“身份识别与访问管理”,IAM(Identity and Access Management 的缩写),即具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。
身份识别与访问管理是最重要的 IT 功能,它确保用户能够访问工作所需的资源、用户账号安全和他们访问的企业数字资产的安全。
在部署完善的 IAM 框架下,企业的财务记录就无法被普通员工访问。如果 IAM 部署不完善,可能会对公司来造成灾难性后果。在今天日益混杂的办公环境中,妥善实施身份和访问管理已成为 IT 部门的头等大事。
IAM主要使用身份这种唯一用户配置文件管理用户,并将用户安全连接到 IT 资源,包括设备、应用、文件、网络等。每个用户都能配置一个唯一的身份,从而控制对 WiFi 和企业服务器等资源的访问,同时限制其访问工作内容以外的数字资产。
如今,IAM 不再仅适用于员工。组织也必须为承包商和业务合作伙伴、远程和移动用户以及客户提供安全访问。 它有助于防止用户凭据泄露以及密码被轻松破解,这些是想要植入勒索软件或窃取数据的犯罪黑客的常见网络入口点。
身份识别与访问管理产品主要包括以下几类:
身份认证与权限管理:
产品通过零信任架构对访问主体向企业资源的请求进行安全验证,使得默认不可信的访问请求在经过身份、设备、网络和应用权限的验证后能够安全的访问企业资源。
做身份认证与权限管理产品的企业有:
运维审计堡垒机:
运维审计堡垒机又称为运维审计系统,他一般指的就是可以提供运维管理的堡垒机,该堡垒机的核心就是可控及审计。
是指在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
做运维审计堡垒机产品的企业有:
特权账户管理:
特权账号就是在企业运营过程中,给相关业务运营、系统管理、系统运维等人员赋予的系统维护、权限增加、数据修改删除、导出等高级权限的系统账户。这些账户及其持有人掌握着企业的信息系统的生死大计,绝大部分时间这些账户都在为公司各项业务正常开展保驾护航。
特权账号保管不善,则会导致登录凭证泄露、丢失,被恶意攻击者、别有用心者获取,然后攻击者利用该登录凭证非授权访问业务系统,进而可能导致系统数据被删除、恶意增加管理员权限、非法下载大量数据等。当特权账户需要进行多次流转时,攻击者若获取部分的账户、密码,可能会对企业进行大范围的横向扩展攻击,导致系统遭受大面积入侵。
特权账户管理系统则主要用于,特权账号的发现和纳管、自动改密、验证和巡检、访问权限控制、锁定和释放等功能,帮助用户开展系统化、流程化和规范化的特权账号管理工作,降低特权账号管理不善带来的安全风险,防范攻击者利用特权账号对敏感数据进行窃取。
做特权账户管理产品的企业主要有:
数字证书:
数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。
数字证书的基本架构是公开密钥PKI,即利用一对密钥实施加密和解密。其中密钥包括私钥和公钥,私钥主要用于签名和解密,由用户自定义,只有用户自己知道;公钥用于签名验证和加密,可被多个用户共享。
做数字证书产品的企业主要有:
硬件认证:
动态口令通常通过一种称为令牌的专用硬件来生成,即为硬件令牌。令牌的实现方式分为硬件令牌和软件令牌。目前大部分采用硬件令牌,如中国银行e-token、网易将军令、盛大密宝、QQ令牌等。硬件令牌是一种采用内置电源、存储器、密码计算芯片和显示屏的设备,具有使用便利、安全性高等特点。
令牌每次产生的口令都是不同的,不同时刻使用不同口令登录,而且每个口令都只在其产生的时间范围内有效;验证口令每次都是随机产生的,不可预测和猜测;每个验证口令使用过一次后就失效,不可以继续重复使用;即使某一个验证口令被人偷看或窃听了,也无法被再次使用;令牌是密封的,而且卡内种子密钥数据一旦断电就会丢失;另外还可以通过系统设置,限制一个时间段内用户尝试登录的次数,从而进一步降低穷举攻击的风险。
做硬件认证产品的企业主要有:
,