能下载的敏感数据，防止敏感数据被随意复制，实现文件的可追溯性。

当然，这些还不够。以下主题包括身份安全管理的新趋势以及从用户的角度考虑身份管理。

良好的身份安全管理需要良好的经验

随着身份安全管理的发展，外部环境实际上发生了许多变化。以网上银行为例。通常，当转账或大量交易时，银行通常要求用户使用u盾证书来验证其身份。尽管体验很差，但它确保了极高的安全性。然而，随着移动性的普及，这种认证应该如何进行呢？虽然银行机构已经推出了ukey，但实际情况是很少有用户随身携带ukey，因此实用性和体验性较差。

此外，许多手机已经取消了耳机插孔，将来很有可能取消充电端口，实现无线充电。如何认证？因此，良好的身份验证必须有良好的体验，其他应用场景也是如此。

基于此，吴东指出，亚信安全也正在向新一代身份认证安全演进。例如，使用机器学习能力从幕后加强身份安全。例如，基于机器学习的身份威胁分析，亚信安全帮助一家企业发现了130，000多个可疑违规行为和260多个可疑内部人员。在外部，亚信安全也致力于通过使用机器学习能力来改善用户的认证体验。

我们希望为用户提供一个高安全性、高体验的认证平台，这样用户登录时麻烦就少了。吴东说，例如，当用户登录或交易时，他们可以判断当时的风险情况，并提供不同的身份认证手段。

此外，亚信安全推出的新一代身份认证安全方案整合了公司的许多身份认证功能，形成了统一的身份管理平台，如生物特征管理平台、认证策略管理平台、认证服务监控等。

面向未来的物联网身份安全管理

在即将到来的物联网时代，亚信安全也正在构建物联网时代身份安全的蓝图。由于包括内部员工、合作伙伴、消费者在内的人为因素以及事物与环境(私有云、公共云)之间的关系将变得越来越复杂，身份管理和身份认证也将变得更加复杂。

在亚信安全的身份安全蓝图中，已经提出了许多想法和计划:

首先，友好和一致的使用体验:消除身份孤岛和烟囱，为人员、设备和事物提供一致的使用体验。

二是统一智能身份管控:面向人、设备和事物，统一认证、访问、策略管控平台，智能身份识别、权限控制和行为控制。

第三是巨大的性能可扩展性:高性能、高可用性、用于复杂关系管理的数据存储；

第四，跨平台部署和运营:包括私有云、公共云等环境。

吴东强调，亚信安全将继续在物联网身份安全、身份信用和防欺诈、用户和实体行为智能分析等领域进行研究和创新。

2017年网状元凌云奖