芯盾时代的身份安全产品体系
芯盾时代具备全栈零信任身份安全产品和服务能力:
芯盾时代IAM能够适配大企业用户复杂的应用访问需求,提供云端、互联网端、企业内网全场景的身份访问安全接入能力;
芯盾时代IAM能够理解大企业用户的身份差异,为内部用户、合作方和生态链伙伴、外部等用户提供丰富、安全、便捷的访问授权和认证服务;
芯盾时代IAM能够兼容大企业复杂的IT环境,对各类核心IT资产提供集中的身份访问控制能力,支持大企业信创发展,保护企业IT资产投资;
芯盾时代IAM能够帮助企业打通割裂的身份管理流程,规范企业身份管理体系,简化企业身份运维操作,助力企业实现新质生产力的效率提升。
全栈零信任授权模型
大企业提升生产运营流程数字化运转效率的同时,也面临内外部复杂用户使用业务系统潜在的业务和数据泄露风险。企业统一身份管理体系需要能够对用户进行自动化细粒度授权,并对用户业务访问过程中用户终端、网络链路、应用负载、API、服务器等各业务环节,进行实时动态授权控制,确保授予最小安全权限。
为满足企业权限管理工作的灵活性、准确性、自动化需求,身份授权控制模型也在持续演化,通常认为演进路线是ACL-RBAC-ABAC-PBAC。
芯盾时代IAM系统立足零信任安全体系,除支持ACL、RBAC、ABAC、PBAC权限控制模型外,为实现对用户业务全流程持续进行最小安全授权控制的目标,内置CARTA安全框架流程,并通过切面控制机制,落地PBAC和CARTA模型的权限控制措施。能够满足不同用户、全业务场景、全业务流程权限控制需求。
- ACL(访问控制列表)模型能力:芯盾时代IAM对应用资源,维护和管理权限定义列表,记录可以对这项资源执行操作(只读/读写/执行等)的用户权限关系。企业应用不再维护用户权限关系数据。当用户访问应用资源时,应用向IAM申请,并检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。
- RBAC(基于角色的访问控制)模型能力:是实施面向企业安全策略的一种有效的访问控制方式。芯盾时代IAM系统管理的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。将用户和权限进行分离,彼此相互独立,使权限的授予更加灵活。能够适配企业细粒度的授权管理需求。
- ABAC(基于属性的访问控制)模型能力:ABAC使用实体属性核心概念对主体、客体、权限及授权约束进行统一定义管理。芯盾时代IAM系统管理支持通过为四类属性定义和约束用户权限和访问:主体属性(如用户通过部门、岗位、职级等主体属性定义的用户组),环境属性(如访问 IP、访问时间等),行为属性(异常登录、异常操作、高频行为等)和对象属性(应用类型等),并实现灵活和可扩展的访问权限控制。
- PBAC(基于策略的访问控制)模型能力:PBAC授权不依赖于任何特定的实现(如XACML),通过自然语言定义策略直接约束用户授权,不再需要用户组等中间的链接,直接定义用户和资源之间和授权链接策略。芯盾时代IAM具备场景化规则引擎来定义和决策用户与资源之间的授权策略(PAP+PDP),并通过认证控制插件和切面控制机制(PEP)执行权限控制策略。
- CARTA(持续自适应风险和信任评估)安全架构:超越单纯的RBAC和ABAC授权模型,能够持续对用户访问实时进行持续的上下文感知安全评估。芯盾时代IAM具备CARTA安全框架流程能力,能够在用户访问全流程中持续监测并使用用户终端、环境、行为、资源属性的访问关系数据,分析用户身份权限风险,给出实时处置策略。
- 切面控制机制:芯盾时代IAM切面控制机制,能对用户业务访问全流程中任意环节,代理并监测用户身份、设备、行为数据,执行对用户差异化权限控制手段,落实CARTA和PBAC控制策略。
移动身份安全能力
大企业经过统一身份管理,为用户提供便捷的业务流程支撑服务。身份的安全性至关重要,保证用户本人的认证授权安全性、有效性和便利性,是芯盾时代始终坚持的目标,并已具备深厚的专利技术支撑。
芯盾时代IAM系统具备对用户手机终端的唯一性识别、用户密钥的安全生成、存储、调用,以及手机安全环境的检测。将用户手机打造成移动U盾,大幅提升用户认证的安全性:
- 优秀的识别能力:芯盾时代IAM设备指纹专利技术深厚,精准识别Andirod、IOS、鸿蒙各版本操作系统环境参数、安全风险,设备唯一性识别能力国内领先。
- 完备的密码生态:芯盾时代IAM移动端内置安全密码插件通过商用密码二级认证(软件最高级别),满足等保三级移动端密码技术的使用要求。
- 安全的使用环境:有效检测拖库撞库、人脸识别绕过、屏幕共享、通话状态等用户设备端风险,保证用户登录认证和业务操作的安全。
身份管理经验
芯盾时代IAM系统服务国内众多央企、集团企业,对大企业在统一身份管理需求痛点理解深刻,交付经验丰富,能够真正帮助企业打通信息流程数字化孤岛,规范人员身份安全管理、提升人员使用效率和企业生产效率。
- 身份治理经验:某央企集团组织机构复杂,人员类型多,现存账号体系混乱。芯盾时代针对对接的27个应用系统,共48528个原始账号,经过账号清理、反馈、再清理工作,同步完成集成系统初始账号映射和权限数据的整理。
- 权限治理经验:某集团企业权限管理分散,在各应用系统和原身份管理系统中维护500余角色和1000多个岗位定义,企业权限集中管理和配置困难。芯盾时代协助客户,通过权限调研和规划设计,进行权限模型和权限管理流程设计治理,整改设计后的权限模型中配置不超过100套标准角色和岗位模型,并通过芯盾时代权限中心实现自动化授权管理流程。
- 认证服务经验:某集团企业拥有60余万用户,众多业务系统存在内外网访问需求,而用户认证只有账号密码和短信方式。企业认证安全能力不足,人员操作繁琐,无法保证重要应用的认证安全程。芯盾时代IAM系统为用户提供多因素认证中心,用户可通过扫码、推送、令牌等方式认证操作,且可对用户从外网访问重要应用进行二次增强认证。系统日均提供认证服务23.3万次,拦截登录撞库3万余次。
- 流程集成对接经验:某生产制造集团企业,机构众多,经常需要机构间人员派驻,以及合作方员工入驻。由于非本机构人员身份的复杂性,和系统使用需求差异,人事和IT管理脱节,人员申请审批后,需要各应用管理员自行逐个开通/冻结人员账号权限,管理繁琐且易出错。芯盾时代IAM帮助企业打通IT审批流程和人员管理流程,通过身份模型和授权模型配置流适配人员类型,对接OA流程引擎。实现人员权限的自动实时配置:人员入场,应用权限实时按需开通;人员离场/离职,应用权限实时冻结/延时冻结。帮助企业“跨系统流程集成,业务申请流程与授权集成处理,让业务更专注于合规性审核”。
原文地址:https://blog.csdn.net/trusfort/article/details/144104380
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!