新一代身份安全设计思想包括哪些方面

新一代身份安全设计思想包括以下方面：

• 以身份为基础：夯实基础设施及应用的安全防护，进一步强化以身份为中心的访问控制体系。通过聚合人员、设备、程序等主体的数字身份，为动态访问控制提供基于由身份数据驱动的访问决策支撑，为身份分析平台提供身份大数据所依赖的身份、权限和属性数据。

• 最小权限控制：遵循最小化权限原则，为访问主体按需设定最小权限。通过构建保护面来实现对攻击面的收缩，默认隐藏所有业务，开放最小权限，所有的业务访问请求都应该进行全流量加密和强制授权，并针对要保护的核心业务资产（如应用、服务、接口等）构建安全访问屏障。

• 持续信任评估：以身份大数据为支撑，通过信任评估引擎，实现基于身份的信任评估能力，同时对访问的上下文环境进行风险判定，对访问请求进行异常行为识别并对信任评估结果进行调整。持续信任评估为身份基础设施提供策略驱动的自动化治理能力，为动态访问控制平台提供信任评估结果，并将其作为动态权限判定的依据。

• 动态访问控制：动态访问控制是零信任架构的安全闭环能力的重要体现。它通过RBAC和ABAC的组合授权实现灵活的访问控制基线，基于信任等级实现分级的业务访问，当访问上下文和环境存在风险时，需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。动态访问控制能力依据身份基础设施和身份分析能力，为全场景业务的安全访问提供能力支撑，是全场景业务安全访问的策略判定点。