2018C3领袖峰会 | 身份安全：现实世界中“杰森.伯恩”的困境

各位嘉宾：

    大家好！今天荣幸参加安全行业最具影响力的C3领袖峰会，并借此机会与业界的各位专家就身份管理领域方面的问题进行探讨。我们看到随着中国经济的快速发展，人工智能、云计算、大数据、物联网等技术的涌现与深度应用，促进了各领域朝着移动化、数字化的转型升级，从而推动了对IAM即身份管理与访问控制领域技术的迫切需求，这也是本次峰会举办身份安全专业论坛的核心意义。随着我国信息化应用水平的逐年提高，IAM领域为何更加重要？今天我发言的题目是《身份安全：现实世界中“杰森.伯恩”的困境》。首先通过提到《伯恩的身份》，也就是很多人熟知的《谍影重重》这部电影阐述我今天的主要观点。

    该部电影共有5部系列片，每一部都是围绕伯恩的身份展开。伯恩是美国中情局的秘密特工，在一次意外中失去了记忆，不知道自己是谁。同时失忆的伯恩也成为中情局的头号打击目标，而就此伯恩与他曾经服务多年的组织展开了激烈攻击，成为故事的主线。在此我重点强调的是，整部电影叙事的核心都是伯恩的身份，以及伯恩如何找回他失去的记忆，体现“身份”的重要性。另外该影片从一开始就把人物内部的身份危机作为重中之重，而与其他描述的多数都是着力解决外部危机顺带解决人物的内部危机有所不同。众所周知，内部攻击是最具有针对性和危险的。

    全球各国对数据保护与安全越发关注，逐步推出多项法规、政策，像GDPR，Open banking和PSD2，这些趋势都与身份安全管理密切相关。GDPR数据保护条例的主要目的就是保护个人隐私，聚焦各组织处理、存储以及使用个人数据。为了满足数据保护的监管要求，各组织必须证明其在数据保护方面的合规性。GDPR要求所有组织对个人数据的使用，必须征得个人的同意，而且个人可随时收回使用权；要求企业必须梳理其当前个人信息资产分布，确保用户有唯一地方可以修正这些信息；在用户的要求下，用户数据可以从一个组织转移到其他组织。IAM对于组织遵守GDPR行为准则至关重要，因为GDPR要求组织在数据泄露的72小时内上报，这就要求组织须拥有一套健全的IAM系统，这样他们才能在规定的时限内上报什么人在什么时间访问了什么数据。

    “Open Banking”计划是由英国竞争和市场管理局（CMA）在2016年主导，其理念是推动金融数据共享，个人可以通过简单、统一界面管理所有的金融账户，从而更便捷地根据个人需求选择合适的金融产品，推动传统银行和金融科技公司更深层次地协作和竞争，最终实现用户利益的最大化。总结IAM实现的核心目标是帮助组织加强安全、提高效率、增强责任审计。据不完全统计，国内个人信息泄露数达55.3亿条左右，平均每人就有四条相关的个人信息泄露。其中80%的数据泄露来自企业内部员工，黑客仅占20%，超过66％以上的网络盗窃和攻击也是由内部人员导致或执行的。在过去的15年中，数据泄漏或内部违规的频率和数量大幅增加，每年新增的记录都超过了之前的数据。

    在PwC近年关于金融业的一项研究中，可以看到金融业的流动率较高为18.6％，而通过深入分析得出的是1980年至2000年出生的这代人，成为其中的主要驱动因素。另外，PwC对金融服务业的这一代人调查发现，只有10％的人员计划长期服务于所在的组织，42％的受访者表示他们很接受出现新的机会，48％的人正在积极寻找新的变动机会。此外，在2015年离职的分析员和助理职位平均在其职位的履历仅有17个月，在2005年平均保持的时间为26个月，而在 1995年的平均时间为30个月，显然这些新生代人是金融服务行业人员流动的主要因素。

    在一家大型集团企业或组织中，每年有数千人的人员变动，不断地进入和离开组织。 组织如何最好地保护数据安全和知识产权。 虽然没有一个百分百完美的解决方案，但全球众多安全专家首选推荐的解决方案是须要做到实施“最小特权原则”，即将访问权限控制到最低水平但仍能保证正常运作的管理原则。应用到人，最小特权原则就是给最低的用户访问权限，但他们仍能进行日常的工作。每个身份，包括内部员工、外包人员、供应商、合作伙伴、互联网用户以及不同机器、设备等物体的身份，必须能够仅访问为其合法用途所需的信息和资源。我们想下当前有多少企业，可以在一小时内完成权限控制的数字安全报告，详细说明每个不同纬度的人员对所有关键系统如ERP，HR，CRM，OA,文档存储等信息系统的访问权限和行为。此外，在人员离开岗位时如何确保对其所有的访问权限实现自动化的一键回收，并形成实时可核查的审计报告。

    接下来是密码，密码已经使用了几十年了。 密码自成立以来一直存在问题。 主要的是需要记住它们，这导致人们以物理或数字方式记录下来密码。 密码的第二个安全问题是共享密码。 在信息技术时代，黑客攻击密码的效率和准确率变得更高。因此，多因素安全认证方式成为必然的趋势。我们须要关注的问题是，在短时间内有多少企业可以从只有静态密码或某一种生物识别身份验证（如指纹）方式快速便捷地转成其他更多丰富的安全认证方式。从商业角度看，制定 IAM 战略能优化流程，提高运营效率，实现跨部门、跨职能的无缝协作。IAM平台能实现用户电子身份全生命周期的智能化管理。当一个员工入职时，身份管理平台会自动获取入职这个事件，并且自动为他开通和角色对应的电子身份，在他离职、调岗、反聘的过程中，电子身份和权限都会自动更新，避免手动干预，通过减少冗余操作来提高操作效率、降低运营成本。

    另外，IAM在合规审计方面也发挥了优势，通过多因素融合认证可增强认证的安全性。随着越来越多的行为数据被收集，组织需要一种持续的基于风险的智能识别方式，以确保对风险进行实时预警和有效防范。采用机器学习的方式自动识别风险，根据不同风险等级动态调整安全措施，风险要素包含物理位置、IP地址、工作时间、设备ID、设备指纹、设备健康评估，已知的受损网络和IP地址、用户的属性、历史、设备，是不是新设备、设备是不是被越狱了等等。通过IAM将人的身份和业务数据关联，确保数据源的完备，实现切实有效的异常行为分析；利用智能风险引擎，提供基于风险策略和数据监控功能，实时评估用户风险，识别用户的不合规行为。从可疑IP关联到的用户，再从可疑用户关联到其使用应用、敏感文件等，结合细粒度的审计跟踪报告，实现事前风险预警和事后责任追溯。通过记录所有的访问请求以及审批人员的动作，提供一个完整、可追溯的审计记录，显示谁提出了要访问哪个系统的请求，以及谁同意或否决了这个请求。同时提供可扩展的报表来驱动自评估流程，提供数据安全合规的证据。

    科技发展的趋势就是融合与协作，建立健壮而敏捷的智能身份管理平台是有效支撑现代组织实现业务融合与高效协同的基础条件。身份安全已成为当前数字经济的基础保障，也是企业参与全球化竞争的必备条件。通过执行一个全面的身份管理与访问控制解决方案，企业将可能成为以最低成本，运用新技术推动业务健康发展的组织。