产业安全专家谈丨身份安全管控如何助力企业运营提质增效？

随着业务上云、生态协作等新场景的涌现，过往以防火墙为边界的身份与访问控制遭遇了新的挑战，政务服务、企业营销与公众的触点逐渐从线下转为线上，升级身份与访问体系尤为重要。

如何打通云上与本地系统的身份体系，对内部员工和外部合作伙伴的账号、权限、行为进行统一管控；如何打破政企组织多个业务应用的数据孤岛，建立全面的身份画像，为用户提供更加顺畅和精准的服务？由腾讯安全联合云+社区打造的「产业安全专家谈」第十三期，请到腾讯安全云业务安全负责人周斌为大家解答以上问题。

周斌，资深网络安全专家，在黑产风控反欺诈方面有超过十年对抗经验，主导搭建腾讯安全天御业务安全风险控制体系，有效助力行业及客户解决所面临的金融欺诈、营销欺诈、有害数字内容传播、身份欺诈等业务风险问题。

Q：什么原因使原来的身份管控方法不再适用，让企业需要新的身份安全的管控方案？

周斌：随着业务上云和移动办公的产生，过去的身份管控方式不再适用。过去企业办公环境在同一个局域网内，可以用密码、数字证书，或二者双重认证，就可以保证安全。这就像保安看到工牌就能认证员工的身份。

但是在移动互联网时代，尤其是像今年疫情期间，出现一个非常有意思的事情，是远程办公开始流行起来。员工可能通过不同的终端和不同的网络环境来访问办公系统，这里就会产生BYOD（自带设备办公）的需求，于是身份认证系统必须要支持手机、平板电脑、笔记本等多种不同的移动终端的认证。

第二方面，随着云兴起以后，企业接入产业互联网。过去，很多企业都是封闭的经济体，接入产业互联网后，每一家企业都会出现大量的合作伙伴，工作往来中合作伙伴也有访问业务系统的需求。

既要实现员工在不同网络环境办公，又要实现合作伙伴通过外网来访问业务系统，那这个时候权限控制的难度就比原来要高了。

Q：除了现实的需求之外，政策和法规上是否也对身份安全管控提出了新的要求？

周斌：在《等保2.0》等规范里面，已经明确提出了多因子身份认证的要求。同时还有一些行业的规范里面也明确提到，比如说去年能源行业已经明确提了，需要有相应的身份安全统一的模块能力，比如说多因子认证、账号权限、行为审计的统一集中化管理这样的模块，所以在法律法规和政策的要求下，企业也会越来越有动力去建设身份统一管理这样的能力。

Q：为了更好地防范内部人员操作不当和内鬼泄密造成的数据泄露风险，企业除了加强数据安全防护外，还可以做哪些工作？

周斌: 操作不当和内鬼泄密其实是两个场景，第一是权限分配不当，第二是内部的泄密。

我们在做员工身份和访问控制的时候，必须有三个环节：账号与权限的梳理、访问控制梳理，以及API服务的梳理。

对所有企业来讲，要防范因权限操作不当引起的数据泄露风险，权限梳理是首先要解决的，同时也最难的问题。对于一个拥有几千人甚至上万人的大型组织机构来说，当企业拥有上千套系统的时候，是不可能有能力来进行实时维护的。尤其是在业务上云之后，公有云、私有云场景混杂，员工用不同的终端来接入系统，同时还要处理和合作伙伴的业务往来，这种情况下对于权限几乎无法去进行运营管理。

所以第一步最重要的就是员工身份权限要梳理清楚，而要把权限梳理清楚，首先要对权限进行集中化的管理。

第二步是当权限集中管理了以后，需要进行权限的审计。常规的审计里面，会进行日志的记录，来了解员工在系统中的一些行为，从而在员工出现不当操作的时候起到报警的作用。但是它无法判断进行操作的是否是员工本人，可能在高危操作进行的时候，本来拥有操作权限的账号已经泄露了。所以除了在前端进行身份验证，还必须在这个环节里面加入权限审计模块，不仅要进行权限的集中管理，更重要的是风控能力，当发现异常的时候及时阻断，以及事后的回溯检查。

另外就是除了操作路径以外，对实时的业务流当中的一些权限也是必须要去控制住的，比如说有些业务提供可调用的API，必须要在所有的路径上面都跟现在员工的权限去打通。因为当启动这种API调用的时候，我必须要知道该员工是否有调用的权限，一旦发现不具备调用权限，必须要进行拦截。

Q：对于身份安全管控的第一步梳理权限来说，您觉得现在有什么更好的办法呢？

周斌：传统的权限梳理办法存在两个问题，第一是工作量大，想要完全梳理清楚耗时耗力；第二个是维护困难，不可持续，如果权限发生变动，整体都需要重新进行梳理。

我们建议的办法就是把所有的权限统一集中在一个平台当中去处理。对于身份安全来讲，它的第一步就是把权限统一收拢，通过权限梳理的模块把各种办公系统或者运营系统里面与权限相关的模块，对接到身份管理中心里面去。对接完成以后，只需要把企业所有的员工做一次权限设定就可以了，如发生权限的变更，通过与工作流自动化逻辑结合节省人工。建立身份管理中心，不仅方便以后维护，也便于审计跟管理。

Q：除了企业管理本身，对于企业产品的公众用户是如何实现一次认证，多点通行的认证方式呢？

周斌：身份认证的产品，我们称为IAM，根据应用场景分为EIAM（企业员工身份管控）和CIAM（公众用户身份管控），那么EIAM主要是针对企业的雇员跟他的合作伙伴，那么CIAM主要是针对企业产品的公众用户，让用户可以通过一次身份认证，就能访问企业提供的多种服务。腾讯身份安全管控解决方案在像广东省数字政府项目的粤省事小程序，甚至包括中央部委的国家政务服务平台微信小程序都在使用。

国家政务服务平台微信小程序作为全国一体化在线政务服务平台的总枢纽，直通31个省（自治区、直辖市）和新疆生产建设兵团，以及40余个国务院部门的政务服务。为全国各地区各部门政务服务平台提供统一身份认证、统一证照服务、统一事项服务、统一政务服务投诉建议、统一好差评、统一用户服务和统一搜索服务等“七个统一”服务。

腾讯安全IAM身份安全管控解决方案，作为小程序主体框架实现了政务系统环境与政务云环境之间跨网络多系统应用的服务统一接入和管理，提高了各方应用服务汇聚效率，保障了疫情期间相关服务的快速安全接入。

Q：身份安全管控除了保障企业的数据资产之外，还能够为企业带来哪些收益？

周斌：因为我刚刚其实提到了企业里面有两个场景，一个是EIAM，一个是CIAM，随着传统的企业开始进入互联网，业务产品的用户里面可能更多的就是互联网的用户。

以航空公司为例，目前旅客使用航空公司的app服务，和他在机场使用服务，这两个场景之间的数据是不互通的，如果将这两个场景打通，会衍生出很多商业价值。比如说如果我们知道用户是已经浏览了航空公司奖品兑换或者促销的页面的时候，我们在机场就可以为他提供更具个性化的服务。

通过身份安全管控解决方案，将企业服务进行打通，那么除了满足企业自身身份认证集中管理的需求以外，还能延展到更好地去为客户服务。通过建立更加精准的用户画像，为他提供更好的个性化的服务，帮助企业最终延展经济价值。

Q：目前腾讯的IAM身份安全管控有哪些成功的实践？未来我们在这一块有什么更进一步的计划？

周斌：腾讯安全IAM现在已经是一个相对成熟的产品，我们在政府、广电、交通、旅游景区等行业都有大量的实践。而且类似于像国省事、粤省事这样的小程序里面，我们已经拥有了数千万的用户和超过两年的稳定运营的经验。

疫情期间，腾讯安全联合腾讯里约全力投入资源支持政务应急项目，IAM身份安全管控解决方案作为一体化的可信应用支撑框架，实现了国家政务服务平台的防疫健康码和跨省健康码服务的统一接入，扛住了数千万用户的高并发访问，保障了应急业务系统的稳定性和持续服务的能力，助力北京、湖北、黑龙江、重庆、广东等20多个省市数亿健康码的互信互认。截止到3月底，健康码累计亮码超过16亿人次，覆盖近9亿人口，累计访问量破60亿。

未来我们会把IAM跟企业的办公做更加深度的结合，跟腾讯会议、企业微信更好地去集成，帮助整个的企业快速高效的进行身份安全管控，避免大量重复的开发。

2分钟看懂腾讯安全身份管控（IAM）解决方案