nidengxia的博客

等级保护制度是我国在网络安全领域的基本制度、基本国策，是国家网络安全意志的体现。而《网络安全法》的出台，更是将等级保护制度提升到了法律层面。2019年12月，网络安全等级保护制度2.0（简称“等保2.0”）正式实施。等保2.0在1.0的基础上，更加注重全方位主动防御、动态防御、整体防控和精准防护，除基本要求外，还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0中和“身份与访问管理”相关的内容很多，如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战

很多企业的 IT 系统都是委托外部厂商进行定制化开发部署，比如身份访问管理系统由 IAM 厂商经过 2 个月定制开发，一次性交付后，后续系统维护由企业 IT 部门承担。一旦系统运行出现了问题或系统需升级时，企业 IT 运维只能在几十万行“别人写的代码”中找 bug，或在别人写的代码基础上进行二次开发，继续陷入“写代码-找bug”的循环中……“如果不用写代码，就不用在代码中找 bug 了吧？”“低代码”是近两年来逐渐升温的概念，指企业的开发人员可以使用标准化的低代码产品和服务，通过在界面化...

作者介绍：陈伟嘉，毕业于加州大学尔湾分校，曾就职于Facebook、Splunk，现任玉符科技 CTO，负责玉符 IDaaS 技术架构设计和实现，带领研发团队从 0 到 1 实现产品自主研发，搭建无状态化支持、轻量化容器打包、运维自动化等微服务架构。在传统的研发中，我们经常关注的「安全」包括代码安全、机器（运行环境）安全、网络运维安全，而随着云原生时代的到来，如果还按原有的几个维度切分的话，显然容易忽略很多云原生环境引入的新挑战，我们需要基于网络安全最佳实践——纵深防御原则，来逐步剖析「云原生的安.

随着企业采购的业务系统增多，各个系统账户独立维护使得运维复杂度上升、手动管理难度加大，此外手动操作也会存在一些安全隐患。因此，企业应该开始思考如何打通“烟囱林立”的业务系统，建立自动化的账号同步体系，实现系统之间的高效安全的连接，从而提升整体运维效率和安全性。账户管理的痛点具体来说，企业IT部门在维护复杂的业务系统账户时，首先面对的是手动操作带来的高工作量和高风险——内部应用和人员数量不断增加，人员组织架构调整频繁，内部人员角色（正式员工/临时工、渠道/合作伙伴等）也开始变得复杂，每个业务系统的管理

想象一个场景：IT 运维小叉为公司新人小A开通了 10 多个应用系统账户，企业微信、绩效系统、CRM 系统、公司内网云盘等等，“健忘症患者“小A为了方便记忆，将各个系统密码全部设置为 “123456！”，并保存在浏览器中设置自动填充。十天后小A误点了钓鱼网站，公司系统的账户被盗，内部资料被窃取——小叉同学表示非常心累&崩溃。不只是安全问题，更是效率“杀手”现代企业的应用系统越来越多，如果员工在每个应用上设置不同的高强度密码，在不允许浏览器自动填充的情况下，员工可能每天都奔波在“找回密码”

如今，企业的业务和商业流程已不再局限于物理环境内，传统以网络边界为中心的防火墙式安全防护机制已无法满足企业的发展要求，企业需要转向构建一个以数据和身份为中心的、与当下数字化发展趋势更加相适应的安全防护机制。在这样的大背景下，Forrester Research 的一位分析师于2010年正式提出了零信任的安全概念。最初，Forrester 一直着重于研究如何将传统的单一边界划分为一系列微边界或是网络分段，提倡通过加强细粒度授权和威胁管控来提升整体业务安全性。随着时代的发展，业界逐渐开始将零信任与网络分

在上篇文章中，我们介绍了零信任概念与身份管理之间的关系——身份管理是零信任安全体系构建不变的核心需求。本文继续聊聊在国内市场环境下，打造一个成熟的零信任身份管理模型面临着什么样的挑战，及其架构要点。一、身份管理的落地挑战由于国内企业的技术基础、业务形态、市场政策环境的特殊性，在零信任架构下，身份管理系统的落地面临着诸多挑战：1. 身份数据连接动态的身份控制需要有丰富的身份数据做支撑。中国企业在管理身份数据方面存在不少痛点，比如无法对分散在各系统中的身份数据进行统一管理和分析，...

疫情期间，我们骤然发现自己添了很多“身份证明”：小区出入证，公司大厦出入证，健康宝无异常证明，运营商的 14 日出行轨迹证明……个人日常生活不再笼统，而是分裂成无数场景，在不同场景下验证不同的“身份”；换个角度，疫情安全防控本质的初始是个人身份的验证和出入授权。这对于现代企业的信息安全防控与管理而言，有何启发？一、零信任与身份管理零信任是一个安全概念，自 2010 年提出后，近年来逐渐由理论走向实践。它认为由于网络流量的不可信因素，使得网络环境中的人、事和物之间的连接变得脆弱，易受到外部或内部环.

近日，玉符科技CTO陈伟嘉先生入驻“腾讯云最具价值专家”，和来自腾讯云、京东零售等知名科技企业的12位杰出技术专家一起，秉持“用科技影响世界”这一共同追求，集结于腾讯云TVP，共同推动云计算发展，构建开发者生态。腾讯云最具价值专家，简称 TVP（Tencent Cloud Valuable Professional），是腾讯云颁发给第三方技术专家们的一项荣誉认证，以此感谢他们为推动云计算技术的发展所作出的贡献。这些技术专家来自于各个技术领域和行业，是技术和行业实践的领导者，他们热衷实践、乐于分享，为技术

在很多企业中，人员的身份信息管理可谓是一片混乱：身份信息存储在多个不相连的信息源中，属性格式也不同，若数据维护不及时或人工输入出错，不一致的信息就会导致大量的沟通成本和修复的混乱。这对于想要创建单一信息源以支持身份管理服务的IT团队来说，是一项挑战。什么是信息源和单一信息源？Source of truth （SOT）（身份）信息源，包含了所有账号的属性信息和具体数据。企业中可以有一个或多个信...

LDAP（Lightweight Directory Access Protocol）即轻量目录访问协议，是一个开放、广泛被使用的工业标准（IEFT、RFC），在1993年就被提出。企业级软件也通常具备"支持LDAP"的功能，比如Jira, Confluence, openVPN等，企业也经常采用LDAP服务器来作为企业的认证源和数据源。但是大家比较常见的认识误区是，可以使用LDAP来实现SSO。...