集团企业数字化转型过程中 CT、IT、OT 技术应用持续升级，异构网络、业务上云、信创环境、物联网设备等新技术的应用，在助力企业从信息化向数字化和智能化迈进的同时，给身份管理带来全新的挑战。

企业数字化的本质是通过先进的数字技术来改变产业。集团企业运营包括研发、生产、供应链、销售、服务全价值链环节，需要全面的技术体系（信息技术 IT、通信技术 CT、操作技术 OT）来承载，技术体系的持续演进，对企业身份管理的能力和技术带来新的挑战：

1. 复杂异构的企业网络环境。集团企业组织机构众多，用户和业务应用分布并承载于不同的网络位置，整体网络体系形成了复杂的混合网络架构，和混业云业务承载模式。

2. 内部用户访问应用，面临接入区域、访问应用权限和安全姓要求的差异；外部用户的访问需求和云服务形式的出现，使集团企业的用户访问接入安全进一步复杂化；

3. 全新的信创环境。信息技术应用创新（简称：信创）使我国发展出一系列自主可控的 IT 基础设施，能够覆盖基础软件、基础硬件、关键应用软件，和云计算，实现从芯片、存储、服务器 &PC 整机、网络设备固件 &I/O 设备，到操作系统、数据库、中间件、虚拟化全栈的自主可控。

4. 随着企业用户环境和业务应用全面适配迁移至在信创 IT 环境，身份认证与访问控制也需适配全新的主客体，技术规范、交互逻辑都需要进行设计和定义。

5. 云服务的开展。集团企业数字化转型推动服务模式升级，企业通过基于 AI、大数据、云的高价值产品及增值服务转型，为客户提供产品付费服务之外的云端价值服务和付费服务，创造更多价值收益。云服务在为企业提升效益增加竞争力的同时，云环境的用户身份安全面临一些列挑战。需要解决云端不同客户身份认证服务的隔离管理；云端用户凭据和数据的安全存储、传输；云环境下的多因素安全鉴别认证能力等问题。

6. IOT 技术的使用。集团企业智能制造的发展，带来了智能传感器、车联网设备、以及工业机器人等 IOT 技术的使用推广。并为身份安全和管理带来特殊要求：海量的低成本物联网设备，使其在身份认证安全组件和框架上先天不足，支持密码安全运算能力低，不具备主动安全防护能力，使其更容易被攻破成为企业身份安全体系的风险入口。

身份合规保障能力滞后

企业身份合规能力体系，在国家网络安全法规框架下，贯彻企业的内控管理制度和经营权责管理规范，保障企业在设计、生产、采购、物流、营销的一系列价值运营活动中，企业的数字支撑体系运转过程中用户身份、业务权限、和数据资产流转的安全及合法合规。

企业传统身份管理规范贯彻自企业内控制度和经营权责管理规范要求，通过在一系列 IT 规划规范、IT 安全管理规范、IT 资源管理规范、IT 服务管理等规范中，制定并执行对应的账号合规、权限合规、数据合规管理要求。

集团化新质生产力和数字化转型过程中，组织和业务模式迅速发生深化的变革，支持企业生产运营效益提升，企业数字世界的复杂度急剧升高。多维数字组织的协同运作，使企业数字世界用户身份状态频繁变化、业务细粒度权限数量激增、用户对权限要求持续变动、企业产生并流转海量业务数据。

与此同时，建立在企业内控制度、经营权则管理规范、IT 管理体系基础之上的身份合规体系，并未能够进行针对性升级改造。身份合规管理面临体系滞后、能力缺失、手段粗放问题：

1. 体系滞后。企业传统身份合规体系中用户账号合规、权限合规、数据安全合规管理彼此相对独立，并由企业人事管理、IT 管理、网络安全管理等不同管理条线负责。无法应对企业数字化组织转型中业务实际情况发生的人、权、数据联动现状，使合规监管无法满足和适配实际业务流程需求。

2. 能力缺失。数字化转型中集团企业生产数据、销售数据、产品数据、客户数据价值激增，并产生数据在各系统模块中的流转，以支持企业生产决策的转变和效益提升。企业传统安全体系对数据安全保护能力主要集中在数据存储的访问安全，缺乏对数据全生命周期治理的体系化安全管理能力，无法保证企业数据价值的安全提升。

3. 手段粗放。企业从信息化向数字化转型过程中，用户的业务使用环境日趋复杂，用户身份风险持续变化，需要通过多维度身份综合分析，才能够准确判断用户风险状态，并进行有效的合规管理。但企业传统合规体系关注用户数字身份安全性判断，而缺乏对用户环境信息、用户行为等身份风险维度的分析判断能力和管理机制，无法有效发现并控制用户风险。

身份安全面临新的威胁

企业数字化转型中 IT 技术发展和基础环境升级变迁，使企业身份认证面临全新的技术挑战。云计算和人工智能的结合，使得机器身份产生并快速增长，攻击者有能力加以利用，使用深度伪造等高阶技术手段，对企业业务系统发起更大规模和更复杂的攻击和欺诈活动；而网络边界的进一步模糊，和企业生态协作的业务需求，也使得网络钓鱼攻击有了更多的可乘之机。

云安全联盟全球研究副总裁 JohnYeoh 认为：“人工智能能力在云计算的加持下，意味着人工身份的产生。对于组织中的每一个人,你都有 10 到 20 倍的机器身份”；

Cato Networks 联合创始人兼首席执行官认为“随着攻击者引入人工智能,事情将变得更加复杂,这意味着更大规模的更复杂的攻击,更强大的深度伪造和金融欺诈”。

根据美国《2023 年度国家网络安全战略报告》披露，2021 年近 3 亿受害者身份数据被泄露，并被欺诈数十亿美元。

在此安全趋势下，2024 年 RSA 大会云环境下的身份安全和访问控制成为安全领域最新关注焦点：

会上 20 余家网络安全头部企业 CTO 普遍认为身份和访问控制、以人为本的安全应作为所有安全体系的顶部要求；通过身份认证技术识别所有环境中非人类身份和访问令牌，是对抗大规模的更复杂身份攻击和金融欺诈的必要能力。

美国 CISA 在 2024 年对美国软件厂商发起旨在增强其产品包括身份安全能力在内的“安全设计”承诺。该承诺由七个目标组成，在身份认证方面有两项目标：要求供应商在签署承诺书后的一年内显著增加制造商产品中多因素身份验证(MFA)的使用而采取行动。以及在签署承诺书后的一年内，在减少制造商产品的默认密码方面取得可衡量的进展。目前已有包括思科、Microsoft、谷歌、Palo Alto Networks、Trellix、Proofpoint、Okta、Fortinet 等 120 余家厂商完成签署。

数字身份管理体系化不足

统一身份管理体系和统一身份管理平台，作为企业管理支撑体系中的身份能力基石，帮助承接企业战略目标、细化运营管理规范中的身份安全要求，为企业多维组织架构下业务的协同运营需求，提供对价值链及信息系统的身份管理支撑。

统一身份管理平台作为企业统一身份管理体系中的功能实体，需要配合身份管理体系管理制度，才能够充分发挥精准、高效、合规的身份管理能力。为此企业身份管理体系需要细化身份管理标准制度，设计身份管理流程标准和能力模型，制定身份数据对接标准。

但在企业信息化建设过程中，各类管理体系标准化程度参差不齐，其中的身份管理体系建设往往由于重身份管理平台建设，而轻体系规范标准设计，相对薄弱。

身份管理规范制度未根据企业自身情况，进行针对性分析和设计，并存在以下问题：

1. 管理制度未能体现业务数字化协同流程；

2. 身份、权限管理统一标准模型缺失；

3. 身份数据接口标准和同步机制差异大；

4. 统一身份管理平台无法充分整合企业身份管理流程环节；

5. 企业仍需要大量的线下配置工作，管理效果差、业务运作效率低。