万物互联下的身份安全 如何让"万物皆有身份"?

2018-01-25 17:16:00 作者:baojj 出处 : 比特网

  面对日益严峻的全球网络安全态势,人的因素,历来是众多安全事件中最为薄弱的一环。特别是在数据泄露已经成为企业最为关注的网络安全事件之一的当下,这一点显得尤为突出。

  信息安全的基石:身份安全

  近年来,全球有关数据泄露的重大事件层出不穷。如,雅虎数据库数据泄密事件,导致在2013-2017年间,一直有用户的身份信息、隐私信息被泄露。而黑客正是一步步通过窃取到关键服务器的访问凭据而成功窃取数据。而发生在2015和2016年的两次乌克兰电站事件中,也暴露出在用户身份认证、用户的权限控制,以及对用户行为的分析都存在诸多的漏洞。

  这些层出不穷的安全事件,无不敲响着信息安全的警钟。正如在近日召开的亚信安全身份安全研讨会上,亚信安全网络安全事业部副总经理兼安全产品中心总经理吴冬所言:“身份安全,已经成为信息安全的基石。”

亚信安全网络安全事业部副总经理兼安全产品中心总经理吴冬

  这一点,在过往的诸多安全报告中也可见一斑:在《2015年度数据泄露报告》中显示,95%的安全事件可以追溯到身份访问凭据被盗,而另有10%是由可信人员滥用身份访问凭据所导致的;《2016年度数据泄露报告》也指出,在2260起已证实的数据泄露事件的分析过程中,可以确定,63%都涉及弱口令、默认口令或被盗口令。

  特别是在如今越来越多的大数据、乃至物联网等越来越多的异构技术环境下,身份安全已不同于以往单一的PC端、单一的系统环境下那样简单,而是变成了一个比较大的课题。

  究竟何为“身份安全”?

  身份安全,绝不同于以往简单的身份认证。那么,身份安全又是如何定义的?

  在Gartner的报告里,身份安全称为身份管理,也称身份和访问管理。身份安全主要是为了确保正确的人能够在正确的时间、因为正确的原因访问正确的资源。身份安全更多的是解决越来越多在异构技术环境下确保对资源正确访问的需求,从而满足日益严格的合规要求。

  在国内的信息安全界,身份安全可以用“4A”这一更综合的概念,即通过对IT系统的账号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit)进行统一集中管理,以上四方面也涵盖了Gartner报告里对于身份安全的定义。

  同时,“ 4A”也解决了“When”、“Where”、“What”、“Who”、 “How”的“5W”的问题,即谁,能在怎样的时候、获得怎样的授权、如何使用这些应用和设备,以及知道谁在什么时候访问了某些应用或设备等。这也就是账号的管理、认证的管理、权限的管理、审计的管理。

  对于亚信安全而言,其身份安全产品的几大特点也充分满足了以上对于身份安全的定义。

  据吴冬介绍,亚信身份安全产品线最全,覆盖了互联网的基础接入、企业内部的身份内控、电子商务身份认证等各个领域。在电信级的身份安全产品中,无论是用户量还是设备的数量都非常高,在服务于这些客户的过程中,也使得亚信安全身份安全产品具备了高性能、高可用、高扩展等特点。凭借亚信安全二十年的产品和技术积累,身份安全产品的功能特性完备,并已支持一千余种设备和应用的身份安全管控能力。此外,亚信安全的身份安全产品还拥有完全自主知识产权。

  而在吴冬看来,亚信安全的身份安全产品特性还不仅仅止于以上特点:“我们作为一个身份安全提供商,不单单提供了产品,还为用户提供了整体的解决方案。包括从最初的给用户提供身份安全怎么建设的咨询,到产品提供、产品交付到运营,我们是能够提供身份安全端到端支持的厂商。”

  目前,亚信安全身份认证产品在移动、电信的用户数已超过了50%,亚信安全的UAM/UDM产品,用户数总计超过十亿;互联网接入认证用户数超过了三亿,这也意味着在十亿网民中有三分之一使用的是亚信安全提供的身份认证产品进行身份认证。“可以说亚安全支撑全球最大规模的身份安全用户部署。这也是因为中国确实是全球最大的市场,有最大的用户规模。”吴冬说道。

  亚信安全业务安全产品部的总监张辉

  万物互联时代 身份安全迈向何方?

  可以说,多年以来,亚信安全在身份安全领域一直在做持续的探索与创新。包括人脸识别SIM认证“卡盾”、手机盾等在内的多种亚信安全的身份认证产品,目前已可以应用到账号的全生命周期管理、金库模式强化授权管控、身份威胁分析有效发现“内鬼”、以及基于4A构建安全封闭工作环境等多种应用场景。

  与此同时,随着当下的技术发展趋势,特别是在物联网的场景之下,身份安全到底应以怎样的形式为用户提供服务,也是身份认证当下所面临的挑战。

  对此吴冬表示:“我们看到身份认证的方式有很多,但是在目前的应用场景里,怎么样很好地把这些认证方式整合起来,其实是非常关键的问题。我们希望给用户提供一个既高安全,又有非常高体验的身份认证的平台,我们希望在你普通登录的时候,尽量少给用户带来麻烦。在这个基础上,我们亚信安全推出了新一代身份认证安全产品,将我们所具备的多项的身份认证能力进行整合,在保证用户体验的同时,为用户提供高的身份认证安全性。”

  随着数字时代的到来,身份安全认证的范围需要覆盖到包括内部员工、合作伙伴、消费者等多种人群,需要管理的设备也随之增加,包括PC、手机、平板电脑、智能设备等终端,以及内部部署、私有云、公有云等不同的环境。这都使得身份认证需要面对十分复杂的关系。

  吴冬认为,在这样的背景之下,身份安全的未来发展蓝图需要满足如下几方面的要求:

  第一,从底层来看,其可以跨平台部署和运营,既要能够在内部部署,也可以在公有云、私有云上进行部署。

  第二,面向复杂关系的数据存储,要有海量的性能扩展性。

  第三,要面向人、设备、物等做统一的智能化的身份管控,这就需要涉及到复杂的智能化的身份认证,智能化的权限管控,智能化的行为分析;既包含人的行为分析,也有物的行为分析。

  第四,提供友好一致的使用体验,让用户无论采用指纹、人脸、声纹、口令等哪种认证方式,都能够拥有一致性的使用体验。

  以上便是亚信安全针对物联网时代对身份安全所做的分析和研究。在万物互联的趋势之下,让“万物皆有身份”成为身份安全的新目标。吴东表示,亚信安全将一步一步将身份安全认证产品按照万物互联时代的发展蓝图去演化,去发展。

  经过近二十年的技术积累和产品的耕耘,亚信安全现已成为业界领先的身份安全厂商。依托生物识别、机器学习和云计算等新兴技术,亚信安全推出的新一代身份安全系统,目前已包括“企业内部身份安全管理”、“互联网接入认证管理”、“网站统一认证漫游管理”和“公共安全可信认证服务平台”等,其也将助力行业客户轻松应对数字化转型、万物互联所产生的海量身份识别数据,有效规避云计算、物联网等全新环境下的风险威胁。

  “在云、大数据、物联网时代,亚信安全将在物联网身份安全、身份信用与防欺诈、用户与实体行为智能分析等领域不断研究和创新,我们希望能够继续引领身份安全的发展。”吴冬说道。

* 本文为ChinaByte比特网原创内容,版权所有,转载请注明出处和原文链接,未经授权请勿用于商业用途。

最近更新
科普

科普图集
从《中国互联网+指数报告(2018)》看数字经济

从《中国互联网+指数报告(2018)》看数字经济>>详情

“互联网+”的这些新变化,你知道吗?

“互联网+”的这些新变化,你知道吗?>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。