统一用户身份和认证管理(用户帐号数据治理)解决方案
从近年来的网络安全和防护技术的发展可以看到这样一个趋势,网络安全已经从单点、静态防御机制转移到了包括更广泛的身份安全和持续的动态监控,通过大数据、人工智能技术,利用用户身份上下文,实现实时或者准实时的自适应不同场景,从而做出有效的决策。随着时间的推移,越来越多的企业痛苦的发现,相对于外部威胁,因内部安全管理不规范而造成安全风险越来越高,其中由于内部脆弱性引发的事件占比越来越大,用户身份和访问控制的管理已经成为信息安全的关键。
什么是统一用户身份和认证管理
身份和认证管理意即身份识别与访问管理(Identity and Access Management,简称IAM或者4A)。目的是让正确的人或物出于正确的理由,在正确的时间、正确的地点通过正确的方式获取到正确的信息,提供了集中的数字身份管理、认证、授权、审计的模式和平台。IAM全面建立和维护信息系统用户的数字身份并提供有效、安全访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。
用户身份治理发展历程
近几年来用户身份和认证管理的概念越来越热,在各种场合下不断地被提起,在各种网络安全的架构中作为基础安全组成部分得到了前所未有的重视。尤其是2017年6月1日《中华人民共和国网络安全法》正式实施,把网络安全工作以法律形式提高到了国家安全战略的高度,并将网络安全等级保护制度上升为法律,成为维护国家网络空间主权、安全和发展利益的重要举措。《网络安全法》第二十四条明确规定了网络服务提供者对注册用户实名制的要求;第四十二条明确规定网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。2019年5月13日,网络安全等级保护制度2.0标准正式发布,在2019年12月1日将正式实施。等级保护制度2.0明确要求等保三级及以上系统用户身份鉴别必须采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
这一切都说明了用户身份和认证管理在今天的网络安全管理中成为不可或缺的重要组成部分。其实用户身份和认证管理的发展也经过相当长时间的发展。根据诺兰信息发展模型,可以将信息系统用户身份和认证管理大致划分为如下无序阶段、集成阶段和管理阶段。
在无序扩张阶段,系统各自为政,互不关联,存在一个个的信息孤岛,用户需要记住多个用户名和密码,为便于记忆,弱密码大量存在,认证安全没有规范要求,存在极大的安全隐患。
随着信息系统的爆炸式发展,单位内部的信息系统越来越多,企业意识到了存在的弊端,从用户便利性的角度提出了统一账号和单点登录的解决方案。在实现上单纯从技术角度出发,以方便用户使用为目标,不考虑系统安全、账号管理策略等因素,仍然是不安全的。
近几年,由于信息技术的不断发展,安全形势不断变化,信息安全在各个层面都受到高度重视,提高到了国家战略层面,国家及行业不断出台相关法律法规对企业事业单位的信息安全建设进行规划和指导。在治理过程中,人们逐渐意识到信息安全最主要的因素还是人,对系统账号的数据和访问控制进行有效管理是保障信息安全的基本条件,而用户身份治理和访问控制管理理所当然成为最重要的安全基础平台。
企业用户和访问控制管理面临挑战和解决思路
随着信息化大潮的发展,各种信息系统的种类和数量不断增加,在业务处理便利的同时,也给用户帐号安全管理带来了新的问题,主要包括:
1)各应用系统账号管理分散,缺少统一的管理机制,命名规则和密码策略要求不一,用户需要记住多个应用账号和密码;
2)员工真实身份和应用账号没有对应关系,多人共用同一账号或一人在同一个系统中有多个账号的现象大量存在,无法定位责任人;
3)在员工转岗、离职时无法提供有效的手段及时更新或者撤销授权信息,存在大量无主账号;
4)应用系统认证各自独立,没有统一认证策略,没有建立安全的单点登录机制;
5)采用传统的账号与口令认证方式,安全强度低;
6)授权管理和访问控制缺少完整性、真实性、抗抵赖性等安全信任保障;
7)没有集中的用户身份和账号管理视图,无法展现企业信息系统用户和应用账号全貌;
8)没有标准、统一的记录用户认证和访问日志规范,无法集中的展现、跟踪和分析用户访问行为;
9)没有标准、规范的用户和应用账号操作记录,不能确定为什么用户具有当前的权限,不清楚用户信息在何时被谁修改过。
在这种情况下,企业网络安全很难得到保障,出现问题之后也难以确定问题来源,无法及时反应。
今天网络安全形势已经发生了很大的变化,攻击不再仅仅是单个黑客行为,更多的是有组织、有预谋的团队协作行为,攻击入侵企业内部服务器,并植入恶意软件长期潜伏,搜集更多漏洞信息,伺机加以利用。一旦开始发动攻击,有可能导致企业或组织信誉破产,甚至政府垮台,造成严重的社会影响。
在当前网络安全形势下,传统的边界围墙式被动防护手段如防火墙、IPS、IDS等安全设备以及防恶意软件已经过时,不能提供可靠安全的环境。随着时间推移,越来越多的组织痛苦的发现,相对于外部威胁,因组织内部安全管理不规范而造成安全风险越来越高。据统计,在近三年各类安全事件中,由于内部脆弱性引发的事件占比越来越大,人的因素已经成为网络安全的关键,而其中用户和认证管理成为重灾区。IBM发行的《2016网络安全情报索引》中指出,大约60%的数据泄露是内部员工导致。当然,其中75%是恶意的,25%是无意的。企业管理者终于意识到只有建立在有效管理用户身份和认证策略的基础上,才能发挥各种安全设备和软件的能力,建立主动防御的城墙,保障网络环境的安全,在企业内部实施基于实名制的用户身份和访问控制管理势在必行。
用户身份和认证管理系统基本功能设计
当前市场上的身份识别与访问管理产品非常多,有国际大厂也有国内公司的产品在同台竞技,哪一款适合自己呢?这需要根据企业的情况具体分析,如用户量、企业类型以及准备管理的对象等。
一般的说来,在国内销售的产品首先需要满足国家安全标准要求和业界安全规范,这是必要前提。在此基础上,可根据企业自身情况,用户量、部署要求、管理对象等进行筛选。
从目前市场普遍的反应来看,从早期实现单点登录基本需求逐渐向高安全性发展,相关法律法规以及企业自身的安全需求越来高,相关需求主要集中的如下几点:
建立基于实名制的统一权威的用户身份数据源,实现用户全生命周期管理,消除账号分散管理、没有统一身份管理策略和强密码策略的风险;
1)建立集中、高强度的安全认证中心,以统一的安全认证策略和技术保障用户认证安全;
2)建立应用接入规范和标准,支持当前主流的认证协议和认证技术,支持异构应用集成;
3)建立或者接入现有审计平台,提供事后追溯甚至事中监测、报警乃至阻断的能力;
4)除此之外,客户还希望身份管理产品应具备一定的灵活配置和扩展能力,能够和第三方身份、认证、审计平台进行整合,便于降低实施成本。
综合以上要求,一个典型的IAM产品需具备如下功能:
1)用户全生命周期管理
2)统一身份供应策略
3)强密码策略
4)应用接入管理
5)认证管理
6)审计报表管理
身份管理系统实现用户全生命周期管理服务,并为管理员和个人用户提供不同权限的管理视图。
统一认证为企业应用和用户提供集中的访问入口,实现高强度的多因素认证技术保障应用认证安全。
统一接入提供应用账号和认证集成服务,以数据同步接口与企业应用系统的集成,实现单位HR人员数据到身份管理系统的同步,以及与集成应用系统的账号同步,包括广泛使用的AD、SAP系统。为集成应用系统提供用户访问的统一接入、联邦认证和单点登录服务。
系统应对用户、应用、应用账号的登录、单点以及管理等操作进行集中的日志记录,提供基本的安全审计和常用报表功能。根据用户需要可以将日志转发第三方处理或者进行定制化开发实现更多功能。
当前云部署、容器部署已经成为企业首选,所以产品应支持采用云技术实现系统模块的部署,通过云架构的特点为用户和应用提供更健壮的不间断服务能力。以云的基础服务为平台,形成企业身份和认证管理的服务平台。
我们产品提供集中的用户和账号管理平台,建立统一的用户身份管理流程,基于用户实名制,提供全局统一且唯一用户账号,一个用户身份对应唯一的用户账号,用户账号与应用账号建立映射关系,确定应用账号责任人,一人一个账号,便于用户记忆,提升使用体验。
我们产品可以将HR系统或者其他系统作为权威用户数据源进行整合,根据员工入职、岗位变动、离职、退休等事件驱动用户账号状态的变化,用户账号的状态变化又驱动应用账号随之联动变化。比如:用户岗位变化之后,其所属的应用账号根据策略自动进行状态调整,如果用户退休则将用户账号禁用,其所属应用账号也将随之禁用。
提供全局统一的强密码策略,具有一定的强度,要求大小写英文字母、数字、特殊符号等的组合,必须定期修改,且不能和前N次密码历史相同。扩展开来,密码策略还应该基于用户的角色、所属组织及具备的属性等条件进行灵活设置,实现不同场景条件下的个性化需求。
密码强度举例说明【数字越小强度越高】
-
密码策略强度级别1:密码有效期3个月,密码历史10次
-
密码策略强度级别2:密码有效期3个月,密码历史5次
-
密码策略强度级别3:密码有效期6个月,密码历史5次
从企业管理的角度出发,我们提供了应用集成注册管理,通过人机交互界面实现了应用的注册、修改、禁用、启用、删除等功能,简化应用集成管理工作,提高应用管理工作效率。
提供统一的认证策略和多因素认证技术,并实现集成应用间的单点登录,为用户提供了便利的系统访问模式,增强了系统安全性。
传统的静态口令认证存在多种安全隐患,应结合强认证技术实现多因素认证技术加强用户对系统访问认证的安全防护,确保用户登录的可信性。根据认证安全三要素:所知、所有、独有的条件来看,传统的用户名密码为所知,数字证书、动态口令为所有,而指纹、虹膜等生物特征则是用户所独有的,这三个要素的灵活结合就实现了双因素/多因素(2FA/MFA)认证。
主流多因素认证技术包括数字证书、动态口令、生物认证等,今天移动互联网的发展使得移动设备的认证能力得到大幅提升,如二维码、图案、生物识别等都可以利用移动设备提供。
根据应用系统的安全等级保护要求,我们可以提供多种强认证方式组合满足不同的认证级别要求,为不同安全要求的应用提供多种层次和安全要求的认证方式。
4.5.1审计报表管理
将用户认证、单点登录、自助服务操作、管理员账号操作以及用户状态变化自动产生的日志集中存储并提供统一的展示视图。
基于多维度、多视角的个性化需求,系统提供对用户账号、组织机构、集成应用、应用账号、系统角色等多种数据展示报表,可以根据需要自定义展示。
解决方案收益
今天很多国家的法律法规都要求企业关注并强制实现身份管理,中国要遵循《中华人民共和国网络安全法》和《网络安全等级保护基本要求》,在美国上市的公司要遵循《萨班斯-奥克斯利法案》,欧洲有《通用数据保护条例》(GDPR),这些法律法规对信息系统安全和用户访问控制要求得越来越严格,我们能帮助企业符合这些规定。
自动化的策略管理有助于企业IT部门摆脱一些重要但却单调繁琐的工作,从而将人力投入到更加重要工作岗位上。在今天网络安全人才紧缺的现实情况下,可以大幅提升运营效率并降低运营成本。
在基于安全的前提下,对公司的信息系统进行整合,实现单一身份、安全认证和单点登录,消除信息孤岛,增强办公协同,从而提供更好的用户访问和操作体验,提升用户和员工满意度。
我们是企业网络安全的重要基础平台,得到良好定义和严格执行的身份供应策略、访问控制策略可以为其他安全系统、设备提供安全可靠的身份和鉴权服务,这意味着更好的用户访问控制,降低了内部和外部数据泄露的风险。
本文介绍的用户身份和访问控制管理解决方案可以为适用于包括工业企业、医疗、金融、教育等各行各业的大中小型企业和组织。从管理角度出发,制定统一的用户身份管理和认证管理规范方法,以实现网络安全目标及相关合规需求;在技术方面实现用户身份管理策略,提供以实名制为基础的唯一ID、应用账号基于策略的自动化/半自动化供应机制、主流认证协议支持、多因素认证技术以及审计管理等,为企业安全提供准确有效的基础信息。