一、前言
在网络安全中,身份管理和访问控制(IAM)在对于访问对象的管理和信息传递的联系中起着至关重要的作用。身份管理与访问控制不仅要管理身份信息错误风险,还要保障在存储、处理乃至其他环节的机密性、完整性以及可用性。
根据Cybersecurity Ventures预测,到2021年,网络犯罪造成的损失将从2015年的3万亿美元增加到每年6万亿美元。除外部攻击外,内部人员的“参与”将进一步增加事件发生的可能性和影响程度,如赋予员工或承包商超过其职责所需的访问权限时,容易产生敏感数据泄露的风险。正因如此,组织对于身份的识别和管理控制的重视程度连年提升。一套健全的身份管理和访问控制体系是利用保障组织中用户访问策略以提升企业对于信息资产保护、解决组织内管理身份权限的需要,包括组织应对国内外合规等各类网络安全需求。
IAM是一个策略与技术的框架集合,用以确保组织中成员能够在合适地访问相应地信息资源,主要为:1)用户身份鉴别2)凭证3)公钥基础设施4)授权5)访问控制。总而言之,身份管理与访问控制体系的部署和实施,不仅能节省企业成本,提升用户体验,起到承担合规管理工具的任务。因此,它能清晰的描述企业内部风险,有效帮助企业灵活调整用户权限,检测、预防并控制内外风险,以降低组织整体面临的风险。
该领域国内市场活跃性的增高,尤其是政府部门、金融业、银行业等较为显著,因为我国的信息化建设发展到一定阶段,存有稳健增长发展的基础,国内企业和组织重视信息系统的建设吗,所以该领域得以顺应发展。其二,不论是欧盟GDPR,或是网络安全等级保护2.0标准体系的颁布,无不推动了身份管理与访问控制行业的发展。
本报告主要探讨和研究国内身份管理与访问控制的发展情况,分析国内企业和组织的需求,推进该领域的落地实施和高效发展,提出组织在实施中的难点和常见解决方案。
二、身份管理与访问控制的挑战和威胁
1.安全挑战
常见的身份管理和访问控制的安全挑战,大多因为数据位于不同的位置和业务部门,因此组织难以审查身份、批准访问请求。访问权限寻求的过程中所遇到的一定程度上的阻碍,导致请求者跨越适当审核过程直接上报给高层管理人员。负责审核的人员对于请求发起者和申请访问内容缺乏洞察力,无法准确定位哪些员工需要访问机密数据。
挑战主要包括对于身份管理,用户缺少集中性的身份数据库;系统特权的分发超过或者低于原本授予的访问权限。对于访问控制,认证时审查员对获取需求的知识不同,更不用讲业务部门之间的流程往往是手动的,难以进行标准化,审查人员需进行多次重复和细致的验证;当手动配置无效时,这些预配置和预定标示之间会产生矛盾;无法删除的不适当的IAM特权或者无法克隆访问配置文件,如果无法分工并监察管理员、高级用户和临时访问权限,可能会阻碍规则执行。其他问题包括缺乏对集中式访问管理解决方案的支持,例如目录和单点登录,过时或不存在的访问管理策略以及无法建立基于规则的访问。
组织机构中身份管理与访问控制的常见问题有:
1)各应用系统账号管理分散,缺少统一的管理机制;
2)共用账号、无主账号现象大量存在,无法定位责任人;
3)应用系统认证各自独立,没有统一认证策略,没有建立安全的单点登录机制;
4)采用传统的账号与口令认证方式,安全强度低;
5)授权管理和访问控制缺少完整性、真实性、抗抵赖性等安全信任保障;
6)无法满足企业进行集中身份与访问过程记录与审计需要。
然而,在组织中由于特权身份管理带来的挑战有:
1)管理帐户凭据:许多IT组织依靠人工密集型且易于出错的管理流程来轮换和更新特权凭据。这可能是一种低效且昂贵的方法。
2)跟踪特权活动:许多企业无法集中监视和控制特权会话,从而使企业面临网络安全威胁和合规性违规行为。
3)监视和分析威胁:许多组织缺乏全面的威胁分析工具,无法主动识别可疑活动并补救安全事件。
4)控制特权用户访问:组织经常难以有效地控制特权用户对云平台(基础架构即服务和平台即服务)、软件即服务(SaaS)应用程序、社交媒体等的访问,从而造成合规性风险和运营复杂性。
5)保护Windows域控制器:网络攻击者可以利用Kerberos身份验证协议中的漏洞来模拟授权用户并获得对关键IT资源和机密数据的访问权限。
2.安全威胁
保护用户身份及权限可信,企业的关键业务均大量地采用计算机系统和网络技术,因此企业基于 IT 环境的业务系统越来越多、越来越庞大,除了传统的服务中断、黑客攻击,也带来了新的威胁和风险,如未经授权的访问、访问权限混乱、授权管理复杂等,进一步突出了信息安全的重要性,这就要求采取适当的管理措施和技术手段确保权限授予的合理性和合规性,企业面临的具体存在的问题与风险如:安全风险、数据泄露、管控风险造成大面积企业内部信息泄露、合规审计难以支撑等安全威胁。
3.客户需求分析
1)账户无分类:内部用户、外包用户、应用账号、 公共账号、系统账号等分级机制没 有建立,无法统一进行管控;用户无统一账号,分散账号体系, 用户体验较差。
2)认证无分级:无论访问者、被访问资料是否机密,均使用相同等级的认证,没有针对场景进行相关的增强认证。
3)授权无规则:岗位对应的权限无合规限定;核心系统细粒度权限无合规检查机制 ;超越合规权限如何管理无定义。
4)密码无管理:不同系统的密码管理机制不相同;没有统一的密码标准;没有弱密码检测机制。
5)全方位审计缺乏:用户的所有访问日志,时间、 地点、服务器IP等信息,没有统一审计机制;用户信息修改,个人修改、管理员修改等没有统一审计机制。
6)定期审阅机制欠缺部门领导不会定期审阅下属员工权限;应用管理员不会定期审阅使用者权限;内部管理人员不会定期审阅外包人员权限;应用离职账号及弱密码无法自动审阅及告警,无法满足银保监定期审查要求。
随着该客户业务的迅速发展,各种系统资源和用户数量的不断增加,网络规模迅速扩大,信息安全问题愈见突出,对系统之间的整合提出了更高的要求。对于各部门的运维帐号权限现状无从得知,管理策略和标准也无法统一,造成了运维帐号权限管理能力参差不齐,策略、流程不统一,没有统一的运维视图,全景境况模糊不清,存在安全死角和风险不容易发现的混乱现象。原有的运维帐号权限管理措施已不能满足山东广电目前及未来信息化系统发展的要求。
用户在发展中对IT产品或者系统的主要需求,或者企业在发展中遇到的IT系统阻碍业务发展的难题。目前,社会公众办理政务服务业务非常频繁,部委政务服务中的身份认证服务主要支撑两方面的业务,一是本业务的身份认证服务,涉及到业务内用户注册、用户管理、身份认证和单点登录,使得用户在本业务内能够安全的认证登录;二是跨业务系统的身份认证服务,涉及到用户在跨业务系统进行业务申办时需要进行的跨业务系统身份认证和单点登录,实现用户使用非本系统账户进行登录认证,实现真正的“单点登录,全网通办”。
随着互联网的发展,各身份认证厂商构建了种类繁多的身份认证方式,如用户名/密码、邮箱/密码、手机号/密码、证书登录、生物特征识别、手机或APP辅助登录等方式,这些方式基于不同的认证技术在不同程度上识别了登录用户的身份,然而单一的认证技术无法保证用户身份的可信,从“所知、所持、所是”三个角度来看,用户名、邮箱、手机号等登录方式均采用了“所知”这一层次的认证方式,虽然认证方式最为简洁但安全性较低,而证书登录、手机或APP辅助登录等采用了“所持”这一层次的认证方式,保证了较高的认证可信,生物特征识别作为“所是”这一层次的认证方式,能够体现最高的用户可信性,但其认证流程和认证方式较为复杂,便捷性不足。因此,构建身份认证方式时,应深入分析业务应用的安全需求,综合考虑“所知、所持、所是”三方面用户属性,寻求适当的身份认证模式,构建安全便捷的身份认证服务。
三、IAM产品形态与功能构成
➢ 产品形态
现将参与本次调研的网络安全企业身份管理与访问控制的产品形态归纳总结如下:
➢ 功能构成
用户身份管理:
主要分为两种内部用户和外部用户,内部用户则分为HR用户和非HR用户,便于用户集中管理,其他功能委派给最终用户使用。IAM利用每天的定时任务到内部HR用户以获取当天数据并写入IAM主数据库。返回问题数据到中间表,IAM对于中间表轮询校验,直到返回值无误后写入主数据库。非HR用户创建时制定相关责任人(HR用户),责任人更新职责分配或离职时相关非HR用户也需同步变更责任人等信息来提高系统数据的准确性,保障系统安全性。外部用户通过隔离区在外网注册和使用相关服务,外部用户数据存于独立的专门库。
账号管理则是将自然人与其拥有的所有系统账号关联,集中进行管理,包括按照密码策略自动更改密码,不同系统间的账号同步等。
单点登录(SSO):
一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一退出(single sign-off)就是指,只需要单一的退出动作,就可以结束对于多个系统的访问权限。
特权账户管理(PAM):
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
