5.5　身份與訪問管理

5.5.1　行業背景

當前網絡安全措施多數僅是關注物理環境、網絡環境的安全防范，而對組織內部的權限濫用、內外部人員違規私建賬號及對風險預警和責任追溯等缺失有效的管控手段，從而產生大量人為操作不當造成的核心數據泄露與安全后門，導致“泄密門”一次次發生。近年來，信息安全事故頻發，眾多企業及個人的重要數據被泄露。大量案例分析，多數安全風險實際上來自組織內部人員，以及由于缺失規范的內部控制體系導致內、外部人員聯合作案，直接威脅到組織經營安全。這不僅嚴重影響國家與社會公共利益，還直接威脅到公民隱私和生命財產安全。

安全情報供應商Risk Based Security研究數據顯示，2017年全年泄露或被盜數據總量超過50億條。通過大量信息泄露案例分析，內部威脅成為信息泄露的重要途徑，包括內部員工的惡意或無意泄露。另外，隨著信息化的深度應用，安全邊界日益擴大，第三方外包人員、外部供應商、互聯網用戶都可能成為組織中安全風險的源頭。為此，加強組織內部控制及對內、外部人員的持續動態化管控是現今復雜多變環境下的必然趨勢。

《中華人民共和國網絡安全法》已于2017年6月1日起正式頒布施行，其中明確指出：“國家實施網絡可信身份戰略。”網絡可信身份認證體系是網絡安全的核心。網絡可信身份管理體系是網絡空間和網絡社會依法、規范、安全、高效運行和穩健發展的基礎，其對于推動網絡社會治理能力的現代化具有重要意義。

5.5.2　企業信息化建設背景

信息技術在提升企業建設運營效率的同時，也給企業信息安全帶來高風險，信息泄露事件頻繁發生。目前，企業信息安全管理中條塊分割、各行其是、相互隔離的現象還比較嚴重，從而形成大量信息孤島，給信息安全管理帶來挑戰。

（1）存在高危安全風險：各應用系統用戶賬號孤立分散，缺乏統一的管理規范和安全標準，存在大量“僵尸賬號”和“孤兒賬號”。

（2）運營效率低：運維人員在管理用戶、授權、重置密碼等方面需花費大量的時間。

（3）用戶體驗差：每個用戶需記憶多套用戶名和密碼。

（4）IT集約能力弱：重復建設用戶管理體系造成了IT資源的浪費。

（5）無法有效支撐合規審計：大多采用人為數據采集、分析，缺乏實時有效的事前、事中審計，事后責任難以追溯到人。

（6）缺乏用戶行為管理機制：大數據、云計算、移動應用、人工智能、物聯網等新興技術的普及與應用，讓業務需求場景變得復雜和多樣化，當前系統缺失完善的身份安全管理機制，難以了解不同渠道用戶的訪問行為。

（7）缺乏風險預警與防范、事中訪問控制及事后責任追溯的智能化風險識別與管理機制。

（8）缺乏認證統一管理機制：對人臉識別、指紋、聲紋、手勢、證書、動態口令等不同的安全認證方式，缺乏統一的平臺入口管理，既造成用戶二次平臺的重復開發成本，也難以結合實際場景做到便捷式組合認證。

5.5.3　IAM的概念

IAM即身份管理與訪問控制，是一套身份安全與管理體系，主要目標是確保正確的人或“物”出于正確的原因，能夠在正確的時間、正確的地點從正確的設備中獲取正確的資源（應用、數據等），包括統一身份管理、權限管理、統一認證管理、統一訪問管理、風險管控及合規審計等，從而保證信息化資產的安全性。

1. 統一身份管理

統一身份管理功能概述如表5-1所示。

2. 權限管理

權限管理功能概述如表5-2所示。

3. 統一認證管理

統一認證管理功能概述如表5-3所示。

4. 統一訪問管理

統一訪問管理功能概述如表5-4所示。

5. 風險管控

風險管控功能概述如表5-5所示。

6. 合規審計

合規審計功能概述如表5-6所示。

5.5.4　行業建議與建設意義

現代化的企業需要將身份安全治理納入組織戰略規劃并真正做到有效落地。組織需要合理劃分每個人員的崗位職責和權限安全邊界，確保合適的人在合適的崗位，有適當的職責與訪問權限，并結合不同發展階段定期回顧和查驗權限配置的合理性，同時對權限分配機制及用戶訪問行為進行統一的入口管理，確保對人員及其訪問權限做到及時預警、事中實時控制和事后責任追溯。

具體建議如下。

（1）建立組織的統一用戶信息全景圖。實現組織范圍內的組織結構及人員分布的實時查詢和展現。實現用戶信息與HR信息的一致，提供最權威、實時的用戶信息，并支持與其他的信息源同步。

（2）建立融合認證框架與風險引擎相結合的智能風控機制。通過融合認證平臺，將業內主流的各種類型的安全認證方式進行集中管控，并根據風險引擎系統智能識別不同類型的訪問風險，針對不同認證能力進行一鍵化的管理賦能。

（3）建立統一身份安全管理與訪問控制平臺，實現面向機場內、外部各類型應用、用戶身份管理、用戶及應用權限的統一授信、分配及用戶職責分離（SoD）。

（4）加強對用戶不同終端設備及行為特征的統一管理。對用戶終端設備進行管理，特別是當下流行的移動設備進行全生命周期的自動化管理。

（5）做到IT集中管控、共享IT服務。制定應用系統接入的安全管理規范，做到信息技術平臺的標準化、規范化和高敏捷性。

（6）加強行業信息安全監管，提高安全合規審計的效率與效果。需要做到自動化的數據采集和自動報表生成，節省審計成本，提高安全審計的效率和效果。

通過上述身份治理體系的建設，實現對應用系統的賬號、認證、授權和用戶行為審計的統一入口管理，建立統一的認證和賬號權限管理體系。具體表現在以下幾個方面。

（1）滿足國家有關信息化建設的要求，提高社會影響力。完善企業信息安全總體架構，提升信息安全管理整體水平。

（2）滿足安全合規要求。提高內部風控能力，提高內部審計合規能力，提高法律法規的合規性。

（3）加強信息安全意識，減少安全風險。應用系統的信息安全與實時審計，有效減少和避免安全事件帶來的安全風險。

（4）提高系統的服務水平和效率，實現統一身份認證和單點登錄服務，對各種應用信息進行整合和利用，用戶一次登錄即可訪問所有應用，極大地提高了工作效率。

（5）實現部門共享應用信息資源，提升服務水平。通過平臺的統一和整合，實現信息、知識、人才，以及管理制度、管理方法、管理理念等各種資源的共享，提高資源的利用效率。