2017新技术研讨会| 一带一路：建立智能身份治理体系，提升中国企业全球化竞争力与公信力

大家好，我是竹云董宁，很高兴有机会在这样精英云集的央企会议中作主题分享。近期我在杭州举办的工业大数据论坛中作了有关机器到机器（M2M）身份治理与管理赋能的主题演讲，核心观点是提出了确保数据安全访问和安全交互的关键环节就是对大数据环境下所有类型用户的身份安全管控。今天我发言的主题是“一带一路：建立智能身份治理体系，提升中国企业全球化竞争力与公信力”。

在全球经济发展一体化与信息科技高度融合的时代，跨地域、跨行业、跨组织的资源整合与高效协同能力已构成一个国家及组织在国际市场中的核心竞争力。现今，“一带一路”是恢复历史性贸易路线和简化从亚洲到欧洲货物运输的全球化发展战略，并成为21世纪最大的基础设施项目之一。这项覆盖广泛的全面化投入和努力，将为60多个国家带来显著的经济增长。这些国家人口占全球人口的70％，GDP占全球一半以上，贸易数额超过全球的24%。中国已投资超过500亿美元，并与超过上百个国家签署自由贸易协议或建立其他合作伙伴关系。中国“一带一路”倡议包括贯穿中亚和欧洲的丝绸之路经济带，以及贯穿东南亚，非洲，欧洲的21世纪海上丝绸之路。随着“一带一路”国家战略的加快推进，中国更多优秀的企业将加大拓展全球市场，因此打造现代化的“信息丝绸之路”也将会成为中国与世界无缝连接的必经之路。

然而，在这项促进世界经济增长的伟大举措下，当人们提及“一带一路”时，目前更多想到的只是火车，铁路，港口，船舶这些所需的大量基础设施，而在如何运用前沿的信息科技让贸易手段变得便捷、安全、合规以提升中国企业全球化竞争力和公信力方面，其所受到的重视还远远不够。这也是今天我选择这个演讲题目的意义所在。希望能结合所从事的专业技术领域以及在国内外市场的发展现状和应用场景谈一些行业思考和建议。

我们知道在沿线“一带一路” 这些众多国家中，每个国家的上千个供应商的货物都需要进行不同的海关程序，通过火车，船舶和最后一公里的卡车运送货物，并且可能需要运送到上千个仓库。首先，从中国到吉尔吉斯斯坦、哈萨克斯坦、俄罗斯、波兰到德国的火车将需要装卸产品，蔬果和各类矿产。国家海关官员和终端操作人员的每一步都需要检查，报告，审核和记录是谁在国家的信息系统中添加或删除哪些内容，以及核查这些权限是何时、被谁审批的，同时这些信息也需及时传递给供货和卸载货物的企业。另外，相关制造商，矿业，农业和运输公司都需要知道在火车抵达之前还剩下多少货物存放的空间以及是存放哪些类别货物的空间。其次，在海运和港口运输中，当船舶从上海到越南、菲律宾、泰国一直到西班牙，同样需要海关官员和装卸货物的人员能够便捷操作的企业级管理软件系统。虽然众多先进的信息基础设施已在欧美国家发展多年，其中多数都已超过15年，但这些国家使用的核心企业级软件系统目前都不是中国公司设计的。当前，中国企业级软件行业在全球发展的市场份额远落后于美国几大软件公司，在风控方面的信息化投入程度与欧美国家比较也相差甚远。这里我要重点提及的是：一个在国际上有公信力和竞争力的现代化组织或企业，须要建立符合国际标准的内部控制体系与身份安全治理机制，以确保组织合理控制是谁，在什么时间，被谁授权，进入了哪些业务系统或访问到哪些设备或数据。在万物互联的信息时代，身份管理让世界的一切连接变得简单和可靠，也是保障企业业务高效协同、稳定运行和风险控制的关键条件。

先简单看下沃尔玛这样的全球性公司是如何通过建立内控治理与统一用户身份管理体系实现其全球业务发展的精益化管理与风险控制的。他们需要在全球范围内通过航运公司，陆地，海上以及最后一英里，都能够无缝地与其全球供应商沟通合作，并且让所有供应商能够实时追踪发送存货所在的位置。最重要的是，沃尔玛需要全面控制全球员工、所有合作伙伴、供应商、托运人等不同身份的人员合理访问其庞大信息系统的不同部分，以确保全球化业务运营的效率与安全性。做到这些，必然需要建立一套标准化、规范化、高敏捷型的身份管理与访问控制系统。作为信息基础设施的现代化管理系统，其关键组成部分就是身份管理与访问控制平台软件。无论从沃尔玛、花旗银行到和记黄埔，还是控股全球13个国家的运营商并在26个国家运营业务的挪威电信,他们都是将其所有关键业务系统做到无缝融合，这些依靠的就是核心的身份管理与访问控制系统。智能化身份管理系统可以有效控制谁，在什么时间，可有权限访问哪些业务系统，如人力资源，CRM，SAP，金融系统以及行业定制的各类业务系统。现代化管理的跨国企业，其每一个重要系统都将融入最核心的统一用户身份安全与访问控制管理平台，以确保组织中的每个人员被授予合理的访问权限，风险审计人员也需要同步实时审核是谁，在什么时间，被谁授权，进入到哪些业务系统。

我们再回顾下当前中国信息化发展的现状和问题。现今，各领域朝着数字化、移动化、互联网化快速发展，企业信息环境变得庞大复杂，正面临着快速变化与挑战：

一是，用户数快速增长，用户维度扩大。有日益增长的内部员工、外包人员、供应商以及外部客户、互联网用户等，这些不同类型的用户被赋予的岗位职责与权限，对组织的流程效率和风险密切相关。

二是，信息化应用规模不断增长，存在信息孤岛，缺乏统一用户管理及应用安全接入的管理规范。企业在不同时期建设了各类系统，如办公类系统、核心业务系统及互联网业务系统，这些系统分别采用了不同的用户身份管理体系，缺乏统一的身份安全管理规范和安全接入标准。 

三是，对用户的电子身份缺乏自动化流程管理的技术手段。当前，企业为不同类型的所有用户创建与禁用电子身份和系统的访问权限时，多数都是通过手工逐个操作，效率低下，需要花费大量的人力成本和时间成本。当组织中涉及到人员调动、轮岗等用户权限变更或离职回收时，手工操作容易造成人为违规操作造成的安全后门，如遗漏账号、违规私建账号、账号数据误删除等。遗留的安全后门成为组织信息资产外泄的黑洞，离职人员仍可能利用这些账号继续违规使用系统，获得保密资料，造成资金丢失等重大损失。

四是，随着云计算、物联网、大数据等新兴技术的蓬勃发展和深度应用，让企业业务场景变得丰富、多样化的同时，为信息安全管理也带来诸多挑战。

为此，企业信息安全管理应重点关注几方面：加强内部风险控制和对内、外部不同维度人员的身份安全与系统权限的统一可视化管理，同时通过建立智能身份治理体系，有效融合各类应用、APP、门禁考勤、无线上网设备以及服务器等；提升互联网、移动用户的安全管理及优化用户体验，建立智能风险管控系统模型实现对不同用户访问行为的统一授信和分级授权机制，系统自动识别不同级别的安全风险，才能做到事前预警与有效防范，并实现移动端和PC端的无缝融合，通过多种身份安全验证方式组合，大幅优化用户体验。为增强云端应用安全，首先要增强企业各类云应用和云用户的统一授权、统一访问、统一审计。在物联网应用安全场景，就是我曾经提过的如何解决M2M机器到机器之间的安全交互问题。