在网络安全中,身份管理和访问控制(IAM)在对于访问对象的管理和信息传递的联系中起着至关重要的作用。身份管理与访问控制不仅要管理身份信息错误风险,还要保障在存储、处理乃至其他环节的机密性、完整性以及可用性。
根据Cybersecurity Ventures预测,到2021年,网络犯罪造成的损失将从2015年的3万亿美元增加到每年6万亿美元。除外部攻击外,内部人员的“参与”将进一步增加事件发生的可能性和影响程度,如赋予员工或承包商超过其职责所需的访问权限时,容易产生敏感数据泄露的风险。正因如此,组织对于身份的识别和管理控制的重视程度连年提升。一套健全的身份管理和访问控制体系是利用保障组织中用户访问策略以提升企业对于信息资产保护、解决组织内管理身份权限的需要,包括组织应对国内外合规等各类网络安全需求。
IAM是一个策略与技术的框架集合,用以确保组织中成员能够在合适地访问相应地信息资源,主要为:1)用户身份鉴别2)凭证3)公钥基础设施4)授权5)访问控制。总而言之,身份管理与访问控制体系的部署和实施,不仅能节省企业成本,提升用户体验,起到承担合规管理工具的任务。因此,它能清晰的描述企业内部风险,有效帮助企业灵活调整用户权限,检测、预防并控制内外风险,以降低组织整体面临的风险。
该领域国内市场活跃性的增高,尤其是政府部门、金融业、银行业等较为显著,因为我国的信息化建设发展到一定阶段,存有稳健增长发展的基础,国内企业和组织重视信息系统的建设吗,所以该领域得以顺应发展。其二,不论是欧盟GDPR,或是网络安全等级保护2.0标准体系的颁布,无不推动了身份管理与访问控制行业的发展。
本报告主要探讨和研究国内身份管理与访问控制的发展情况,分析国内企业和组织的需求,推进该领域的落地实施和高效发展,提出组织在实施中的难点和常见解决方案。
1.安全挑战
常见的身份管理和访问控制的安全挑战,大多因为数据位于不同的位置和业务部门,因此组织难以审查身份、批准访问请求。访问权限寻求的过程中所遇到的一定程度上的阻碍,导致请求者跨越适当审核过程直接上报给高层管理人员。负责审核的人员对于请求发起者和申请访问内容缺乏洞察力,无法准确定位哪些员工需要访问机密数据。
挑战主要包括对于身份管理,用户缺少集中性的身份数据库;系统特权的分发超过或者低于原本授予的访问权限。对于访问控制,认证时审查员对获取需求的知识不同,更不用讲业务部门之间的流程往往是手动的,难以进行标准化,审查人员需进行多次重复和细致的验证;当手动配置无效时,这些预配置和预定标示之间会产生矛盾;无法删除的不适当的IAM特权或者无法克隆访问配置文件,如果无法分工并监察管理员、高级用户和临时访问权限,可能会阻碍规则执行。其他问题包括缺乏对集中式访问管理解决方案的支持,例如目录和单点登录,过时或不存在的访问管理策略以及无法建立基于规则的访问。
组织机构中身份管理与访问控制的常见问题有:
1)各应用系统账号管理分散,缺少统一的管理机制;
2)共用账号、无主账号现象大量存在,无法定位责任人;
3)应用系统认证各自独立,没有统一认证策略,没有建立安全的单点登录机制;
4)采用传统的账号与口令认证方式,安全强度低;
5)授权管理和访问控制缺少完整性、真实性、抗抵赖性等安全信任保障;
6)无法满足企业进行集中身份与访问过程记录与审计需要。
然而,在组织中由于特权身份管理带来的挑战有:
1)管理帐户凭据:许多IT组织依靠人工密集型且易于出错的管理流程来轮换和更新特权凭据。这可能是一种低效且昂贵的方法。
2)跟踪特权活动:许多企业无法集中监视和控制特权会话,从而使企业面临网络安全威胁和合规性违规行为。
3)监视和分析威胁:许多组织缺乏全面的威胁分析工具,无法主动识别可疑活动并补救安全事件。
4)控制特权用户访问:组织经常难以有效地控制特权用户对云平台(基础架构即服务和平台即服务)、软件即服务(SaaS)应用程序、社交媒体等的访问,从而造成合规性风险和运营复杂性。
5)保护Windows域控制器:网络攻击者可以利用Kerberos身份验证协议中的漏洞来模拟授权用户并获得对关键IT资源和机密数据的访问权限。
2.安全威胁
保护用户身份及权限可信,企业的关键业务均大量地采用计算机系统和网络技术,因此企业基于 IT 环境的业务系统越来越多、越来越庞大,除了传统的服务中断、黑客攻击,也带来了新的威胁和风险,如未经授权的访问、访问权限混乱、授权管理复杂等,进一步突出了信息安全的重要性,这就要求采取适当的管理措施和技术手段确保权限授予的合理性和合规性,企业面临的具体存在的问题与风险如:安全风险、数据泄露、管控风险造成大面积企业内部信息泄露、合规审计难以支撑等安全威胁。
3.客户需求分析
1)账户无分类:内部用户、外包用户、应用账号、 公共账号、系统账号等分级机制没 有建立,无法统一进行管控;用户无统一账号,分散账号体系, 用户体验较差。
2)认证无分级:无论访问者、被访问资料是否机密,均使用相同等级的认证,没有针对场景进行相关的增强认证。
3)授权无规则:岗位对应的权限无合规限定;核心系统细粒度权限无合规检查机制 ;超越合规权限如何管理无定义。
4)密码无管理:不同系统的密码管理机制不相同;没有统一的密码标准;没有弱密码检测机制。
5)全方位审计缺乏:用户的所有访问日志,时间、 地点、服务器IP等信息,没有统一审计机制;用户信息修改,个人修改、管理员修改等没有统一审计机制。
6)定期审阅机制欠缺部门领导不会定期审阅下属员工权限;应用管理员不会定期审阅使用者权限;内部管理人员不会定期审阅外包人员权限;应用离职账号及弱密码无法自动审阅及告警,无法满足银保监定期审查要求。
随着该客户业务的迅速发展,各种系统资源和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,对系统之间的整合提出了更高的要求。对于各部门的运维帐号权限现状无从得知,管理策略和标准也无法统一,造成了运维帐号权限管理能力参差不齐,策略、流程不统一,没有统一的运维视图,全景境况模糊不清,存在安全死角和风险不容易发现的混乱现象。原有的运维帐号权限管理措施已不能满足山东广电目前及未来信息化系统发展的要求。
用户在发展中对IT产品或者系统的主要需求,或者企业在发展中遇到的IT系统阻碍业务发展的难题。目前,社会公众办理政务服务业务非常频繁,部委政务服务中的身份认证服务主要支撑两方面的业务,一是本业务的身份认证服务,涉及到业务内用户注册、用户管理、身份认证和单点登录,使得用户在本业务内能够安全的认证登录;二是跨业务系统的身份认证服务,涉及到用户在跨业务系统进行业务申办时需要进行的跨业务系统身份认证和单点登录,实现用户使用非本系统账户进行登录认证,实现真正的“单点登录,全网通办”。
随着互联网的发展,各身份认证厂商构建了种类繁多的身份认证方式,如用户名/密码、邮箱/密码、手机号/密码、证书登录、生物特征识别、手机或APP辅助登录等方式,这些方式基于不同的认证技术在不同程度上识别了登录用户的身份,然而单一的认证技术无法保证用户身份的可信,从“所知、所持、所是”三个角度来看,用户名、邮箱、手机号等登录方式均采用了“所知”这一层次的认证方式,虽然认证方式最为简洁但安全性较低,而证书登录、手机或APP辅助登录等采用了“所持”这一层次的认证方式,保证了较高的认证可信,生物特征识别作为“所是”这一层次的认证方式,能够体现最高的用户可信性,但其认证流程和认证方式较为复杂,便捷性不足。因此,构建身份认证方式时,应深入分析业务应用的安全需求,综合考虑“所知、所持、所是”三方面用户属性,寻求适当的身份认证模式,构建安全便捷的身份认证服务。
➢ 产品形态
现将参与本次调研的网络安全企业身份管理与访问控制的产品形态归纳总结如下:
➢ 功能构成
用户身份管理:
主要分为两种内部用户和外部用户,内部用户则分为HR用户和非HR用户,便于用户集中管理,其他功能委派给最终用户使用。IAM利用每天的定时任务到内部HR用户以获取当天数据并写入IAM主数据库。返回问题数据到中间表,IAM对于中间表轮询校验,直到返回值无误后写入主数据库。非HR用户创建时制定相关责任人(HR用户),责任人更新职责分配或离职时相关非HR用户也需同步变更责任人等信息来提高系统数据的准确性,保障系统安全性。外部用户通过隔离区在外网注册和使用相关服务,外部用户数据存于独立的专门库。
账号管理则是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。
单点登录(SSO):
一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一退出(single sign-off)就是指,只需要单一的退出动作,就可以结束对于多个系统的访问权限。
特权账户管理(PAM):
人是最薄弱的一环。从内部特权用户滥用其访问级别,到外部网络攻击者瞄准并窃取用户特权以作为“特权内部人员”进行隐匿操作,人类始终是网络安全链中最薄弱的环节。特权访问管理可帮助组织确保人们仅获得进行工作所需的访问级别。PAM还使安全团队能够识别与特权滥用有关的恶意活动,并迅速采取措施来补救风险。
在数字业务中,特权无处不在。系统必须能够相互访问和通信才能共同工作。随着组织采用云、DevOps、机器人流程自动化、IoT等技术,需要特权访问的机器和应用程序数量激增,攻击面也越来越大。这些非人类实体的数量远远超过典型组织中的人数,并且更难监控和管理,甚至根本无法识别。现成的商用(COTS)应用程序通常需要访问网络的各个部分,可能被攻击者所利用。强大的特权访问管理策略可在存在特权的本地、云或混合环境中处理它们,并在发生异常活动时进行检测。
网络攻击者将端点和工作站作为目标。在企业中,默认情况下,每个端点(笔记本电脑、智能手机、平板电脑、台式机、服务器等)都包含特权。内置的管理员帐户使IT团队可以在本地解决问题,但也会带来巨大的风险。攻击者可以利用管理员帐户,然后从一个工作站跳到另一个工作站窃取其他凭据、提升特权,并通过网络横向移动,直到到达所需的位置。积极主动的PAM计划应考虑完全删除工作站上的本地管理权限,以降低风险。
PAM对于实现合规性至关重要。监视和检测环境中的可疑事件的能力非常重要,但是如果没有明确关注表现出最大风险(不受管控、不受监视和不受保护的特权访问)的因素,企业将仍然易于受到攻击。在全面的安全和风险管理策略中实施PAM可使组织记录与关键IT基础架构和敏感信息有关的所有活动,从而帮助他们简化审核和合规性要求。
特权访问特指超出标准用户访问权限等特殊访问情况,特权访问能够有效保护基础设施和应用程序,有效维持业务运营并保护敏感信息不受侵害。组织实施PAM以防止凭据盗用和特权滥用所造成的威胁。PAM是指由人员、流程和技术组成的综合网络安全策略,用于控制、监视、保护和审核整个企业IT环境中所有特权身份和活动。PAM有时被称为特权身份管理或特权访问安全,其以最小权限原则为基础,即用户仅获得执行其工作职能所需的最低访问级别。最小权限原则被广泛认为是网络安全的最佳实践,并且是保护对高价值数据和资产的特权访问的基本步骤。通过执行最小权限原则,组织可以减少攻击面并降低恶意内部人士或外部网络攻击可能导致代价高昂的数据泄露的风险。
目前,市场上安全企业常见特权访问管理实施解决方案有:1)保护和控制基础架构帐户。将所有众所周知的基础架构帐户都放在一个集中管理的数字保管库中,并在每次使用后定期自动轮换密码。2)限制身份的横向访问行为3)管理更新SSH密钥。保持存储在服务器上的SSH密钥定期更换4)对于云端/组织内部定期轮换、检索管理特权账户、密钥和API密钥。
认证管理:
身份认证是信息安全的第一道防线,用以实现支撑系统对操作者身份的合法性检查。对信息统中的各种服务和应用来说,身份认证是一个基本的安全考虑。身份认证的方式可以有多种,包括静态口令方式、动态口令方式、基于公钥证书的认证方式以及基于各种生物特征的认证方式。
统一认证功能主要包括:1)多平台认证2)身份认证服务插件或SDK体系3)分级安全策略4)多因子认证4)多种认证方式兼容的认证方式
基于策略的集中式授权和审计:
将一个企业Web 应用程序中的客户、合作伙伴和员工的访问管理都集起来。因此,不需要冗余、特定于应用程序的安全逻辑。可以按用户属性、角色、组和动态组对访问权进行限制,并按位置和时间确定访问权。授权可以在文件、页面或对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。
审计是指收集、记录用户对支撑系统资源的使用情况,以便于统计用户对网络资源的访问情况,并且在出现安全事故时,可以追踪原因,追究相关人员的责任,以减少由于内部计算机用户滥用网络资源造成的安全危害。
动态授权:
授权是指对用户使用支撑系统资源的具体情况进行合理分配的技术,实现不同用户对系统不同部分资源的访问。从安全意义上,默认权限越小越好,满足基本需求即可。
基于从不同本地或外部源(包括Web服务和数据库)实时触发评估数据的安全策略,从而确定进行访问授权或拒绝访问。通过环境相关的评估,可获得更加细化的授权。例如,限制满足特定条件(最小帐户余额)的客户对特定应用程序(特定银行服务)的访问权。授权策略还可以与外部系统(例如,基于风险的安全系统)结合应用。
用户身份鉴别:
在公钥密码中,发送者用公钥加密,接受者用私钥解密。公钥一般为公开的,不必担心受到监听,解决了对称密码中密钥配送的问题。但接收者仍然无法判断公钥的合法性,无法排出中间人假冒以发起攻击。于是,需要对公钥进行签名,从而确认公钥有无被篡改。加了数字签名的公钥称为证书。PKI中的认证是一种具有一定权威性的证明身份过程。
——以下方案顺序随机排序,不分先后
亚信安全——国务院下正属部级单位:
以身份为核心的认证服务
紧抓身份关键要素,建立以身份证号等可以确定用户身份的标识信息,建立不同标识唯一性的标识序列,按次序进行身份整合,以整合身份为核心,串联不同应用系统中的用户数据,形成明确的用户身份。以此为核心,提供的统一登录验证服务可以方便地为各个应用系统提供统一认证、动态认证和增强认证,方便使用者在不同应用系统中进行跨应用操作,无需多次认证,满足政务服务“一号一窗一网”的要求。
应用管理
根据部委用户实际情况,建立应用管理机制,对每个业务应用系统建立应用标识、以区分每个应用系统,为每个应用建立相关配置数据,并为每个应用建立密钥,以便在认证时方便判断应用所需的认证要素,按动态认证原则显示所需的认证方式,完成动态认证,并及时按配置的回调地址等返回应用系统,无需每次都将回调地址等参数在URL中传递,提升系统效率。而应用密钥为加密传输的重要支撑,为通讯安全提供了有力保障
实名核验
实名核验能力是身份管理的重要支撑,没有了实名核验,所谓的用户身份只是一堆代码。实名等级也需要实名核验能力进行等级设定和验证。实名核验能力建设的关键是与权威部门或机构对接,将用户信息传递到权威部门进行核验,是对对接能力的一个考验。为保障部委外网统一登录验证系统顺利实施,将实名核验能力建设作为重点。
以用户行为核心的安全审计
安全审计是重要的环节。在系统中对以下审计做重点支持。
登录认证审计
主要为业务系统登录认证记录的审计。包括登录认证和单点登录。审计主要内容包括用户名或其他标识、用户ID、令牌、认证要素等,以及时间等其他辅助性信息。
用户身份合并记录审计:主要指部委外网统一登录验证系统对身份的合并记录。
实名核验审计:主要指部委外网统一登录验证系统进行实名核验的记录,包括核验请求的相关信息和后端核验的过程的相关信息。
场景增强认证审计:主要指业务系统发起场景增强认证的请求、场景增强认证过程与结果等相关信息。
重要场景的增强认证
动态认证用于业务系统未存在登录会话时进行登录认证。而在动态认证以外,还存在其他需要场景进行增强认证的情况,举例如下:
某重要业务场景需要保证当前操作是用户本人进行操作、而非其他人进行的操作,而此时距离登录认证已过去很长时间,无法保证此时操作的人与登录时的操作人是否为同一人。这时,业务系统需要弹出增强认证窗口,由使用者进行增强认证,保证当前操作者持有符合认证强度需要的认证凭据,用以确认当前操作者是符合业务场景所需要的权限,以满足业务系统的安全要求。
数据安全与隐私保护
亚信安全在本次项目建设中着重在系统安全、应用安全与数据安全方面,尤其是隐私数据保护等方面进行了详细设计和实现。
首先,亚信安全统一登录验证系统对于业务安全有关明确的安全要求,安全要求覆盖账号口令、验证码、异常处理、异常登录等方面。
针对不同通讯安全级别采用不同加密传输机制,减少系统开销和开发成本的同时,保障传输安全。针对统一登录验证系统中存在大量用户身份信息这一情况,采用隐私数据保护方案,对用户隐私进行有力保护,保障系统安全。
用户受益:
综述亚信安全解决方案对用户系统功能的改善与提高,给用户带来的价值提升。结合“互联网+电子政务”总体指导思想和技术架构、政务服务线上“一网通办”的主要目标,通过建设本部委外网统一登录验证系统,充分整合、集成部委外网所有政务服务系统,对所有系统的用户登录、身份验证等进行统一管理,对外满足自然人、法人等系统用户“一次登录、全网通办”,提高政务服务便捷性,对内满足各业务系统内部管理和使用人员的统一登录、认证和审计等管理,不断提升政务服务效能。
1.统一组织账号,实现单点登录
派拉软件统一身份管理产品帮助某核电集团构建统一的办公入口。为需要与统一身份认证与任务集中处理平台集成的系统制定统一的组织编码和账号管理规则,通过多应用系统有序集成,实现单点登陆、身份管理、任务管理,用户可通过统一身份认证与任务集中处理平台“我的应用”访问其他业务系统。同时,组织人员信息可实现一点调整,相关应用自动更新,无需多系统重复操作。
2.入转调离-全生命周期账号管理
1)员工入职-账号开通
在HR系统中录入人员信息后,统一身份认证与任务集中处理平台可自动为该员工开通平台账号,根据开通策略,部分通用业务系统账号自动开通,并可在系统中自动同步组织人员信息,无需多系统重复操作;
2)员工调/转岗-账号变更
正式员工调动必须由HR在系统中进行调整,至相应系统IT管理员进行相应权限开通关闭操作,权限调整响应及时;
3)员工离职/退休-账号清权
员工离开工作岗位后,管理员通过统一身份认证与任务集中处理平台可一键停用账号,并对该账号所关联的所有系统进行清权操作,无需多系统后台重复清权,有效规避离职员工的账号风险;
除此之外,还可进行账号限时权限管理,例如正式员工兼职时,兼职账号到期时系统可自动回收权限;同时,统一身份认证与任务集中处理平台也与ERP结合,更好的管理聘用工的信息维护和权限开通;也可全面掌控承包商在核电的服务状态,以便给与相应授权和应对措施。
3.统一身份授权,强化权限管控
1)用户权限查询
统一身份认证与任务集中处理平台通过ESB调用下游应用系统的权限接口服务,用户或管理员可在统一身份认证与任务集中处理平台中查询自己具体的应用权限。
2)用户权限申请
用户若想申请相应系统权限,需通过统一身份认证与任务集中处理平台提交权限申请审批流程,审批通过后申请人方可获得相应系统权限,不再允许系统管理员私自在后台进行授权操作。
3)多点授权
系统可分配多级别的管理员,各级别的管理员的权限应可灵活分配。通过数据同步的功能将用户从账号信息同步到应用系统后,由应用系统完成用户在应用系统中的权限管理(细粒度授权)。
4)一点清权
由于采用了集中的管控方式,当用户离职时,管理员可以通过一点对用户在所有业务系统中的账号进行删除,实现“一点清权”,防止孤儿账号的存在,保证了系统的安全性。
在实现用户集中管理时,统一用户管理系统通过已有的适配器与用户数据进行连接,并实现用户的增加、修改、删除和回收等操作。
用户价值:建立标准规范,统一任务管理,提升业务效率
1)“身份主数据”,标准化规范化
建立了一套标准化规范,包括组织和用户集成的标准化规范、单点登录的集成标准和待办集成的标准化规范,并根据项目需要,整理了公司组织和账号的标准数据库。组织和人员信息管理是安全管理中一个重要的组成部分,通过人员身份管理,可以及时有效了解系统中的账户情况,从而消除由于人员所带来的安全隐患。
企业内的员工来源于SAP HR系统,通过SAP PI发布的ESB平台的订阅服务,统一身份管理系统定时增量通过订阅的服务进行人员及组织信息同步。对于没有业务系统支撑的通过管理员录入的方式进行处理。
企业员工可以代理外部人员申请相关应用系统的权限,可及时了解外部人员的账号状态及授权。除了AD、TDS采用直接通过LDAP协议连接的方式,其他集成都将通过ESB平台实现。
数据同步有详细的日志记录,便于查看同步情况。当同步出错时,发出短信/邮件给管理员,提醒管路员手动处理。
2)“个人工作台”,一站式业务开展
统一身份认证与任务集中处理平台通过ESB企业服务总线实现了超强数据集成能力,通过统一身份认证与任务集中处理平台,用户无需切换应用系统,便可查看账号信息、发起业务流程、处理待办事宜、查看邮件、查看日程安排、接收通知公告等。用户也可根据自己的使用习惯,自由配置常用菜单、应用等页面。
3)“我的待办”,多系统待办消息整合展现
统一身份认证与任务集中处理平台平台全面集成下游应用系统,整合同步各系统中待办信息,形成统一的待办中心。用户可通过统一身份认证与任务集中处理平台集中处理待办事宜,同时各系统新的待办提醒也可直接推送至统一身份认证与任务集中处理平台平台。重要待办不遗漏,业务处理效率大幅提升!
4) “远程办公”,零信任防护身份和安全
先认证后连接,永不信任持续验证。远程办公的用户先通过VPN进行用户认证后连接内网后才能访问统一身份认证与任务集中处理平台,从统一身份认证与任务集中处理平台再访问下游系统,实时的重复校验用户身份和安全状态,融入多因子强认证对于风险用户进行多次认证后才能持续访问下游资源系统。
统一身份管理
建立统一身份管理平台,为集团内部员工、外包用户、外部用户等不同维度用户提供集中用户身份存储、集中用户管理、身份信息同步、统一密码策略、员工自服务等功能,实现集团统一用户、统一账号的全生命周期管理。同时梳理集团内外用户的身份管理流程,落地符合集团业务需求的统一身份管理能力。
智能融合认证
建立统一认证服务中心,提供各类应用的统一登录入口和集中导航,实现一套账号体系登录、全网通行;通过“认证链”的方式融合多种认证方式,构建统一认证服务能力,支持包括密码、证书、短信等传统认证方式,指纹、声纹、人脸等生物识别方式,AD、企业微信等第三方认证服务等,同时支持快速扩展其他认证方式。
统一权限管理
建立统一权限管理服务,实现应用系统应用级,角色级的权限集中管控。建立权限统一管理的入口,根据身份权限流程实现业务权限、系统权限的自动化赋予与回收,支持用户自助开通、变更、撤销权限等操作,确保可信的人在合理的时间访问适当的系统和数据。
智能风险控制
提供统一用户范围内的用户,账号,权限以及用户访问行为的统计和分析能力。实现基于动态策略的用户访问过程的预警及控制能力。
规范建立与应用接入
为保障集团应用的安全性以及自上而下连接与交互的贯通性,发布应用系统集成与统一用户和权限管理相关标准规范。
客户收益:
身份集中,认证便捷。提供单点登录及多种认证方式,提供对内外网用户的支持,满足集团互联网化的需求,实现实名制的全生命周期管理。统一规范,简化应用。提供标准的应用接入和接口规范,简化应用集成难度,提供多种集成手段,最大化满足企业复杂应用场景需要,自主可控,安全合规,打破国外技术壁垒,实现知识产权自主可控,满足公安部信息系统安全等级保护要求。运营感知,集中管控。实现对主要服务和应用状态的实时监控,实现对设备和应用的集中管控,提供统一报表,提升运维感知粒度,满足对上市企业合规审计的需求。
架构中各组件之间相互支撑协作:
DKEY AM:基于SSO协议(如标准OAuth2.0、SAML、CAS、OIDC及EasySSO协议等)与各业务系统对接,接管各业务系统身份认证;通过LDAP目录服务或DB中存储的用户数据和权限,并为用户提供统一认证、访问控制、授权管理及双因素认证等服务。
LDAP Server/DB数据库:是整个方案的身份信息数据中心,作为账号源负责账号的统一存储(如AD、IBM TDS等),为DKEY AM提供用户身份数据源并提供同步服务。
User Center:作为用户登录认证门户Portal的后端服务器,提供各应用系统的统一登录,为终端用户存储应用列表及提供如账号密码修改、令牌绑定等自助服务。门户Portal为终端用户提供多业务系统的SSO单点登录入口,并负责传递单点登录用户token,是统一身份认证过程中终端用户唯一能直观感知到的。
统一应用接入:宁盾身份管理通过单点登录协议与不同的业务系统对接,建立信任关系,使用户在一个应用登录后,可以访问相应的应用系统群,而无需每次访问业务系统都要使用不同的账号和密码进行一次登录。宁盾支持主流SSO标准,并提供自研EasySSO协议,降低应用对接成本,实现本地、云应用及企业自研发等所有应用系统的统一接入和认证。具体按应用自身情况以下面三类方式进行对接。
统一账号映射:宁盾身份管理可创建一个唯一一个主账号源体系,并通过姓名、手机号、邮箱、身份证号等属性与各应用之间的账号身份进行关联映射,以达到统一身份和单点登录的效果。宁盾从预先选定好的用户数据较全面的应用系统或HR系统或AD/LDAP中同步用户信息作为主账号源。再根据定义好的策略,实现与其他应用系统的用户属性字段的映射匹配,支持批量自动映射或单个映射。可同步用户分组/角色等信息,实现用户权限自动分配,从而方便对单点登录认证的授权和各应用系统权限的授权。当用户使用尚未同步至宁盾系统的账号初次登录时,宁盾会自动为该用户创建账号作为主账号源,这样在系统运行后逐步地消除零散账号,从而建立统一的用户身份信息库。
在账号源上,宁盾支持本地账号,兼容企业AD/LDAP等外部账号源,支持关联微信、钉钉等社交账号,及SAAS和公有云应用账号。
统一认证门户:单点登录Portal门户集中展示了企业所有业务系统,是最终用户访问各应用并单点登录的唯一入口。用户在门户内可以看到其有权访问的应用列表,直接点击应用图标就可实现访问。
安全认证:宁盾提供完善的双因素认证产品,帮助企业加强用户身份安全。动态密码安全认证:在单点登录过程中,通过在账号密码认证的基础上增加动态密码,形成身份认证安全加固。宁盾动态令牌支持手机令牌、企业微信/钉钉H5令牌、硬件令牌、短信令牌等多令牌形式。还可兼容第三方令牌形式(如RSA SecurID、Google Authentication等),接管第三方令牌认证,实现逐步性替换,不改变用户原有的认证习惯。企业微信(钉钉)扫码认证:通过与手机号、邮箱、企业微信账号等主账号进行关联,可实现借助企业微信或钉钉“扫一扫”来登录User Center,省去账号密码输入过程,提升BYOD等移动用户的登录认证安全。
权限管理:统一权限管理分为三个等级。一级权限管理仅实现对用户的粗粒度控制,即用户是否具有访问某应用的权限,形成用户在Portal门户的应用列表。二级权限管理基于RBAC模型(基于角色的访问控制Role-Based Access Control),身份管理系统通过向各业务系统返回用户角色,角色与权限匹配,实现中粒度权限。三级权限管理需要梳理各业务系统建立统一的权限管理策略标准,并将权限粒度精确到对象,实现细粒度权限。越高级别的权限管理,企业对应用系统的管控力度越强,但要求对应用系统的改造量越大、实施周期更长,项目风险也就越大。
在实际业务模型中,大多数统一身份认证系统能做到的,是基于用户角色/用户组的中粗粒度的权限控制。如可以授予角色为“管理员”的用户在相应的业务系统中拥有管理员权限,或设置仅在“财务”组的用户可访问那些财务部门内的应用系统。
流程引擎:企业级的工作流体系,往往需要跨越多个服务器或业务系统。流程引擎(如BPM、OA)连接各业务系统,根据业务逻辑定义工作流流程,并负责驱动流程流动和控制流动路径。
负载均衡与高可用:宁盾利用Heartbeat/Keepalive服务为DKEY AM认证服务进行高可用部署。DKEY AM之间通过主从复制方式进行数据的实时同步。在正常情况下,当主机出现异常时,服务ip自动切换到备机进行工作,对业务不产生影响。User Center提供无状态服务,本身不存储任何关键业务信息,利用负载均衡器实现系统负载均衡。
客户价值:
整合认证:不论企业总部还是分支,所有终端用户访问各业务系统,统一通过Portal门户来进入。用户操作平台(User Center)向身份认证平台(DKEY AM)发送认证请求。身份认证平台(DKEY AM)调取LDAP服务器/DB数据库中存储的身份信息并进行验证。仅一次身份验证通过后,用户即可访问所有业务系统,而不需要切换到每个业务系统中做多次重复验证。
身份信息存储:借助LDAP或DB数据库存储用户身份信息,形成身份信息库,包含了用户基本信息(如工号、姓名、性别等)、用户类型(如员工、代理商、外包等)、职能信息(如岗位、部门、职级等)、属性信息(如身份证号、家庭地址等)、认证信息(如账号密码等)、授权信息(如角色、分组等)。企业一般采用身份信息库的工号/用户ID等作为用户的唯一身份标识,映射到各应用系统中。
账号生命周期管理:借助流程引擎,如BPM(Business Process Manager业务流程管理)或OA(Office Automation办公自动化),连接HR及其他各业务系统,为不同类型的用户(如员工、外包、供应商等)自定义账号创建、审批等业务流,形成与企业自身业务相匹配的生命周期管理流程。当有新人员进入时,企业为其在HR系统中新增一条身份数据,这时针对该用户的账号生命周期管理流程启动。流程引擎在探测到该数据后,驱动LDAP或类似服务创建对应账号并存储在用户身份信息库中。然后各业务系统根据流程引擎的预定义,以用户的唯一身份标识来创建各自的账号。同理,流程引擎探测到该用户的身份信息发生变更,会驱动各业务系统自动/半自动同步更新。
安全认证:身份认证(Authentication)是对用户身份进行认证的过程,以判断出该用户是否可以访问或使用某些系统资源。身份认证在整个信息安全中占据着很重要的位置,是其他安全机制的基础。SSO门户作为用户访问所有业务系统的唯一入口,一个账号打通所有应用,账号安全的重要性可想而知。再加之为适应包括供应商、外包、合作伙伴、员工移动办公等多类型人员的访问需求,SSO门户通常直接暴露至公网,账号密码泄露、破解风险时刻存在。为使用户身份得到更高的安全性,在用户输入账号密码登录门户时,通常会借助双因素认证技术,额外增加一层认证因子,如动态口令令牌、扫二维码等。动态口令双因素认证,通过为用户提供随机的数字密码来二次验证用户身份,该密码随着时间自动变化,具有唯一性,从而加固了用户账户安全。
随着某省政务服务网不断拓展完善,特别是市民个人网页、企业专属网页等应用逐步建立,办事人在网上办理过程中存在着:多处注册,账户信息难以管理;多处登录,操作繁琐;持有多家CA证书,办事成本高等问题,因此,建设“以用户为中心”的政府服务需求十分迫切,某省政务服务网通过数字认证统一身份认证管理系统搭建全省自然人和法人的统一身份认证体系,解决以上问题:
主要建设内容如下:
(一)构建全省统一身份认证平台门户
对全省用户的普通账户和CA账号提供网上办事业务统一身份认证平台门户,为各省直部门、地市部门业务系统提供身份认证入口的统一管理,配置、维护和管理多种身份认证方式,形成人员和应用统一入口、统一管理,支持对省网办大厅本地普通账户认证和多CA交叉认证,支持建行、工行网银U盾登录,支持微警认证、政务服务APP扫码登录、中国政务服务平台账号等第三方信任源登录方式。
(二)构建全省普通账户信息注册及认证管理体系
通过集中统一的用户管理,解决各个信息系统之间基本用户信息共享,实现互联互通,减少管理的重复性。针对全省网办大厅普通用户进行完善的用户信息管理,对用户进行集中管理和分级认证管理,提供多种用户实名认证模式,包括现场窗口认证,CA证书、银行U盾、等第三方验证方式。
(三)构建全省网办大厅多CA数字证书交叉认证机制
构建全省网上办事业务多CA交叉认证服务体系,结合省数字证书交叉认证平台、省信息中心本地CA信息管理、省直部门交叉认证平台等对CA 账户进行多CA交叉认证服务,整合现有资源,打破条块分割,实现逻辑上集中、物理上分布、应用上透明的全省多CA交叉认证应用体系,实现数字证书互联互通、“一证通用”。
(四)建立省政务服务网与各省直部门、地市部门业务系统单点登录功能,实现全省统一身份认证
通过省政务服务网与地市部门和省直部门业务系统有效对接,实现省政务服务网与地市部门、省直部门业务系统访问入口间实现平滑的系统切换,无需重复登录,实现“一个账号,全省通用;一次登录,全省通行”。
客户价值:
某省政务服务网统一身份认证平台的建设,提升了用户网上办事的体验,切实做到网上办事“以用户为中心”。省政务服务网、省直部门和地市部门业务系统按照统一规范接入统一身份认证平台,实现从省政务服务网到省直部门、地市部门业务系统的“统一认证、单点登录”。用户可通过PC端、移动端、自助终端等渠道访问省政务服务网,在省政务网登录成功后,通过单点登录跳转至省直部门、地市部门的业务系统,无需用户重复登录,实现“一个账号,全省通用;一次登录,全省通行”,降低自然人、法人的办事成本和难度,提升全省政务服务能力与水平,实现为公众提供高效、便捷的网上办事服务。
主要围绕基于可信的身份确认过程,实现对物联网设备的可信认证以及对于操作者身份的可信确认,从而确定该用户对物联网资源是否具有 相应的访问和使用权限,进而使物联网系统的访问控制策略能够可靠、有效的执行。物联网系统的访问控制策略可应用于用户与设备、设备与设备、设备与系统/服务间的访问环节。在身份认证过程中,还可以进一步确定双方数据交互的安全防护手段,从而确保设备和系统能够安全、有效地运行,防止攻击者非法窃听、篡改交互过程中产生的数据并进一步假冒合法用户身份获得设备的操作权限,从而保证系统和数据的安全以及合法用户的利益。
省政务服务网统一身份认证平台建设系统架构图
主要建设内容如下:
(一)构建全省统一身份认证平台门户
对全省用户的普通账户和CA账号提供网上办事业务统一身份认证平台门户,为各省直部门、地市部门业务系统提供身份认证入口的统一管理,配置、维护和管理多种身份认证方式,形成人员和应用统一入口、统一管理,支持对省网办大厅本地普通账户认证和多CA交叉认证,支持建行、工行网银U盾登录,支持微警认证、政务服务APP扫码登录、中国政务服务平台账号等第三方信任源登录方式。
(二)构建全省普通账户信息注册及认证管理体系
通过集中统一的用户管理,解决各个信息系统之间基本用户信息共享,实现互联互通,减少管理的重复性。针对全省网办大厅普通用户进行完善的用户信息管理,对用户进行集中管理和分级认证管理,提供多种用户实名认证模式,包括现场窗口认证,CA证书、银行U盾、等第三方验证方式。
(三)构建全省网办大厅多CA数字证书交叉认证机制
构建全省网上办事业务多CA交叉认证服务体系,结合省数字证书交叉认证平台、省信息中心本地CA信息管理、省直部门交叉认证平台等对CA 账户进行多CA交叉认证服务,整合现有资源,打破条块分割,实现逻辑上集中、物理上分布、应用上透明的全省多CA交叉认证应用体系,实现数字证书互联互通、“一证通用”。
(四)建立省政务服务网与各省直部门、地市部门业务系统单点登录功能,实现全省统一身份认证
通过省政务服务网与地市部门和省直部门业务系统有效对接,实现省政务服务网与地市部门、省直部门业务系统访问入口间实现平滑的系统切换,无需重复登录,实现“一个账号,全省通用;一次登录,全省通行”。
客户价值:
某省政务服务网统一身份认证平台的建设,提升了用户网上办事的体验,切实做到网上办事“以用户为中心”。省政务服务网、省直部门和地市部门业务系统按照统一规范接入统一身份认证平台,实现从省政务服务网到省直部门、地市部门业务系统的“统一认证、单点登录”。用户可通过PC端、移动端、自助终端等渠道访问省政务服务网,在省政务网登录成功后,通过单点登录跳转至省直部门、地市部门的业务系统,无需用户重复登录,实现“一个账号,全省通用;一次登录,全省通行”,降低自然人、法人的办事成本和难度,提升全省政务服务能力与水平,实现为公众提供高效、便捷的网上办事服务。
主要围绕基于可信的身份确认过程,实现对物联网设备的可信认证以及对于操作者身份的可信确认,从而确定该用户对物联网资源是否具有 相应的访问和使用权限,进而使物联网系统的访问控制策略能够可靠、有效的执行。物联网系统的访问控制策略可应用于用户与设备、设备与设备、设备与系统/服务间的访问环节。在身份认证过程中,还可以进一步确定双方数据交互的安全防护手段,从而确保设备和系统能够安全、有效地运行,防止攻击者非法窃听、篡改交互过程中产生的数据并进一步假冒合法用户身份获得设备的操作权限,从而保证系统和数据的安全以及合法用户的利益。
物联网身份认证整体架构
面向物联网用户的可信身份认证和管理:
主要包括在用户身份认证注册、身份认证以及身份认证注销等环节中,都应能够使用有效的技术手段确认该用户的身份及其是否具备相应的权限完成对物联网的操作请求。需要注意的是,因为物联网应用场景的多样性,实际过程中对于用户进行身份认证的方案有多种。根据在认证环节中是否需要连接身份认证服务器,可大体分为离线认证模式和在线认证模式。
离线认证模式:
该模式下,用户的身份认证凭据一般是存储在物联网设备中(比如用户设置的口令或者录入的生物特征)或者存储在用户所持有的一个Token 中,这样在认证过程中,可以无需连接位于云端的身份认证服务器即可完成认证。
与之相对应是,在身份认证注册环节,一般是用户在提供了身份证实材料并审核通过后,即可在物联网设备上直接设置身份认证凭据,或者是通过身份认证服务器对物联网设备进行安全配置更新;在身份认证环节中,用户直接操作物联网设备或者通过物联网控制设备与物联网设备进行交互,提供认证凭据实现对用户的身份认证;在身份认证注销环节中,相对应的是在物联网设备上直接删除跟该用户相关的身份认证凭据,或者是通过身份认证服务器对设备进行安全配置更新。
在线认证模式:
在该模式的认证过程中,需要连接到位于云端的身份认证服务器来完成对用户的身份认证。IFAA 此前在移动智能终端上制定的本地免密解决方案和远程人脸认证解决方案,即是这种结合了身份认证服务器实现的在线认证方案。事实上,移动智能终端在物联网中也是一种非常重要的物联网控制设备,IFAA 本地免密解决方案和远程人脸认证解决方案也可以应用于物联网身份认证领域中。差异点在于,在通过物联网控制设备完成对用户的在线身份认证后,还需要将这种认证结果通过可信的方式传递给设备本身。
数据集中导致安全风险增加
大数据中心的建设实现了数据的集中存储与融合,促进了数据统一管理和价值挖掘;但同时大数据的集中意味着风险的集中,数据更容易成为被攻击的目标。
基于边界的安全措施难以应对高级安全威胁
现有安全防护技术手段大多基于传统的网络边界防御方式,假定处于网络内的设备和用户都被信任,这种传统架构缺乏对访问用户的持续认证和授权控制,无法有效应对愈演愈烈的内部和外部威胁。
静态的访问控制规则难以应对数据动态流动场景
大数据中心在满足不同的用户访问需求时,将面临各种复杂的安全问题:访问请求可能来自于不同的部门或者组织外部人员,难以确保其身份可信;访问人员可能随时随地在不同的终端设备上发起访问,难以有效保障访问终端的设备可信;访问过程中,难以有效度量访问过程中可能发生的风险行为并进行持续信任评估,并根据信任程度动态调整访问权限。如上安全挑战难以通过现有的静态安全措施和访问控制策略来缓解。
图:大数据中心安全场景
为应对上述安全挑战,基于零信任架构构建安全接入区,在用户、外部应用和大数据中心应用、服务之间构建动态可信访问控制机制,确保用户访问应用、服务之间API调用的安全可信,保障大数据中心的数据资产安全。
解决方案:
梳理核心资产访问路径,构建虚拟身份边界
奇安信零信任安全解决方案应用于某部委的整体安全规划与建设之中,在新建大数据共享业务平台的场景下,访问场景和人员复杂,数据敏感度高。基于零信任架构设计,数据子网不再暴露物理网络边界,建设跨网安全访问控制区隐藏业务应用和数据。解决方案通过构建零信任安全接入区,所有用户接入、终端接入、API调用都通过安全接入区访问内部业务系统,同时实现了内外部人员对于部委内部应用以及外部应用或数据服务平台对于部委数据中心API服务的安全接入,并且可根据访问主体实现细粒度的访问授权,在访问过程中,可基于用户环境的风险状态进行动态授权调整,以持续保障数据访问的安全性。
图:奇安信零信任安全解决方案部署图
客户收益:
目前奇安信零信任安全解决方案在某部委大数据中心已经大规模稳定运行超过半年,通过零信任安全接入区,覆盖应用达到60多个,用户终端超过1万,每天的应用访问次数超过200万次,每天的数据流量超过600G,有效保证了相关大型组织对大数据中心的安全。奇安信零信任安全解决方案,能够帮助客户实现终端的环境感知、业务的访问控制与动态授权与鉴权,确保业务安全访问,最终实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构,构建组织的“内生安全”能力,极大地收缩暴露面,有效缓解外部攻击和内部威胁,为数字化转型奠定安全根基。
✧ 零信任爆发增长趋势。其架构的应用是大势所趋,势必将成为网络安全的新战略,身份认证与访问产品将越发广泛地在零信任架构的框架下进行发展与升级。目前外网办公、分公司访问子公司资源、家庭办公、出差等,都对传统的以防火墙物理边界作为安全边界的策略提出了挑战,对于资源的访问控制不应该依赖于网络边界的保护,在这种条件下如何持续的对用户身份进行认证和访问控制成了零信任策略的关键问题,而解决这种关键问题的基础就是完善的IAM系统,只有完善的IAM系统才能够从全局实现对资源的持续认证与访问控制。
✧ 身份管理与访问控制(IAM)产品会随着业务场景的不断变化和技术更新迭代,IAM技术经历了由点到面,由单一功能模块到全面数字身份治理体系的演进过程。从SSO发展到4A,再发展壮大直至现在的IAM,以及由IAM延伸的IGA(Identity Governance and Administration)、IDaaS(Identity-As-A-Service)、CIAM(Consumer IAM)等,业务范围从内网到外网,从线下到云端、移动端、IoT等领域。
✧ 未来身份认证产品迈向身份治理(IGA)阶段,包含权限合规治理、职责分离、身份数据的智能分析和审计,该阶段强调的是管理和安全,与此同时需满足日益严苛的合规监管以及对法律法律(网络安全法、等保2.0、SOX、GDPR)的遵从。任何人对应用的访问、对数据的访问、对设备的访问都应该围绕着身份来展开。围绕着这个理念把全域的管控隐私的保护按零信任的体系有机结合。
✧ EIAM企业内部人员对统一认证的需求增强。目前企业的信息化程度越来越高,一些大型企业主要的业务流程完全信息化,但这些系统相互独立,都有各自的一套账号,导致人员的入职、转岗、离职等信息变更繁琐,难以保证信息的一致性。同时,由于人员标识不一致,难以从全局对人员进行访问控制及审计,带来一些安全风险。
✧ CIAM公众用户统一认证的需求增强。无论是互联网+政务、还是向公众提供服务的某些特定领域,一般都是由多个信息系统组成,因此,需要构建统一认证身份平台,整合各个服务、整合各信息系统身份体系,实现统一身份管理。
✧ 随着5G、IoT技术的深入应用,IAM产品将为人物、物物互联提供身份安全管理的功能。IAM平台未来将以一种高度流动的方式工作,因为需要大量调用第三方服务来验证信息的正确性,技术架构需是轻量级、松耦合,基于微服务架构,实现IAM能力的全面微服务化,快速地和IT基础设施以及其他应用进行融合。目前通过去中心化的技术比如区块链来解决设备之间的互信问题已 经成为行业内的热点方向,还有更多的新技术需要探索。
✧ 为提升智能识别用户异常访问行为的能力,IAM从基于静态规则和策略的安全管理模式走向动态的自适应风控体系,实时感知用户访问过程中的安全环境变化,动态调整安全控制策略,并持续评估应用、用户、数据流的安全性和风险状态,为数字身份安全提供智能化防御。
信息泄漏了不要慌,学了网安就能嚣张