技術(shù)干貨 | 統(tǒng)一身份認(rèn)證系統(tǒng)---企業(yè)實(shí)施和保護(hù)

統(tǒng)一身份認(rèn)證系統(tǒng)---企業(yè)實(shí)施和保護(hù)

統(tǒng)一身份認(rèn)證系統(tǒng)的核心目標(biāo)是為每個(gè)用戶賦予一個(gè)身份，可以是企業(yè)身份標(biāo)識(shí)、生物特征標(biāo)識(shí)等，該數(shù)字身份一經(jīng)建立，從用戶登錄系統(tǒng)->權(quán)限授予->登出系統(tǒng)的整個(gè)過程中，根據(jù)需要在恰當(dāng)?shù)臈l件下及時(shí)賦予正確的用戶對(duì)企業(yè)內(nèi)適當(dāng)資產(chǎn)的訪問權(quán)，并對(duì)資源的使用過程進(jìn)行全過程的安全審計(jì)。

管理服務(wù)

統(tǒng)一身份認(rèn)證系統(tǒng)是企業(yè)所有應(yīng)用系統(tǒng)標(biāo)準(zhǔn)化的用戶管理基礎(chǔ)設(shè)施,它集中管理著所有應(yīng)用系統(tǒng)的用戶,包括用戶整個(gè)生命周期的管理、用戶賬號(hào)的統(tǒng)一管理以及用戶屬性的統(tǒng)一管理,并為各個(gè)應(yīng)用系統(tǒng)提供安全的服務(wù)與支持。

因此統(tǒng)一身份認(rèn)證系統(tǒng)旨在管人、管系統(tǒng)。

“人”可以是自然人，也可以是設(shè)備，如充電樁、車載系統(tǒng)等。統(tǒng)一身份認(rèn)證系統(tǒng)的核心是圍繞以”人”為中心的全生命周期管理模式，通過人員的屬性勾畫人員畫像；通過人員的生物特征或其他唯一標(biāo)識(shí)屬性進(jìn)行身份認(rèn)證；通過人員的業(yè)務(wù)不同進(jìn)行人員分類；通過不同系統(tǒng)的權(quán)限體系進(jìn)行人員權(quán)限授權(quán)；通過人員的活動(dòng)周期，如入職、調(diào)崗、離職、返聘、到訪、離場(chǎng)等過程的進(jìn)行全過程監(jiān)控。

人的身份與人的訪問權(quán)限管理是任何企業(yè)安全管理中兩個(gè)不可或缺的重點(diǎn)管理對(duì)象，它與企業(yè)的安全和生產(chǎn)力密不可分。

由于企業(yè)中各個(gè)系統(tǒng)面向不同業(yè)務(wù)管理方向，各有其對(duì)應(yīng)的用戶群體，不同的用戶群體對(duì)應(yīng)不同的權(quán)限體系，系統(tǒng)間的信息共享、信息交換、人員分類必然受到限制...因此企業(yè)需要定義統(tǒng)一標(biāo)準(zhǔn)的人員類型，常見的人員類型有：正式員工、實(shí)習(xí)生、外服人員、供應(yīng)商、臨時(shí)訪客、嘉賓、退休返聘、設(shè)備用戶、一級(jí)粉絲、二級(jí)粉絲...視企業(yè)的具體人員組成而定。以人力資源為主要內(nèi)部人員信息來源，并集成收集互聯(lián)網(wǎng)、OA、CRM、SRM等為外部人員信息來源，建立集團(tuán)性質(zhì)身份管理唯一權(quán)威數(shù)據(jù)源；并由統(tǒng)一身份認(rèn)證系統(tǒng)統(tǒng)一對(duì)外提供人員身份數(shù)據(jù)供給服務(wù)，實(shí)現(xiàn)從統(tǒng)一身份系統(tǒng)到各個(gè)應(yīng)用系統(tǒng)間的數(shù)據(jù)同步。

“系統(tǒng)”包含了企業(yè)應(yīng)用系統(tǒng)、IT服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等。統(tǒng)一身份認(rèn)證旨在將分散在各個(gè)信息系統(tǒng)中的用戶賬戶管理、屬性管理及入門級(jí)應(yīng)用訪問權(quán)限進(jìn)行統(tǒng)一集中管理,簡化信息系統(tǒng)管理人員對(duì)多信息系統(tǒng)賬戶操作的維護(hù)工作量,提升系統(tǒng)安全性。同時(shí)可根據(jù)企業(yè)內(nèi)部的組織架構(gòu),通過體系化的部署建設(shè),使之能夠覆蓋企業(yè)內(nèi)部分散的多個(gè)應(yīng)用域。

1. 統(tǒng)一賬號(hào)、身份池管理。將用戶與用戶在各個(gè)系統(tǒng)的身份進(jìn)行統(tǒng)一管理。

2. 建立以自然人為中心的管理模式，定義權(quán)限開通規(guī)范，明確什么樣的人員群體開通指定的應(yīng)用系統(tǒng)權(quán)限。

3.  根據(jù)人員類型、職位、部門等設(shè)置不同的權(quán)限供給策略，當(dāng)人員信息發(fā)生變更時(shí)由統(tǒng)一身份認(rèn)證系統(tǒng)自動(dòng)完成各個(gè)應(yīng)用系統(tǒng)中的人員信息修改、權(quán)限合并、權(quán)限變更。

認(rèn)證服務(wù)

員工可以代表身份的唯一標(biāo)識(shí)在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關(guān)系,從而保證了系統(tǒng)的安全性。人員的認(rèn)證標(biāo)識(shí)包含：手機(jī)、指紋、人臉、互聯(lián)網(wǎng)賬號(hào)（QQ、微信、微博、支付寶等）、工號(hào)、AD賬號(hào)、郵箱、門禁卡、一卡通賬號(hào)等；

認(rèn)證內(nèi)容包含員工的身份信息、員工的辦公環(huán)境。員工的應(yīng)用系統(tǒng)訪問權(quán)限。人們需要既能保護(hù)住隱私又能驗(yàn)明自身的方法，我們需要通過人員的信息能夠清晰描繪出人員的畫像，以便確立該員工的身份：

1. 通過員工指紋、人臉能夠判斷該人員是為我企業(yè)員工，還是外部訪客；

2. 通過員工政治面貌、工齡、崗級(jí)、榮譽(yù)證書、職稱等信息判斷該員工可以享受什么樣的公司福利、社會(huì)福利、國家福利、社會(huì)公益活動(dòng)等；

3. 通過員工手機(jī)號(hào)碼、支付寶、微信等信息判斷該員工是否可以進(jìn)入內(nèi)部停車場(chǎng)停車并支付，飯?zhí)贸燥埜顿M(fèi)等；

4. 通過工卡、指紋、人臉等信息判斷該員工可以辦公的樓層、可以使用的辦公電話、辦公PC、打印機(jī)、可以訪問的應(yīng)用系統(tǒng)等；

5. 員工通過指紋識(shí)別可以使用公共PC、公共電話、打印機(jī)等公共資源

認(rèn)證方式的發(fā)展歷程：LADP目錄服務(wù)--->集中身份驗(yàn)證服務(wù)--->雙因子認(rèn)證2FA--->多因素認(rèn)證MFA--->生物特征身份認(rèn)證-->…；

目前流行的認(rèn)證手段包含：AD域、Kerberos、OpenLdap、CA、U-Key、OTP、SMS、人臉、指紋、IOT、Oauth、CAS、OIDC、LTPA、SAML等等。

企業(yè)服務(wù)

統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)目標(biāo)是為企業(yè)的各種網(wǎng)絡(luò)服務(wù)和應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理平臺(tái)和身份認(rèn)證服務(wù),管理人員可以在同一認(rèn)證系統(tǒng)中集中對(duì)各個(gè)應(yīng)用系統(tǒng)的用戶進(jìn)行管理,有效提高整個(gè)企業(yè)的管理和運(yùn)行效率，并使企業(yè)在管理上滿足企業(yè)安全合規(guī)性要求。

1) 臨時(shí)訪客應(yīng)該授權(quán)哪些樓層；可以連接哪個(gè)網(wǎng)絡(luò)

2) 出差的到下屬單位或集團(tuán)的員工可以訪問哪些樓層

3) 退休返聘人員可以訪問哪些協(xié)同辦公系統(tǒng)

4) 外服人員人員使用哪些辦公電話、打印機(jī)

5) 員工自身清晰自己訪問的系統(tǒng)權(quán)限

1) 避免了傳統(tǒng)認(rèn)證方式所帶來的弱口令風(fēng)險(xiǎn)

2) 人員離職后及時(shí)關(guān)閉所有權(quán)限避免惡意訪問所帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)

3) 清晰統(tǒng)計(jì)各單位、各部門、各人員的權(quán)限開通情況

4) 清晰統(tǒng)計(jì)各部門人員打印機(jī)打印次數(shù)、打印紙張

1) 建立各類人員生命周期管理規(guī)范制度

2) 建立應(yīng)用系統(tǒng)權(quán)限安全訪問規(guī)范

3) 建立IDC服務(wù)器等特權(quán)賬號(hào)訪問安全規(guī)范

4) 所有特權(quán)賬號(hào)密碼統(tǒng)一管理、定期改密、使用前申請(qǐng)、使用中監(jiān)控、使用后審計(jì)

5) 避免系統(tǒng)中影子賬號(hào)、僵尸賬號(hào)存在