新一代身份安全建设要点有什么
新一代身份安全建设要点有:
建设身份管理与访问控制平台,承载统一的数字身份视图,实现身份管理、账号管理、权限管理、资源管理等功能,覆盖人员、设备、应用等各类实体的数字身份及其权限管理。
聚合人员、设备、程序等主体的数字身份、认证因子等数据和IT服务资源属性、环境属性、数据资源安全属性等数据,结合访问控制策略数据,形成企业级的统一身份视图,实现人员、设备、接口、应用的全面身份化。
开展身份数据与权限数据分析,提升数据的质量。发现越权、滥用权限等异常行为,以及违反业务规程、保密要求、内控要求的各种违规类操作。以身份大数据支撑遍及所有工程中的“零信任”访问控制组件,为动态、精细化的访问控制奠定数据基础。
建设统一认证门户,集成PKI基础设施及多因子认证技术,为应用、系统提供统一的多因子认证和单点登录能力。
开发、集成密码服务套件,实现对数字身份、凭证和关键系统信息的加密存储。
以“零信任”的模式将API访问控制、运维访问控制、远程接入控制等访问控制组件部署到所有工程中,通过动态访问控制策略引擎向部署到各工程中的访问控制组件和集成在IT服务内部的策略执行组件下发动作指令,实现基于“零信任”的动态、精细化的访问控制能力。
建立信任评估模型,基于信任评估结果形成用户访问控制策略。通过将策略推送至访问控制平台或IT服务内策略执行点的方式,实现基于风险评估的动态的访问控制。利用身份大数据,采用机器学习算法对访问主体进行信任评估。
针对云、大数据平台、应用系统的内部服务与资源,建立基于资源属性的数字身份统一授权管控策略,强化系统运维、权限变更等特权操作管控,实现全场景人机交互、系统间互访的统一授权管理,以及基于零信任的细颗粒度访问控制。
建设零信任业务访问控制平台,与云平台、大数据平台、物联网平台、开放API平台、容器编排等IT基础设施内置的策略执行点实现聚合,提供动态访问控制能力。
建设零信任特权访问控制平台,覆盖运维、DevOps、云运维等场景,实现基于零信任的动态特权访问管理。
与特权管理系统集成,强化对系统运维、系统变更、账号创建等特权操作的管控。
与内部威胁管控平台集成,通过用户及实体行为分析(UEBA)来支撑对业务异常行为的发现与处置;建立面向应用系统的分布式用户访问控制体系,并与大数据、云计算等IT服务中的访问控制策略执行点结合,形成数字身份细颗粒度访问控制的全面覆盖。
针对态势感知平台,开放身份与行为数据查询与响应控制接口,实现安全运营的协同。通过态势感知向云、大数据平台、应用等分布式执行点推送策略,实现风险的自动化处置能力。
针对流程管理和运维工单等系统开放集成服务,实现多层级、流程化的身份与权限生命周期安全管理;集成多因子身份认证(MFA)方法,支撑高强度身份认证。
构建基于分析的身份治理能力,梳理和建设身份治理流程,以支撑身份生命周期管理、用户访问申请以及实现流程自动化。开通账号注册与权限申请自助服务,支撑用户以自助服务的方式注册账号并申请权限,以自动化的流程方式提升效率。
通过访问权限评估、策略分析与治理,并依托身份大数据平台和身份分析技术对身份、账号、权限进行异常分析,确保身份与权限合规。
与内部威胁管理平台、安全运行平台、终端安全平台等实现联动,针对风险事件执行身份与访问相关的风险响应策略。
建设身份安全开放平台,与工单、HR、运维管理等IT系统集成联动,形成身份安全运行流程,提升管理效率,优化运行效果;与态势感知及安全运营平台集成,提供身份与行为数据的动态查询和集中运营,实现管理与运营的自动化。
制定身份安全管理办法和实施细则,加强身份安全教育,为身份安全的集成及优化提供依据和指导。