2017中国网络安全会议 | 身份治理 万物互联
各位领导,各位嘉宾、到会的行业伙伴们:
大家好!我是竹云CEO董宁。今天这个会议活动是中国网络安全行业的盛会,也是我们行业伙伴们有机会思想碰撞,从而展开事业合作共赢的一次契机!2个多月以前,我在北京科博会中关村创新论坛的发言,是以一部电影《终结者》的经典台词“I’ll be back”结束的。那个主题讲的是AI和安全。现在,I’m back,今天我想与大家探讨的主题是“身份治理 万物互联”,有关IoT、云应用和安全。
科技总是在日新月异中不断进步并且越来越好,现在只要想下我们的手机从第1部、第2部一直到此刻你手里可能正看微信的手机所发生的变化。手机和手机的各类应用让我们的生活变得更加容易和丰富,最明显的例子就是人们可以通过手机进行便利地支付。然而,生活中的事物在提供好的方面同时,也就可能产生负面影响。想想10多年前,如果在出租车上丢掉手机,所造成的影响仅是丢失了所有联络号码,最多令你心烦一会儿。而随着智能手机在生活场景中发挥着强大影响,现今如果丢失手机,所造成的损失可能足以影响你的心跳。
我们常听到对IoT/物联网概念的这样那样的说法,在此用简单直观的描述回顾下物联网的发展变化和其所带来的多样性与复杂性。简单理解,物联网就是多个物体间能够通过网络实现智能的沟通和连接。物联网概念早在1982年,由可口可乐的自动售卖机与连接在卡耐基梅隆大学的网络延伸的,它可以快速告诉调查者这些饮料温度是否够冰。这些信息很重要,因为消费者在炎热的夏天更喜欢喝冰的饮料。同时它不仅能让调研者了解这些瓶装饮料的温度是否达标,而且让公司更清楚每一个品种的饮料在售卖机中还剩余多少数量。人们知道在这个应用场景出来之前,售卖机操作人员每次不得不就每一个品种带来大量的饮料,从而浪费了很多时间和多载运货的汽油。而有了这些最初物联网概念应用后,就此产生了更多可以让饮料公司实时了解什么样的口味更受市场欢迎的有价值数据,因为这些智能自动售卖机开始广泛应用于实时存货管理中,由此形成的众多数据变得更加有效用,比如得以快速分析一天中多数人在什么时间最喜欢冰的苏打水,和一星期中哪一天哪一种苏打饮料最快被喝完。
至今35年过去了,就如你的手机不断进化一样,物联网也将被应用于数不胜数的行业场景中。如应用于媒体、环境监测、基础设施管理、制造业、农业、医疗健康、智能楼宇和家居、交通运输、智慧城市、消费应用等。我们从可口可乐自动售卖机的例子很容易理解物联网对这些行业带来的益处。如今网络通讯的方式如RFID射频识别技术、蓝牙、4G以及未来会有更小、更快的处理器与网络连接,这将推动物联网行业的蓬勃发展。Gartner预测,到2020年,IoT相关的设备总量大约2120亿,这其中包括超过300亿台自主安装的设备。当万物互联的设备变得更加丰富、连接无中断并且需要确保安全的基础条件下,IoT技术将会在众多领域产生巨大影响。
这里我要重点提及的是,科技驱动产业环境变化与行业快速发展,而安全性对于任何一个新技术应用领域都是至关重要的。信息化随着社会经济与业务发展的需求应运而生,而信息安全需求也是随着信息化应用的广度和深度日益增长。信息安全发展趋势随着业务变化主要经历了各类基础设施与网络环境安全建设,之后伴随在基础设施之上的众多业务类型应用系统的建设,又对应用系统安全和访问系统的人员管理、身份管理有了多样化需求。接下来由于企业规模不断扩大,信息环境处于动态变化中,因此组织更需要建立完善、系统的安全管理体系,必须让技术手段与管理机制实现有机结合,技术驱动管理创新,同时相适应的管理机制又能够推动技术手段得以顺利落地。
我们知道,企业组织架构只是给经营活动的运作和控制提供了一个基本框架,而日常进行实际操作的是每一个人员,业务流程中各环节的有序衔接实际就是各部门、各岗位人员工作的紧密衔接。为此,对组织各部门科学的岗位职责与权限划分,既应考虑工作需要,也必须兼顾内部风险控制,使岗位职责划分既清晰又合规。总言之,组织只有进行清晰、合理的权责划分,才能为内部风控体系奠定坚实基础!组织需要合理划分每个人员的岗位职责和权限安全边界,确保合适的人、在合适的岗位,有适当的职责与访问权限,并结合不同发展阶段定期回顾查验权限配置的合理性,同时对权限分配机制以及用户访问行为进行集中的入口管理,确保对人员及其访问权限做到及时预警、事中实时控制和事后责任追溯。
当前时期,各产业在加快向电子化、移动化、互联网化快速发展,我们看到业务场景几个明显变化以及所带来问题有:
一是,用户数快速增长,访问系统的用户维度不断扩大。有日益增长的内部人员、外包人员、供应商以及外部客户等不同人员,而这些人员所被赋予的岗位职责与权限,对组织的流程效率和风险都密切相关。大量数据显示,多数安全风险实际是来自组织的内部人员,以及由于缺失规范的内部控制体系导致与内部相关联的外部人员违规操作,从而直接威胁到组织经营安全。因此,我们需要考虑如何将不同纬度的人员纳入统一的风控管理体系,需要实时了解无论是内部还是外部人员以及互联网用户,他们具体在什么时间、访问了哪些系统、有哪些违规的行为。
二是,应用规模增长,信息孤岛现象严重,缺乏应用安全接入的统一规范。企业在不同时期已建设了各类系统,如有已建成的管理类hr系统、OA系统、AD、邮箱,还有各类业务系统以及互联网系统,这些系统分别采用了不同的用户管理体系,用户电子身份孤立分散在各自的应用系统,缺乏统一的管理规范和安全标准,在信息安全和运维管理上存在风险隐患。因此,我们需要将所有应用系统纳入集中管控的范围,实现统一授权、统一身份管理、统一安全认证,同时将不同的安全认证方式(如人脸、指纹、声纹、动态口令、证书等)纳入统一的安全入口管理,提高用户体验、增强安全性,并形成应用安全接入规范。
三是,对用户电子身份管理缺乏统一授信机制与流程自动化。由于缺乏统一身份管理,企业为这些用户创建与禁用账号权限时,以往都是通过手工逐个操作。从创建一个账号权限到通知用户,需要花费大量的人力成本和时间成本,导致效率低下。当涉及到人员调动、轮岗等用户权限变更或离职回收时,手工逐个操作容易造成因人为不当操作而产生的安全后门隐患,如遗漏账号、违规私建账号、账号数据误删除等。遗留的安全后门成为公司信息资产外泄的黑洞,离职员工仍可能利用这些账号继续违规使用系统,获得销售、客户、产品等保密资料,甚至造成客户资金丢失等重大损失。因此,需要根据用户的最小化权限配置策略做到合规账号权限的自动创建与一键回收,提升用户体验,有效规避人为不当操作造成的安全后门重大隐患。
四是,移动应用、云应用技术的快速发展,业务需求场景变得复杂多样化。无论对于内部员工还是互联网用户,都需要跨平台高效、安全登录的用户体验。
五是,国家网络安全法的颁布实施,内、外部的合规审计监管要求加大力度。《网络安全法》明确指出:“国家实施网络可信身份战略,网络可信身份认证体系是网络安全的核心。为深入落实《网络安全法》,2017年下半年,我国会继续加强网络可信身份体系建设。”随着《网络安全法》的落地实施,国家关键信息基础设施领域的网络安全审查力度将进一步加大,安全可控信息技术产品市场将得到爆发式增长。
现代企业需要将身份安全管理纳入企业战略规划中,并建立内、外部用户的统一身份安全管理体系,建立一套规范化、高扩展性的统一身份安全管理平台。平台面向内部用户、移动用户、互联网用户提供集中用户主数据服务,提供统一授权管理、统一访问控制、集中合规管理。通过平台建设,高效整合管理类业务、核心业务以及互联网业务,提升信息系统对业务的快速响应能力,加快跨界业务融合的流程效率。另外,在不同场景下,通过统一身份安全管理平台、对各种移动终端管理的安全平台、对外网用户统一管理的互联网安全访问平台以及云应用身份管理平台,为内部人员、互联网用户提供统一规范的应用接入服务、应用安全服务、以及可视化安全监控服务等。
身份安全管理为行业带来价值,从增强内部控制需求看,通过智能身份治理,有效融合各类应用、APP、门禁考勤、无线上网设备以及服务器等;从互联网用户安全管理及优化用户体验看,需实现面对外部客户、微信用户等外部人员一键式高效登录互联网系统,并通过风险引擎组件建立统一授信机制,同时根据不同安全级别的业务系统实现多层级、多类型的身份安全验证方式,并建立一套完善的互联网用户规范、应用安全规范;从增强云端应用安全看,一方面需要提高用户线下、线上跨平台的访问效率,同时需要增强企业各类云应用的统一管控。如今我们已看到也相信未来必定会有更多的企业会使用如云邮箱、人力资源、客户关系管理、财务管理等各种云应用,但随之而来的问题是,各云应用系统处于孤立分散。当企业需使用来自不同应用厂商提供的各类云应用时,如何确保企业用户可以快速、便捷地登录这些不同系统,而避免重复登录和需要记住多个系统复杂密码?当企业为内部员工、外包人员或者合作伙伴在云平台创建账户权限时,我们如何实时地创建账号权限?更为重要的是,当这些用户离职或换岗时,信息管理部门如何做到对用户账号权限的自动控制和一键回收,避免因人为造成的遗漏账号、私建账号等这些不当操作而留下安全后门隐患。由于遗漏账号的存在,将会让企业额外负担一些本不该发生的服务费用。从物联网应用安全场景看,未来在互联网、云计算、物联网、AI等新技术深度应用的丰富场景下,每一个人访问系统,须要拥有一个合规的电子身份,同样每一台互联互通的设备以及像人一样可能产生思考的AI也须要有一个合法的身份才能有效控制违规访问行为的风险。互联网的典型特征是跨界融合、创新驱动、重塑结构、用户体验、开放生态、连接一切。而身份安全则是决定能否高效连接一切,是企业信息资产安全管理的重要落地手段。
