新一代身份安全建设要点有哪些
新一代身份安全建设要点有以下这些:
建设身份管理与访问控制平台,承载统一的数字身份视图,实现身份管理、账号管理、权限管理、资源管理等功能,覆盖人员、设备、应用等各类实体的数字身份及其权限管理。
聚合人员、设备、程序等主体的数字身份、认证因子等数据和IT服务资源属性、环境属性、数据资源安全属性等数据,结合访问控制策略数据,形成企业级的统一身份视图,实现人员、设备、接口、应用的全面身份化。
开展身份数据与权限数据分析,提升数据的质量。发现越权、滥用权限等异常行为,以及违反业务规程、保密要求、内控要求的各种违规类操作。以身份大数据支撑遍及所有工程中的“零信任”访问控制组件,为动态、精细化的访问控制奠定数据基础。
建设统一认证门户,集成PKI基础设施及多因子认证技术,为应用、系统提供统一的多因子认证和单点登录能力。
开发、集成密码服务套件,实现对数字身份、凭证和关键系统信息的加密存储。
以“零信任”的模式将API访问控制、运维访问控制、远程接入控制等访问控制组件部署到所有工程中,通过动态访问控制策略引擎向部署到各工程中的访问控制组件和集成在IT服务内部的策略执行组件下发动作指令,实现基于“零信任”的动态、精细化的访问控制能力。
建立信任评估模型,基于信任评估结果形成用户访问控制策略。通过将策略推送至访问控制平台或IT服务内策略执行点的方式,实现基于风险评估的动态的访问控制。利用身份大数据,采用机器学习算法对访问主体进行信任评估。
针对云、大数据平台、应用系统的内部服务与资源,建立基于资源属性的数字身份统一授权管控策略,强化系统运维、权限变更等特权操作管控,实现全场景人机交互、系统间互访的统一授权管理,以及基于零信任的细颗粒度访问控制。
与内部威胁管理平台、安全运行平台、终端安全平台等实现联动,针对风险事件执行身份与访问相关的风险响应策略。
建设身份安全开放平台,与工单、HR、运维管理等IT系统集成联动,形成身份安全运行流程,提升管理效率,优化运行效果;与态势感知及安全运营平台集成,提供身份与行为数据的动态查询和集中运营,实现管理与运营的自动化。