En 400-6655-581
5
返回列表
> 資源中心 > 身份安全 | 企業(yè)身份治理規(guī)劃之風(fēng)險(xiǎn)評(píng)估

身份安全 | 企業(yè)身份治理規(guī)劃之風(fēng)險(xiǎn)評(píng)估

2020-06-04瀏覽次數(shù):905

身份治理規(guī)劃總體概述


隨著企業(yè)信息化水平快速提升,身份治理作為企業(yè)管理平臺(tái)和基礎(chǔ)安全平臺(tái),已被大多數(shù)企業(yè)納入企業(yè)整體經(jīng)營戰(zhàn)略規(guī)劃中,那么企業(yè)如何結(jié)合自身業(yè)務(wù)形態(tài)和信息安全管理要求進(jìn)行身份治理規(guī)劃設(shè)計(jì)呢?我們從四個(gè)方面進(jìn)行身份治理的統(tǒng)一規(guī)劃和建設(shè)考慮:



風(fēng)險(xiǎn)評(píng)估:圍繞身份治理管理要求,針對(duì)企業(yè)面臨的信息安全挑戰(zhàn)與存在問題,充分評(píng)估身份治理風(fēng)險(xiǎn)于合理性;


規(guī)劃設(shè)計(jì):結(jié)合企業(yè)的戰(zhàn)略規(guī)劃與IT規(guī)劃,制定符合企業(yè)業(yè)務(wù)發(fā)展與管理模式的身份治理規(guī)劃藍(lán)圖;


平臺(tái)建設(shè):引入身份治理建設(shè)經(jīng)驗(yàn)與專業(yè)實(shí)施商,明確實(shí)施路徑與目標(biāo),推動(dòng)身份安全平臺(tái)與體系建設(shè);


生態(tài)融合:推動(dòng)數(shù)字化轉(zhuǎn)型與創(chuàng)新,實(shí)現(xiàn)身份治理線下線上、云端及物聯(lián)網(wǎng)等多場景業(yè)務(wù)融合與生態(tài)融合。



身份治理風(fēng)險(xiǎn)評(píng)估要素


風(fēng)險(xiǎn)評(píng)估作為企業(yè)了解自身信息安全與身份治理能力的重要環(huán)節(jié),需要從多個(gè)方面進(jìn)行綜合考慮,結(jié)合企業(yè)信息化特點(diǎn),我們提出四個(gè)方面的風(fēng)險(xiǎn)分析與評(píng)估:



技術(shù)評(píng)估:針對(duì)企業(yè)信息化技術(shù)平臺(tái)進(jìn)行梳理,了解身份安全存在的技術(shù)層面的問題、風(fēng)險(xiǎn)和隱患;


流程評(píng)估:針對(duì)企業(yè)信息化身份安全流程進(jìn)行梳理,了解流程體系方面存在的運(yùn)維、執(zhí)行等方面的問題和風(fēng)險(xiǎn);


體系評(píng)估:針對(duì)企業(yè)信息化身份安全規(guī)范體系進(jìn)行梳理,了解安全體系方面存在的規(guī)范制度缺少、安全培訓(xùn)、制度遺漏等問題;


管理評(píng)估:針對(duì)企業(yè)信息化身份安全管理體系進(jìn)行梳理,了解管理方面存在的合規(guī)審計(jì)、職責(zé)安排、應(yīng)急處理等方面的問題與風(fēng)險(xiǎn)。



身份治理風(fēng)險(xiǎn)評(píng)估內(nèi)容

結(jié)合身份治理風(fēng)險(xiǎn)評(píng)估要素,我們分別從技術(shù)、管理、流程、體系方面提供風(fēng)險(xiǎn)評(píng)估的詳細(xì)內(nèi)容:



技術(shù)要求:評(píng)估內(nèi)容主要涉及賬號(hào)違建、賬號(hào)回收、密碼加密、強(qiáng)認(rèn)證、權(quán)限統(tǒng)計(jì)、運(yùn)維安全、應(yīng)用接口授權(quán)、風(fēng)險(xiǎn)監(jiān)管等內(nèi)容;


規(guī)范要求:評(píng)估內(nèi)容主要涉及賬號(hào)、認(rèn)證、授權(quán)、審計(jì)、日志等規(guī)范與標(biāo)準(zhǔn);


體系要求:評(píng)估內(nèi)容主要涉及人員培訓(xùn)、安全意識(shí)、安全考核等內(nèi)容;


管理要求:評(píng)估內(nèi)容主要涉及應(yīng)急管理、職責(zé)分工、體系制度等內(nèi)容。



身份治理風(fēng)險(xiǎn)應(yīng)對(duì)策略

根據(jù)身份治理風(fēng)險(xiǎn)評(píng)估情況,我們從不同維度和方式,提供一體化身份治理應(yīng)對(duì)措施和方案:


1)  實(shí)現(xiàn)身份管理與訪問控制:通過構(gòu)建集中用戶管理中心與認(rèn)證中心,拉通信息孤島,融合業(yè)務(wù)系統(tǒng),實(shí)現(xiàn)用戶身份管理、認(rèn)證管理、權(quán)限管理和合規(guī)審計(jì),提升數(shù)據(jù)安全與業(yè)務(wù)安全;


2)  實(shí)現(xiàn)運(yùn)維安全可管可控:實(shí)現(xiàn)對(duì)機(jī)房硬件設(shè)備、后臺(tái)管理平臺(tái)的統(tǒng)一認(rèn)證、單點(diǎn)登錄、設(shè)備密碼管理、運(yùn)維人員授權(quán)、統(tǒng)一賬號(hào)、審計(jì)追溯的管理,能夠?yàn)槊恳粋€(gè)設(shè)備管理員或外部使用人員分配實(shí)名制賬號(hào),解決單一虛擬的賬號(hào)無法對(duì)應(yīng)到實(shí)體自然人身份的問題;


3)  實(shí)現(xiàn)強(qiáng)認(rèn)證安全管控:提供數(shù)字令牌、二維碼認(rèn)證、數(shù)字證書、RSA、短信及生物識(shí)別認(rèn)證集成,為應(yīng)用提供增強(qiáng)安全服務(wù)能力;


4)  實(shí)現(xiàn)數(shù)據(jù)交互API管理:提供基于應(yīng)用API接口認(rèn)證、授權(quán)、監(jiān)控、流程管理、API熔斷等能力,為應(yīng)用數(shù)據(jù)訪問提供安全保障;


5)  實(shí)現(xiàn)智能風(fēng)險(xiǎn)分析與預(yù)警:結(jié)合用戶行為分析、訪問途徑上下文、設(shè)備指紋/FaceID建立風(fēng)險(xiǎn)引擎,并引入風(fēng)險(xiǎn)模型算法,根據(jù)用戶訪問習(xí)慣、特征判別風(fēng)險(xiǎn)等級(jí),智能化身份識(shí)別驗(yàn)證。