随着信息技术不断进步,数字经济逐步迈入发展深水区,同时疫情常态化也推动了产业上云以及各行各行数字化转型进程。数字社会的发展逐步瓦解了线上与线下、开放互联网与安全局域网的边界,新型安全风险也随着边界模糊化而出现。为解决此类问题,“零信任”体系从概念加速走向落地。
零信任理念的核心思想是不信任任何网络和用户,对每个用户的每次访问均进行信任识别、评估、认证和授权,因此零信任的基础是身份,需要围绕强大的身份识别和访问控制(IAM)方案构建。业内普遍认为,软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)是实现零信任的三大技术路径。
01 金融业零信任需求分析
《金融业数字化转型发展报告(2020年-2021年)》中提出,为应对新技术应用带来的安全边界模糊、安全敞口放大等风险,金融机构开始推进零信任安全体系应用。47家受访机构的有效反馈显示,9家机构开展零信任规划、计划配置产品及服务,6家机构实现零信任部分场景落地应用,27家机构开展应用研究探索,仅有6家机构还未开展此项工作。
02 新一代身份识别和访问控制(IAM)平台“信令云”
身份识别与访问控制技术(IAM)的核心是在用户进入网络之前建立身份,这也是零信任模型的核心,二者在多数理念上不谋而合,因此IAM 被认可为零信任入门级解决方案。在零信任体系下,用户不仅仅包含个人和企业,还有终端设备,以及应用API等,接入应用的部署环境包括私有机房、私有云、公有云,甚至是混合云等。
那么,如何保证正确的主体,在正确的条件下,获得正确的访问权?这是IAM在运营与迭代中直面的挑战。基于以上需求和挑战,中国金融认证中心(CFCA)构建了零信任体系下的新一代身份识别和访问控制(IAM)平台——信令云统一身份认证平台(简称“信令云”),该平台包括统一身份管理、统一认证管理、单点登录服务、统一访问授权、统一合规审计、统一资源管理等模块,体系架构如图所示:
基于IAM技术架构,信令云主要为客户提供两方面的能力:身份管理和访问管理。
其中,身份管理是指将员工或者内外部用户在各个应用系统中的用户名和密码进行统一管理,实现用户在组织机构中随着入离调转等行为而产生的整套身份标识的全生命周期管理。具体分为以下几类功能:
· 数据源管理:支持打通外部数据库、AD域、通用LDAP等多种数据源,并且可通过HTTP、RADIUS等多种协议完成用户身份数据的实时同步。
· 账号管理:提供账号全生命周期管理的功能,不再需要每个应用系统单独配置账号,管理员可以统一高效地处理账号的创建、变更、启用和禁用。
· 权限管理:支持基于角色的授权模型,支持组织机构分级授权,实现权限的及时分配和回收。
访问管理提供单点登录、多因素认证、访问策略配置,以及访问审计等功能,可以解决由于各个系统安全策略和访问权限的不同而导致的认证方式混乱、登录流程复杂等问题。具体分为以下几类功能:
· 单点登录:支持OIDC、SAML2、OAuth2.0、CAS等多种单点登录的协议,满足PC端、移动端等多种应用的接入需求。用户只需一次认证,即可登录多个应用系统。
· 多因素认证:在静态密码的基础上增加二次认证,通过动态口令、“扫一扫”、生物识别、手机推送等方式提升访问的安全性,并且可支持数字证书高安全级别的认证方式。
· 认证管理:支持静态密码、动态口令、生物识别、数字证书,以及微信、钉钉等第三方认证等多种认证方式,并提供认证工具的管理,认证策略的配置等功能。
03 产品价值
信令云将为各类数字化转型主体提供以下功能价值:
· 保护信息安全
提供安全可靠的身份和鉴权服务,提供更好的用户访问控制,降低了内部和外部数据泄漏的风险。
· 提升管理效率
有助于企业IT部门从繁琐重复的账号管理、权限管理等工作中解脱出来,可以大幅提升企业的管理效率,降低管理成本。
· 消除信息孤岛
将信息系统进行整合,实现单点登录、统一认证,消除信息孤岛,促进协同办公。
· 满足合规要求
符合商用密码安全性评估标准《信息安全技术信息系统密码应用基本要求》和等级保护2.0中关于身份鉴别相关要求。
当下,在金融业推动数字化转型深入发展的进程中,加强网络安全风险防范成为转型平稳、高效进行的关键。CFCA依托自身20余年在身份认证领域积累的丰富经验和技术优势,助力金融机构网络安全保障体系从传统的被动防护体系向更加积极主动的新型安全防御体系转型。(责任编辑:方杰)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。