史曉婧 朱曉璐

摘要 隨著移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和物聯(lián)網(wǎng)等數(shù)字化技術(shù)的深入應(yīng)用，各行業(yè)在快速發(fā)展的同時(shí)，海量數(shù)據(jù)已成為內(nèi)部信息泄露、外部黑客攻擊的重要渠道。同時(shí)對(duì)各系統(tǒng)的開發(fā)和信息的融合有更高要求，企業(yè)需要打通信息孤島，融合各方數(shù)據(jù)為精準(zhǔn)決策提供相應(yīng)的數(shù)據(jù)依據(jù)。面對(duì)新的安全形勢(shì)，傳統(tǒng)的防范手段正在逐漸實(shí)效，信息安全的新邊界應(yīng)是“人的身份”，建立可信身份安全防護(hù)體系將是企業(yè)數(shù)字化轉(zhuǎn)型，實(shí)現(xiàn)業(yè)務(wù)可持續(xù)運(yùn)轉(zhuǎn)的重要基石。

【關(guān)鍵詞】身份安全 訪問控制 數(shù)據(jù)安全 權(quán)限管理

1 信息安全新形勢(shì)

隨著網(wǎng)絡(luò)邊界的不斷擴(kuò)延，企業(yè)、金融機(jī)構(gòu)、政府等組織的信息安全發(fā)展方向正由以設(shè)備為核心的防護(hù)體系建設(shè)向以人為核心的可信身份安全治理體系轉(zhuǎn)變。曾經(jīng)企業(yè)只需要進(jìn)行防火墻、IDS/IPS等安全設(shè)備的投資，就能實(shí)現(xiàn)對(duì)非法入侵的防范。但現(xiàn)如今，企業(yè)的業(yè)務(wù)正在快速發(fā)展，伴隨各種數(shù)字化技術(shù)的深入應(yīng)用，企業(yè)積極開展數(shù)字化轉(zhuǎn)型，實(shí)現(xiàn)業(yè)務(wù)的數(shù)字化，越來越多的業(yè)務(wù)應(yīng)用都從本地走向云端，但是如果不能保障數(shù)字應(yīng)用的安全性，轉(zhuǎn)型的效果必定會(huì)受影響。

現(xiàn)今，企業(yè)的關(guān)注點(diǎn)大多在外部威脅或漏洞，但對(duì)于企業(yè)內(nèi)部的安全狀況并沒有進(jìn)行全面的評(píng)估。因?yàn)槠髽I(yè)認(rèn)為內(nèi)網(wǎng)是相對(duì)安全的，殊不知企業(yè)內(nèi)部有一個(gè)關(guān)鍵的漏洞，那就是擁有合法操作權(quán)限的內(nèi)部員工，他們可以在權(quán)限范圍內(nèi)做一些非法的操作，給企業(yè)帶來名譽(yù)的影響和金錢的損失。而且如果沒有嚴(yán)格的行為審計(jì)系統(tǒng)，內(nèi)部人員的違規(guī)操作和越權(quán)訪問行為都不會(huì)被記錄下來，最終無法追溯其責(zé)任。

信息安全的防護(hù)體系，包括防護(hù)對(duì)象和防護(hù)邊界都應(yīng)跟隨業(yè)務(wù)的變化而進(jìn)行轉(zhuǎn)變，企業(yè)的業(yè)務(wù)從內(nèi)網(wǎng)-》外網(wǎng)-》互聯(lián)網(wǎng)-》移動(dòng)互聯(lián)網(wǎng)-》生態(tài)圈，防護(hù)對(duì)象不再僅限于對(duì)系統(tǒng)的防病毒、防漏洞、防攻擊，而是應(yīng)加大對(duì)“人”的防范，將人的身份作為新的防護(hù)邊界，為企業(yè)建立更完善的安全治理體系。

2 如何建立可信身份安全體系

針對(duì)內(nèi)憂外患的安全問題，企業(yè)到底應(yīng)如何建立以人為核心要素的身份安全防護(hù)體系來為企業(yè)的信息資產(chǎn)保駕護(hù)航？這其實(shí)是一個(gè)需要技術(shù)、管理和業(yè)務(wù)流程三位一體，互相配合才能達(dá)到最佳實(shí)踐的命題。如圖1所示。

第一步：企業(yè)需要梳理現(xiàn)有信息資產(chǎn)，像所有人員、應(yīng)用、賬號(hào)和角色信息，包括內(nèi)部人員、供應(yīng)商、外包用戶和外部客戶等各類型用戶，應(yīng)用系統(tǒng)按內(nèi)部、外部、本地、云端、核心業(yè)務(wù)系統(tǒng)、管理系統(tǒng)等類別進(jìn)行分類。通過一個(gè)自動(dòng)化的工具，將企業(yè)中所有賬號(hào)信息全部查找出來，并將其和具體自然人對(duì)應(yīng)，通過一張清晰的視圖，可以看到什么人在什么系統(tǒng)有哪些賬號(hào)、角色和權(quán)限。

第二步：對(duì)資產(chǎn)的重要程度進(jìn)行等級(jí)劃分，對(duì)敏感數(shù)據(jù)進(jìn)行分類;

第三步：制定訪問控制策略，對(duì)不同類型的用戶需要實(shí)施不同的賬號(hào)開通和回收權(quán)限，對(duì)所有員工實(shí)施最小權(quán)限原則，當(dāng)員工入職后，只為他開通一般管理系統(tǒng)的權(quán)限，業(yè)務(wù)系統(tǒng)的權(quán)限須通過主管審批之后才為他開通。對(duì)安全級(jí)別高的系統(tǒng)，須設(shè)置多因素訪問控制策略，提高其安全訪問的系數(shù)。

第四步：通過一個(gè)統(tǒng)一的平臺(tái)來做所有應(yīng)用系統(tǒng)權(quán)限的授權(quán)，而不是像傳統(tǒng)的方式，在各個(gè)業(yè)務(wù)系統(tǒng)自行授權(quán)，分配權(quán)限，統(tǒng)一授權(quán)便于企業(yè)做合規(guī)審計(jì)和責(zé)任追溯。2018年5月歐盟發(fā)布GDPR，該條例非常嚴(yán)苛，其中有一條明確要求組織在數(shù)據(jù)泄露的72小時(shí)內(nèi)上報(bào)。如果沒有相應(yīng)的技術(shù)手段支撐，組織將無法確切了解哪些數(shù)據(jù)被何人在何時(shí)訪問，這對(duì)證明組織的合規(guī)性至關(guān)重要。

3 三位一體閉環(huán)管理

有了技術(shù)平臺(tái)的支撐，如果缺乏管理流程上的優(yōu)化，身份安全防護(hù)體系仍難形成閉環(huán)。以下分別從技術(shù)、管理和流程三個(gè)層面來談身份安全體系的建立。

3.1 技術(shù)平臺(tái)

實(shí)現(xiàn)統(tǒng)一身份管理首先需要匯聚所有人員、所用應(yīng)用系統(tǒng)的用戶信息.所以平臺(tái)需對(duì)外提供一套標(biāo)準(zhǔn)的數(shù)據(jù)同步接口和認(rèn)證接口供其他系統(tǒng)調(diào)用，數(shù)據(jù)同步接口將各應(yīng)用系統(tǒng)的數(shù)據(jù)同步到統(tǒng)一的平臺(tái)上，從原來的數(shù)據(jù)分散走向數(shù)據(jù)集中，保障數(shù)據(jù)的質(zhì)量?？紤]到對(duì)接應(yīng)用系統(tǒng)的類型可能是Java，C#，.net等等，所以對(duì)該同步接口的適配性要求很高。從理論上說，這個(gè)接口應(yīng)該要做到雙向同步，既要滿足從統(tǒng)一身份管理平臺(tái)到應(yīng)用系統(tǒng)的同步，也需滿足從應(yīng)用系統(tǒng)到統(tǒng)一平臺(tái)的同步。為保證數(shù)據(jù)同步的安全，所有業(yè)務(wù)數(shù)據(jù)屬性定義中標(biāo)記為加密的敏感屬性，其屬性值均需配置為加密后才能傳遞。

認(rèn)證接口是提供給各應(yīng)用系統(tǒng)做統(tǒng)一認(rèn)證，應(yīng)用系統(tǒng)的登錄入口應(yīng)改為統(tǒng)一認(rèn)證中心。認(rèn)證接口須保證對(duì)標(biāo)準(zhǔn)認(rèn)證協(xié)議的兼容，例如SAML，OAuth，OpenID，F(xiàn)IDO等，接口支持多因子認(rèn)證，增強(qiáng)安全性，防止非授權(quán)訪問。同時(shí)支持跨域聯(lián)邦認(rèn)證，為不同域的用戶建立互信關(guān)系，實(shí)現(xiàn)雙向認(rèn)證。為保證認(rèn)證接口的安全性必須設(shè)置先登錄認(rèn)證并獲取Token后，才能調(diào)用。

除了技術(shù)平臺(tái)，實(shí)施工藝是影響整個(gè)項(xiàng)目實(shí)施質(zhì)量的關(guān)鍵因素。因?yàn)槠脚_(tái)需要打通各應(yīng)用系統(tǒng)的用戶、權(quán)限數(shù)據(jù)，各系統(tǒng)的類型、接口、數(shù)據(jù)格式等可能都不一致，所以實(shí)施人員需要對(duì)業(yè)務(wù)場景非常了解，對(duì)于不同系統(tǒng)要能快速確定集成架構(gòu)，是采用代理、代填還是接口對(duì)接。對(duì)于集團(tuán)企業(yè)，是采用總一分部署，還是分布式部署，這都需要對(duì)項(xiàng)目有深刻理解以及需求有準(zhǔn)確把握。

3.2 管理機(jī)制

統(tǒng)一身份管理的模式其實(shí)是對(duì)傳統(tǒng)管理機(jī)制的顛覆，尤其對(duì)于集團(tuán)企業(yè)，采用統(tǒng)一集中的管理方式將減少資源的浪費(fèi)，通過在集團(tuán)部署一套統(tǒng)一的平臺(tái)管理用戶信息，在下屬分公司只需部署認(rèn)證模塊即可實(shí)現(xiàn)用戶的統(tǒng)一認(rèn)證，也減輕了集團(tuán)上下的運(yùn)維工作量。最重要的是便于加強(qiáng)集團(tuán)對(duì)下屬公司的管理，可在集團(tuán)設(shè)立一個(gè)可視化看板，隨時(shí)監(jiān)控全集團(tuán)的訪問行為異常，為決策提供依據(jù)。

3.3 流程優(yōu)化

企業(yè)最關(guān)注的是經(jīng)營效益的提升，這就決定了企業(yè)信息安全管理必須由運(yùn)維走向運(yùn)營，由成本中心走向利潤中心，通過優(yōu)化流程來提升業(yè)務(wù)的敏捷性，將能自動(dòng)化的流程盡可能自動(dòng)化，例如身份權(quán)限的開通和回收，保證人員在入職的第一時(shí)間能拿到賬號(hào)權(quán)限開始工作，同時(shí)避免人為的疏漏導(dǎo)致離職人員賬號(hào)權(quán)限的未及時(shí)回收導(dǎo)致的安全后門。

4 小結(jié)

建立以“人”為安全邊界的身份安全防護(hù)體系是企業(yè)做信息安全整體規(guī)劃的基礎(chǔ)，只有筑牢身份安全防線，對(duì)“人”的身份和行為進(jìn)行嚴(yán)格管控，才能保障業(yè)務(wù)安全、高效地運(yùn)轉(zhuǎn)。同時(shí)技術(shù)驅(qū)動(dòng)管理創(chuàng)新，以平臺(tái)為基礎(chǔ)，搭載相應(yīng)的管理機(jī)制和流程優(yōu)化，引領(lǐng)企業(yè)的信息安全管理從被動(dòng)防護(hù)走向主動(dòng)感知，應(yīng)用大數(shù)據(jù)技術(shù)和安全技術(shù)相結(jié)合實(shí)現(xiàn)內(nèi)部防護(hù)和外部防御能力的提升。

參考文獻(xiàn)

[1]丁永善.基于FIDO協(xié)議的多認(rèn)證模式統(tǒng)一框架關(guān)鍵技術(shù)研究[D].戰(zhàn)略支援部隊(duì)信息工程大學(xué)，2018.