5.5 身份与访问管理
5.5.1 行业背景
当前网络安全措施多数仅是关注物理环境、网络环境的安全防范,而对组织内部的权限滥用、内外部人员违规私建账号及对风险预警和责任追溯等缺失有效的管控手段,从而产生大量人为操作不当造成的核心数据泄露与安全后门,导致“泄密门”一次次发生。近年来,信息安全事故频发,众多企业及个人的重要数据被泄露。大量案例分析,多数安全风险实际上来自组织内部人员,以及由于缺失规范的内部控制体系导致内、外部人员联合作案,直接威胁到组织经营安全。这不仅严重影响国家与社会公共利益,还直接威胁到公民隐私和生命财产安全。
安全情报供应商Risk Based Security研究数据显示,2017年全年泄露或被盗数据总量超过50亿条。通过大量信息泄露案例分析,内部威胁成为信息泄露的重要途径,包括内部员工的恶意或无意泄露。另外,随着信息化的深度应用,安全边界日益扩大,第三方外包人员、外部供应商、互联网用户都可能成为组织中安全风险的源头。为此,加强组织内部控制及对内、外部人员的持续动态化管控是现今复杂多变环境下的必然趋势。
《中华人民共和国网络安全法》已于2017年6月1日起正式颁布施行,其中明确指出:“国家实施网络可信身份战略。”网络可信身份认证体系是网络安全的核心。网络可信身份管理体系是网络空间和网络社会依法、规范、安全、高效运行和稳健发展的基础,其对于推动网络社会治理能力的现代化具有重要意义。
5.5.2 企业信息化建设背景
信息技术在提升企业建设运营效率的同时,也给企业信息安全带来高风险,信息泄露事件频繁发生。目前,企业信息安全管理中条块分割、各行其是、相互隔离的现象还比较严重,从而形成大量信息孤岛,给信息安全管理带来挑战。
(1)存在高危安全风险:各应用系统用户账号孤立分散,缺乏统一的管理规范和安全标准,存在大量“僵尸账号”和“孤儿账号”。
(2)运营效率低:运维人员在管理用户、授权、重置密码等方面需花费大量的时间。
(3)用户体验差:每个用户需记忆多套用户名和密码。
(4)IT集约能力弱:重复建设用户管理体系造成了IT资源的浪费。
(5)无法有效支撑合规审计:大多采用人为数据采集、分析,缺乏实时有效的事前、事中审计,事后责任难以追溯到人。
(6)缺乏用户行为管理机制:大数据、云计算、移动应用、人工智能、物联网等新兴技术的普及与应用,让业务需求场景变得复杂和多样化,当前系统缺失完善的身份安全管理机制,难以了解不同渠道用户的访问行为。
(7)缺乏风险预警与防范、事中访问控制及事后责任追溯的智能化风险识别与管理机制。
(8)缺乏认证统一管理机制:对人脸识别、指纹、声纹、手势、证书、动态口令等不同的安全认证方式,缺乏统一的平台入口管理,既造成用户二次平台的重复开发成本,也难以结合实际场景做到便捷式组合认证。
5.5.3 IAM的概念
IAM即身份管理与访问控制,是一套身份安全与管理体系,主要目标是确保正确的人或“物”出于正确的原因,能够在正确的时间、正确的地点从正确的设备中获取正确的资源(应用、数据等),包括统一身份管理、权限管理、统一认证管理、统一访问管理、风险管控及合规审计等,从而保证信息化资产的安全性。
1. 统一身份管理
统一身份管理功能概述如表5-1所示。
表5-1 统一身份管理功能概述
2. 权限管理
权限管理功能概述如表5-2所示。
表5-2 权限管理功能概述
3. 统一认证管理
统一认证管理功能概述如表5-3所示。
表5-3 统一认证管理功能概述
4. 统一访问管理
统一访问管理功能概述如表5-4所示。
表5-4 统一访问管理功能概述
5. 风险管控
风险管控功能概述如表5-5所示。
表5-5 风险管控功能概述
6. 合规审计
合规审计功能概述如表5-6所示。
表5-6 合规审计功能概述
5.5.4 行业建议与建设意义
现代化的企业需要将身份安全治理纳入组织战略规划并真正做到有效落地。组织需要合理划分每个人员的岗位职责和权限安全边界,确保合适的人在合适的岗位,有适当的职责与访问权限,并结合不同发展阶段定期回顾和查验权限配置的合理性,同时对权限分配机制及用户访问行为进行统一的入口管理,确保对人员及其访问权限做到及时预警、事中实时控制和事后责任追溯。
具体建议如下。
(1)建立组织的统一用户信息全景图。实现组织范围内的组织结构及人员分布的实时查询和展现。实现用户信息与HR信息的一致,提供最权威、实时的用户信息,并支持与其他的信息源同步。
(2)建立融合认证框架与风险引擎相结合的智能风控机制。通过融合认证平台,将业内主流的各种类型的安全认证方式进行集中管控,并根据风险引擎系统智能识别不同类型的访问风险,针对不同认证能力进行一键化的管理赋能。
(3)建立统一身份安全管理与访问控制平台,实现面向机场内、外部各类型应用、用户身份管理、用户及应用权限的统一授信、分配及用户职责分离(SoD)。
(4)加强对用户不同终端设备及行为特征的统一管理。对用户终端设备进行管理,特别是当下流行的移动设备进行全生命周期的自动化管理。
(5)做到IT集中管控、共享IT服务。制定应用系统接入的安全管理规范,做到信息技术平台的标准化、规范化和高敏捷性。
(6)加强行业信息安全监管,提高安全合规审计的效率与效果。需要做到自动化的数据采集和自动报表生成,节省审计成本,提高安全审计的效率和效果。
通过上述身份治理体系的建设,实现对应用系统的账号、认证、授权和用户行为审计的统一入口管理,建立统一的认证和账号权限管理体系。具体表现在以下几个方面。
(1)满足国家有关信息化建设的要求,提高社会影响力。完善企业信息安全总体架构,提升信息安全管理整体水平。
(2)满足安全合规要求。提高内部风控能力,提高内部审计合规能力,提高法律法规的合规性。
(3)加强信息安全意识,减少安全风险。应用系统的信息安全与实时审计,有效减少和避免安全事件带来的安全风险。
(4)提高系统的服务水平和效率,实现统一身份认证和单点登录服务,对各种应用信息进行整合和利用,用户一次登录即可访问所有应用,极大地提高了工作效率。
(5)实现部门共享应用信息资源,提升服务水平。通过平台的统一和整合,实现信息、知识、人才,以及管理制度、管理方法、管理理念等各种资源的共享,提高资源的利用效率。