近日,“数智赋能未来” 第十六届信息化领袖峰会暨2020美业数智生态峰会在上海圆满举行。本次峰会吸引近400位CIO、IT负责人以及行业知名信息化服务商等业内资深大咖共聚一堂,撞击智慧火花,深入解读行业数字化转型发展亟需解决的问题,探索数字营销未来走向。会上,竹云副总裁戴立伟做《》主题分享,以下为演讲实录,由畅享网整理发布。
大家好,我是戴立伟。今天我的演讲题目是《连接·智能·安全,以IAM来构筑我们智慧企业数字化转型的新动能》。
解除身份安全隐患,破解企业数字化转型难题
现在,各行各业都在推行整个数字化转型,但是到底什么是数字化转型,本身是见仁见智的。我的理解是:数字化转型针对业务部门提出的固定的需求实现,早期的时候我们称之为信息化。数字化阶段我们产生的需求可能来自于市场,当我们需要考虑是否能够快速地通过数字化手段满足市场上的业务需求,这个时候我们就要做数字化,这是大的数字化转型的背景和思路。
数字化转型过程当中有很多问题,这个问题我们这里不提的太广泛了,我们提一下身份安全的问题。第一,比如我们看到的一些权限被别人围攻获取了,造成大量各种各样信息的泄露,其实主要问题不是被黑客攻击,而是我们没有强大的权限管理能力。第二,比如一个人已经从公司离职了,这个人依然可以拿走公司的很多信息,我们可以设置更多的防火墙,但它们除了防病毒没有更多价值。第三,IoT无法幸免,黑客可以通过弱病码直接造成攻击。
以前的安全更多关注边界安全,通过网络边界和防火墙构建护城河,护城河内部是安全的,但是现在我们看到很多资产在不同网络设备,不同人员都可以进行访问,这个墙上已经有很多很多的漏洞了。现在看一个人是否有权限访问信息资产,最核心的东西就是“身份”,身份越来越重要。在5G时代之下,身份更加重要,因为我们的触点越来越多。
IAM风险全流程管控,实现云连接安全智能
当今时代,我们有一个手机、电脑,在5G时代下可能是汽车,还有可能汽车和汽车之间都会发生联动。每个触点之间我们要确定双方的身份安全的特性,任何一个地方出了问题都会导致周期性的财产和人身安全隐患,这个时候必然需要一个核心、智能的数据中心把所有的身份数据统一、安全地管控起来。
IAM怎么解决这个问题?它是一个可有效控制人或物等不同类型用户访问行为和权限的管理系统。IAM能做什么?IAM能实现事前预警、事中控制、事后审计的全闭环流程管理。举个例子,一个大型企业突然发生一起事件,发现有个人登录公司系统,通过公司邮件账户往外发了一万多份邮件。这个邮件账户已经被盗了,后来追溯的时候发现它是从新加坡登录的,但这个账户从来没有在新加坡登录过,如果我们能够提前发现这样一些问题,就能够识别出来账户已经被盗用了,这个就是我们要做的事前预警。
那如果在事中控制的过程中发现有问题怎么办?其实有风险之后我们可以通过调动设备自动化发现风险。讲到这儿,我们到底能做什么?事实上我们可以通过IAM来解决问题。什么是IAM?简单来讲它是身份云,通过2E、2C、2IoT的方式实现一点合规的过程。我们在地产、制造行业,通过IAM已经赋能到每一个消费者客户。
这是整体架构图。简单解释一下,大家以前关注更多的是单点登录,但其实所有这些最重要的基础是身份,只有身份统一了,我们才能实现上述这些能力的落地。当然,这个账户不是随便由别人开通的,而是基于安全认证通过后才可以开通。还有我们的风控管控,以前独立建设的用户账户决策权限,风险防范控制,现在不用一一建设了,只需一点建设,大家都可以通过连接的方式直接使用。未来真正的身份不仅仅是连接线上信息化系统,还会包括线下的,门禁、wifi、食堂的饭卡等等背后的身份校验,实现全面的建设、全面的联通、全面的合规。
我们再看一下怎么实现混合云的建设。比如我们在一个地产公司,这个公司希望能够把所有的内部人员使用的信息化系统统一管理,这些包括内部自建的和云端建设的,还有它的C端用户进入商业地产之后的信息系统全部统一纳管进来,通过混合云的方式来实现。而对于公有云建设,因为公有云有很多SaaS用户,通过城堡云桥的方式打通,大家可以看到,office365是有密码,如果我们密码存在云端不够足够安全,通过云桥的方式可以把它由云端转到企业内部,这样所有的密码不需要落在云端只在企业内部就可以,相对较安全。
另外,企业内部接了这么多的系统,我们可以一次性全部都拉到钉钉、企微、腾讯企业邮。以前需要我们云端的账户,现在我们登录的时候,使用钉钉扫码,所有做的登录都在企业内部。国外一些产品体系也完全可以使用自己内部的账户体系完成登录和建设。我们还可以通过连接配置,实现用腾讯的企业微信一键化的访问到阿里云、华为云的内容。
通过企业端APP端就可以达成上述目标,为什么能够做到这一点?因为我们有很强的统计数据中心,我们关注的内部系统,到了外网、社交、内部系统、安防系统、线下企业、联邦互信等等统一完成。我们不仅会检查用户密码,对访问时间、访问地点、访问设备等都会进行检测。比如我们在这个设备上登录,我们会发现这个账户已经被被盗了,我们会发现突然通过这个IP地址来访问很多账户,并试图登录,这些都可以被发现,大家可以看到这里面各种各样的监测,包括对环境、设备、时间、行为等都可以做到实时监测。
赋能各大应用场景, “零信任”建设智慧企业
我们看一下对应的场景,当我发现风险怎么办?这个特别有意思,以前我们发现风险的时候更多是希望我们通知出去,现在我们更多希望通过自动化的事前校验,关闭风险,提高执行度。这里面特别有意思的东西就是对应一个框架,这个框架已经有人脸、指纹等认证方式,比如进入门禁的时候人脸识别要达到95%,而取钱的时候要达到99%。在不同场景之下,风险发现也是不相同的,所有的应用只需要对接一次,并且我们实现的是一个全面的多端认证。
我们所有的节点都是用手机端来完成,当然也可以进入到Web端。包括我们登录各种VPN的时候,现在越来越多的金融和政企单位客户,都可以通过直接加上OTP的方式通过web端完成登录。当然,我们也可以实现跨浏览器登录。有些时候我们做信息建设时有些人会围观,有围观的话会自动锁屏。离席的时候,如果我们忘记锁屏,系统会自动把屏幕关掉。这是我们跟华为做的关键场景和应用,这些特别适合在一些信息特别敏感的系统内进行使用。
还有领导数字驾驶舱的功能,包括风险显示、登录次数等等信息都可以看得到,今天时间有限我不详细讲了。现在网络安全当中,最先进的就是“零信任”,一开始不信任一切,从完成由0开始的校验之后再启动信任。这其中有一个核心思路,举一个例子,它强调是以身份为核心,动态的访问控制和权限的自动化的赋予。比如说这栋大楼里面有人通过wifi登录到我的系统,拿着我的手机出了大楼,这个时候网络变成4G,那么我的权限会自动从20个变成18个。等我们拿着手机接到餐馆的wifi,权限又会自动从18个变成5个。“零信任”就是完成一次交易核验,但是随着环境的不同,权限会自动化的授予,所以“零信任”会对应到应用安全和权限安全,这也是我们和碧桂园等客户完成实验室的结合。
最后花一分钟时间介绍一下竹云。我们总部在深圳,在青岛有数字身份国际研究院,在全国各地设有分支机构,目前国家发改委、国资委、国家信息中心、国家药品监督管理局、中海油、中国中铁、上药、上港、东方航空、友邦等都是我们的客户,同时荣获金湾奖暨2019粤港澳大湾区十大卓越创新力企业奖、中央企业网络安全与工业互联网十佳解决方案第一名、金融科技安全以及全球身份管理创新服务等行业重要奖项。