安全419对话派拉软件：身份安全，需要一站式还是差异化？

身份，作为行业公认的，在技术不断发展IT环境巨变之下新的安全边界，安全机构的调研报告显示，在企业内，多数大型组织动辄要管理上万个身份，以便让员工、合作伙伴共享网络资源，然而近90%的企业在过去一年内受到了基于身份的攻击，这说明身份安全已经成为组织必须要解决的首要安全问题之一。

安全419推出《身份安全解决方案》调研访谈，希望通过探寻不同网安企业声音，洞悉本土化可落地的身份安全解决方案，以支撑我国大中小企业解决好网络一侧的身份安全问题。

上海派拉软件股份有限公司（以下简称：派拉软件），是国内最早从事身份安全研发的原厂商，致力于为企业和机构提供以“数字身份”为核心的数字化能力底座与安全基石。能力主要涵盖身份安全、应用安全、数据安全，作为国内数字身份安全的领导厂商，派拉软件以15年安全实践获得全球多行业超2000家客户认可，先后获得Gartner《身份治理与管理市场指南》全球代表厂商推荐、中国网安产业百强企业、中国数字安全综合实力百强企业、零信任最受行业欢迎厂商等领域殊荣。

本期访谈，我们采访到了派拉软件解决方案负责人茆正华，接下来我们将走进派拉软件，来了解一下这家专业数字身份安全厂商的全方位身份安全解决方案。 

派拉软件认为，在现代IT基础架构当中，身份系统已被视为IT部门管理的基础设施，从其技术本身的发展和对业务侧的影响来看，身份也是新的边界，由于其全面协调人机确权对资源的访问，身份管理和身份安全工作已经是企业IT团队日常重要工作之一。

万物互联时代的到来，线上业务依托于各种IT基础设施与应用之上，其中认证技术的发展，承载业务的IT基础设施本身的发展，都令身份安全从一个技术阶段不断走向另一个技术阶段。

如今，企业规模越大、数字化转型越成功、对网络安全工作重视程度越高，企业对身份管理和身份安全的工作要求也越复杂。企业需要为内部员工构建统一身份基础设施，从统一认证到统一管理，身份管理方案越来越深，其管理范围甚至不断外延。

派拉软件指出，随着数字化转型的持续深入，企业的身份管理将会迈入到全生态包容范围，从内部员工扩展至供应链上下游，到业务层面的企业级客户，或是庞大的C端用户，乃至业务出海的全球身份管理，身份管理已经是企业高效、安全、合规开展业务的前提。

构建身份系统的必要性在于企业从安全合规到业务发展战略性升级的过程，一方面，身份安全贯穿于各项合规政策当中，围绕系统身份进行管理，进行技术化干预势在必行；另一方面从身份维度进行全域业务系统管理，将有效解决企业的业务系统割裂问题。

从15年安全实践经验来看，派拉软件也总结了当前企业身份管理和身份安全建设的实现阻碍，其主要归为以下二点：

其一是企业需要为全面的身份管理和身份安全战略配套相应的管理制度，比如为不同岗位建立不同的角色画像，如此才能为不同的身份下放权限细粒度管理。此时企业需要从过去粗放式管理向精细化管理过渡，粗放式管理将不适应企业即将迈入数字化管理新阶段下的发展诉求。

其二是理想化的身份管理框架在落地时往往需要向不同环境或业务场景妥协，此时企业难以凭借自身的经验来技术化协调解决。这也是为什么派拉软件在落地身份安全项目时会加入事前咨询服务，这一过程将会梳理出身份系统与客户业务系统的交集与流程。

派拉软件总结认为，身份系统是当前企业进行业务系统化管理的最佳抓手之一，一套好用的身份管理、身份安全方案可向管理侧（安全合规）和员工侧（高效便捷）两端释放价值。

派拉软件基于“身份优先”的零信任架构（Zero Trust），从全域身份治理和安全访问控制，逐步延伸到特权访问管理、API管理、数据访问控制管理等产品和解决方案，不断扩展数字身份安全能力。即派拉软件身份安全解决方案由一整套身份管理和体系产品所组成，从而满足于企业不同阶段和不同业务场景下的身份安全建设需求。

派拉全产品体系架构图

从产品维度来看，派拉软件在网络侧主要以身份优先的零信任解决方案作为切入，零信任解决方案的核心优势是对用户身份、接入设备均验证合法性后才能进行资源访问，基于身份的“最小授权”安全策略以及动态访问控制机制，可全面保障端到端的访问安全。派拉软件的身份优先的零信任解决方案厚度上大幅增强，几乎涵盖派拉软件多年经验和技术大成，并以国产化适配，全面参与到企业的本地与云端资源管理当中。

进入到网络入口之后，派拉软件可向企业提供IAM统一身份治理系统，且为满足企业精细化安全控制，系统可拆分为面向企业内部员工的“员工身份与访问控制eIAM系统”，以及面向渠道、供应链的“商业身份与访问控制bIAM系统”，面向客户的“客户身份与访问控制cIAM系统”。

派拉IAM统一身份治理平台以用户身份数据为中心，针对企业全场景的数字身份进行整合管理，通过构建集中用户管理中心，打通各异构系统之间的用户身份数据通道，实现用户全生命周期自动化管理、SSO多业务系统单点登录、MFA强认证、UEBA智能风险监测、细粒度权限、审计管理及自助服务，基于安全提供更高效、便捷的管理能力和业务能力。

身份安全已经成为一个重要领域，派拉软件可以提供多款产品组合形成的解决方案，对于不同需求的甲方客户而言，这些单点能力，比如SSO、IDaaS、MFA、细粒度权限管理、智能身份认证等不同子产品也可以独立提供。派拉软件产品线上将API安全和数据安全独立，其对应的独立产品如API安全网关、API管理平台，PAM特权访问管理系统、数据库访问管理系统等，都可以纳入到身份安全方案当中。

以上可以看到，由不同产品组合或拆分而成的派拉软件身份安全解决方案，可以划分为统一身份安全方案，认证类身份安全方案，治理类身份安全方案，权限管控类身份安全方案，风险管控类身份安全方案，门户特权类身份安全方案等等，从而全面覆盖了大中小企业不同IT建设阶段，企业数字化业务全覆盖，甚至跨区域乃至全球化业务下的身份安全建设诉求。

举例而言，企业最常用的还是认证类身份安全方案，其通常由SSO+MFA等产品组成，单点登录系统可实现一套系统无阻碍对接企业的所有业务系统，让员工不再困于管理大量账密，实现安全便捷的无密码办公，并且通过多因素认证加强方案的安全性。

对于已经建立身份系统的企业客户而言，如对系统权限管控不满意，就可以采用派拉软件的权限治理类身份安全解决方案，该方案可以从应用级访问控制，到以角色岗位级权限管控，再到细粒度权限控制，比如用户权限管控到每一个菜单、按钮，甚至到数据库的行列级权限控制。

又如风险管控类身份安全方案，最近几年企业内鬼事件频发，当监管趋严，对于企业来说必须提升相应的风险发现能力。风险管控类身份安全方案可提供基于用户身份维度上的安全运营工作，运维人员可实时看到企业内部的身份风险情况，其基于UEBA智能风险检测系统实现了用户行为的智能分析，过程通过大数据和AI技术生成多级别风险策略，时刻检测用户风险行为。

据了解，派拉软件已成功为全球范围内的金融、制造、医疗、教育、零售、政府、地产、科研院所等多行业2000余家企业和机构提供极致体验的“全域数字身份统一安全管控”专业服务，覆盖五百强客户300余家。

派拉软件在身份安全解决方案的全域管理、高性能、高安全性等方面收获了客户的高度认可，特别是在大型企业客户方面拥有诸多成功实践。

如为某知名合资车企构建的全域身份认证管理系统，系统管理用户近3000万个，这也是国内身份安全厂商实践超过千万级用户的极少数案例。另外一家国内某知名新能源企业通过派拉软件构建了全球化的身份治理解决方案，方案满足了全球不同地区对于数据安全方面的差异化合规监管要求，并提供了全球用户的高效协同办公。

●在认证类身份安全方案方面，方案完全做到了开箱即用，且认证方式可覆盖客户当前场景下的任何业务数据源，并通过协议加固实现了更好的网络安全性；

●治理类身份安全方案方面，方案可提供覆盖到员工、供应商、C端等多用户维度，全域全生态化覆盖，企业可实现用户的精细化治理；

●权限管控类身份安全方案方面，其方案可以做到用户身份深度匹配业务与流程，同时根据大量客户实践和技术稽查不断优化权限管控精准度和高安全性；

● 风险管控类身份安全方案方面，可根据用户行为建立全链路风险因子收紧机制，结合其它子产品，形成集中式的智能风险分析引擎，分析捕捉用户风险方面的全面性和精准性更高。

对于行业客户而言，派拉软件还能提供丰富多样的国产化替代方案，一方面通过国产化自研平台且对国产操作系统、数据库、中间件全面适配，可为客户提供全面的国产化身份安全解决方案，同时可根据客户不同的诉求和阶段化替代目标，制定阶段性迁移策略，如利用平台融合架构实现双系统并行，再到全面升级为国家化新平台应用，为行业客户提供了合规的灵活的可选建设方案。

数字化转型让企业管理的数字身份数量不断上升，调研显示，成功实现数字化转型的企业，其管理的数字身份已呈倍数激增，当前大型企业管理超过1万个数字身份的数量已经过半（52%），安全的管理身份，已经成为企业保护数字资产，避免数据泄露、员工违规操作的重要手段。

派拉软件已经成长为一家一站式身份安全解决方案提供商，企业客户可以根据不同的需求，选择派拉软件丰富的方案打包或单点能力，其能力范围涵盖从内到外的全域、全生态身份维度，这对于企业数字化身份应用的多元化时代来说弥足珍贵。

以上为此次我们对派拉软件身份安全解决方案系统能力进行的全面了解，希望能为相关企业做出针对身份维度的安全建设起到借鉴和帮助作用。同时，安全419《身份安全解决方案》调研访谈还将持续更新，我们还将持续走进更多的网络安全企业，来观察他们针对不同行业、不同用户和不同环境之间的身份安全解决方案能力之间的细节与区别，敬请持续关注。