整合身份管理提升企業(yè)信息安全

劉蓉蓉 梁文佳 陶啟果

（廣州廣合科技股份有限公司，廣東 廣州 510730）

0 引言

近年來，世界各地數(shù)據(jù)泄露等重大信息安全事故頻發(fā)，其中包括一些提供社會公共服務(wù)的大型門戶網(wǎng)站、地產(chǎn)、金融及制造等領(lǐng)域的機構(gòu)與企業(yè)。在印制電路板（printed circuit board，PCB）行業(yè)中，仍有不少企業(yè)的網(wǎng)絡(luò)安全防范只關(guān)注物理環(huán)境和網(wǎng)絡(luò)環(huán)境，對企業(yè)內(nèi)部用戶違規(guī)操作和異常日志風險預(yù)警缺乏有效的統(tǒng)一管控手段。通過了解分析各種信息安全事故案例，發(fā)現(xiàn)多數(shù)安全風險實際上源自內(nèi)控不嚴謹，導致內(nèi)部信息泄露或被外部攻擊竊取數(shù)據(jù)與安全后門。PCB 企業(yè)的報價、客戶圖紙、供應(yīng)鏈資料及設(shè)備運行對接等機密數(shù)據(jù)的泄露都會直接威脅到企業(yè)的經(jīng)營安全。本文從現(xiàn)狀與問題、建設(shè)可執(zhí)行目標、建設(shè)可受控平臺及建設(shè)可持續(xù)調(diào)整的規(guī)劃4 個維度進行解析，討論如何通過管理提升企業(yè)效率和信息安全。

1 現(xiàn)狀與問題分析

隨著PCB 行業(yè)技術(shù)及業(yè)務(wù)發(fā)展，需要加快信息化建設(shè)，為企業(yè)的快速發(fā)展提供助力，同時也對身份安全的規(guī)劃建設(shè)提出了更高的要求。當前各個信息系統(tǒng)除部分支持集成域賬號認證外，更多是分別采用了不同的用戶管理體系，用戶賬號孤立分散在各自的應(yīng)用系統(tǒng)中，難以實現(xiàn)統(tǒng)一管理和建立安全標準，在信息安全和運維管理上存在各種風險隱患，此類身份安全風險問題亟待解決。如圖1所示。

圖1 公司數(shù)據(jù)泄露風險

（1）調(diào)崗或離職用戶隱患。用戶在各系統(tǒng)的身份和訪問權(quán)限未能完全統(tǒng)一管理，依賴于運維人員手動對用戶權(quán)限進行變更和注銷，無法保證各應(yīng)用系統(tǒng)中的員工賬號及時同步變動。

（2）系統(tǒng)運維人為隱患。運維人員在管理用戶、授權(quán)及權(quán)限變更等方面需花費較多時間，大量的用戶數(shù)據(jù)存放冗余。如何快速調(diào)整因業(yè)務(wù)原因造成的用戶變更，避免運維人員人為錯漏造成安全風險是目前所面臨的問題。

（3）平臺入口管理隱患。缺乏統(tǒng)一的平臺入口管理，登錄認證缺乏有效的策略監(jiān)控。各業(yè)務(wù)系統(tǒng)多數(shù)采用用戶名加密碼的認證方式，該方式單一且簡陋，甚至沒有強制要求密碼復(fù)雜性的策略設(shè)置，無法保證所有密碼設(shè)置都符合復(fù)雜密碼的要求。對人臉識別、指紋等不同的安全認證方式，難以結(jié)合實際場景做到便捷式組合認證，存在安全隱患。管理員需管理眾多賬號來滿足日常職位需求，包括郵箱賬號、各應(yīng)用系統(tǒng)賬號、文件訪問賬號、上網(wǎng)賬號、設(shè)備登錄賬號等。用戶日常賬號過多不僅影響用戶使用體驗，同時加大系統(tǒng)運維人員的工作量，影響企業(yè)可信度以及經(jīng)營效率。

（4）新建業(yè)務(wù)系統(tǒng)隱患。非集成域賬號認證在新建業(yè)務(wù)系統(tǒng)時，需新建用戶管理體系，重復(fù)建設(shè)造成了信息技術(shù)（information technology，IT）資源的浪費，用戶體驗不佳，而且零散的用戶管理體系給過程審計帶來了非常大的難度，制約了業(yè)務(wù)的發(fā)展。

（5）用戶種類繁多帶來的隱患。用戶種類包括外來人員和企業(yè)內(nèi)部人員。企業(yè)內(nèi)部用戶包括正式員工和臨時員工，外來人員包括外包商用戶、實施商用戶、互聯(lián)網(wǎng)用戶及云端用戶等。目前暫無系統(tǒng)對所有內(nèi)、外部各種類型用戶進行統(tǒng)一管理，存在一定的安全風險。

（6）基于角色的訪問受控不足帶來的審計隱患。缺乏用戶登錄系統(tǒng)過程中的風險預(yù)警與防范、事中的訪問控制以及事后的異常日志監(jiān)控等智能化風險識別技術(shù)手段和管理機制。登錄系統(tǒng)過程中的風險主要包括缺少多因素認證，事中訪問控制隱患主要在于賬號全生命周期未能實時且自動權(quán)限受控。因此需要對用戶認證和訪問行為做集中可視化管理視圖，便于及時發(fā)現(xiàn)異常行為和采取防范措施，并做到實時審計。

2 建設(shè)可執(zhí)行目標

企業(yè)需要將身份安全治理納入組織戰(zhàn)略規(guī)劃中，并真正做到有效落地。組織需要合理劃分每個人員的崗位職責和權(quán)限安全邊界，確保合適的人在合適的崗位，有適當?shù)穆氊熍c訪問權(quán)限，并結(jié)合不同發(fā)展階段定期審核查驗權(quán)限配置的合理性，同時對權(quán)限分配機制以及用戶訪問行為進行統(tǒng)一的入口管理，如圖2 所示。確保對人員及其訪問權(quán)限做到及時預(yù)警、事中實時控制和事后異常日志管控。

為促進各系統(tǒng)的融合，給用戶提供更加友好的系統(tǒng)使用體驗，需要為不同用戶種類提供集中生命周期管理服務(wù)，解決應(yīng)用系統(tǒng)增多導致用戶身份證明（identification，ID）增多帶來更多安全隱患的問題。實現(xiàn)各信息系統(tǒng)中的用戶身份、用戶信息、用戶行為和用戶生命周期的集約化管理，提供完善的審計監(jiān)控體系，為決策層提供有效的統(tǒng)計和分析數(shù)據(jù)。建設(shè)目標如下。

（1）構(gòu)建企業(yè)身份管理規(guī)范化體系，確保身份的信任級別。減少因人員身份管理不規(guī)范帶來的信息安全風險及經(jīng)營風險。

（2）單點登錄（single sign-on，SSO），用戶只需向網(wǎng)絡(luò)認證驗證一次身份后無需其他驗證，即可訪問被授權(quán)的企業(yè)資源，包括打印機、其他硬件、應(yīng)用系統(tǒng)、文件、上網(wǎng)和其他一切基于角色的資源。解決用戶多賬戶、多密碼等痛點，提高用戶滿意度與體驗度，減少開發(fā)人員和運維人員的工作量。

（3）加強訪問認證管理，支持多因素認證模式，包括創(chuàng)建、發(fā)布和管理用于認證身份的信息。應(yīng)用程序和系統(tǒng)登錄認證包括用戶名和密碼、動態(tài)密碼、數(shù)字證書、生物識別技術(shù)等。企業(yè)間數(shù)據(jù)交互認證包括秘鑰、數(shù)字認證等。

（4）用戶權(quán)限全生命周期在可控狀態(tài)，包括基于角色的訪問控制和強制訪問控制?；诮巧脑L問控制可杜絕運維重復(fù)設(shè)置用戶管理體系，以及未及時變更用戶權(quán)限造成的人為漏洞；強制訪問控制可杜絕在無人看守桌面時的單點登錄，避免所有授權(quán)的應(yīng)用系統(tǒng)都可訪問導致的信息泄露。

（5）保障企業(yè)信息安全符合國家相關(guān)規(guī)范，實現(xiàn)管理合規(guī)、技術(shù)合規(guī)、政策合規(guī)及審計安全。

3 建設(shè)可受控平臺

建設(shè)統(tǒng)一身份管理平臺，將分散的用戶和權(quán)限資源進行整合、集中管理，實現(xiàn)用戶權(quán)限的全生命周期監(jiān)管，如圖3所示。

圖3 管理平臺應(yīng)用

（1）建立統(tǒng)一用戶信息全景圖。實現(xiàn)組織范圍內(nèi)的組織結(jié)構(gòu)及人員分布的實時查詢和展現(xiàn)。實現(xiàn)員工信息與人力資源（human resources，HR）信息一致，為企業(yè)應(yīng)用提供權(quán)威、實時的用戶信息，并支持與其他的信息源同步。

（2）建立融合認證與風險相結(jié)合的智能登入機制。通過集中管控各類型安全認證方式，智能識別不同類型的訪問風險，針對不同認證能力進行管理賦能。

（3）建立實現(xiàn)面向各類型應(yīng)用的統(tǒng)一身份管理平臺。例如采用提供給不同客戶端（跨平臺客戶端）調(diào)用網(wǎng)頁的應(yīng)用程序編程接口技術(shù)（web application programming interface，WebApi），做到訪問權(quán)限全生命周期的自動化管控，實現(xiàn)賬號的自動創(chuàng)建與注銷，有效規(guī)避多次手動輸入關(guān)鍵秘鑰操作造成的安全后門漏洞，提升流程效率與用戶體驗。

（4）加強對不同終端設(shè)備及行為特征的統(tǒng)一管理。例如對掌上電腦（personal digital assistant，PDA）、平板電腦、手機等各種移動設(shè)備進行全生命周期的自動化管理。支持設(shè)備訪問控制管理，禁用或者丟失的設(shè)備將無法進行登錄和使用，從而達到保護核心數(shù)據(jù)安全、杜絕企業(yè)核心資源及個人信息泄露的目的，提升企業(yè)經(jīng)營可信度。

（5）IT 集中管控，應(yīng)用系統(tǒng)共享用戶信息，做到信息技術(shù)平臺的標準化、規(guī)范化和高敏捷化。

（6）加強信息安全監(jiān)管，提高安全、合規(guī)審計的效率與效果。做到自動化的數(shù)據(jù)采集和自動報表生成，節(jié)省審計成本，提高安全審計的效率和效果。

4 建設(shè)可持續(xù)調(diào)整的規(guī)劃

PCB行業(yè)信息資產(chǎn)安全管理的核心管控手段，可使PCB 企業(yè)間及企業(yè)內(nèi)部信息高效連接一切。建立智能化、標準化、可控化的統(tǒng)一身份管理體系，如圖4所示?？傮w規(guī)劃建設(shè)可分為3個階段。

圖4 身份管理系統(tǒng)

4.1 基礎(chǔ)平臺建設(shè)

（1）建立以HR為權(quán)威數(shù)據(jù)源的正式統(tǒng)一身份存儲。

（2）搭建身份供給系統(tǒng)，接入正式應(yīng)用和試點應(yīng)用。

（3）搭建身份自助服務(wù)臺。

（4）梳理和制定內(nèi)部用戶管理規(guī)范。

4.2 平臺功能提升與關(guān)鍵應(yīng)用集成

（1）完善身份管理功能，包括權(quán)限管理、異常日志報表、流程自動化等。

（2）實現(xiàn)單點登錄、內(nèi)部賬號集中管理、認證管理和訪問控制。

（3）建立融合認證和風險警告機制。

（4）建立統(tǒng)一的平臺運維服務(wù)體系。

（5）完善內(nèi)部用戶管理規(guī)范。

4.3 外部用戶使用

（1）外來用戶身份管理平臺搭建。

（2）外來業(yè)務(wù)接入身份管理平臺。

（3）外來用戶身份管理平臺運維服務(wù)體系建設(shè)。

（4）接入云身份平臺，享用云端服務(wù)。

5 結(jié)語

《中華人民共和國網(wǎng)絡(luò)安全法》明確指出：國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略，網(wǎng)絡(luò)可信身份認證體系是網(wǎng)絡(luò)安全的核心。網(wǎng)絡(luò)可信身份管理體系是PCB 企業(yè)依法、規(guī)范、安全、高效運行和穩(wěn)健發(fā)展的基礎(chǔ)，對于推動智能制造也具有重要的意義。通過不斷學習，并參與統(tǒng)一身份管理系統(tǒng)的開發(fā)，結(jié)合實際企業(yè)管理思路對身份管理、單點登錄、訪問受控和多因素認證技術(shù)實踐經(jīng)驗進行總結(jié)，供業(yè)內(nèi)參考。