IAM平台构建了一个基于帐号（Account）管理、认证（Authentication）管理、授权（Authorization）管理和安全审计（Audit）的整体统一身份安全治理解决方案，为企业提供一站式身份权限管理服务，同时为业务融合和数字化转型提供强有力支撑。

 

3月9日晚，“这就是数字化”——数字化百家讲堂第一季第26期课程中，深圳竹云科技股份有限公司成都子公司副总经理、解决方案中心负责人向韬以《现代IAM 夯实数字化安全底座 赋能数字化转型》为主题，深度解读IAM（身份识别与访问管理）技术如何赋能企业数字化转型。

 

一、数字化转型的“点”“线”“面”“体”

 

企业的数字化转型数据从物理世界延展到数字世界的进程中，是一个由点到面的过程，可以从四个阶段解读：第一个是信息化阶段，信息化阶段数据的分布是相对零散、非标准化的点，此时的数字化就是将零散无序的数据进行简单的信息化处理和录入；第二个是平台化阶段，在这个阶段业务流程串联成线，进行的是线性的建设，是基于应用功能的数字化建设；随着数据的不断发展，从物理世界向数字世界纵向深化，进入场景化阶段，此时针对业务场景企业要将各平台全流程全功能的打通；最后抵达智能化阶段，数据赋能经济体和产业生态就是在这个阶段，从业务数据全生命周期的可视化进行分析和决策。

 

二、数字化转型战略机遇与挑战

 

优势：具有提高产品性能、完善用户体验、传统业务数字化、与数字化生产力相匹配的生产关系再造

劣势：面对大数据与企业应用不匹配，业务流程相互割裂，多系统并立却难以互通

机会：新技术能够更快的投入应用，新政策相继出台的全面监管、在科技创新的驱动下新需求的诞生

挑战：数据作为最重要的生产要素，网络安全性显得尤为重要

 

数字经济发展战略与国家网络安全发展战略齐头并进，从《网络安全法》、《数据安全法》和《个人信息保护法》的相继出台，以及工信部在《网络安全产业高质量发展三年行动计划（2021-2023年）》中指出，将零信任列入网络安全需要突破的关键技术，由此可见国家对于网络安全的高度重视。

 

三、数字化转型带来的安全边界变化

随着企业获数据资源的数量不断增加，数据作为生产要素复杂程度不断提高。数字链的身份管理对于企业是一项极其重要的系统工程。在用户群体不再单一、移动设备加入到了终端行列的复杂场景下，安全边界不断变化，为了保障数据安全，对业务流程进行实时监控，提高企业决策效率，助力企业数字化转型升级，就要做到永不信任，始终验证。新的安全边界“身份”诞生于网络环境无时无刻不危险的理念之中。

 

四、现代IAM 夯实数字化安全底座 赋能数字化转型

方案规划原则

IAM作为企业数字化转型的安全底座，全流程服务于业务体系，相当于统一的管理中台，确保了国产自助可控，其最大的特征是可以信任。同时可以快速的融合新技术，满足企业在数字化转型过程中的个性化服务。安全层面技术架构保持领先。以此夯实数字化安全底座，赋能数字化转型。

 

赋能业务

快速融合AI、大数据、云计算、IoT等新兴技术实现业务场景无缝链接，同时支持多维度、跨行业的业务模型。

 

建立生态

利用IAM针对所有伙伴生态体系中提供数字化业务编排的能力，实现精简、自动化的数字业务流程，快速为组织建立集用户的身份、应用和设备于一体的数字工作区。

 

安全流程做到自动化管控并满足国家标准，提供事前预警、事中控制以及事后审计追溯的安全可信体系。秉持开放原则，基于API和微服务架构能实现应用到应用间、数据、流程、服务的快速融合、集成。

 

伴随着整个数字化转型业务发展，在信息化阶段做到多认证协议兼容，确保了智能化阶段时达到业务互联网+，进而实现数字化的全感知、全连接、全场景、全智能。

 

建立全业态的数字化生产体系，解决内部的私有云问题；建立内部部署数字化生产体系，解决公有云和混合云多场景的身份体系的统一。同时基于人物应用设备纳入到统一数字身份管理体系，相当于数字化传递，使其能够覆盖到整个企业线下移动端互联网云端多样化的业务场景。

 

方案理念：作为数字身份的智能中台，基于国家标准、信创标准、安全规范、行业准则等为企业数字化转型提供全域统一身份的安全管控体系。

 

方案定位：数字身份智能中台，为企业数字化转型提供全域统一的身份安全管控体系。基于中台组织变革及协同模式，建立快速响应的数字化作战指挥中心，共享“业务+数据”双中台服务能力，赋能业务板块数字化有效落地。

 

方案愿景：以身份大数据为基础构建可视、可知、可管、可控、可溯、可预警的全域网络身份安全体系。通过对用户应用权限风险不同创建画像，让企业实时了解并解决在数字化转型中安全问题。

 

方案价值：夯实数字化转型安全底座，智联万物，提供全流程身份。

 

第一个价值：泛在联接。连接身份、连接应用、连接设备从不同场景，不应用全部纳入到IAM的管控范围内。

 

第二个价值：安全可控。通过事前全面的风险评估、行为风险预判，事中持续的信任评估、实时通知、权限降级等，事后用户行为分析、统一用户权限视图、全维度可视化报表来实现安全闭环。

 

第三个价值：智慧识别。能够做到身份识别、风险识别、访问识别。

 

第四个价值：提供统一管理、认证手段，保证过程的安全性。

 

五、构建四大基础服务能力

1.身份自动化管理中心

实现用户身份全生命周期管理，用户账号的一键创建于回收。基于身份属性匹配相关的业务体系。

 

2.智能融合认证中心

通过“认证链”的方式融合多种认证方式，构建统一认证服务能力。

 

3.权限管理中心

分级分权，实现应用级别的细粒度权限、API权限、数据权限统一管理。

 

4.自适应动态风控中心

分析用户登录、访问等并检测可疑行为，实现用户访问环境风险智能感知；提供可视化、图形化用户日志与报表数据。

 

通过IAM从风险感知到安全策略的管控，来保证业务系统的合理合法使用，提供动态规则自我净化的能力。实现由“静”至“动”的持续防护安全体系。

 

六、IAM实施的方法论

在实战场景中建设IAM需要以下4个步骤：

1.账号管理与身份供应

建设统一的用户视图，让企业第一时间了解用户的身份以及分布，最终实现用户身份的智能化自动化管理。

 

2.访问控制与认证机制

通过多安全级别融合认证、跨通道认证体系、AI智能场景认证等，最终在认证阶段实现智能化。

 

3.权限管理与授权服务

建立权限中台，统一权限开发框架，对企业进行精细化管控。

 

4.审计管理与合规性

通过身份行为报告、职责分离监管、用户行为分析、可视化身份、权限、认证仪表盘，来对企业的审计进行管理。

 

基于以上4个步骤以及身份风险大屏，UEBA，用户行为画像等实现全面风险控制。

 

七、项目实战规划

第一阶段：身份治理阶段。企业需要进行标准规范体系建设来进行风险管控，把基于身份的业务串联，其中包括多端融合认证服务的建设和基于风险的自适应判断体系建设，实现强化自身的安全体系。

 

第二阶段：智能权限阶段。利用数据权限的精细化管理解决申请难、授权难、追溯难等企业一系列问题，将整个企业的权限纳入到风控体系当中进行管理。

 

在不远的未来，网络安全将通过三大核心技术IAM、SDP、MSG来构建零信任安全体系。

 

总结

竹云科技在对多家大型企业所做的IAM项目进行调研后发现，企业在实施了IAM解决方案之后若干年里，ROI(投资回报)往往可以达到一个很可观的预期值。

IAM的应用不仅能为用户带来更低的管理成本、降低信息风险发生概率、更好的法规遵从、并能更快地交付增值的IT服务，而且重要的是，IAM能为企业实现价值的最大化。