张婷婷

摘要：随着企业数字化转型的不断推进，信息技术的应用对业务的支撑和引领作用日益凸显。近年，网络安全事件频发，现实不止一次教育我们网络安全正在面临严峻挑战。身份管理基础设施的设计及建设需适应业务板块快速发展和业务系统架构模型，满足系统安全访问的需求。当下IAM服务已得到广泛应用。

关键词：IAM 认证 身份 访问 安全

一、数字化转型时代企业面临的安全挑战

近年，网络安全事件频发，网络安全正在面临严峻挑战。在数字化转型的大背景下，企业数字化程度越高越易遭受网络攻击，且当今黑客的攻击手法越发复杂、隐蔽。据Gartner统计，全球近13年累计泄露数据10.66亿条，黑客入侵和来自企业内部的风险是两大原因。

黑客入侵居首位，占比59%。黑客利用弱口令或被盗口令向企业网络发起攻击，一旦攻破网络边界、进入内网，便可轻松横向移动，逐步控制高价值目标。来自企业内部的风险排名第二，占比33.9%，主要是由未经授权非法访问特定的业务和数据资源造成。

基于物理边界的安全防护工具无法检测利用身份、凭证的恶意攻击，亦无法感知信息系统访问控制不当所带来的安全威胁，这便成为绝大多数企业所面临的安全挑战。

绝大多数大型企业由于信息系统建设年代不同、对信息安全要求的标准不一，存在系统间身份数据库独立建设、认证强度各异、缺少统一安全管理策略的共性问题。主要表现在以下几方面：

1. 大量信息系统采用不安全的明文认证或明文传输，直接将用户账户、密码暴露在网络中，导致账户密码泄露。

2. 由于缺少用户异常行为的检测工具，当用户凭据被黑客非法利用时，不能及时发现。

3. 各业务部门独自手工管理系统账户，未与人事系统联动，在岗位、任职状态发生变化后，难以做到在每个信息系统中都及时调整权限，禁用或注销其用户账户，从而导致部分信息系統长期存在着一些无人使用的“僵尸”账户，成为不可忽视的全隐患。这种孤岛式的用户和权限管理模式也造成信息安全审计的困难。

4. 未实现以实名制身份为核心的用户全生命周期管理。

5. 缺少统一的认证、访问控制能力，无法完成集中的身份鉴权及访问行为审计。

于此同时，国家对企业信息化建设要求不断提高，以及企业自身对信息安全保密的需要越来越强烈，相继出台一系列政策、规范，企业势必应当自审，应当加强内部的安全管理和控制。

二、企业建设IAM平台必要性分析

大多数大型企业在身份管理、认证管理方面存在通病。例如：在账户管理方面，存在账户管理分散、账户命名规则不统一、账户管理流程不一致、多人共享账户不易定责、人员离职后账户更新滞后的问题;在认证管理方面，存在缺少全局认证安全策略，各系统身份认证模块独立建设，信息系统认证强不一、认证方式单一、账户密码策略不统一、缺少全局访问控制策略，“木桶效应”导致信息系统整体安全风险上升的现象;在授权管理方面，存在缺少全局权限管理策略、权限定义无标准、缺少全局权限视图;在安全审计管理方面，存在缺少全局安全审计规划，缺少全局安全审计日志存储标准，不利于审计数据共享、安全隐患挖掘的问题。而IAM平台针对上述痛点可逐一击破。在身份管理方面，通过构建权威身份数据源，为应用系统提供身份数据同步服务;提供用户账户全生命周期管理;建立集中用户身份信息库，收集、筛选所有系统的用户属性信息，做到用户身份信息聚合。在认证管理方面，将为所有应用提供统一的访问入口;提供一次登录、免密登录服务;支持PKI认证服务体系、生物认证、滑动验证、OTP、短信等认证服务，提高认证操作的便捷性，同时加强认证安全性。在授权管理方面，将实现统一的身份和访问控制管理策略;实现应用入口级别访问控制，构建企业全局用户的业务系统访问权限画像;甚至可支持跨地区、跨组织、跨时区的信息系统提供支撑鉴别授权的权威信任基础设施。在审计管理方面，将对用户的认证、访问、操作等行为进行全方位监控、审计;提供对登录模式、访问时间、操作行为、访问习惯、访问关系等异常行为进行监控和预警。随着机器学习和大数据技术的发展，安全防御手段逐渐智能化，一些成熟的身份管理方案已经引入基于识别用户可信身份的用户行为风险控制能力。用户行为风险控制能力的整体概念是基于大数据环境、基于数据挖掘和机器学习技术，快速的对入侵行为进行识别。当入侵行为发生时，可实时检测、及时报警、及时响应;可快速通知用户本人，立即采取防范措施;可建立风险规则库，应对入侵行为。基于上述数据，形成以用户身份为主线的用户行为画像全景视图，提升安全防范的能力。

三、企业建设IAM平台的收益

企业自建IAM平台，为企业内部自用，不直接产生经济效益，但会回报直接的安全效益，整体提高企业信息系统的安全防护能力和信息安全管理水平。

1. 管理效益

IAM平台的建设可为下游应用提供更加坚固、稳定、强大的服务能力，进一步提升对各级单位应用的管理能力;可扩大系统应用范围，使更多的下游IAM平台应用实现用户身份统一管理和安全认证，推进企业用户规范管理的进程;采用统一规划建设的IAM平台进行账户管理、统一认证以及单点登录集成，可消除信息孤岛，方便用户访问多个信息系统;集中管控账户安全策略，规避非法账户存在以及弱口令等安全事件的发生，提升信息化安企业全管理水平;基于企业用户管理与身份认证应用规范实施建设，为信息化规范管理打下坚实基础。

2. 经济效益分析

IAM平台的建设将进一步扩大应用集成范围，提高信息系统用户身份及访问管理效率，降低信息系统用户管理模块开发成本;增强信息系统用户操作便利性，提高员工工作效率;减少管理员的管理成本和工作强度，使得信息化工作人员可以投入到更多有意义的IT建设工作中;系统推广建设，提高信息系统安全性，减少因账户管理及访问控制问题而造成的损失;简化集成实施，采用的单点登录方案在短期内能够改造完成，降低部门间协调成本和实施周期长而带来的经济损失;为后续的应用开发提供了统一的用户身份认证框架，投资利用率高，具有很好的可扩展性，可满足企事业单位不同发展阶段的需求，一次投资可长期使用。

3. 社会效益分析

IAM平台的建设将规范企业内部用户管理，为内控审计、遵循国际及国内法律法规提供技术手段;推进应用国产化，关键服务、关键技术参考行业标准、自主可控，满足国家有关信息化建设要求，提高社会影响力;减少因密码问题而带来的安全风险，建立实名制的用户唯一身份，提供不同安全级别的身份认证方式，满足国家规定的等级保护要求;提高信息化安全水平，企业更好地满足企业安全建设需要，提高国际竞争力提供了安全合规支撑。

参考文献

[1]杨莉， 赵娜（译）. ⅡA发布 最新全球技术审计指南—身份识别和访问管理[J]. 中国内部审计， 2008（1）：25-25.

[2]夏冰，网络安全法和网络安全等级保护2.0，2017.