近日��,“數智賦能未來” 第十六屆信息化領袖峰會暨2020美業(yè)數智生態(tài)峰會在上海圓滿舉行�。本次峰會吸引近400位CIO����、IT負責人以及行業(yè)知名信息化服務商等業(yè)內資深大咖共聚一堂,撞擊智慧火花����,深入解讀行業(yè)數字化轉型發(fā)展亟需解決的問題,探索數字營銷未來走向�。會上,竹云副總裁戴立偉做《連接·智能·安全·以IAM構筑智慧企業(yè)數字化轉型發(fā)展新動能》主題分享����,以下為演講實錄,由暢享網整理發(fā)布�。
大家好,我是戴立偉���。今天我的演講題目是《連接·智能·安全�,以IAM來構筑我們智慧企業(yè)數字化轉型的新動能》���。
解除身份安全隱患��,破解企業(yè)數字化轉型難題
現在���,各行各業(yè)都在推行整個數字化轉型�����,但是到底什么是數字化轉型���,本身是見仁見智的。我的理解是:數字化轉型針對業(yè)務部門提出的固定的需求實現��,早期的時候我們稱之為信息化�����。數字化階段我們產生的需求可能來自于市場�����,當我們需要考慮是否能夠快速地通過數字化手段滿足市場上的業(yè)務需求���,這個時候我們就要做數字化,這是大的數字化轉型的背景和思路�。
數字化轉型過程當中有很多問題,這個問題我們這里不提的太廣泛了���,我們提一下身份安全的問題��。第一����,比如我們看到的一些權限被別人圍攻獲取了,造成大量各種各樣信息的泄露��,其實主要問題不是被黑客攻擊����,而是我們沒有強大的權限管理能力。第二���,比如一個人已經從公司離職了�����,這個人依然可以拿走公司的很多信息�����,我們可以設置更多的防火墻���,但它們除了防病毒沒有更多價值�����。第三���,IoT無法幸免,黑客可以通過弱病碼直接造成攻擊�����。
以前的安全更多關注邊界安全���,通過網絡邊界和防火墻構建護城河�,護城河內部是安全的�,但是現在我們看到很多資產在不同網絡設備��,不同人員都可以進行訪問�,這個墻上已經有很多很多的漏洞了。現在看一個人是否有權限訪問信息資產�����,最核心的東西就是“身份”,身份越來越重要��。在5G時代之下��,身份更加重要���,因為我們的觸點越來越多����。
當今時代����,我們有一個手機、電腦�,在5G時代下可能是汽車,還有可能汽車和汽車之間都會發(fā)生聯動��。每個觸點之間我們要確定雙方的身份安全的特性�����,任何一個地方出了問題都會導致周期性的財產和人身安全隱患�����,這個時候必然需要一個核心、智能的數據中心把所有的身份數據統(tǒng)一���、安全地管控起來���。
IAM怎么解決這個問題?它是一個可有效控制人或物等不同類型用戶訪問行為和權限的管理系統(tǒng)��。IAM能做什么��?IAM能實現事前預警����、事中控制、事后審計的全閉環(huán)流程管理�����。舉個例子��,一個大型企業(yè)突然發(fā)生一起事件�����,發(fā)現有個人登錄公司系統(tǒng)�����,通過公司郵件賬戶往外發(fā)了一萬多份郵件�����。這個郵件賬戶已經被盜了�����,后來追溯的時候發(fā)現它是從新加坡登錄的��,但這個賬戶從來沒有在新加坡登錄過�,如果我們能夠提前發(fā)現這樣一些問題,就能夠識別出來賬戶已經被盜用了����,這個就是我們要做的事前預警。
那如果在事中控制的過程中發(fā)現有問題怎么辦��?其實有風險之后我們可以通過調動設備自動化發(fā)現風險����。講到這兒����,我們到底能做什么��?事實上我們可以通過IAM來解決問題����。什么是IAM?簡單來講它是身份云��,通過2E�����、2C����、2IoT的方式實現一點合規(guī)的過程。我們在地產�����、制造行業(yè)���,通過IAM已經賦能到每一個消費者客戶���。
這是整體架構圖。簡單解釋一下�,大家以前關注更多的是單點登錄,但其實所有這些最重要的基礎是身份��,只有身份統(tǒng)一了��,我們才能實現上述這些能力的落地��。當然�,這個賬戶不是隨便由別人開通的,而是基于安全認證通過后才可以開通�����。還有我們的風控管控��,以前獨立建設的用戶賬戶決策權限���,風險防范控制����,現在不用一一建設了����,只需一點建設�����,大家都可以通過連接的方式直接使用����。未來真正的身份不僅僅是連接線上信息化系統(tǒng)��,還會包括線下的����,門禁、wifi�、食堂的飯卡等等背后的身份校驗,實現全面的建設����、全面的聯通、全面的合規(guī)��。
我們再看一下怎么實現混合云的建設���。比如我們在一個地產公司����,這個公司希望能夠把所有的內部人員使用的信息化系統(tǒng)統(tǒng)一管理,這些包括內部自建的和云端建設的�����,還有它的C端用戶進入商業(yè)地產之后的信息系統(tǒng)全部統(tǒng)一納管進來����,通過混合云的方式來實現��。而對于公有云建設�����,因為公有云有很多SaaS用戶�����,通過城堡云橋的方式打通���,大家可以看到�����,office365是有密碼���,如果我們密碼存在云端不夠足夠安全�����,通過云橋的方式可以把它由云端轉到企業(yè)內部��,這樣所有的密碼不需要落在云端只在企業(yè)內部就可以�,相對較安全����。
另外,企業(yè)內部接了這么多的系統(tǒng)���,我們可以一次性全部都拉到釘釘����、企微����、騰訊企業(yè)郵。以前需要我們云端的賬戶,現在我們登錄的時候����,使用釘釘掃碼,所有做的登錄都在企業(yè)內部�。國外一些產品體系也完全可以使用自己內部的賬戶體系完成登錄和建設。我們還可以通過連接配置�,實現用騰訊的企業(yè)微信一鍵化的訪問到阿里云、華為云的內容����。
通過企業(yè)端APP端就可以達成上述目標�����,為什么能夠做到這一點?因為我們有很強的統(tǒng)計數據中心��,我們關注的內部系統(tǒng)���,到了外網����、社交�����、內部系統(tǒng)、安防系統(tǒng)����、線下企業(yè)、聯邦互信等等統(tǒng)一完成�。我們不僅會檢查用戶密碼,對訪問時間���、訪問地點����、訪問設備等都會進行檢測�。比如我們在這個設備上登錄,我們會發(fā)現這個賬戶已經被被盜了����,我們會發(fā)現突然通過這個IP地址來訪問很多賬戶,并試圖登錄��,這些都可以被發(fā)現���,大家可以看到這里面各種各樣的監(jiān)測����,包括對環(huán)境、設備����、時間、行為等都可以做到實時監(jiān)測���。
賦能各大應用場景�����, “零信任”建設智慧企業(yè)
我們看一下對應的場景���,當我發(fā)現風險怎么辦�?這個特別有意思,以前我們發(fā)現風險的時候更多是希望我們通知出去�����,現在我們更多希望通過自動化的事前校驗���,關閉風險���,提高執(zhí)行度�。這里面特別有意思的東西就是對應一個框架�,這個框架已經有人臉、指紋等認證方式�����,比如進入門禁的時候人臉識別要達到95%���,而取錢的時候要達到99%����。在不同場景之下����,風險發(fā)現也是不相同的,所有的應用只需要對接一次�,并且我們實現的是一個全面的多端認證。
我們所有的節(jié)點都是用手機端來完成��,當然也可以進入到Web端�。包括我們登錄各種VPN的時候,現在越來越多的金融和政企單位客戶�����,都可以通過直接加上OTP的方式通過web端完成登錄。當然�,我們也可以實現跨瀏覽器登錄。有些時候我們做信息建設時有些人會圍觀����,有圍觀的話會自動鎖屏。離席的時候�,如果我們忘記鎖屏,系統(tǒng)會自動把屏幕關掉�����。這是我們跟華為做的關鍵場景和應用�����,這些特別適合在一些信息特別敏感的系統(tǒng)內進行使用���。
還有領導數字駕駛艙的功能,包括風險顯示���、登錄次數等等信息都可以看得到��,今天時間有限我不詳細講了?����,F在網絡安全當中���,最先進的就是“零信任”����,一開始不信任一切�,從完成由0開始的校驗之后再啟動信任。這其中有一個核心思路��,舉一個例子�,它強調是以身份為核心,動態(tài)的訪問控制和權限的自動化的賦予���。比如說這棟大樓里面有人通過wifi登錄到我的系統(tǒng)���,拿著我的手機出了大樓,這個時候網絡變成4G��,那么我的權限會自動從20個變成18個��。等我們拿著手機接到餐館的wifi,權限又會自動從18個變成5個��。“零信任”就是完成一次交易核驗�����,但是隨著環(huán)境的不同����,權限會自動化的授予,所以“零信任”會對應到應用安全和權限安全�,這也是我們和碧桂園等客戶完成實驗室的結合。
最后花一分鐘時間介紹一下竹云�。我們總部在深圳,在青島有數字身份國際研究院�����,在全國各地設有分支機構�����,目前國家發(fā)改委��、國資委����、國家信息中心、國家藥品監(jiān)督管理局����、中海油、中國中鐵�、上藥、上港�����、東方航空�����、友邦等都是我們的客戶��,同時榮獲金灣獎暨2019粵港澳大灣區(qū)十大卓越創(chuàng)新力企業(yè)獎�����、中央企業(yè)網絡安全與工業(yè)互聯網十佳解決方案第一名���、金融科技安全以及全球身份管理創(chuàng)新服務等行業(yè)重要獎項��。
