写点什么

芯盾时代的身份安全产品体系

作者:芯盾时代
  • 2024-11-28
    北京
  • 本文字数:2725 字

    阅读完需:约 9 分钟

芯盾时代是业界领先的零信任业务安全产品方案提供商,具备全栈零信任身份安全产品和服务能力:


芯盾时代 IAM 能够适配大企业用户复杂的应用访问需求,提供云端、互联网端、企业内网全场景的身份访问安全接入能力;

芯盾时代 IAM 能够理解大企业用户的身份差异,为内部用户、合作方和生态链伙伴、外部等用户提供丰富、安全、便捷的访问授权和认证服务;

芯盾时代 IAM 能够兼容大企业复杂的 IT 环境,对各类核心 IT 资产提供集中的身份访问控制能力,支持大企业信创发展,保护企业 IT 资产投资;

芯盾时代 IAM 能够帮助企业打通割裂的身份管理流程,规范企业身份管理体系,简化企业身份运维操作,助力企业实现新质生产力的效率提升。

全栈零信任授权模型

大企业提升生产运营流程数字化运转效率的同时,也面临内外部复杂用户使用业务系统时潜在的业务和数据泄露风险。企业统一身份管理体系需要能够对用户进行自动化细粒度授权,并对用户业务访问过程中用户终端、网络链路、应用负载、API、服务器等各业务环节,进行实时动态授权控制,确保授予最小安全权限。

为满足企业权限管理工作的灵活性、准确性、自动化需求,身份授权控制模型也在持续演化,通常认为演进路线是 ACL-RBAC-ABAC-PBAC。

芯盾时代 IAM 系统立足零信任安全体系,除支持 ACL、RBAC、ABAC、PBAC 权限控制模型外,为实现对用户业务全流程持续进行最小安全授权控制的目标,内置 CARTA 安全框架流程,并通过切面控制机制,落地 PBAC 和 CARTA 模型的权限控制措施。能够满足不同用户、全业务场景、全业务流程权限控制需求。


  • ACL(访问控制列表)模型能力:芯盾时代 IAM 对应用资源,维护和管理权限定义列表,记录可以对这项资源执行操作(只读/读写/执行等)的用户权限关系。企业应用不再维护用户权限关系数据。当用户访问应用资源时,应用向 IAM 申请,并检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。

  • RBAC(基于角色的访问控制)模型能力:是实施面向企业安全策略的一种有效的访问控制方式。芯盾时代 IAM 系统管理的各种权限不是直接授予具体的用户,而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后,该用户就拥有此角色的所有操作权限。将用户和权限进行分离,彼此相互独立,使权限的授予更加灵活。能够适配企业细粒度的授权管理需求。

  • ABAC(基于属性的访问控制)模型能力:ABAC 使用实体属性核心概念对主体、客体、权限及授权约束进行统一定义管理。芯盾时代 IAM 系统管理支持通过为四类属性定义和约束用户权限和访问:主体属性(如用户通过部门、岗位、职级等主体属性定义的用户组),环境属性(如访问 IP、访问时间等),行为属性(异常登录、异常操作、高频行为等)和对象属性(应用类型等),并实现灵活和可扩展的访问权限控制。

  • PBAC(基于策略的访问控制)模型能力:PBAC 授权不依赖于任何特定的实现(如 XACML),通过自然语言定义策略直接约束用户授权,不再需要用户组等中间的链接,直接定义用户和资源之间和授权链接策略。芯盾时代 IAM 具备场景化规则引擎来定义和决策用户与资源之间的授权策略(PAP+PDP),并通过认证控制插件和切面控制机制(PEP)执行权限控制策略。

  • CARTA(持续自适应风险和信任评估)安全架构:超越单纯的 RBAC 和 ABAC 授权模型,能够持续对用户访问实时进行持续的上下文感知安全评估。芯盾时代 IAM 具备 CARTA 安全框架流程能力,能够在用户访问全流程中持续监测并使用用户终端、环境、行为、资源属性的访问关系数据,分析用户身份权限风险,给出实时处置策略。

  • 切面控制机制:芯盾时代 IAM 切面控制机制,能对用户业务访问全流程中任意环节,代理并监测用户身份、设备、行为数据,执行对用户差异化权限控制手段,落实 CARTA 和 PBAC 控制策略。

移动身份安全能力

身份的安全性至关重要,大企业通过统一身份管理,为用户提供便捷的业务流程支撑服务。保证用户本人的认证授权安全性、有效性和便利性,是芯盾时代始终坚持的目标,并已具备深厚的专利技术支撑。

芯盾时代 IAM 系统具备对用户手机终端的唯一性识别、用户密钥的安全生成、存储、调用,以及手机安全环境的检测。将用户手机打造成移动 U 盾,大幅提升用户认证的安全性:


  • 优秀的识别能力:芯盾时代 IAM 设备指纹专利技术深厚,精准识别 Andirod、IOS、鸿蒙各版本操作系统环境参数、安全风险,设备唯一性识别能力国内领先。

  • 完备的密码生态:芯盾时代 IAM 移动端内置安全密码插件通过商用密码二级认证(软件最高级别),满足等保三级移动端密码技术的使用要求。

  • 安全的使用环境:有效检测拖库撞库、人脸识别绕过、屏幕共享、通话状态等用户设备端风险,保证用户登录认证和业务操作的安全。

丰富的身份管理经验

芯盾时代 IAM 系统已成功服务众多央企、集团企业,深刻理解大企业在统一身份管理需求的痛点,积累了丰富的交付经验,能够真正帮助企业打通信息流程数字化孤岛,规范人员身份安全管理、提升人员使用效率和企业生产效率。

  • 身份治理经验:某央企集团组织机构复杂,人员类型多,现存账号体系混乱。芯盾时代针对对接的数十个应用系统,5 万+原始账号,经过账号清理、反馈、再清理工作,同步完成集成系统初始账号映射和权限数据的整理。 

  • 权限治理经验:某集团企业权限管理分散,在各应用系统和原身份管理系统中维护 500 余角色和 1000 多个岗位定义,企业权限集中管理和配置困难。芯盾时代协助客户,通过权限调研和规划设计,进行权限模型和权限管理流程设计治理,整改设计后的权限模型中配置不超过 100 套标准角色和岗位模型,并通过芯盾时代权限中心实现自动化授权管理流程。

  • 认证服务经验:某集团企业拥有 60 余万用户,众多业务系统存在内外网访问需求,而用户认证只有账号密码和短信方式。企业认证安全能力不足,人员操作繁琐,无法保证重要应用的认证安全程。芯盾时代 IAM 系统为用户提供多因素认证中心,用户可通过扫码、推送、令牌等方式认证操作,且可对用户从外网访问重要应用进行二次增强认证。系统日均提供认证服务 23.3 万次,拦截登录撞库 3 万余次。 

  • 流程集成对接经验:某生产制造集团企业,机构众多,经常需要机构间人员派驻,以及合作方员工入驻。由于非本机构人员身份的复杂性,和系统使用需求差异,人事和 IT 管理脱节,人员申请审批后,需要各应用管理员自行逐个开通/冻结人员账号权限,管理繁琐且易出错。芯盾时代 IAM 帮助企业打通 IT 审批流程和人员管理流程,通过身份模型和授权模型配置流适配人员类型,对接 OA 流程引擎。实现人员权限的自动实时配置:人员入场,应用权限实时按需开通;人员离场/离职,应用权限实时冻结/延时冻结。帮助企业“跨系统流程集成,业务申请流程与授权集成处理,让业务更专注于合规性审核”。

 

发布于: 刚刚阅读数: 3
用户头像

芯盾时代

关注

以人为核心的业务安全 2024-03-20 加入

还未添加个人简介

评论

发布
暂无评论
芯盾时代的身份安全产品体系_身份认证_芯盾时代_InfoQ写作社区