同在现实世界中一样,在互联网中我们每一个人都有一个身份,这个身份就是登陆某个系统的用户ID。不过要说的是,这个线上身份一旦被盗用,那就意味着风险将至,这个风险的大小跟系统的价值密切相关。
所以,从互联网诞生之日起,身份安全就已经被重视,无论是采用密码、双因素认证、安全令牌,亦或最近越来越火的生物特征识别等,它们的目的均是一个,保障身份安全而不被恶意使用。实际上,在过去几年中发生的几起大型安全事件都跟身份安全离不开关系,例如雅虎数据泄密事件、乌克兰电网受攻击事件等,甚至也不乏因为身份管理不当导致离职员工恶意删除公司资料的案例等。
身份安全是信息安全的基石,它的重要性愈加突显。就以谷歌公司为例,其实施的BeyondCorp计划就打破了内外网,这时摒弃了防火墙防护的企业网络靠什么保障安全?无疑,身份安全与访问控制是重中之重。从大的环境来说,随着云化、移动化的进程加快,网络边界变得越来越模糊,所以身份安全成为关键。
如何做好身份安全管理?
身份安全要做的事情是什么?Gartner报告指出,身份安全要确保正确的人在正确的时间,因为正确的原因访问了正确的资源。具体来说,又该如何做好身份安全管理?要回答这个问题之前,我们需要搞清楚身份安全涉及的面有哪些。
首先对内来说,“4A”这个词很多人并不陌生,它指的是账号管理(Account)、认证管理(Authentication)、授权管理(Authorization)、审计管理(Audit),在许多大型企业内部利用4A进行统一集中的账号管理、为用户提供不同强度的认证方式、对访问权限进行集中控制、将用户所有的操作日志集中记录管理和分析等等。
在此方面,亚信安全拥有最大的发言权,其4A在移动、电信的覆盖超过了50%,管理的用户数量超过百万、受管账号数量超过了千万、管控的设备数超过了二十万。以江苏移动为例,通过采用亚信安全4A方案覆盖了江苏移动从内部的办公网络,到业务网络、核心运行网络,可以说江苏移动所有的IT系统都进行了4A管控,到目前为止6万员工的各项系统被纳入4A管控。
其次对外来说,服务提供方要确保用户的身份安全和合规的访问,例如互联网的接入认证、网站的统一认证、身份威胁分析等,它们广泛应用于电信、金融、电商等行业领域。
以互联网接入认证举例来说,中国电信同样选择亚信安全,通过建设中国电信互联网网络统一认证平台,中国电信的用户只要用手机号和对应密码就可以登录中国电信所有的增值业务系统,也就实现了一次认证、处处通行。中国电信网站统一认证平台服务了超过5亿用户,高峰支持均值1300次/秒,峰值9700次/秒的用户访问峰值,所以身份认证产品在性能和可靠性上是十分重要的。
亚信安全网络安全事业部副总经理吴冬
亚信安全网络安全事业部副总经理吴冬表示,可以说亚信安全支撑了全球最大规模的身份安全用户部署。要说身份安全有哪些不同,或者说企业该如何选用身份安全管理方案?吴冬以几个应用场景举例:
一是帐号的全生命周期管理。例如某员工入职公司,HR系统录入其信息和职位,IAM系统5分钟内就会自动开通OA、CRM、ERP、考勤、财务等系统的帐号和权限。当他产生职位调动时,HR系统调整后,IAM也会创建新部门的系统帐号和权限,并回收之前所在部门的系统帐号。
二是“金库”模式强化授权管控。很多时候企业做帐号静态管理,但对于高敏感的系统或数据来说,不仅要有静态管理,还要有动态管理,例如访问核心系统或数据时,金库模式去强化管理。以“关键操作、多人完成、多人制衡”为原则,从技术上保证一个人不可能独自完成高敏感操作。
此外,还包括基于4A构建安全封闭的工作环境,如涉及敏感数据,员工只能查看,不能下载,防止敏感数据被随意拷贝、实现文档溯源等。
当然,这些还不够,以下要说的包括身份安全管理的新趋势,以及站在用户视角考虑身份管理等。
好的身份安全管理需有好的体验
身份安全管理发展到今天,实际上已经发生了诸多外部环境的变化,就拿网上银行举例,通常大额转账或交易时,银行一般要求用户采用U盾证书的方式去验证身份,虽然体验差一些,但保障了极高的安全性。但随着移动化普及,这种身份验证的方式又该如何进行呢?银行机构尽管推出了手机Ukey,但实际情况也是很少有用户随身带着手机Ukey,所以实用性和体验性较差。
加之如今的很多手机已经取消耳机孔,未来很可能还将取消充电口实现无线充电,又该如何进行身份验证?所以,好的身份验证一定需要有好的体验,其他应用场景也亦如此。
基于此,吴冬指出,亚信安全也正在向新一代身份认证安全去演进。例如利用机器学习能力从幕后去强化身份安全。他举例,基于机器学习的身份威胁分析,亚信安全曾帮助某企业发现疑似违规行为13万多起,找到疑似“内鬼”260余人。对外部来讲,亚信安全也致力于利用机器学习能力提升用户的身份认证体验。
“我们希望给用户提供一个既高安全,又有非常高体验的身份认证平台,在用户登录时,尽量少给用户带来麻烦。”吴冬说,比如一客一策,当用户登录或交易时,去判断当时所处的风险状况,提供不一样的身份认证手段。
此外,亚信安全推出的新一代身份认证安全方案,通过把公司所具备的众多身份认证能力进行整合,形同统一的身份管理平台,例如生物识别管理平台、认证策略管理平台、认证服务监控等。
面向未来的物联网身份安全管理
在即将到来的物联网时代,亚信安全也正在构建物联网时代的身份安全蓝图。因为届时人的因素包括内部员工、合作伙伴、消费者,以及物和环境(私有云、公有云)等关系将会变得愈加复杂,所以进行身份管理和认证也将会变得更加复杂。
在亚信安全的身份安全蓝图中,已经进行了诸多构想和规划:
一是友好一致的使用体验:消除身份孤岛和烟囱,为人、设备、物提供一致的使用体验。
二是统一的智能化的身份管控:面向人、设备、物,统一的认证、访问、策略管理和控制平台,智能化的身份判别、权限控制与行为控制。
三是海量级的性能扩展性:高性能、高可用、面向复杂关系管理的数据存储;
四是跨平台的部署和运行:包括私有云、公有云等多种环境。
吴冬强调,亚信安全将在物联网身份安全、身份信用与防欺诈、用户与实体行为智能分析等领域不断研究和创新。