史晓婧 朱晓璐

摘要 随着移动互联网、云计算、大数据和物联网等数字化技术的深入应用，各行业在快速发展的同时，海量数据已成为内部信息泄露、外部黑客攻击的重要渠道。同时对各系统的开发和信息的融合有更高要求，企业需要打通信息孤岛，融合各方数据为精准决策提供相应的数据依据。面对新的安全形势，传统的防范手段正在逐渐实效，信息安全的新边界应是“人的身份”，建立可信身份安全防护体系将是企业数字化转型，实现业务可持续运转的重要基石。

【关键词】身份安全 访问控制 数据安全 权限管理

1 信息安全新形势

随着网络边界的不断扩延，企业、金融机构、政府等组织的信息安全发展方向正由以设备为核心的防护体系建设向以人为核心的可信身份安全治理体系转变。曾经企业只需要进行防火墙、IDS/IPS等安全设备的投资，就能实现对非法入侵的防范。但现如今，企业的业务正在快速发展，伴随各种数字化技术的深入应用，企业积极开展数字化转型，实现业务的数字化，越来越多的业务应用都从本地走向云端，但是如果不能保障数字应用的安全性，转型的效果必定会受影响。

现今，企业的关注点大多在外部威胁或漏洞，但对于企业内部的安全状况并没有进行全面的评估。因为企业认为内网是相对安全的，殊不知企业内部有一个关键的漏洞，那就是拥有合法操作权限的内部员工，他们可以在权限范围内做一些非法的操作，给企业带来名誉的影响和金钱的损失。而且如果没有严格的行为审计系统，内部人员的违规操作和越权访问行为都不会被记录下来，最终无法追溯其责任。

信息安全的防护体系，包括防护对象和防护边界都应跟随业务的变化而进行转变，企业的业务从内网-》外网-》互联网-》移动互联网-》生态圈，防护对象不再仅限于对系统的防病毒、防漏洞、防攻击，而是应加大对“人”的防范，将人的身份作为新的防护边界，为企业建立更完善的安全治理体系。

2 如何建立可信身份安全体系

针对内忧外患的安全问题，企业到底应如何建立以人为核心要素的身份安全防护体系来为企业的信息资产保驾护航？这其实是一个需要技术、管理和业务流程三位一体，互相配合才能达到最佳实践的命题。如图1所示。

第一步：企业需要梳理现有信息资产，像所有人员、应用、账号和角色信息，包括内部人员、供应商、外包用户和外部客户等各类型用户，应用系统按内部、外部、本地、云端、核心业务系统、管理系统等类别进行分类。通过一个自动化的工具，将企业中所有账号信息全部查找出来，并将其和具体自然人对应，通过一张清晰的视图，可以看到什么人在什么系统有哪些账号、角色和权限。

第二步：对资产的重要程度进行等级划分，对敏感数据进行分类;

第三步：制定访问控制策略，对不同类型的用户需要实施不同的账号开通和回收权限，对所有员工实施最小权限原则，当员工入职后，只为他开通一般管理系统的权限，业务系统的权限须通过主管审批之后才为他开通。对安全级别高的系统，须设置多因素访问控制策略，提高其安全访问的系数。

第四步：通过一个统一的平台来做所有应用系统权限的授权，而不是像传统的方式，在各个业务系统自行授权，分配权限，统一授权便于企业做合规审计和责任追溯。2018年5月欧盟发布GDPR，该条例非常严苛，其中有一条明确要求组织在数据泄露的72小时内上报。如果没有相应的技术手段支撑，组织将无法确切了解哪些数据被何人在何时访问，这对证明组织的合规性至关重要。

3 三位一体闭环管理

有了技术平台的支撑，如果缺乏管理流程上的优化，身份安全防护体系仍难形成闭环。以下分別从技术、管理和流程三个层面来谈身份安全体系的建立。

3.1 技术平台

实现统一身份管理首先需要汇聚所有人员、所用应用系统的用户信息.所以平台需对外提供一套标准的数据同步接口和认证接口供其他系统调用，数据同步接口将各应用系统的数据同步到统一的平台上，从原来的数据分散走向数据集中，保障数据的质量。考虑到对接应用系统的类型可能是Java，C#，.net等等，所以对该同步接口的适配性要求很高。从理论上说，这个接口应该要做到双向同步，既要满足从统一身份管理平台到应用系统的同步，也需满足从应用系统到统一平台的同步。为保证数据同步的安全，所有业务数据属性定义中标记为加密的敏感属性，其属性值均需配置为加密后才能传递。

认证接口是提供给各应用系统做统一认证，应用系统的登录入口应改为统一认证中心。认证接口须保证对标准认证协议的兼容，例如SAML，OAuth，OpenID，FIDO等，接口支持多因子认证，增强安全性，防止非授权访问。同时支持跨域联邦认证，为不同域的用户建立互信关系，实现双向认证。为保证认证接口的安全性必须设置先登录认证并获取Token后，才能调用。

除了技术平台，实施工艺是影响整个项目实施质量的关键因素。因为平台需要打通各应用系统的用户、权限数据，各系统的类型、接口、数据格式等可能都不一致，所以实施人员需要对业务场景非常了解，对于不同系统要能快速确定集成架构，是采用代理、代填还是接口对接。对于集团企业，是采用总一分部署，还是分布式部署，这都需要对项目有深刻理解以及需求有准确把握。

3.2 管理机制

统一身份管理的模式其实是对传统管理机制的颠覆，尤其对于集团企业，采用统一集中的管理方式将减少资源的浪费，通过在集团部署一套统一的平台管理用户信息，在下属分公司只需部署认证模块即可实现用户的统一认证，也减轻了集团上下的运维工作量。最重要的是便于加强集团对下属公司的管理，可在集团设立一个可视化看板，随时监控全集团的访问行为异常，为决策提供依据。

3.3 流程优化

企业最关注的是经营效益的提升，这就决定了企业信息安全管理必须由运维走向运营，由成本中心走向利润中心，通过优化流程来提升业务的敏捷性，将能自动化的流程尽可能自动化，例如身份权限的开通和回收，保证人员在入职的第一时间能拿到账号权限开始工作，同时避免人为的疏漏导致离职人员账号权限的未及时回收导致的安全后门。

4 小结

建立以“人”为安全边界的身份安全防护体系是企业做信息安全整体规划的基础，只有筑牢身份安全防线，对“人”的身份和行为进行严格管控，才能保障业务安全、高效地运转。同时技术驱动管理创新，以平台为基础，搭载相应的管理机制和流程优化，引领企业的信息安全管理从被动防护走向主动感知，应用大数据技术和安全技术相结合实现内部防护和外部防御能力的提升。

参考文献

[1]丁永善.基于FIDO协议的多认证模式统一框架关键技术研究[D].战略支援部队信息工程大学，2018.