統(tǒng)一用戶身份和認證管理(用戶帳號數(shù)據(jù)治理)解決方案
從近年來的網(wǎng)絡安全和防護技術的發(fā)展可以看到這樣一個趨勢,網(wǎng)絡安全已經(jīng)從單點、靜態(tài)防御機制轉移到了包括更廣泛的身份安全和持續(xù)的動態(tài)監(jiān)控,通過大數(shù)據(jù)、人工智能技術,利用用戶身份上下文,實現(xiàn)實時或者準實時的自適應不同場景,從而做出有效的決策。隨著時間的推移,越來越多的企業(yè)痛苦的發(fā)現(xiàn),相對于外部威脅,因內(nèi)部安全管理不規(guī)范而造成安全風險越來越高,其中由于內(nèi)部脆弱性引發(fā)的事件占比越來越大,用戶身份和訪問控制的管理已經(jīng)成為信息安全的關鍵。
什么是統(tǒng)一用戶身份和認證管理
身份和認證管理意即身份識別與訪問管理(Identity and Access Management,簡稱IAM或者4A)。目的是讓正確的人或物出于正確的理由,在正確的時間、正確的地點通過正確的方式獲取到正確的信息,提供了集中的數(shù)字身份管理、認證、授權、審計的模式和平臺。IAM全面建立和維護信息系統(tǒng)用戶的數(shù)字身份并提供有效、安全訪問的業(yè)務流程和管理手段,從而實現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認證、授權和身份數(shù)據(jù)集中管理與審計。
用戶身份治理發(fā)展歷程
近幾年來用戶身份和認證管理的概念越來越熱,在各種場合下不斷地被提起,在各種網(wǎng)絡安全的架構中作為基礎安全組成部分得到了前所未有的重視。尤其是2017年6月1日《中華人民共和國網(wǎng)絡安全法》正式實施,把網(wǎng)絡安全工作以法律形式提高到了國家安全戰(zhàn)略的高度,并將網(wǎng)絡安全等級保護制度上升為法律,成為維護國家網(wǎng)絡空間主權、安全和發(fā)展利益的重要舉措?!毒W(wǎng)絡安全法》第二十四條明確規(guī)定了網(wǎng)絡服務提供者對注冊用戶實名制的要求;第四十二條明確規(guī)定網(wǎng)絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。2019年5月13日,網(wǎng)絡安全等級保護制度2.0標準正式發(fā)布,在2019年12月1日將正式實施。等級保護制度2.0明確要求等保三級及以上系統(tǒng)用戶身份鑒別必須采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。
這一切都說明了用戶身份和認證管理在今天的網(wǎng)絡安全管理中成為不可或缺的重要組成部分。其實用戶身份和認證管理的發(fā)展也經(jīng)過相當長時間的發(fā)展。根據(jù)諾蘭信息發(fā)展模型,可以將信息系統(tǒng)用戶身份和認證管理大致劃分為如下無序階段、集成階段和管理階段。
在無序擴張階段,系統(tǒng)各自為政,互不關聯(lián),存在一個個的信息孤島,用戶需要記住多個用戶名和密碼,為便于記憶,弱密碼大量存在,認證安全沒有規(guī)范要求,存在極大的安全隱患。
隨著信息系統(tǒng)的爆炸式發(fā)展,單位內(nèi)部的信息系統(tǒng)越來越多,企業(yè)意識到了存在的弊端,從用戶便利性的角度提出了統(tǒng)一賬號和單點登錄的解決方案。在實現(xiàn)上單純從技術角度出發(fā),以方便用戶使用為目標,不考慮系統(tǒng)安全、賬號管理策略等因素,仍然是不安全的。
近幾年,由于信息技術的不斷發(fā)展,安全形勢不斷變化,信息安全在各個層面都受到高度重視,提高到了國家戰(zhàn)略層面,國家及行業(yè)不斷出臺相關法律法規(guī)對企業(yè)事業(yè)單位的信息安全建設進行規(guī)劃和指導。在治理過程中,人們逐漸意識到信息安全最主要的因素還是人,對系統(tǒng)賬號的數(shù)據(jù)和訪問控制進行有效管理是保障信息安全的基本條件,而用戶身份治理和訪問控制管理理所當然成為最重要的安全基礎平臺。
企業(yè)用戶和訪問控制管理面臨挑戰(zhàn)和解決思路
隨著信息化大潮的發(fā)展,各種信息系統(tǒng)的種類和數(shù)量不斷增加,在業(yè)務處理便利的同時,也給用戶帳號安全管理帶來了新的問題,主要包括:
1)各應用系統(tǒng)賬號管理分散,缺少統(tǒng)一的管理機制,命名規(guī)則和密碼策略要求不一,用戶需要記住多個應用賬號和密碼;
2)員工真實身份和應用賬號沒有對應關系,多人共用同一賬號或一人在同一個系統(tǒng)中有多個賬號的現(xiàn)象大量存在,無法定位責任人;
3)在員工轉崗、離職時無法提供有效的手段及時更新或者撤銷授權信息,存在大量無主賬號;
4)應用系統(tǒng)認證各自獨立,沒有統(tǒng)一認證策略,沒有建立安全的單點登錄機制;
5)采用傳統(tǒng)的賬號與口令認證方式,安全強度低;
6)授權管理和訪問控制缺少完整性、真實性、抗抵賴性等安全信任保障;
7)沒有集中的用戶身份和賬號管理視圖,無法展現(xiàn)企業(yè)信息系統(tǒng)用戶和應用賬號全貌;
8)沒有標準、統(tǒng)一的記錄用戶認證和訪問日志規(guī)范,無法集中的展現(xiàn)、跟蹤和分析用戶訪問行為;
9)沒有標準、規(guī)范的用戶和應用賬號操作記錄,不能確定為什么用戶具有當前的權限,不清楚用戶信息在何時被誰修改過。
在這種情況下,企業(yè)網(wǎng)絡安全很難得到保障,出現(xiàn)問題之后也難以確定問題來源,無法及時反應。
今天網(wǎng)絡安全形勢已經(jīng)發(fā)生了很大的變化,攻擊不再僅僅是單個黑客行為,更多的是有組織、有預謀的團隊協(xié)作行為,攻擊入侵企業(yè)內(nèi)部服務器,并植入惡意軟件長期潛伏,搜集更多漏洞信息,伺機加以利用。一旦開始發(fā)動攻擊,有可能導致企業(yè)或組織信譽破產(chǎn),甚至政府垮臺,造成嚴重的社會影響。
在當前網(wǎng)絡安全形勢下,傳統(tǒng)的邊界圍墻式被動防護手段如防火墻、IPS、IDS等安全設備以及防惡意軟件已經(jīng)過時,不能提供可靠安全的環(huán)境。隨著時間推移,越來越多的組織痛苦的發(fā)現(xiàn),相對于外部威脅,因組織內(nèi)部安全管理不規(guī)范而造成安全風險越來越高。據(jù)統(tǒng)計,在近三年各類安全事件中,由于內(nèi)部脆弱性引發(fā)的事件占比越來越大,人的因素已經(jīng)成為網(wǎng)絡安全的關鍵,而其中用戶和認證管理成為重災區(qū)。IBM發(fā)行的《2016網(wǎng)絡安全情報索引》中指出,大約60%的數(shù)據(jù)泄露是內(nèi)部員工導致。當然,其中75%是惡意的,25%是無意的。企業(yè)管理者終于意識到只有建立在有效管理用戶身份和認證策略的基礎上,才能發(fā)揮各種安全設備和軟件的能力,建立主動防御的城墻,保障網(wǎng)絡環(huán)境的安全,在企業(yè)內(nèi)部實施基于實名制的用戶身份和訪問控制管理勢在必行。
用戶身份和認證管理系統(tǒng)基本功能設計
當前市場上的身份識別與訪問管理產(chǎn)品非常多,有國際大廠也有國內(nèi)公司的產(chǎn)品在同臺競技,哪一款適合自己呢?這需要根據(jù)企業(yè)的情況具體分析,如用戶量、企業(yè)類型以及準備管理的對象等。
一般的說來,在國內(nèi)銷售的產(chǎn)品首先需要滿足國家安全標準要求和業(yè)界安全規(guī)范,這是必要前提。在此基礎上,可根據(jù)企業(yè)自身情況,用戶量、部署要求、管理對象等進行篩選。
從目前市場普遍的反應來看,從早期實現(xiàn)單點登錄基本需求逐漸向高安全性發(fā)展,相關法律法規(guī)以及企業(yè)自身的安全需求越來高,相關需求主要集中的如下幾點:
建立基于實名制的統(tǒng)一權威的用戶身份數(shù)據(jù)源,實現(xiàn)用戶全生命周期管理,消除賬號分散管理、沒有統(tǒng)一身份管理策略和強密碼策略的風險;
1)建立集中、高強度的安全認證中心,以統(tǒng)一的安全認證策略和技術保障用戶認證安全;
2)建立應用接入規(guī)范和標準,支持當前主流的認證協(xié)議和認證技術,支持異構應用集成;
3)建立或者接入現(xiàn)有審計平臺,提供事后追溯甚至事中監(jiān)測、報警乃至阻斷的能力;
4)除此之外,客戶還希望身份管理產(chǎn)品應具備一定的靈活配置和擴展能力,能夠和第三方身份、認證、審計平臺進行整合,便于降低實施成本。
綜合以上要求,一個典型的IAM產(chǎn)品需具備如下功能:
1)用戶全生命周期管理
2)統(tǒng)一身份供應策略
3)強密碼策略
4)應用接入管理
5)認證管理
6)審計報表管理
身份管理系統(tǒng)實現(xiàn)用戶全生命周期管理服務,并為管理員和個人用戶提供不同權限的管理視圖。
統(tǒng)一認證為企業(yè)應用和用戶提供集中的訪問入口,實現(xiàn)高強度的多因素認證技術保障應用認證安全。
統(tǒng)一接入提供應用賬號和認證集成服務,以數(shù)據(jù)同步接口與企業(yè)應用系統(tǒng)的集成,實現(xiàn)單位HR人員數(shù)據(jù)到身份管理系統(tǒng)的同步,以及與集成應用系統(tǒng)的賬號同步,包括廣泛使用的AD、SAP系統(tǒng)。為集成應用系統(tǒng)提供用戶訪問的統(tǒng)一接入、聯(lián)邦認證和單點登錄服務。
系統(tǒng)應對用戶、應用、應用賬號的登錄、單點以及管理等操作進行集中的日志記錄,提供基本的安全審計和常用報表功能。根據(jù)用戶需要可以將日志轉發(fā)第三方處理或者進行定制化開發(fā)實現(xiàn)更多功能。
當前云部署、容器部署已經(jīng)成為企業(yè)首選,所以產(chǎn)品應支持采用云技術實現(xiàn)系統(tǒng)模塊的部署,通過云架構的特點為用戶和應用提供更健壯的不間斷服務能力。以云的基礎服務為平臺,形成企業(yè)身份和認證管理的服務平臺。
我們產(chǎn)品提供集中的用戶和賬號管理平臺,建立統(tǒng)一的用戶身份管理流程,基于用戶實名制,提供全局統(tǒng)一且唯一用戶賬號,一個用戶身份對應唯一的用戶賬號,用戶賬號與應用賬號建立映射關系,確定應用賬號責任人,一人一個賬號,便于用戶記憶,提升使用體驗。
我們產(chǎn)品可以將HR系統(tǒng)或者其他系統(tǒng)作為權威用戶數(shù)據(jù)源進行整合,根據(jù)員工入職、崗位變動、離職、退休等事件驅動用戶賬號狀態(tài)的變化,用戶賬號的狀態(tài)變化又驅動應用賬號隨之聯(lián)動變化。比如:用戶崗位變化之后,其所屬的應用賬號根據(jù)策略自動進行狀態(tài)調(diào)整,如果用戶退休則將用戶賬號禁用,其所屬應用賬號也將隨之禁用。
提供全局統(tǒng)一的強密碼策略,具有一定的強度,要求大小寫英文字母、數(shù)字、特殊符號等的組合,必須定期修改,且不能和前N次密碼歷史相同。擴展開來,密碼策略還應該基于用戶的角色、所屬組織及具備的屬性等條件進行靈活設置,實現(xiàn)不同場景條件下的個性化需求。
密碼強度舉例說明【數(shù)字越小強度越高】
-
密碼策略強度級別1:密碼有效期3個月,密碼歷史10次
-
密碼策略強度級別2:密碼有效期3個月,密碼歷史5次
-
密碼策略強度級別3:密碼有效期6個月,密碼歷史5次
從企業(yè)管理的角度出發(fā),我們提供了應用集成注冊管理,通過人機交互界面實現(xiàn)了應用的注冊、修改、禁用、啟用、刪除等功能,簡化應用集成管理工作,提高應用管理工作效率。
提供統(tǒng)一的認證策略和多因素認證技術,并實現(xiàn)集成應用間的單點登錄,為用戶提供了便利的系統(tǒng)訪問模式,增強了系統(tǒng)安全性。
傳統(tǒng)的靜態(tài)口令認證存在多種安全隱患,應結合強認證技術實現(xiàn)多因素認證技術加強用戶對系統(tǒng)訪問認證的安全防護,確保用戶登錄的可信性。根據(jù)認證安全三要素:所知、所有、獨有的條件來看,傳統(tǒng)的用戶名密碼為所知,數(shù)字證書、動態(tài)口令為所有,而指紋、虹膜等生物特征則是用戶所獨有的,這三個要素的靈活結合就實現(xiàn)了雙因素/多因素(2FA/MFA)認證。
主流多因素認證技術包括數(shù)字證書、動態(tài)口令、生物認證等,今天移動互聯(lián)網(wǎng)的發(fā)展使得移動設備的認證能力得到大幅提升,如二維碼、圖案、生物識別等都可以利用移動設備提供。
根據(jù)應用系統(tǒng)的安全等級保護要求,我們可以提供多種強認證方式組合滿足不同的認證級別要求,為不同安全要求的應用提供多種層次和安全要求的認證方式。
4.5.1審計報表管理
將用戶認證、單點登錄、自助服務操作、管理員賬號操作以及用戶狀態(tài)變化自動產(chǎn)生的日志集中存儲并提供統(tǒng)一的展示視圖。
基于多維度、多視角的個性化需求,系統(tǒng)提供對用戶賬號、組織機構、集成應用、應用賬號、系統(tǒng)角色等多種數(shù)據(jù)展示報表,可以根據(jù)需要自定義展示。
解決方案收益
今天很多國家的法律法規(guī)都要求企業(yè)關注并強制實現(xiàn)身份管理,中國要遵循《中華人民共和國網(wǎng)絡安全法》和《網(wǎng)絡安全等級保護基本要求》,在美國上市的公司要遵循《薩班斯-奧克斯利法案》,歐洲有《通用數(shù)據(jù)保護條例》(GDPR),這些法律法規(guī)對信息系統(tǒng)安全和用戶訪問控制要求得越來越嚴格,我們能幫助企業(yè)符合這些規(guī)定。
自動化的策略管理有助于企業(yè)IT部門擺脫一些重要但卻單調(diào)繁瑣的工作,從而將人力投入到更加重要工作崗位上。在今天網(wǎng)絡安全人才緊缺的現(xiàn)實情況下,可以大幅提升運營效率并降低運營成本。
在基于安全的前提下,對公司的信息系統(tǒng)進行整合,實現(xiàn)單一身份、安全認證和單點登錄,消除信息孤島,增強辦公協(xié)同,從而提供更好的用戶訪問和操作體驗,提升用戶和員工滿意度。
我們是企業(yè)網(wǎng)絡安全的重要基礎平臺,得到良好定義和嚴格執(zhí)行的身份供應策略、訪問控制策略可以為其他安全系統(tǒng)、設備提供安全可靠的身份和鑒權服務,這意味著更好的用戶訪問控制,降低了內(nèi)部和外部數(shù)據(jù)泄露的風險。
本文介紹的用戶身份和訪問控制管理解決方案可以為適用于包括工業(yè)企業(yè)、醫(yī)療、金融、教育等各行各業(yè)的大中小型企業(yè)和組織。從管理角度出發(fā),制定統(tǒng)一的用戶身份管理和認證管理規(guī)范方法,以實現(xiàn)網(wǎng)絡安全目標及相關合規(guī)需求;在技術方面實現(xiàn)用戶身份管理策略,提供以實名制為基礎的唯一ID、應用賬號基于策略的自動化/半自動化供應機制、主流認證協(xié)議支持、多因素認證技術以及審計管理等,為企業(yè)安全提供準確有效的基礎信息。