身份與訪問管理(lǐ)是任何企業安全計(jì)劃的重要一環，因爲在今天的數字化經濟中，它與企業的安全和(hé)生産力密不可分。被盜用(yòng)戶憑證往往是進入企業網絡及其信息資産的入口點。企業運用(yòng)身份管理(lǐ)來(lái)守護信息資産，使其不受日漸增多的勒索軟件、犯罪黑客活動、網絡釣魚和(hé)其他(tā)惡意軟件攻擊的影響。Cybersecurity Ventures 曾預測，2017年全球勒索軟件所緻損失将超50億美(měi)元，比2016年上(shàng)升15%。很(hěn)多企業裏，用(yòng)戶有時(shí)候會(huì)擁有超出工(gōng)作(zuò)所需的訪問權限。而健壯的IAM系統可以貫徹用(yòng)戶訪問規則和(hé)策略，爲整個企業加上(shàng)一層重要的防護。

《薩班斯-奧克斯利法案》規定了(le)公司企業需對(duì)客戶及雇員信息的訪問控制負責，近期出台的《通用(yòng)數據保護條例》(GDPR)對(duì)安全和(hé)用(yòng)戶訪問控制要求得更加嚴格，制企業保護歐盟公民的個人數據和(hé)隐私，影響到(dào)每一家在歐盟做生意或客戶中有歐盟公民的公司，等級保護基本要求中也(yě)有相應的身份鑒别要求。業務覆蓋了(le)中國大(dà)陸、歐盟地區(qū)和(hé)在美(měi)國上(shàng)市的企業，都需要遵守上(shàng)述法案和(hé)條例。

行業需求

帕拉迪将企業在身份認證和(hé)訪問安全方面的遇到(dào)的痛點問題總結如下(xià)：

1. 衆多的應用(yòng)系統相互獨立，形成信息孤島，管理(lǐ)複雜(zá)，也(yě)不利于安全控制；

2. 多種認證方式并存，缺乏統一的認證管理(lǐ)平台；

3. 缺乏統一的賬号管理(lǐ)平台，多個應用(yòng)系統的新增賬戶、權限的變更、賬戶删除等工(gōng)作(zuò)靠人爲完成，不僅效率低(dī)，時(shí)間成本高(gāo)，而且容易出現(xiàn)遺漏，造成訪問隐患；

4. 需要一個統一的企業門(mén)戶，結合單點登錄完成業務資源的快(kuài)速便捷訪問；

5. 員工(gōng)需要記憶多個應用(yòng)系統的賬号和(hé)口令，造成弱口令問題，生産過程中容易被爆破和(hé)撞庫；

6. 業務系統安全等級參差不齊，代碼漏洞整改難度大(dà)，成本高(gāo)；

7. 缺少員工(gōng)訪問業務系統的審計(jì)手段。

帕拉迪身份認證與訪問安全管理(lǐ)系統（IAM）用(yòng)于定義和(hé)管理(lǐ)數字身份，安全控制身份驗證并授權其使用(yòng)特定資源，确保數字身份整個“訪問生命周期”期間受到(dào)良好(hǎo)的維護、調整、控制與監視(shì)，爲客戶提供修改用(yòng)戶身份角色、跟蹤角色活動、創建用(yòng)戶活動報(bào)告和(hé)貫徹管理(lǐ)策略的工(gōng)具和(hé)技術。

IAM支持靈活的模塊化部署，企業可以根據自(zì)己的實際需求，選擇以下(xià)的子系統，打造“企業統一門(mén)戶”、“應用(yòng)單點登錄”、“賬号集中管控”、“認證訪問授權管理(lǐ)”以及“統一審計(jì)追溯和(hé)威脅分析”的企業生态平台。

應用(yòng)安全管控系統（IAM-CASB）

IAM-CASB包含一個基礎模塊和(hé)兩個擴展模塊

單點登錄管理(lǐ)模塊（IAM-SSO）

IAM-SSO無需用(yòng)戶業務系統二次開(kāi)發，實現(xiàn)對(duì)HTTP/HTTPS業務系統賬号單點登錄，各業務系統可在IAM平台上(shàng)統一設置多因素強身份認證，包括Radius、AD、LDAP、OTP、數字證書、短信、微信、指紋等；

應用(yòng)賬号管理(lǐ)模塊（IAM-ACM）

IAM-ACM模塊提供建立集中帳号管理(lǐ)體系，推行用(yòng)戶賬号有效生命周期管理(lǐ)策略，人員變動産生的業務系統賬号增删改隻需通過IAM即可完成管理(lǐ)。在賬号集中管理(lǐ)的基礎之上(shàng)，建立集中賬号授權體系，授權人、應用(yòng)、資源的訪問關系，可支持業務賬号周期性自(zì)動修改，根治弱口令問題；

應用(yòng)安全加固模塊（IAM-WVP）

IAM-WVP通過高(gāo)細粒度的特征庫防禦及獨家研發的“白(bái)名單”動态建模技術，爲所有業務文(wén)件路徑、及業務參數建立白(bái)名單模型，免去了(le)需要在源代碼上(shàng)加固參數的繁瑣工(gōng)作(zuò)；

運維安全管理(lǐ)系統（IAM-SMS）

提供對(duì)各類運維協議(yì)及工(gōng)具支持，可擴展多種多因素身份認證方式，統一權限合理(lǐ)劃分，集中訪問控制，支持單點登錄、賬号密碼代填、無縫應用(yòng)發布，支持移動運維和(hé)分布式集群，快(kuài)速滿足合規要求；

安全策略控制系統（IAM-SCM）

IAM-SCM通過TCP五元組控制，防止業務人員繞過IAM平台去直接訪問業務系統。可支持串聯和(hé)旁路部署兩種模式，旁路部署也(yě)能(néng)達到(dào)100%阻斷效果，且可有效控制内網主機對(duì)外(wài)網服務端口發起的連接；

審計(jì)追溯和(hé)威脅分析

IAM平台可對(duì)企業業務人員訪問OA、ERP、CRM、HIS/BOSS等系統進行全面的審計(jì)記錄，可規範化記錄業務表單信息、訪問URL信息等等，對(duì)于觸發安全策略的日志，可生成郵件、短信提醒；統一展現(xiàn)與分析企業運維層面和(hé)業務層面的所有交付信息，能(néng)夠追溯IAM用(yòng)戶的整個業務交付過程。幫助企業保護機密信息，持續提升信息系統管理(lǐ)體系，滿足合規及最佳實踐需求。

部署方式

1. 爲客戶建立一套統一的應用(yòng)安全交付平台，爲核心業務系統提供統一操作(zuò)入口，實現(xiàn)單點登錄。所有業務及運維人員都首先登陸IAM平台，在系統上(shàng)進行業務操作(zuò)，實現(xiàn)統一身份管理(lǐ)。

2. 對(duì)用(yòng)戶使用(yòng)業務系統中資源的具體情況進行合理(lǐ)分配，實現(xiàn)不同用(yòng)戶對(duì)不同實體資源的合法訪問，杜絕非法訪問和(hé)越權訪問。每個業務人員的權限都實現(xiàn)有效控制，策略細粒到(dào)可訪問的設備和(hé)可使用(yòng)的系統賬号和(hé)應用(yòng)帳号。

3. 業務人員的操作(zuò)内容均被帕拉迪IAM平台完整記錄，在滿足監管部門(mén)審計(jì)要求的同時(shí)，也(yě)爲誤操作(zuò)和(hé)非法操作(zuò)導緻的事(shì)故提供了(le)技術保障。

4. 爲監管部門(mén)提供有效的審計(jì)報(bào)表和(hé)原始準确的操作(zuò)日志記錄，有助于完善組織的IT内控與外(wài)審體系，使組織能(néng)夠順利通過IT審計(jì)。