企业信息化建设带来哪些安全挑战
企业信息化建设带来以下安全挑战:
存在高危安全风险:各应用系统用户账号孤立分散,缺乏统一的管理规范和安全标准,存在大量“僵尸账号”和“孤儿账号”。
运营效率低:运维人员在管理用户、授权、重置密码等方面需花费大量的时间。
用户体验差:每个用户需记忆多套用户名和密码。
IT集约能力弱:重复建设用户管理体系造成了IT资源的浪费。
无法有效支撑合规审计:大多采用人为数据采集、分析,缺乏实时有效的事前、事中审计,事后责任难以追溯到人。
缺乏用户行为管理机制:大数据、云计算、移动应用、人工智能、物联网等新兴技术的普及与应用,让业务需求场景变得复杂和多样化,当前系统缺失完善的身份安全管理机制,难以了解不同渠道用户的访问行为。
缺乏风险预警与防范、事中访问控制及事后责任追溯的智能化风险识别与管理机制。
缺乏认证统一管理机制:对人脸识别、指纹、声纹、手势、证书、动态口令等不同的安全认证方式,缺乏统一的平台入口管理,既造成用户二次平台的重复开发成本,也难以结合实际场景做到便捷式组合认证。
解决企业信息化建设风险挑战的方法有以下这些:
建立组织的统一用户信息全景图。实现组织范围内的组织结构及人员分布的实时查询和展现。实现用户信息与HR信息的一致,提供最权威、实时的用户信息,并支持与其他的信息源同步。
建立融合认证框架与风险引擎相结合的智能风控机制。通过融合认证平台,将业内主流的各种类型的安全认证方式进行集中管控,并根据风险引擎系统智能识别不同类型的访问风险,针对不同认证能力进行一键化的管理赋能。
建立统一身份安全管理与访问控制平台,实现面向机场内、外部各类型应用、用户身份管理、用户及应用权限的统一授信、分配及用户职责分离(SoD)。
加强对用户不同终端设备及行为特征的统一管理。对用户终端设备进行管理,特别是当下流行的移动设备进行全生命周期的自动化管理。
做到IT集中管控、共享IT服务。制定应用系统接入的安全管理规范,做到信息技术平台的标准化、规范化和高敏捷性。
加强行业信息安全监管,提高安全合规审计的效率与效果。需要做到自动化的数据采集和自动报表生成,节省审计成本,提高安全审计的效率和效果。