随着企业信息化水平快速提升,身份治理作为企业管理平台和基础安全平台,已被大多数企业纳入企业整体经营战略规划中,那么企业如何结合自身业务形态和信息安全管理要求进行身份治理规划设计呢?我们从四个方面进行身份治理的统一规划和建设考虑:
风险评估:围绕身份治理管理要求,针对企业面临的信息安全挑战与存在问题,充分评估身份治理风险于合理性;
规划设计:结合企业的战略规划与IT规划,制定符合企业业务发展与管理模式的身份治理规划蓝图;
平台建设:引入身份治理建设经验与专业实施商,明确实施路径与目标,推动身份安全平台与体系建设;
生态融合:推动数字化转型与创新,实现身份治理线下线上、云端及物联网等多场景业务融合与生态融合。
风险评估作为企业了解自身信息安全与身份治理能力的重要环节,需要从多个方面进行综合考虑,结合企业信息化特点,我们提出四个方面的风险分析与评估:
技术评估:针对企业信息化技术平台进行梳理,了解身份安全存在的技术层面的问题、风险和隐患;
流程评估:针对企业信息化身份安全流程进行梳理,了解流程体系方面存在的运维、执行等方面的问题和风险;
体系评估:针对企业信息化身份安全规范体系进行梳理,了解安全体系方面存在的规范制度缺少、安全培训、制度遗漏等问题;
管理评估:针对企业信息化身份安全管理体系进行梳理,了解管理方面存在的合规审计、职责安排、应急处理等方面的问题与风险。
结合身份治理风险评估要素,我们分别从技术、管理、流程、体系方面提供风险评估的详细内容:
技术要求:评估内容主要涉及账号违建、账号回收、密码加密、强认证、权限统计、运维安全、应用接口授权、风险监管等内容;
规范要求:评估内容主要涉及账号、认证、授权、审计、日志等规范与标准;
体系要求:评估内容主要涉及人员培训、安全意识、安全考核等内容;
管理要求:评估内容主要涉及应急管理、职责分工、体系制度等内容。
根据身份治理风险评估情况,我们从不同维度和方式,提供一体化身份治理应对措施和方案:
1) 实现身份管理与访问控制:通过构建集中用户管理中心与认证中心,拉通信息孤岛,融合业务系统,实现用户身份管理、认证管理、权限管理和合规审计,提升数据安全与业务安全;
2) 实现运维安全可管可控:实现对机房硬件设备、后台管理平台的统一认证、单点登录、设备密码管理、运维人员授权、统一账号、审计追溯的管理,能够为每一个设备管理员或外部使用人员分配实名制账号,解决单一虚拟的账号无法对应到实体自然人身份的问题;
3) 实现强认证安全管控:提供数字令牌、二维码认证、数字证书、RSA、短信及生物识别认证集成,为应用提供增强安全服务能力;
4) 实现数据交互API管理:提供基于应用API接口认证、授权、监控、流程管理、API熔断等能力,为应用数据访问提供安全保障;
5) 实现智能风险分析与预警:结合用户行为分析、访问途径上下文、设备指纹/FaceID建立风险引擎,并引入风险模型算法,根据用户访问习惯、特征判别风险等级,智能化身份识别验证。