什么是身份和访问管理(IAM)安全策略?

您企业内的用户身份真的安全吗?

归根结底,这一问题的答案取决于企业身份和访问管理(IAM)策略的严谨程度。IAM 的概念比较宽泛,指企业如何管理用户对设备、文件、网络和应用的访问权限,而 IAM 安全策略的着眼点更具体,主要指企业为降低身份相关的风险而制定的策略体系。

随着远程办公不断普及,设置严谨的 IAM 安全策略既能为员工提供办公所需的访问权限,又能保护企业的资产安全,对企业来说至关重要。制定 IAM 安全策略时,首先要了解其含义、实施方法以及实施原因。

什么是 IAM 安全策略?

IAM 安全策略包含了用于保护企业用户身份、防止恶意攻击或无意泄露的所有流程、系统和应用。IAM 基本都和管理员有关,管理员需要保护用户安全、帮助用户流畅地访问企业 IT 资源,IAM 安全策略就是要用尽可能低风险的方式实现这一流程。

IAM 安全策略就像是企业与来往用户之间的一道护城河。在用户已经经过适当的筛选、许可和预配的情况下,设置这道护城河只是为了有备无患。而在其他防护手段漏洞百出且网络入侵者试图袭击企业网络的情况下,IAM 安全策略将是最后一道防线。这道额外的安全层能保护企业核心资产避免落入不法分子手中。

IAM 安全策略的优势    

简单来说,实施 IAM 安全策略的确具有几大优势,但不实施这一策略产生的后果却是企业承担不起的。IBM 2021年发布的一份报告显示,数据泄露事件对企业造成的平均损失高达424万美元,其中最常见的诱因是凭证窃取。IT 部门作为企业用户身份的管理者要预防网络攻击就必须制定严格的 IAM 安全策略。

1)快速升级防护  

现代 IAM 安全解决方案为企业提供了安全防护的黄金准则,自动化的流程也让运维更便捷。

企业可以通过单向的加盐哈希密码、多因素认证、密码复杂度设置和 SSH 密钥管理减少身份泄露,显著提升企业的安全状况。

2)提高 IT 部门效率

对管理员来说,今天的 IAM 安全方案比传统的本地方案更容易管理。企业在制定安全策略时,应考虑 IT 人员的可用性和工作量。许多现代 IAM 平台都提供自动化的远程管理系统,让 IT 部门能腾出时间完成更复杂的任务。

IAM 安全策略范例

虽然 IAM 安全策略还没有通用的实现方式,企业还是可以参考以下提示将安全性提升到最高,同时尽可能为 IT 部门减负。秘诀就是找到合适的远程软件,实施零信任安全策略,并要求用户在设备上启用多因素认证

1)远程化

远程化是 IAM 安全策略的必要部分,如果企业现有的 IAM 安全策略不是基于云的,那么远程化就是企业布局 IAM 安全策略的第一步。远程访问不仅对在家办公的员工连接企业网络时至关重要,而且能让 IT 部门随时随地进行故障排除和安全策略的管理。 

当 IAM 安全系统驻留在本地时,远程终端用户必须断开 VPN 才能办公,这就给管理员的系统维护工作增加了负担,牺牲了其他任务时间。解决密码更改等大量支持请求时如果还需要 VPN 访问,情况就变得更复杂,这时 IT 支持人员只能采取其他方法,而终端用户只能焦急等待。

IAM 安全流程的远程化帮助企业员工轻松访问内网的同时还为管理员持续提供无缝监控,一举两得。

2)实施零信任策略

随着现场办公逐渐向混合办公转变,用户可以从家庭 WiFi、公共咖啡馆等任何地方登录,对身份验证安全的需求由此产生。为此,企业可以采用零信任安全策略。

零信任策略并不是一种自动身份验证,而是规定在用户或设备只有通过信任模型的身份验证后才能访问系统、应用或网络。仅仅因为用户持有正确的凭证并不代表该用户就是被授权使用该凭证的人。

要在企业中实施零信任策略,需要抓住一切机会在访问业务中增加身份核验步骤。


管理员仍应设置严格、复杂的密码要求,不过在此基础上使用条件访问策略或在身份验证过程中使用多因素认证对于防止恶意用户利用窃取凭据很有帮助。其中,条件访问策略指仅批准受信任网络或私有网络上的管理设备进行访问,而多因素认证将在下节详细展开。

3)启用多因素认证MFA

MFA 是创建 IAM 安全策略最简单也最有效的一种方法,它要求使用多个凭证进行验证,自动加强对用户身份的保护。MFA 中的凭证通常涉及静态密码或 PIN 码,以及一个或多个附加验证因素,如安全问题、发送到另一台设备的验证码、确认来自身份验证APP的推送通知,甚至提供指纹或视网膜等生物识别信号。

由于静态密码任何人都能获取,MFA 的其他验证因素通常设计为用户的持有物、生物特征或行为特征。虽然密码很容易在数据泄露中被窃取,但攻击者即便知道了密码,也很难访问手机获取验证码或猜出随机的六位 TOTP 口令。

宁盾双因素认证(2FA)就是一种最常见的 MFA 方式,只需要在密码以外再采用一个验证因素,通常为OTP(动态密码)。除此之外,宁盾双因素认证还研发创新了适合国内社交环境的企微、飞书、钉钉H5令牌,无需下载任何APP,通过员工手机端/电脑端的企微、飞书、钉钉工作台中的小程序令牌即可获知动态密码;还有企微、飞书、钉钉的扫码认证,更加便捷。

由于 2FA 可以平衡企业的安全性和用户体验的便利性,很多公司更愿意使用 2FA,如果企业想进一步提升安全性,可以根据需要设置尽可能多的验证步骤。

为您的企业选择合适的 IAM 安全解决方案

在当今不断发展的混合办公场景下,如何平衡隐私和安全成为企业的一大难题。IT 部门需要在不影响 IAM 安全策略的情况下提高远程访问的效率,使其更易于管理。

针对这一问题,宁盾的解决方案是一体化身份认证平台(IAM系统),同时将于今年推出基于云的 IAM 管理解决方案(IDaaS平台),让管理员可以统一对整体 IAM 安全策略进行无缝管理。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
0 引言 2006年中国互联网信息中心CNN IC调查显示,我国即时 通信( InstantMessaging, IM)活跃用户占网民总数的59. 8% , IM在人们的日常联系中发挥着越来越大的作用。但IM系统 同时存在极大的安全隐患,其面临的主要威胁有:窃听、账号 假冒与口令破解、蠕虫病毒传播等[ 1 ] 。主要IM服务提供商 在系统设计时多以实用性为目的,较少考虑安全性问题。为 了有效保护用户的敏感信息,需要对IM进行安全性设计。 目前,针对主流IM安全问题的解决方案主要是通过SSL 方式实现客户端到服务器的认证和加密通信[ 2 ] ,尚未有效地 解决客户端之间的身份认证、消息加密与消息认证问题。本 文在不影响IM功能的前提下,设计附加在IM客户端的安全 模块以实现上述功能。 选择基于微软的MSN (Windows L ive Messenger)客户端 进行安全性设计,主要基于以下原因: 1)MSN与Windows紧密结合,是全球最大的即时通信网 络; 2)MSN网络的服务器不仅支持微软发布的客户端,还支 持遵循MSN消息传输协议MSNP开发的第三方开源客户端, 如比较流行的TjMSN、DotMSN等,在开源客户端进行安全性 设计具有良好的可扩展性; 3)微软针对其发布的客户端MSN 8. 0开放了可供第三 方开发插件的接口,利用此接口可以实现MSN的加密通信。 1 安全模块设计思路 实时性是IM系统的最大特点,安全模块的使用不应使 用户感到明显的时延。同时IM限制每则即时消息的长度, 加密后的文本长度要在允许范围内。因此,综合考虑IM系 统的特点和安全需求,本文提出以下安全模块的设计目标: 1)与IM协议兼容; 2)保证端到端的身份认证、消息加密与消息认证; 3)尽量减少安全模块的开销。 图1 MSN通信结构 MSN系统采用基本的客户端/服务器结构进行即时通 信,用户之间的文本消息需要经过MSN服务器中转。MSN消 息传输遵循MSNP协议。根据MSNP8协议标准,输出消息被 封装为以下格式:消息命令字MSG +事务ID +希望确认类 型+有效载荷长度+有效载荷。有效载荷是用户明文消息及 其格式的规定,由消息头和消息体组成,其中消息头用来标识 消息体的文字格式,消息体是明文信息。在消息传输过程中,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值