可信身份安全防護體系的建立

史曉婧 朱曉璐

摘要 隨著移動互聯網、云計算、大數據和物聯網等數字化技術的深入應用，各行業在快速發展的同時，海量數據已成為內部信息泄露、外部黑客攻擊的重要渠道。同時對各系統的開發和信息的融合有更高要求，企業需要打通信息孤島，融合各方數據為精準決策提供相應的數據依據。面對新的安全形勢，傳統的防范手段正在逐漸實效，信息安全的新邊界應是“人的身份”，建立可信身份安全防護體系將是企業數字化轉型，實現業務可持續運轉的重要基石。

【關鍵詞】身份安全 訪問控制 數據安全 權限管理

1 信息安全新形勢

隨著網絡邊界的不斷擴延，企業、金融機構、政府等組織的信息安全發展方向正由以設備為核心的防護體系建設向以人為核心的可信身份安全治理體系轉變。曾經企業只需要進行防火墻、IDS/IPS等安全設備的投資，就能實現對非法入侵的防范。但現如今，企業的業務正在快速發展，伴隨各種數字化技術的深入應用，企業積極開展數字化轉型，實現業務的數字化，越來越多的業務應用都從本地走向云端，但是如果不能保障數字應用的安全性，轉型的效果必定會受影響。

現今，企業的關注點大多在外部威脅或漏洞，但對于企業內部的安全狀況并沒有進行全面的評估。因為企業認為內網是相對安全的，殊不知企業內部有一個關鍵的漏洞，那就是擁有合法操作權限的內部員工，他們可以在權限范圍內做一些非法的操作，給企業帶來名譽的影響和金錢的損失。而且如果沒有嚴格的行為審計系統，內部人員的違規操作和越權訪問行為都不會被記錄下來，最終無法追溯其責任。

信息安全的防護體系，包括防護對象和防護邊界都應跟隨業務的變化而進行轉變，企業的業務從內網-》外網-》互聯網-》移動互聯網-》生態圈，防護對象不再僅限于對系統的防病毒、防漏洞、防攻擊，而是應加大對“人”的防范，將人的身份作為新的防護邊界，為企業建立更完善的安全治理體系。

2 如何建立可信身份安全體系

針對內憂外患的安全問題，企業到底應如何建立以人為核心要素的身份安全防護體系來為企業的信息資產保駕護航？這其實是一個需要技術、管理和業務流程三位一體，互相配合才能達到最佳實踐的命題。如圖1所示。

第一步：企業需要梳理現有信息資產，像所有人員、應用、賬號和角色信息，包括內部人員、供應商、外包用戶和外部客戶等各類型用戶，應用系統按內部、外部、本地、云端、核心業務系統、管理系統等類別進行分類。通過一個自動化的工具，將企業中所有賬號信息全部查找出來，并將其和具體自然人對應，通過一張清晰的視圖，可以看到什么人在什么系統有哪些賬號、角色和權限。

第二步：對資產的重要程度進行等級劃分，對敏感數據進行分類;

第三步：制定訪問控制策略，對不同類型的用戶需要實施不同的賬號開通和回收權限，對所有員工實施最小權限原則，當員工入職后，只為他開通一般管理系統的權限，業務系統的權限須通過主管審批之后才為他開通。對安全級別高的系統，須設置多因素訪問控制策略，提高其安全訪問的系數。

第四步：通過一個統一的平臺來做所有應用系統權限的授權，而不是像傳統的方式，在各個業務系統自行授權，分配權限，統一授權便于企業做合規審計和責任追溯。2018年5月歐盟發布GDPR，該條例非常嚴苛，其中有一條明確要求組織在數據泄露的72小時內上報。如果沒有相應的技術手段支撐，組織將無法確切了解哪些數據被何人在何時訪問，這對證明組織的合規性至關重要。

3 三位一體閉環管理

有了技術平臺的支撐，如果缺乏管理流程上的優化，身份安全防護體系仍難形成閉環。以下分別從技術、管理和流程三個層面來談身份安全體系的建立。

3.1 技術平臺

實現統一身份管理首先需要匯聚所有人員、所用應用系統的用戶信息.所以平臺需對外提供一套標準的數據同步接口和認證接口供其他系統調用，數據同步接口將各應用系統的數據同步到統一的平臺上，從原來的數據分散走向數據集中，保障數據的質量。考慮到對接應用系統的類型可能是Java，C#，.net等等，所以對該同步接口的適配性要求很高。從理論上說，這個接口應該要做到雙向同步，既要滿足從統一身份管理平臺到應用系統的同步，也需滿足從應用系統到統一平臺的同步。為保證數據同步的安全，所有業務數據屬性定義中標記為加密的敏感屬性，其屬性值均需配置為加密后才能傳遞。

認證接口是提供給各應用系統做統一認證，應用系統的登錄入口應改為統一認證中心。認證接口須保證對標準認證協議的兼容，例如SAML，OAuth，OpenID，FIDO等，接口支持多因子認證，增強安全性，防止非授權訪問。同時支持跨域聯邦認證，為不同域的用戶建立互信關系，實現雙向認證。為保證認證接口的安全性必須設置先登錄認證并獲取Token后，才能調用。

除了技術平臺，實施工藝是影響整個項目實施質量的關鍵因素。因為平臺需要打通各應用系統的用戶、權限數據，各系統的類型、接口、數據格式等可能都不一致，所以實施人員需要對業務場景非常了解，對于不同系統要能快速確定集成架構，是采用代理、代填還是接口對接。對于集團企業，是采用總一分部署，還是分布式部署，這都需要對項目有深刻理解以及需求有準確把握。

3.2 管理機制

統一身份管理的模式其實是對傳統管理機制的顛覆，尤其對于集團企業，采用統一集中的管理方式將減少資源的浪費，通過在集團部署一套統一的平臺管理用戶信息，在下屬分公司只需部署認證模塊即可實現用戶的統一認證，也減輕了集團上下的運維工作量。最重要的是便于加強集團對下屬公司的管理，可在集團設立一個可視化看板，隨時監控全集團的訪問行為異常，為決策提供依據。

3.3 流程優化

企業最關注的是經營效益的提升，這就決定了企業信息安全管理必須由運維走向運營，由成本中心走向利潤中心，通過優化流程來提升業務的敏捷性，將能自動化的流程盡可能自動化，例如身份權限的開通和回收，保證人員在入職的第一時間能拿到賬號權限開始工作，同時避免人為的疏漏導致離職人員賬號權限的未及時回收導致的安全后門。

4 小結

建立以“人”為安全邊界的身份安全防護體系是企業做信息安全整體規劃的基礎，只有筑牢身份安全防線，對“人”的身份和行為進行嚴格管控，才能保障業務安全、高效地運轉。同時技術驅動管理創新，以平臺為基礎，搭載相應的管理機制和流程優化，引領企業的信息安全管理從被動防護走向主動感知，應用大數據技術和安全技術相結合實現內部防護和外部防御能力的提升。

參考文獻

[1]丁永善.基于FIDO協議的多認證模式統一框架關鍵技術研究[D].戰略支援部隊信息工程大學，2018.