如今，数字经济已经成为经济发展的主要引擎，数字化转型是着力点，是关乎企业生存和长远发展的“必修课”。随着企业获数据资源的数量不断增加，数据作为生产要素复杂程度不断提高。数字链的身份管理将成为企业的一项极其重要的系统工程，有助于保障数据安全，对业务流程进行实时监控，提高企业决策效率，助力企业数字化转型升级。

在“2021中国数字化年会”上，深圳竹云科技有限公司首席运营官戴立伟带来《现代IAM夯实数字安全底座 赋能数字化转型》主题演讲。本文根据演讲内容整理。

一、数字身份管理现状及挑战

企业在数字化转型进程的推进中，会遇到许多身份问题。比如，产生身份信息孤岛，难以关联用户真实身份，缺乏统一、有效、实时监管，存在安全风险;用户维度快速扩张，除内部员工外，外协人员、供应商、合作伙伴等未能纳入企业统一标准体系进行管理;应用集成难，企业内部多平台集成方式差异大，数据身份不互通，“对话”困难。同时，数字身份管理面临着5方面的挑战：

1、管理数字化：如何看到全域的组织架构关系和人员，什么人可以用什么系统，用了什么系统;

2、基础设施数字化：私有、公云、混合云带来的IDaaS需求;

3、业务数字化：如何全局查看所有人员的权限，如何控制业务变化带来的动态风险;

4、服务数字化:千人千面数字身份服务,开箱即用的强认证服务,动态安全防护服务;

5、供应链数字化:供应链上下游的、物联网设备的数字身份管理。

安全理念也在发生变化，零信任安全体系一词频繁出现。以前，安全保护通过防火墙来进行，而现在信息资产通过各种不同的认证方法、设备、手段，开放给很多不同位置人员，在云端可以随时随地访问。这意味着网络边界已经失效，我们需要一个基于身份的动态访问控制边界，保证在访问任意信息资产时的安全。

二、竹云现代IAM 方案

IAM即Identity and Access Management，在中国早有出现，最初主要指自动管理，而现代IAM更侧重生态和能力的开放。

竹云现代IAM方案的规划原则从四方面展开。第一，建立生态。通过身份将许多不同的系统连接起来，和打通的生态体系进行全面连通。第二，赋能业务。帮助业务人员解决其不擅长的身份安全管控问题，使其能够专注业务本身。第三，开放。通过API和微服务架构实现能力开放，统一服务企业内外部。第四，标准规范。提供事前预警、事中控制以及事后审计追溯的安全可信体系，同时为应用接入提供标准规范，保障组织核心数据安全，满足国家法规及政策要求。

随着数字化转型的进程，竹云现代IAM产品也在不断迭代。信息化阶段，指应用信息化和系统信息化，注重管理;智能化阶段，注重业务上线;数字化阶段，现代IAM建立全业态数字身份体系，不仅能够管理好企业内部，而且赋能到外部合作伙伴乃至整个生态。

许多企业进行信息化建设的过程中，会建立企业中台，对应有业务中台、数据中台，而底层会有很多业务组织来支撑。那么，IAM究竟能带来什么价值?从整个业务中台与数据中台的角度来讲，如果我们从对应的业务前台进行访问，需要做好前台数据记录的访问控制，保证进入到体系里面的人员是安全可控的。而IAM可以完成这样的权限建设，当然底层有非常强的身份治理中心，为整个的业务发展做好基础的技术赋能。

上图为竹云现代IAM产品蓝图架构图。值得强调的是位处中间的适配层，以强大的适配能力实现所有业务系统的统一连接。此外，竹云现代IAM的构建由四大中心协助完成，分别是身份治理中心、身份供给中心、权限管控中心和认证调度中心。

身份治理中心：构建数字化企业全域身份合规治理体系。将企业的所有账户全部进行识别，找出孤儿账户以及系统中现有存量的身份威胁问题，是大多数企业在身份建设过程中面临的一个难点。而身份治理中心整合基础资源(开发平台、运维平台、OS、数据库、交换机、堡垒机等)，设备资源(门禁、闸机、监控、等)，系统资源(OA系统、邮件系统、财务系统、人事系统等)，整合企业分散身份资源，实现内部人员、互联网用户、合作伙伴等类型用户的集中管理。

身份供给中心：实现全场景、多维度数字身份全覆盖。通过标准API，输出身份服务能力，构建云、管、端、控各类应用及设备按需接入;涵盖全场景类型用户，合作伙伴、互联网用户、智能设备等，构建用户主数据中心，通过智能分析和仿真预测，为企业管理者提供决策支持，管理者能够更好地预见问题、应对危机和管理资源;分级分权管理，集中建设、统一运维、分权管理，构建按需管理的互联网式服务模式。

权限管控中心：增强数字化企业权限端到端精细化安全管控水平。权限的管控是非常大的难题，权限管控中心将不同系统的权限统一纳管，是核心环节。动态权限控制在未来会更加重要。

认证调度中心：为数字化企业构建适配全场景的融合认证服务体系。基于动态风险的认证自适应调度、基于身份核验逐级提升可信身份等级，解决“我是谁、我能做什么”的问题。

风险自适应中心：由“静”至“动”持续防护安全体系。权限分发是一个持续风险评估的过程，现代IAM不仅接入各种不同类型的设备，管理内部员工体系以及外部消费体系账户，还将一些具备特权的运维账户进行管理。它是一个从静态到动态，从有限适配到全场景万物适配的过程。

同时，竹云现代IAM通过身份云的体系，可以用租户的形式把身份能力开放出去，身份云已经链接了大概上千个SaaS服务，也可以通过混合云部署的方式来满足信息化的要求。

三、竹云现代IAM应用场景

场景1：架构云化，接管云应用数字身份管理，打造可信身份管控体系。IDaaS可以有效打通各类云应用，提供安全高效良好的用户体验，实现架构云化，集中管控，一个身份即可访问所有应用。

场景2：账号安全识别，建立数字化转型安全底座。完成账户的冒用、评分等安全识别等。

场景3：登录入口安全加固，减少企业数字化转型资产暴露。基于PAM(可插拔式认证模块)机制，旨在打造适配组织多端、多体系融合认证框架，集中认证编排，实现组织资源一次对接平台，全量拥有平台既有的认证方式。

场景4：全流程可视化事后审计，洞察潜在威胁与潜在攻击可能。

场景5：数字身份全景图，赋能组织安全运营。分析用户行为数据、攻击威胁数据、威胁情报数据、管理行为数据等，提供分析决策。

场景6：国产数字身份目录服务系统，落地国密算法，用户信息存储更有保障。

竹云专注于数字身份与访问控制(IAM)以及云应用安全领域，完全自主可控的国产化技术，致力于成为全球数字身份领域的引领者。拥有多家专业机构背书，IAM领域连续多年入选中国网络安全百强企业，未来将继续深耕技术，赋能企业数字化发展。