身份和認(rèn)證管理意即身份識別與訪問管理（Identity and Access Management，簡稱IAM或者4A）。目的是讓正確的人或物出于正確的理由，在正確的時間、正確的地點通過正確的方式獲取到正確的信息，提供了集中的數(shù)字身份管理、認(rèn)證、授權(quán)、審計的模式和平臺。IAM全面建立和維護信息系統(tǒng)用戶的數(shù)字身份并提供有效、安全訪問的業(yè)務(wù)流程和管理手段，從而實現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計。

近幾年來用戶身份和認(rèn)證管理的概念越來越熱，在各種場合下不斷地被提起，在各種網(wǎng)絡(luò)安全的架構(gòu)中作為基礎(chǔ)安全組成部分得到了前所未有的重視。尤其是2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，把網(wǎng)絡(luò)安全工作以法律形式提高到了國家安全戰(zhàn)略的高度，并將網(wǎng)絡(luò)安全等級保護制度上升為法律，成為維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益的重要舉措。《網(wǎng)絡(luò)安全法》第二十四條明確規(guī)定了網(wǎng)絡(luò)服務(wù)提供者對注冊用戶實名制的要求；第四十二條明確規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。2019年5月13日，網(wǎng)絡(luò)安全等級保護制度2.0標(biāo)準(zhǔn)正式發(fā)布，在2019年12月1日將正式實施。等級保護制度2.0明確要求等保三級及以上系統(tǒng)用戶身份鑒別必須采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

這一切都說明了用戶身份和認(rèn)證管理在今天的網(wǎng)絡(luò)安全管理中成為不可或缺的重要組成部分。其實用戶身份和認(rèn)證管理的發(fā)展也經(jīng)過相當(dāng)長時間的發(fā)展。根據(jù)諾蘭信息發(fā)展模型，可以將信息系統(tǒng)用戶身份和認(rèn)證管理大致劃分為如下無序階段、集成階段和管理階段。

在無序擴張階段，系統(tǒng)各自為政，互不關(guān)聯(lián)，存在一個個的信息孤島，用戶需要記住多個用戶名和密碼，為便于記憶，弱密碼大量存在，認(rèn)證安全沒有規(guī)范要求，存在極大的安全隱患。

隨著信息系統(tǒng)的爆炸式發(fā)展，單位內(nèi)部的信息系統(tǒng)越來越多，企業(yè)意識到了存在的弊端，從用戶便利性的角度提出了統(tǒng)一賬號和單點登錄的解決方案。在實現(xiàn)上單純從技術(shù)角度出發(fā)，以方便用戶使用為目標(biāo)，不考慮系統(tǒng)安全、賬號管理策略等因素，仍然是不安全的。

近幾年，由于信息技術(shù)的不斷發(fā)展，安全形勢不斷變化，信息安全在各個層面都受到高度重視，提高到了國家戰(zhàn)略層面，國家及行業(yè)不斷出臺相關(guān)法律法規(guī)對企業(yè)事業(yè)單位的信息安全建設(shè)進行規(guī)劃和指導(dǎo)。在治理過程中，人們逐漸意識到信息安全最主要的因素還是人，對系統(tǒng)賬號的數(shù)據(jù)和訪問控制進行有效管理是保障信息安全的基本條件，而用戶身份治理和訪問控制管理理所當(dāng)然成為最重要的安全基礎(chǔ)平臺。

隨著信息化大潮的發(fā)展，各種信息系統(tǒng)的種類和數(shù)量不斷增加，在業(yè)務(wù)處理便利的同時，也給用戶帳號安全管理帶來了新的問題，主要包括：

1）各應(yīng)用系統(tǒng)賬號管理分散，缺少統(tǒng)一的管理機制，命名規(guī)則和密碼策略要求不一，用戶需要記住多個應(yīng)用賬號和密碼；

2）員工真實身份和應(yīng)用賬號沒有對應(yīng)關(guān)系，多人共用同一賬號或一人在同一個系統(tǒng)中有多個賬號的現(xiàn)象大量存在，無法定位責(zé)任人；

3）在員工轉(zhuǎn)崗、離職時無法提供有效的手段及時更新或者撤銷授權(quán)信息，存在大量無主賬號；

4）應(yīng)用系統(tǒng)認(rèn)證各自獨立，沒有統(tǒng)一認(rèn)證策略，沒有建立安全的單點登錄機制；

5）采用傳統(tǒng)的賬號與口令認(rèn)證方式，安全強度低；

6）授權(quán)管理和訪問控制缺少完整性、真實性、抗抵賴性等安全信任保障；

7）沒有集中的用戶身份和賬號管理視圖，無法展現(xiàn)企業(yè)信息系統(tǒng)用戶和應(yīng)用賬號全貌；

8）沒有標(biāo)準(zhǔn)、統(tǒng)一的記錄用戶認(rèn)證和訪問日志規(guī)范，無法集中的展現(xiàn)、跟蹤和分析用戶訪問行為；

9）沒有標(biāo)準(zhǔn)、規(guī)范的用戶和應(yīng)用賬號操作記錄，不能確定為什么用戶具有當(dāng)前的權(quán)限，不清楚用戶信息在何時被誰修改過。

在這種情況下，企業(yè)網(wǎng)絡(luò)安全很難得到保障，出現(xiàn)問題之后也難以確定問題來源，無法及時反應(yīng)。

今天網(wǎng)絡(luò)安全形勢已經(jīng)發(fā)生了很大的變化，攻擊不再僅僅是單個黑客行為，更多的是有組織、有預(yù)謀的團隊協(xié)作行為，攻擊入侵企業(yè)內(nèi)部服務(wù)器，并植入惡意軟件長期潛伏，搜集更多漏洞信息，伺機加以利用。一旦開始發(fā)動攻擊，有可能導(dǎo)致企業(yè)或組織信譽破產(chǎn)，甚至政府垮臺，造成嚴(yán)重的社會影響。

在當(dāng)前網(wǎng)絡(luò)安全形勢下，傳統(tǒng)的邊界圍墻式被動防護手段如防火墻、IPS、IDS等安全設(shè)備以及防惡意軟件已經(jīng)過時，不能提供可靠安全的環(huán)境。隨著時間推移，越來越多的組織痛苦的發(fā)現(xiàn)，相對于外部威脅，因組織內(nèi)部安全管理不規(guī)范而造成安全風(fēng)險越來越高。據(jù)統(tǒng)計，在近三年各類安全事件中，由于內(nèi)部脆弱性引發(fā)的事件占比越來越大，人的因素已經(jīng)成為網(wǎng)絡(luò)安全的關(guān)鍵，而其中用戶和認(rèn)證管理成為重災(zāi)區(qū)。IBM發(fā)行的《2016網(wǎng)絡(luò)安全情報索引》中指出，大約60%的數(shù)據(jù)泄露是內(nèi)部員工導(dǎo)致。當(dāng)然，其中75%是惡意的，25%是無意的。企業(yè)管理者終于意識到只有建立在有效管理用戶身份和認(rèn)證策略的基礎(chǔ)上，才能發(fā)揮各種安全設(shè)備和軟件的能力，建立主動防御的城墻，保障網(wǎng)絡(luò)環(huán)境的安全，在企業(yè)內(nèi)部實施基于實名制的用戶身份和訪問控制管理勢在必行。

當(dāng)前市場上的身份識別與訪問管理產(chǎn)品非常多，有國際大廠也有國內(nèi)公司的產(chǎn)品在同臺競技，哪一款適合自己呢？這需要根據(jù)企業(yè)的情況具體分析，如用戶量、企業(yè)類型以及準(zhǔn)備管理的對象等。

一般的說來，在國內(nèi)銷售的產(chǎn)品首先需要滿足國家安全標(biāo)準(zhǔn)要求和業(yè)界安全規(guī)范，這是必要前提。在此基礎(chǔ)上，可根據(jù)企業(yè)自身情況，用戶量、部署要求、管理對象等進行篩選。

從目前市場普遍的反應(yīng)來看，從早期實現(xiàn)單點登錄基本需求逐漸向高安全性發(fā)展，相關(guān)法律法規(guī)以及企業(yè)自身的安全需求越來高，相關(guān)需求主要集中的如下幾點：

建立基于實名制的統(tǒng)一權(quán)威的用戶身份數(shù)據(jù)源，實現(xiàn)用戶全生命周期管理，消除賬號分散管理、沒有統(tǒng)一身份管理策略和強密碼策略的風(fēng)險；

1）建立集中、高強度的安全認(rèn)證中心，以統(tǒng)一的安全認(rèn)證策略和技術(shù)保障用戶認(rèn)證安全；

2）建立應(yīng)用接入規(guī)范和標(biāo)準(zhǔn)，支持當(dāng)前主流的認(rèn)證協(xié)議和認(rèn)證技術(shù)，支持異構(gòu)應(yīng)用集成；

3）建立或者接入現(xiàn)有審計平臺，提供事后追溯甚至事中監(jiān)測、報警乃至阻斷的能力；

4）除此之外，客戶還希望身份管理產(chǎn)品應(yīng)具備一定的靈活配置和擴展能力，能夠和第三方身份、認(rèn)證、審計平臺進行整合，便于降低實施成本。

綜合以上要求，一個典型的IAM產(chǎn)品需具備如下功能：

1）用戶全生命周期管理

2）統(tǒng)一身份供應(yīng)策略

3）強密碼策略

4）應(yīng)用接入管理

5）認(rèn)證管理

6）審計報表管理

身份管理系統(tǒng)實現(xiàn)用戶全生命周期管理服務(wù)，并為管理員和個人用戶提供不同權(quán)限的管理視圖。

統(tǒng)一認(rèn)證為企業(yè)應(yīng)用和用戶提供集中的訪問入口，實現(xiàn)高強度的多因素認(rèn)證技術(shù)保障應(yīng)用認(rèn)證安全。

統(tǒng)一接入提供應(yīng)用賬號和認(rèn)證集成服務(wù)，以數(shù)據(jù)同步接口與企業(yè)應(yīng)用系統(tǒng)的集成，實現(xiàn)單位HR人員數(shù)據(jù)到身份管理系統(tǒng)的同步，以及與集成應(yīng)用系統(tǒng)的賬號同步，包括廣泛使用的AD、SAP系統(tǒng)。為集成應(yīng)用系統(tǒng)提供用戶訪問的統(tǒng)一接入、聯(lián)邦認(rèn)證和單點登錄服務(wù)。

系統(tǒng)應(yīng)對用戶、應(yīng)用、應(yīng)用賬號的登錄、單點以及管理等操作進行集中的日志記錄，提供基本的安全審計和常用報表功能。根據(jù)用戶需要可以將日志轉(zhuǎn)發(fā)第三方處理或者進行定制化開發(fā)實現(xiàn)更多功能。

當(dāng)前云部署、容器部署已經(jīng)成為企業(yè)首選，所以產(chǎn)品應(yīng)支持采用云技術(shù)實現(xiàn)系統(tǒng)模塊的部署，通過云架構(gòu)的特點為用戶和應(yīng)用提供更健壯的不間斷服務(wù)能力。以云的基礎(chǔ)服務(wù)為平臺，形成企業(yè)身份和認(rèn)證管理的服務(wù)平臺。

我們產(chǎn)品提供集中的用戶和賬號管理平臺，建立統(tǒng)一的用戶身份管理流程，基于用戶實名制，提供全局統(tǒng)一且唯一用戶賬號，一個用戶身份對應(yīng)唯一的用戶賬號，用戶賬號與應(yīng)用賬號建立映射關(guān)系，確定應(yīng)用賬號責(zé)任人，一人一個賬號，便于用戶記憶，提升使用體驗。

我們產(chǎn)品可以將HR系統(tǒng)或者其他系統(tǒng)作為權(quán)威用戶數(shù)據(jù)源進行整合，根據(jù)員工入職、崗位變動、離職、退休等事件驅(qū)動用戶賬號狀態(tài)的變化，用戶賬號的狀態(tài)變化又驅(qū)動應(yīng)用賬號隨之聯(lián)動變化。比如：用戶崗位變化之后，其所屬的應(yīng)用賬號根據(jù)策略自動進行狀態(tài)調(diào)整，如果用戶退休則將用戶賬號禁用，其所屬應(yīng)用賬號也將隨之禁用。

提供全局統(tǒng)一的強密碼策略，具有一定的強度，要求大小寫英文字母、數(shù)字、特殊符號等的組合，必須定期修改，且不能和前N次密碼歷史相同。擴展開來，密碼策略還應(yīng)該基于用戶的角色、所屬組織及具備的屬性等條件進行靈活設(shè)置，實現(xiàn)不同場景條件下的個性化需求。

密碼強度舉例說明【數(shù)字越小強度越高】

• 密碼策略強度級別1：密碼有效期3個月，密碼歷史10次

• 密碼策略強度級別2：密碼有效期3個月，密碼歷史5次

• 密碼策略強度級別3：密碼有效期6個月，密碼歷史5次

從企業(yè)管理的角度出發(fā)，我們提供了應(yīng)用集成注冊管理，通過人機交互界面實現(xiàn)了應(yīng)用的注冊、修改、禁用、啟用、刪除等功能，簡化應(yīng)用集成管理工作，提高應(yīng)用管理工作效率。

提供統(tǒng)一的認(rèn)證策略和多因素認(rèn)證技術(shù)，并實現(xiàn)集成應(yīng)用間的單點登錄，為用戶提供了便利的系統(tǒng)訪問模式，增強了系統(tǒng)安全性。

傳統(tǒng)的靜態(tài)口令認(rèn)證存在多種安全隱患，應(yīng)結(jié)合強認(rèn)證技術(shù)實現(xiàn)多因素認(rèn)證技術(shù)加強用戶對系統(tǒng)訪問認(rèn)證的安全防護，確保用戶登錄的可信性。根據(jù)認(rèn)證安全三要素：所知、所有、獨有的條件來看，傳統(tǒng)的用戶名密碼為所知，數(shù)字證書、動態(tài)口令為所有，而指紋、虹膜等生物特征則是用戶所獨有的，這三個要素的靈活結(jié)合就實現(xiàn)了雙因素/多因素（2FA/MFA）認(rèn)證。

主流多因素認(rèn)證技術(shù)包括數(shù)字證書、動態(tài)口令、生物認(rèn)證等，今天移動互聯(lián)網(wǎng)的發(fā)展使得移動設(shè)備的認(rèn)證能力得到大幅提升，如二維碼、圖案、生物識別等都可以利用移動設(shè)備提供。

根據(jù)應(yīng)用系統(tǒng)的安全等級保護要求，我們可以提供多種強認(rèn)證方式組合滿足不同的認(rèn)證級別要求，為不同安全要求的應(yīng)用提供多種層次和安全要求的認(rèn)證方式。

4.5.1審計報表管理

將用戶認(rèn)證、單點登錄、自助服務(wù)操作、管理員賬號操作以及用戶狀態(tài)變化自動產(chǎn)生的日志集中存儲并提供統(tǒng)一的展示視圖。

基于多維度、多視角的個性化需求，系統(tǒng)提供對用戶賬號、組織機構(gòu)、集成應(yīng)用、應(yīng)用賬號、系統(tǒng)角色等多種數(shù)據(jù)展示報表，可以根據(jù)需要自定義展示。

今天很多國家的法律法規(guī)都要求企業(yè)關(guān)注并強制實現(xiàn)身份管理，中國要遵循《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級保護基本要求》，在美國上市的公司要遵循《薩班斯-奧克斯利法案》，歐洲有《通用數(shù)據(jù)保護條例》(GDPR)，這些法律法規(guī)對信息系統(tǒng)安全和用戶訪問控制要求得越來越嚴(yán)格，我們能幫助企業(yè)符合這些規(guī)定。

自動化的策略管理有助于企業(yè)IT部門擺脫一些重要但卻單調(diào)繁瑣的工作，從而將人力投入到更加重要工作崗位上。在今天網(wǎng)絡(luò)安全人才緊缺的現(xiàn)實情況下，可以大幅提升運營效率并降低運營成本。

在基于安全的前提下，對公司的信息系統(tǒng)進行整合，實現(xiàn)單一身份、安全認(rèn)證和單點登錄，消除信息孤島，增強辦公協(xié)同，從而提供更好的用戶訪問和操作體驗，提升用戶和員工滿意度。

我們是企業(yè)網(wǎng)絡(luò)安全的重要基礎(chǔ)平臺，得到良好定義和嚴(yán)格執(zhí)行的身份供應(yīng)策略、訪問控制策略可以為其他安全系統(tǒng)、設(shè)備提供安全可靠的身份和鑒權(quán)服務(wù)，這意味著更好的用戶訪問控制，降低了內(nèi)部和外部數(shù)據(jù)泄露的風(fēng)險。