国家涉及身份安全新规解读 | 《关键信息基础设施安全保护要求》
该标准于二〇二二年十一月七日正式颁布。作为关键信息基础设施安全保护标准体系的构建基础,该标准自即日起正式实施。
该标准确立了关键信息基础设施安全保护的核心原则体系,在风险管理导向下构建动态防护机制,并通过信息共享促进协同联防。特别强调在身份安全鉴别与授权方面则明确规定了要求。
应明确重要业务操作、重要用户操作或异常用户操作行为,并形成清单;
对于设备用户、服务或应用以及数据实施安全管控措施;就重要业务操作、关键用户操作或异常用户的活动进行动态身份识别,并可灵活运用单因素认证与多因素认证结合的方式。
针对重要业务数据资源的操作,应基于安全标记等技术实现访问控制。
关键信息基础设施网络安全保护要求框架
01 关键信息基础设施,为何如此重要?
关键信息基础设施建设,是网络安全防护 的核心。
关键信息基础设施是指面向公众提供网络信息服务并依仗能源 sector 运行的一系列信息系统或工业控制系统;这些系统若出现网络安全事故将威胁能源 sector 的正常运转并导致国家政治安全经济稳定发展等重要领域构成严重威胁也给社会和谐稳定及人民的安全福祉带来严重影响。
从企业的角度来看,在其内部运营中发挥着核心作用的关键业务系统负责协调和管理所需的各种资源。
基于近年来网络安全领域的高度关注,Authing 发现 IAM 系统中的身份与访问管理技术作为数字化转型的关键领域之一,在负责协调数字身份认证以及用户对组织内数据、系统和资源的访问权限管理方面发挥着核心作用。
通过整合分散在各个身份系统的功能并打破业务系统之间的孤立状态,
Authing 研究团队发现这一技术体系显著提升了整体运营效率,并有效降低了因身份管理引发的安全风险。
在云计算环境下,
Identity as a Service(IDaaS)产品的开发成为这一领域的主要实现路径,
该方案体系通过优化资源分配效率实现了成本控制目标。
02 如何建立安全的计算环境?
基于已识别的关键业务、资产和风险,在上述领域内采取相应的安全管理和技术保护措施。以确保关键信息基础设施处于稳定运行状态。
该标准规定了构建安全计算环境的要求,并将其划分为鉴权授权机制建设、入侵防御体系搭建、自动化防护工具应用、安全管理架构规划等七个方面的具体规范
近年来,在身份管理系统中对各类企业资源进行着更为复杂的管理与整合的过程中,身份生态系统经历了持续的演变和逐步升级。与此同时,在不断攀升的数量身份以及持续猖獗的网络钓鱼攻击的影响下,越来越多的企业选择了采用云端服务以保障数据安全与运营效率。
经 cloud岫资本调查《基于 cloud 原生时代的身份安全管理》显示, IT 环境的变化带来了对基于 cloud 原生的身份安全的统一身份管理需求源自。
IT 架构根源性的变化:伴随着移动互联与物联网设备的广泛应用,众多企业面临原有的身份信任范围向外延伸的需求。在这一背景下,传统的内外网分隔策略以及基于本地化的IAM方案已无法满足当前业务需求。
企业数据库实现了云端迁移:随着云计算的发展趋势不断演变,在这一过程中越来越多的企业选择了全面实施云端部署或仅实现50%以上的业务迁移策略,并因此引发了防护环境的变化。
随着企业 SaaS 服务的发展
云计算服务的覆盖范围进一步扩大 ,优化成本与提高效率的需求日益凸显:在多应用、混合云架构的支持下,企业面临着显著的技术管理挑战。IT 管理人员需要负责统一管理和维护跨系统用户账号的信息,并执行日常的日志审查及权限控制。当员工通过企业内部 Active Directory(AD)域访问外部资源时,在外部系统又需要通过VPN连接回AD域时,默认情况下都会产生繁琐的身份认证流程。
随着企业管理身份数量持续增长,在这一背景下
研究表明,在CrowdStrike Overwatch平台上的网络安全研究发现,在线调查数据显示80%的网络安全事件是由身份相关漏洞引发的。现代网络安全威胁往往能够规避现有的传统网络防护架构,并通过利用被损坏或丢失的身份认证信息发起更为严重的网络侵入活动。令人遗憾的是这类基于身份的攻击往往难以被有效检测和应对。当真实用户的凭证被非法获取并模仿其行为时(即以假乱真),通常难以分辨普通用户的正常操作特征与经过专业防护技术处理后的异常活动特征
身份安全构成身份和访问管理(IAM)的关键组成部分,在保障组织安全性方面发挥着基础作用 。Gartner指出:“数字业务与网络安全威胁的增长促使IAM系统面临更高标准的要求。机构需拓展支持的身份应用场景,并在更快捷及更实时的基础上应对新型请求与威胁挑战。为了应对这些复杂性问题,在设计与构建IAM系统时应秉持一种全新的理念——即该系统需具备动态性与智能化特性,并通过先进分析技术增强其功能以满足现代身份需求。”
近年来
作为云端的统一身份认证系统,IAM 必须实现以下四个功能:
第一阶段:统一进行用户的 Identity 管理 。将用户的账号及相关密码等信息集中统一存储,并建立规范化的管理流程以确保数据的安全性与一致性。 第二阶段:身份验证流程 由系统自动完成,在用户试图访问资源时会触发严格的认证环节。该环节通过验证其身份证件或相关凭证的合法性来确认其身份状态,并在此基础上决定是否允许访问资源内容。 第三阶段:权限分配机制 已经被完善并投入运行,在线服务系统能够根据用户角色的不同动态地分配相应的访问权限范围。这意味着每个用户都可以根据其职位特点获得与其工作相关的特定功能访问资格,并在必要时及时进行权限的增减调整以适应业务需求的变化。 第四阶段:操作行为记录与追踪机制 已经建立并开始运行,在线服务系统能够实时记录并追踪租户的所有操作行为信息,并在此基础上生成详细的审计日志以支持后续的问题排查和责任追溯工作。
在云安全计算环境中
在应用系统后台管理中,对于身份要具备几个功能:
身份唯一性,具备自动去重检验
对密码复杂度有强制性应用功能
具备登录失败功能
具备远程接入加密传输
具备两种以上身份鉴别方式
03 Authing 如何保证身份安全?
Authing 集成“高安全、高可用、高性能”的身份安全基础设施,并通过多因素认证功能、权限管理功能以及审计日志记录来保障企业身份安全。
(1)多因素认证 MFA
多因素身份认证 MFA 是一种安全措施,在用户名称与密码之外提供额外的安全保障。在启用多因素身份验证后,在进行操作时(尤其是首次操作),系统会要求用户提供额外的身份确认信息。通过结合多种身份验证手段的使用,用户的账户与相关资源将获得更加全面的安全防护。
MFA 构建了一个多层次的防护体系,旨在防止未授权人员无法访问计算机系统或网络。该方法采用包含两个至三个独立认证元素的验证流程。
所知道的内容:用户当前已经记忆的内容,最常见的如用户名密码等;
所拥有的物品:用户拥有的身份认证文件主要有电子标签、U型识别设备和磁性卡片等形式;
所具备的特征:用户自身生物唯一特征,如用户的指纹、虹膜等。
企业采用多因素认证(MFA)作为防止数据泄露的核心措施,并有效降低了因安全漏洞导致的数据泄露风险。过去仅依靠静态用户名和密码进行账户访问被认为是足够的安全手段。然而,在这种情况下若采用单因素认证(如弱密码或被盗密码),则可能成为实施欺诈攻击的工具而导致数据泄露。据2020年RSA security大会上披露的数据表明,在被感染的账户中约有99.9%并未启用多因素认证
基于对数据安全监管等相关技术的研究
权限管理
该系统采用RBAC传统权限管理模型作为基础架构,并借助OPA作为底层引擎实现基于ABAC的动态权限管理功能。具体而言, 该系统包含基于主体、客体属性以及用户代理上下文动态属性的条件性动态授权机制, 并具备高度策略化的授权能力。此外, 本系统还提供了便捷的API/SDK接口以快速接入相关的权限数据,从而显著提升了企业的权责分配效率和灵活性。在员工转入或离职时实现了统一系统的访问控制开关设置,并有效降低了机密信息泄露的风险
具体而言,在Authing的帮助下,默认包含以下核心功能模块:包括统一接入入口在内的多项核心功能模块——如标准化身份认证模型(Supports comprehensive identity management)、统一分权能力(Enables granular permissions control)、以及基于全生命周期管理机制的访问控制(Comprehensive lifecycle management for access control)。通过该平台的服务组合设计能力(Service composition design capability),企业能够轻松构建基于业务需求的应用场景,并实现全方位的安全控制与可视化管理方案(Provide a holistic security framework with detailed visualization)。该平台还能够帮助客户破解身份认证中的开通难题(Solves onboarding challenges)、集成化难题(Overcomes integration challenges)、授权复杂性问题(Tackles authorization complexity)、操作路径不清问题(Clarifies operational workflows)、访问数据难以获取的问题(Makes access data more accessible)以及提升资产安全程度的目标(Enhances overall system security posture)。
此外,在线教育平台的智能推荐算法经过优化升级后能够更加精准地为用户提供学习内容选择建议。通过这一改进使平台在保持原有功能完整性的同时提升了用户体验质量,并且在各维度测试中表现优异
审计日志
在系统中实施及时性审计操作时会使用到审计日志这一工具其核心作用在于实现对越权访问及敏感操作的预警机制并且能够将检测到的异常情况传递至系统管理员或相关决策者手中以确保系统的正常运转与安全防护措施的有效执行。通过采用Authing提供的强大审计功能不仅能够加强企业在资源统整方面的审核力度还能进一步推动企业的精细化管理流程从而为企业提供更高效的数据分析支持帮助其提前识别并应对潜在的安全威胁从而有效降低来自内部外部恶意攻击的可能性
主要分为两个方面:
行政人员行为的记录表 :此功能可为所有行政人员提供通过身份管理系统执行的行为数据获取
该系统能够记录用户的各项行为数据并形成完整的日志档案;这些详实的记录不仅能够在事后进行事件回溯分析以评估责任归属;同时还能助力企业实现合规管理目标
关于Authing
这个平台兼具客户支持者的双重角色,在产品应用层面既是您的产品专家又是战略顾问,在战略层面上更是值得信赖的战略伙伴。我们拥有覆盖全球的身份认证专家团队,在线提供全天候技术支持服务。我们的客服中心汇聚了最新的技术资讯、行业案例以及与同行及我们的认证专家建立的互动平台。无论是何时何地,请您随时联系我们的认证服务团队, 他们将竭诚为您服务。
目前,Authing 身份云为 30,000+ 家企业和开发者成功建立了标准化的身份管理体系,并衷心感谢以下客户对 Authing 解决方案的支持与认可:可口可乐、元气森林、中国石油、三星集团及 等优质企业。
