芯盾时代统一身份安全管理的闭环能力建设

本文链接：https://blog.youkuaiyun.com/trusfort/article/details/144657997

通过前期能力建设，集团企业统一身份安全管理体系，具备了适配组织业务协同要求，进行标准化、细粒度、安全高效的身份管理能力。本阶段在此基础上为企业的全面数字化转型，提供身份安全闭环能力建设，帮助企业将身份安全管理体系能力最大化：

扩展身份安全管理场景，从业务运营支撑向IT运维管理扩展。从保障业务权限和使用安全、向保障数据流转安全延伸；
延伸身份权限管理向量，从身份到应用权限的管理能力，延伸至身份到IT资产权限的管理能力；
身份安全能力闭环，拉通各身份管理系统事前、事中、事后身份安全能力，综合分析判断，形成闭环的身份安全管控能力体系。

此建设阶段芯盾时代IAM基座系统通过扩展操作系统用户身份与访问管理系统（OIAM）、网络安全设备运维认证系统（AAA）、用户行为分析系统（UEBA）；为IAM和UAP扩展应用账号回收流程和应用权限数据回收流程，并提供应用事后账号、权限合规分析能力；为SDP系统扩展运维访问管控能力。整个身份安全管理体系以IAM为统一身份基座，以UEBA为身份分析策略能力中心，协同运作：

IAM作为统一身份基座，为OIAM、AAA系统同步供应身份信息，帮助系统适配多维组织用户身份差异。提供统一多因素认证服务供OIAM、AAA、PAM系统调用。
UEBA作为用户风险策略中心，依托大数据AI技术架构，汇总各系统异构用户身份安全数据，综合事前、事中、事后风险特征，判断用户风险，为各系统提供风险处置策略，形成安全体系闭环能力。
SDP为用户安全入口、为管理员运维操作提供安全接入和用户端环境数据安全防护；
数据安全体系，建立数据存储安全、数据处理安全、数据交换安全、数据销毁安全管控能力，并依托数据安全咨询服务，实现全生命周期数据安全治理。

集团企业IT系统方面，此阶段需要集团各业务应用开发账号、权限数据回收接口，与身份安全体系完成数据回收联调；需要为网络设备调整认证所需的radius/Tacas协议配置，实现集中登录授权对接；调整各IT设备资源的特权账号管理配置，支持特权账号的扫描发现和托管流程。

信创操作系统身份管理（OIAM）能力建设

为满足集团企业信创改造的发展，芯盾时代操作系统身份管理系统（OIAM）能够帮助企业无感替换AD域管系统。具备全面的兼容性，支持各种标准身份协议和组件，兼容集团企业各种信创和非信创操作系统、应用、设备。帮助企业将操作系统用户管理与认证纳入IAM统一管理范畴，实现业务域与办公域统一身份统一管理，全面提升身份管理能力。

芯盾时代OIAM具备微软AD的所有核心能力，提供操作系统的系统加域、账号认证、组策略管理功能，兼容Windows Server 2008 R2 AD DC规格，企业可以平滑无感的完成微软AD的替换。

凭借对LDAP、AD、RSAT、Samba等标准协议和组件全面的支持性，OIAM能够无缝接入Ubuntu、CentOS、RedHat等Linux系统和统信UOS、麒麟KylinOS等国产操作系统，以及邮箱、VPN、云桌面、SaaS应用、有线网络设备等异构的应用和设备。

特权账号管理能力（PAM）建设

集团企业数字化发展推动IT系统的快速建设，IT资产数量和类型快速增加，特权账号成为对IT系统运维使用权限的管理入口哦，并成为运维安全的基本条件。而特权账号分布散，种类杂，数量多，权限高的特点也成为集中管理的难题。

芯盾时代特权账号管理系统（PAM），为企业建立特权账号全生命周期管理体系，帮助企业发现特权账号、管理特权用户、识别账号风险、全局定期改密、完善安全审计，全面提升对特权账号的管理能力。

芯盾时代PAM系统内具备国密数字密码保险库、密码管理系统、账号应用集中管理系统三大技术组件：

国密数字密码保险库Vault ：保存特权账户密码、访问控制策略、密码管理策略
密码管理系统CPM ：实现了针对操作系统、网路设备、数据库、Web应用、目录服务器、中间件等类型密码修改，密码修改成功后保存在 Vault中
账号应用集中管理系统DSM ：实现对终端类、窗口类、远程桌面、浏览器等资产应用集中管理、授权、访问、审计，从Vault中获取用户密码实现密码代填。

网络IT运维认证安全能力建设

集团企业数字化程度提升使企业网络不断升级扩容，持续的建设过程形成设备厂家众多、设备在网时间跨度长、服务支撑程度不一的客观情况，并对运维管理带来统一身份安全挑战。

网安设备统一运维认证（AAA）能力建设

芯盾时代通过部署网络安全设备统一运维认证系统（AAA），并对接在IAM安全基座，实现拉通集团多维组织用户身份体系，和多因素统一安全认证能力，为对集团企业对异构网络安全设备管理提供统一认证管理服务。

系统同时支持Radius和Tacas+认证协议，能够兼容华为、华三、思科、深信服、奇安信等主流网安厂商设备，对用户运维登录提供统一的认证、授权、审计功能，防止非法用户登录设备与未授权操作，实现集中、安全的网络设备管理：

认证：确认访问网络用户的身份，判断访问者是否合法。
授权：对用户赋予权限，限制用户可以使用的服务。
计费：记录用户使用网络服务操作，实现网络审计和计费。

IT系统运维接入安全能力建设

集团企业IT系统分布在多个网段，重要性和安全性不同。为满足管理员在内/外网环境，通过一台设备上访问任意（可管控）网段的IT系统并运维操作的需求。芯盾时代零信任SDP系统提供统一接入控制、和用户端运维工具及数据信息的隔离保护，支撑高效统一的IT运维工作的开展，

为此，在SDP零信任系统平台已实现能力基础上，扩展管理员IT运维安全接入能力。通过扩展用户端安全沙箱，配合各网段零信任网关安全接入能力，在控制器的统一调度下，实现管理员对不同业务域、不同安全级别IT应用和IT资产进行运维管理所需的统一认证接入、开发运维环境隔离、数据文件隔离需求。

通过统一身份管理体系，判断管理员身份和业务管理权限，根据用户授权，为单用户授予多个的安全空间权限。
绑定与准入：建立“用户-（单）设备-（多）安全空间-（多）网段”的绑定关系。
空间加载：当用户在任意设备上登录客户端时，基于安全沙箱，根据用户授权加载对应的(多个)已授权空间，各沙箱空间分别安全对应系统开发运维工具，并实现数据和文件的运行和存储隔离。
数据安全防护：在访问过程中，客户端与服务端建立双向加密隧道，实现数据的安全加密传输。对用户的行为进行管控（拷贝、截图、打印、下载等）。安全空间数据与本地数据隔离，并进行加密处理。

多因素身份安全综合分析（UEBA）闭环能力建设

统一身份安全管理体系为集团企业价值链运作提供了体系化、场景化的各身份安全管理系统和管理能力。各身份管理系统在身份、权限、认证、审计能力各有侧重，而用户身份的使用贯穿企业价值链运作全链条，单一系统难以对用户实体形成立体、全局的风险分析和防控能力。

芯盾时代UEBA在集团企业统一身份安全管理体系中，通过对接全面用户身份数据，基于多维度用户综合分析风险分析能力和风险处置策略，串联各身份管理系统，形成闭环身份安全能力体系。

芯盾时代UEBA基于大数据AI技术能力，根据多因素身份安全方法论，综合分析管理体系用户事前（用户终端环境风险数据、数据安全用户情报数据）、事中（用户实时认证行为、用户业务实时会话）、事后安全信息（各系统审计日志、账号合规审计信息、权限合规审计信息），形成用户风险详情。并通过处置策略联动IAM、SDP、数据安全体系，通过认证授权、会话控制、数据流转控制的不同控制能力层级，对用户形成身份安全立体闭环控制能力。

为实现接入统一身份安全体系异构用户安全数据，综合分析事前、事中、事后差异化风险特征，形成立体风控策略的目的，芯盾时代UEBA提供了由数据接入、指标计算、双擎驱动的用户风险研判系统架构：