什麼才是好的身份安全管理？

同在現實世界中一樣，在互聯網中我們每一個人都有一個身份，這個身份就是登陸某個系統的用戶ID。不過要說的是，這個線上身份一旦被盜用，那就意味著風險將至，這個風險的大小跟系統的價值密切相關。

所以，從互聯網誕生之日起，身份安全就已經被重視，無論是採用密碼、雙因素認證、安全令牌，亦或最近越來越火的生物特徵識別等，它們的目的均是一個，保障身份安全而不被惡意使用。實際上，在過去幾年中發生的幾起大型安全事件都跟身份安全離不開關係，例如雅虎數據泄密事件、烏克蘭電網受攻擊事件等，甚至也不乏因為身份管理不當導致離職員工惡意刪除公司資料的案例等。

身份安全是信息安全的基石，它的重要性愈加突顯。就以谷歌公司為例，其實施的BeyondCorp計劃就打破了內外網，這時摒棄了防火牆防護的企業網路靠什麼保障安全？無疑，身份安全與訪問控制是重中之重。從大的環境來說，隨著雲化、移動化的進程加快，網路邊界變得越來越模糊，所以身份安全成為關鍵。

如何做好身份安全管理？

身份安全要做的事情是什麼？Gartner報告指出，身份安全要確保正確的人在正確的時間，因為正確的原因訪問了正確的資源。具體來說，又該如何做好身份安全管理？要回答這個問題之前，我們需要搞清楚身份安全涉及的面有哪些。

首先對內來說，「4A」這個詞很多人並不陌生，它指的是賬號管理（Account）、認證管理（Authentication）、授權管理（Authorization）、審計管理（Audit），在許多大型企業內部利用4A進行統一集中的賬號管理、為用戶提供不同強度的認證方式、對訪問許可權進行集中控制、將用戶所有的操作日誌集中記錄管理和分析等等。

在此方面，亞信安全擁有最大的發言權，其4A在移動、電信的覆蓋超過了50%，管理的用戶數量超過百萬、受管賬號數量超過了千萬、管控的設備數超過了二十萬。以江蘇移動為例，通過採用亞信安全4A方案覆蓋了江蘇移動從內部的辦公網路，到業務網路、核心運行網路，可以說江蘇移動所有的IT系統都進行了4A管控，到目前為止6萬員工的各項系統被納入4A管控。

其次對外來說，服務提供方要確保用戶的身份安全和合規的訪問，例如互聯網的接入認證、網站的統一認證、身份威脅分析等，它們廣泛應用於電信、金融、電商等行業領域。

以互聯網接入認證舉例來說，中國電信同樣選擇亞信安全，通過建設中國電信互聯網網路統一認證平台，中國電信的用戶只要用手機號和對應密碼就可以登錄中國電信所有的增值業務系統，也就實現了一次認證、處處通行。中國電信網站統一認證平台服務了超過5億用戶，高峰支持均值1300次/秒，峰值9700次/秒的用戶訪問峰值，所以身份認證產品在性能和可靠性上是十分重要的。

亞信安全網路安全事業部副總經理吳冬

亞信安全網路安全事業部副總經理吳冬表示，可以說亞信安全支撐了全球最大規模的身份安全用戶部署。要說身份安全有哪些不同，或者說企業該如何選用身份安全管理方案？吳冬以幾個應用場景舉例：

一是帳號的全生命周期管理。例如某員工入職公司，HR系統錄入其信息和職位，IAM系統5分鐘內就會自動開通OA、CRM、ERP、考勤、財務等系統的帳號和許可權。當他產生職位調動時，HR系統調整後，IAM也會創建新部門的系統帳號和許可權，並回收之前所在部門的系統帳號。

二是「金庫」模式強化授權管控。很多時候企業做帳號靜態管理，但對於高敏感的系統或數據來說，不僅要有靜態管理，還要有動態管理，例如訪問核心系統或數據時，金庫模式去強化管理。以「關鍵操作、多人完成、多人制衡」為原則，從技術上保證一個人不可能獨自完成高敏感操作。

此外，還包括基於4A構建安全封閉的工作環境，如涉及敏感數據，員工只能查看，不能下載，防止敏感數據被隨意拷貝、實現文檔溯源等。

當然，這些還不夠，以下要說的包括身份安全管理的新趨勢，以及站在用戶視角考慮身份管理等。

好的身份安全管理需有好的體驗

身份安全管理髮展到今天，實際上已經發生了諸多外部環境的變化，就拿網上銀行舉例，通常大額轉賬或交易時，銀行一般要求用戶採用U盾證書的方式去驗證身份，雖然體驗差一些，但保障了極高的安全性。但隨著移動化普及，這種身份驗證的方式又該如何進行呢？銀行機構儘管推出了手機Ukey，但實際情況也是很少有用戶隨身帶著手機Ukey，所以實用性和體驗性較差。

加之如今的很多手機已經取消耳機孔，未來很可能還將取消充電口實現無線充電，又該如何進行身份驗證？所以，好的身份驗證一定需要有好的體驗，其他應用場景也亦如此。

基於此，吳冬指出，亞信安全也正在向新一代身份認證安全去演進。例如利用機器學習能力從幕後去強化身份安全。他舉例，基於機器學習的身份威脅分析，亞信安全曾幫助某企業發現疑似違規行為13萬多起，找到疑似「內鬼」260餘人。對外部來講，亞信安全也致力於利用機器學習能力提升用戶的身份認證體驗。

「我們希望給用戶提供一個既高安全，又有非常高體驗的身份認證平台，在用戶登錄時，盡量少給用戶帶來麻煩。」吳冬說，比如一客一策，當用戶登錄或交易時，去判斷當時所處的風險狀況，提供不一樣的身份認證手段。

此外，亞信安全推出的新一代身份認證安全方案，通過把公司所具備的眾多身份認證能力進行整合，形同統一的身份管理平台，例如生物識別管理平台、認證策略管理平台、認證服務監控等。

面向未來的物聯網身份安全管理

在即將到來的物聯網時代，亞信安全也正在構建物聯網時代的身份安全藍圖。因為屆時人的因素包括內部員工、合作夥伴、消費者，以及物和環境（私有雲、公有雲）等關係將會變得愈加複雜，所以進行身份管理和認證也將會變得更加複雜。

在亞信安全的身份安全藍圖中，已經進行了諸多構想和規劃：

一是友好一致的使用體驗：消除身份孤島和煙囪，為人、設備、物提供一致的使用體驗。

二是統一的智能化的身份管控：面向人、設備、物，統一的認證、訪問、策略管理和控制平台，智能化的身份判別、許可權控制與行為控制。

三是海量級的性能擴展性：高性能、高可用、面向複雜關係管理的數據存儲；

四是跨平台的部署和運行：包括私有雲、公有雲等多種環境。

吳冬強調，亞信安全將在物聯網身份安全、身份信用與防欺詐、用戶與實體行為智能分析等領域不斷研究和創新。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！