身份和認(rèn)證管理意即身份識(shí)別與訪問管理（Identity and Access Management，簡(jiǎn)稱IAM或者4A）。目的是讓正確的人或物出于正確的理由，在正確的時(shí)間、正確的地點(diǎn)通過正確的方式獲取到正確的信息，提供了集中的數(shù)字身份管理、認(rèn)證、授權(quán)、審計(jì)的模式和平臺(tái)。IAM全面建立和維護(hù)信息系統(tǒng)用戶的數(shù)字身份并提供有效、安全訪問的業(yè)務(wù)流程和管理手段，從而實(shí)現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計(jì)。

近幾年來用戶身份和認(rèn)證管理的概念越來越熱，在各種場(chǎng)合下不斷地被提起，在各種網(wǎng)絡(luò)安全的架構(gòu)中作為基礎(chǔ)安全組成部分得到了前所未有的重視。尤其是2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施，把網(wǎng)絡(luò)安全工作以法律形式提高到了國家安全戰(zhàn)略的高度，并將網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升為法律，成為維護(hù)國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益的重要舉措?！毒W(wǎng)絡(luò)安全法》第二十四條明確規(guī)定了網(wǎng)絡(luò)服務(wù)提供者對(duì)注冊(cè)用戶實(shí)名制的要求；第四十二條明確規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。2019年5月13日，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布，在2019年12月1日將正式實(shí)施。等級(jí)保護(hù)制度2.0明確要求等保三級(jí)及以上系統(tǒng)用戶身份鑒別必須采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

這一切都說明了用戶身份和認(rèn)證管理在今天的網(wǎng)絡(luò)安全管理中成為不可或缺的重要組成部分。其實(shí)用戶身份和認(rèn)證管理的發(fā)展也經(jīng)過相當(dāng)長時(shí)間的發(fā)展。根據(jù)諾蘭信息發(fā)展模型，可以將信息系統(tǒng)用戶身份和認(rèn)證管理大致劃分為如下無序階段、集成階段和管理階段。

在無序擴(kuò)張階段，系統(tǒng)各自為政，互不關(guān)聯(lián)，存在一個(gè)個(gè)的信息孤島，用戶需要記住多個(gè)用戶名和密碼，為便于記憶，弱密碼大量存在，認(rèn)證安全沒有規(guī)范要求，存在極大的安全隱患。

隨著信息系統(tǒng)的爆炸式發(fā)展，單位內(nèi)部的信息系統(tǒng)越來越多，企業(yè)意識(shí)到了存在的弊端，從用戶便利性的角度提出了統(tǒng)一賬號(hào)和單點(diǎn)登錄的解決方案。在實(shí)現(xiàn)上單純從技術(shù)角度出發(fā)，以方便用戶使用為目標(biāo)，不考慮系統(tǒng)安全、賬號(hào)管理策略等因素，仍然是不安全的。

近幾年，由于信息技術(shù)的不斷發(fā)展，安全形勢(shì)不斷變化，信息安全在各個(gè)層面都受到高度重視，提高到了國家戰(zhàn)略層面，國家及行業(yè)不斷出臺(tái)相關(guān)法律法規(guī)對(duì)企業(yè)事業(yè)單位的信息安全建設(shè)進(jìn)行規(guī)劃和指導(dǎo)。在治理過程中，人們逐漸意識(shí)到信息安全最主要的因素還是人，對(duì)系統(tǒng)賬號(hào)的數(shù)據(jù)和訪問控制進(jìn)行有效管理是保障信息安全的基本條件，而用戶身份治理和訪問控制管理理所當(dāng)然成為最重要的安全基礎(chǔ)平臺(tái)。

隨著信息化大潮的發(fā)展，各種信息系統(tǒng)的種類和數(shù)量不斷增加，在業(yè)務(wù)處理便利的同時(shí)，也給用戶帳號(hào)安全管理帶來了新的問題，主要包括：

1）各應(yīng)用系統(tǒng)賬號(hào)管理分散，缺少統(tǒng)一的管理機(jī)制，命名規(guī)則和密碼策略要求不一，用戶需要記住多個(gè)應(yīng)用賬號(hào)和密碼；

2）員工真實(shí)身份和應(yīng)用賬號(hào)沒有對(duì)應(yīng)關(guān)系，多人共用同一賬號(hào)或一人在同一個(gè)系統(tǒng)中有多個(gè)賬號(hào)的現(xiàn)象大量存在，無法定位責(zé)任人；

3）在員工轉(zhuǎn)崗、離職時(shí)無法提供有效的手段及時(shí)更新或者撤銷授權(quán)信息，存在大量無主賬號(hào)；

4）應(yīng)用系統(tǒng)認(rèn)證各自獨(dú)立，沒有統(tǒng)一認(rèn)證策略，沒有建立安全的單點(diǎn)登錄機(jī)制；

5）采用傳統(tǒng)的賬號(hào)與口令認(rèn)證方式，安全強(qiáng)度低；

6）授權(quán)管理和訪問控制缺少完整性、真實(shí)性、抗抵賴性等安全信任保障；

7）沒有集中的用戶身份和賬號(hào)管理視圖，無法展現(xiàn)企業(yè)信息系統(tǒng)用戶和應(yīng)用賬號(hào)全貌；

8）沒有標(biāo)準(zhǔn)、統(tǒng)一的記錄用戶認(rèn)證和訪問日志規(guī)范，無法集中的展現(xiàn)、跟蹤和分析用戶訪問行為；

9）沒有標(biāo)準(zhǔn)、規(guī)范的用戶和應(yīng)用賬號(hào)操作記錄，不能確定為什么用戶具有當(dāng)前的權(quán)限，不清楚用戶信息在何時(shí)被誰修改過。

在這種情況下，企業(yè)網(wǎng)絡(luò)安全很難得到保障，出現(xiàn)問題之后也難以確定問題來源，無法及時(shí)反應(yīng)。

今天網(wǎng)絡(luò)安全形勢(shì)已經(jīng)發(fā)生了很大的變化，攻擊不再僅僅是單個(gè)黑客行為，更多的是有組織、有預(yù)謀的團(tuán)隊(duì)協(xié)作行為，攻擊入侵企業(yè)內(nèi)部服務(wù)器，并植入惡意軟件長期潛伏，搜集更多漏洞信息，伺機(jī)加以利用。一旦開始發(fā)動(dòng)攻擊，有可能導(dǎo)致企業(yè)或組織信譽(yù)破產(chǎn)，甚至政府垮臺(tái)，造成嚴(yán)重的社會(huì)影響。

在當(dāng)前網(wǎng)絡(luò)安全形勢(shì)下，傳統(tǒng)的邊界圍墻式被動(dòng)防護(hù)手段如防火墻、IPS、IDS等安全設(shè)備以及防惡意軟件已經(jīng)過時(shí)，不能提供可靠安全的環(huán)境。隨著時(shí)間推移，越來越多的組織痛苦的發(fā)現(xiàn)，相對(duì)于外部威脅，因組織內(nèi)部安全管理不規(guī)范而造成安全風(fēng)險(xiǎn)越來越高。據(jù)統(tǒng)計(jì)，在近三年各類安全事件中，由于內(nèi)部脆弱性引發(fā)的事件占比越來越大，人的因素已經(jīng)成為網(wǎng)絡(luò)安全的關(guān)鍵，而其中用戶和認(rèn)證管理成為重災(zāi)區(qū)。IBM發(fā)行的《2016網(wǎng)絡(luò)安全情報(bào)索引》中指出，大約60%的數(shù)據(jù)泄露是內(nèi)部員工導(dǎo)致。當(dāng)然，其中75%是惡意的，25%是無意的。企業(yè)管理者終于意識(shí)到只有建立在有效管理用戶身份和認(rèn)證策略的基礎(chǔ)上，才能發(fā)揮各種安全設(shè)備和軟件的能力，建立主動(dòng)防御的城墻，保障網(wǎng)絡(luò)環(huán)境的安全，在企業(yè)內(nèi)部實(shí)施基于實(shí)名制的用戶身份和訪問控制管理勢(shì)在必行。

當(dāng)前市場(chǎng)上的身份識(shí)別與訪問管理產(chǎn)品非常多，有國際大廠也有國內(nèi)公司的產(chǎn)品在同臺(tái)競(jìng)技，哪一款適合自己呢？這需要根據(jù)企業(yè)的情況具體分析，如用戶量、企業(yè)類型以及準(zhǔn)備管理的對(duì)象等。

一般的說來，在國內(nèi)銷售的產(chǎn)品首先需要滿足國家安全標(biāo)準(zhǔn)要求和業(yè)界安全規(guī)范，這是必要前提。在此基礎(chǔ)上，可根據(jù)企業(yè)自身情況，用戶量、部署要求、管理對(duì)象等進(jìn)行篩選。

從目前市場(chǎng)普遍的反應(yīng)來看，從早期實(shí)現(xiàn)單點(diǎn)登錄基本需求逐漸向高安全性發(fā)展，相關(guān)法律法規(guī)以及企業(yè)自身的安全需求越來高，相關(guān)需求主要集中的如下幾點(diǎn)：

建立基于實(shí)名制的統(tǒng)一權(quán)威的用戶身份數(shù)據(jù)源，實(shí)現(xiàn)用戶全生命周期管理，消除賬號(hào)分散管理、沒有統(tǒng)一身份管理策略和強(qiáng)密碼策略的風(fēng)險(xiǎn)；

1）建立集中、高強(qiáng)度的安全認(rèn)證中心，以統(tǒng)一的安全認(rèn)證策略和技術(shù)保障用戶認(rèn)證安全；

2）建立應(yīng)用接入規(guī)范和標(biāo)準(zhǔn)，支持當(dāng)前主流的認(rèn)證協(xié)議和認(rèn)證技術(shù)，支持異構(gòu)應(yīng)用集成；

3）建立或者接入現(xiàn)有審計(jì)平臺(tái)，提供事后追溯甚至事中監(jiān)測(cè)、報(bào)警乃至阻斷的能力；

4）除此之外，客戶還希望身份管理產(chǎn)品應(yīng)具備一定的靈活配置和擴(kuò)展能力，能夠和第三方身份、認(rèn)證、審計(jì)平臺(tái)進(jìn)行整合，便于降低實(shí)施成本。

綜合以上要求，一個(gè)典型的IAM產(chǎn)品需具備如下功能：

1）用戶全生命周期管理

2）統(tǒng)一身份供應(yīng)策略

3）強(qiáng)密碼策略

4）應(yīng)用接入管理

5）認(rèn)證管理

6）審計(jì)報(bào)表管理

身份管理系統(tǒng)實(shí)現(xiàn)用戶全生命周期管理服務(wù)，并為管理員和個(gè)人用戶提供不同權(quán)限的管理視圖。

統(tǒng)一認(rèn)證為企業(yè)應(yīng)用和用戶提供集中的訪問入口，實(shí)現(xiàn)高強(qiáng)度的多因素認(rèn)證技術(shù)保障應(yīng)用認(rèn)證安全。

統(tǒng)一接入提供應(yīng)用賬號(hào)和認(rèn)證集成服務(wù)，以數(shù)據(jù)同步接口與企業(yè)應(yīng)用系統(tǒng)的集成，實(shí)現(xiàn)單位HR人員數(shù)據(jù)到身份管理系統(tǒng)的同步，以及與集成應(yīng)用系統(tǒng)的賬號(hào)同步，包括廣泛使用的AD、SAP系統(tǒng)。為集成應(yīng)用系統(tǒng)提供用戶訪問的統(tǒng)一接入、聯(lián)邦認(rèn)證和單點(diǎn)登錄服務(wù)。

系統(tǒng)應(yīng)對(duì)用戶、應(yīng)用、應(yīng)用賬號(hào)的登錄、單點(diǎn)以及管理等操作進(jìn)行集中的日志記錄，提供基本的安全審計(jì)和常用報(bào)表功能。根據(jù)用戶需要可以將日志轉(zhuǎn)發(fā)第三方處理或者進(jìn)行定制化開發(fā)實(shí)現(xiàn)更多功能。

當(dāng)前云部署、容器部署已經(jīng)成為企業(yè)首選，所以產(chǎn)品應(yīng)支持采用云技術(shù)實(shí)現(xiàn)系統(tǒng)模塊的部署，通過云架構(gòu)的特點(diǎn)為用戶和應(yīng)用提供更健壯的不間斷服務(wù)能力。以云的基礎(chǔ)服務(wù)為平臺(tái)，形成企業(yè)身份和認(rèn)證管理的服務(wù)平臺(tái)。

我們產(chǎn)品提供集中的用戶和賬號(hào)管理平臺(tái)，建立統(tǒng)一的用戶身份管理流程，基于用戶實(shí)名制，提供全局統(tǒng)一且唯一用戶賬號(hào)，一個(gè)用戶身份對(duì)應(yīng)唯一的用戶賬號(hào)，用戶賬號(hào)與應(yīng)用賬號(hào)建立映射關(guān)系，確定應(yīng)用賬號(hào)責(zé)任人，一人一個(gè)賬號(hào)，便于用戶記憶，提升使用體驗(yàn)。

我們產(chǎn)品可以將HR系統(tǒng)或者其他系統(tǒng)作為權(quán)威用戶數(shù)據(jù)源進(jìn)行整合，根據(jù)員工入職、崗位變動(dòng)、離職、退休等事件驅(qū)動(dòng)用戶賬號(hào)狀態(tài)的變化，用戶賬號(hào)的狀態(tài)變化又驅(qū)動(dòng)應(yīng)用賬號(hào)隨之聯(lián)動(dòng)變化。比如：用戶崗位變化之后，其所屬的應(yīng)用賬號(hào)根據(jù)策略自動(dòng)進(jìn)行狀態(tài)調(diào)整，如果用戶退休則將用戶賬號(hào)禁用，其所屬應(yīng)用賬號(hào)也將隨之禁用。

提供全局統(tǒng)一的強(qiáng)密碼策略，具有一定的強(qiáng)度，要求大小寫英文字母、數(shù)字、特殊符號(hào)等的組合，必須定期修改，且不能和前N次密碼歷史相同。擴(kuò)展開來，密碼策略還應(yīng)該基于用戶的角色、所屬組織及具備的屬性等條件進(jìn)行靈活設(shè)置，實(shí)現(xiàn)不同場(chǎng)景條件下的個(gè)性化需求。

密碼強(qiáng)度舉例說明【數(shù)字越小強(qiáng)度越高】

• 密碼策略強(qiáng)度級(jí)別1：密碼有效期3個(gè)月，密碼歷史10次

• 密碼策略強(qiáng)度級(jí)別2：密碼有效期3個(gè)月，密碼歷史5次

• 密碼策略強(qiáng)度級(jí)別3：密碼有效期6個(gè)月，密碼歷史5次

從企業(yè)管理的角度出發(fā)，我們提供了應(yīng)用集成注冊(cè)管理，通過人機(jī)交互界面實(shí)現(xiàn)了應(yīng)用的注冊(cè)、修改、禁用、啟用、刪除等功能，簡(jiǎn)化應(yīng)用集成管理工作，提高應(yīng)用管理工作效率。

提供統(tǒng)一的認(rèn)證策略和多因素認(rèn)證技術(shù)，并實(shí)現(xiàn)集成應(yīng)用間的單點(diǎn)登錄，為用戶提供了便利的系統(tǒng)訪問模式，增強(qiáng)了系統(tǒng)安全性。

傳統(tǒng)的靜態(tài)口令認(rèn)證存在多種安全隱患，應(yīng)結(jié)合強(qiáng)認(rèn)證技術(shù)實(shí)現(xiàn)多因素認(rèn)證技術(shù)加強(qiáng)用戶對(duì)系統(tǒng)訪問認(rèn)證的安全防護(hù)，確保用戶登錄的可信性。根據(jù)認(rèn)證安全三要素：所知、所有、獨(dú)有的條件來看，傳統(tǒng)的用戶名密碼為所知，數(shù)字證書、動(dòng)態(tài)口令為所有，而指紋、虹膜等生物特征則是用戶所獨(dú)有的，這三個(gè)要素的靈活結(jié)合就實(shí)現(xiàn)了雙因素/多因素（2FA/MFA）認(rèn)證。

主流多因素認(rèn)證技術(shù)包括數(shù)字證書、動(dòng)態(tài)口令、生物認(rèn)證等，今天移動(dòng)互聯(lián)網(wǎng)的發(fā)展使得移動(dòng)設(shè)備的認(rèn)證能力得到大幅提升，如二維碼、圖案、生物識(shí)別等都可以利用移動(dòng)設(shè)備提供。

根據(jù)應(yīng)用系統(tǒng)的安全等級(jí)保護(hù)要求，我們可以提供多種強(qiáng)認(rèn)證方式組合滿足不同的認(rèn)證級(jí)別要求，為不同安全要求的應(yīng)用提供多種層次和安全要求的認(rèn)證方式。

4.5.1審計(jì)報(bào)表管理

將用戶認(rèn)證、單點(diǎn)登錄、自助服務(wù)操作、管理員賬號(hào)操作以及用戶狀態(tài)變化自動(dòng)產(chǎn)生的日志集中存儲(chǔ)并提供統(tǒng)一的展示視圖。

基于多維度、多視角的個(gè)性化需求，系統(tǒng)提供對(duì)用戶賬號(hào)、組織機(jī)構(gòu)、集成應(yīng)用、應(yīng)用賬號(hào)、系統(tǒng)角色等多種數(shù)據(jù)展示報(bào)表，可以根據(jù)需要自定義展示。

今天很多國家的法律法規(guī)都要求企業(yè)關(guān)注并強(qiáng)制實(shí)現(xiàn)身份管理，中國要遵循《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，在美國上市的公司要遵循《薩班斯-奧克斯利法案》，歐洲有《通用數(shù)據(jù)保護(hù)條例》(GDPR)，這些法律法規(guī)對(duì)信息系統(tǒng)安全和用戶訪問控制要求得越來越嚴(yán)格，我們能幫助企業(yè)符合這些規(guī)定。

自動(dòng)化的策略管理有助于企業(yè)IT部門擺脫一些重要但卻單調(diào)繁瑣的工作，從而將人力投入到更加重要工作崗位上。在今天網(wǎng)絡(luò)安全人才緊缺的現(xiàn)實(shí)情況下，可以大幅提升運(yùn)營效率并降低運(yùn)營成本。

在基于安全的前提下，對(duì)公司的信息系統(tǒng)進(jìn)行整合，實(shí)現(xiàn)單一身份、安全認(rèn)證和單點(diǎn)登錄，消除信息孤島，增強(qiáng)辦公協(xié)同，從而提供更好的用戶訪問和操作體驗(yàn)，提升用戶和員工滿意度。

我們是企業(yè)網(wǎng)絡(luò)安全的重要基礎(chǔ)平臺(tái)，得到良好定義和嚴(yán)格執(zhí)行的身份供應(yīng)策略、訪問控制策略可以為其他安全系統(tǒng)、設(shè)備提供安全可靠的身份和鑒權(quán)服務(wù)，這意味著更好的用戶訪問控制，降低了內(nèi)部和外部數(shù)據(jù)泄露的風(fēng)險(xiǎn)。