2017第三届中国行业互联网大会暨CIO班12周年年会 | 身份治理:助力互联网时代下的新技术成长
各位嘉宾、朋友们:
上午好!祝贺 “第三届中国行业互联网大会暨CIO班12周年年会”盛大开幕。今天来自全国各地的数百位业界精英汇聚在古北水镇共叙友情、交流思想,很高兴成为其中一员并与大家共同探讨行业发展的变化与趋势 。我们知道,在当今互联网无处不在的信息时代,科技一定是驱动行业快速发展甚至会产生行业地位颠覆的首要条件,社会各行各业都发生了巨大变化。我们看到过去更多人使用的传统诺基亚手机,如今已被各类智能化手机取代,移动支付技术为人们生活带来极大的便利,通过手机就可以轻松完成各种支付,二维码功能的应用场景也越来越多。 信息技术的进步不仅改变了个人生活方式,而且也利于企业更高效,更低成本地经营业务,这些变化显而易见。
然而,公众日常较少关注的是,面对个人服务的各类应用技术得以快速发展实际是源于在企业信息技术领域中所产生的巨大进步。大数据、云计算、物联网、机器到机器的安全交互、SaaS服务和开放API,以及移动办公、区块链、人工智能,尤其在Apache 标准许可下的Hadoop 、Android以及Mariadb等数据库技术的快速发展,推动了众多消费类技术的深度应用,如智能手机、微信、个人消费应用等。正是这些企业级技术的快速成长与推动,从而为全球数十亿人的生活带来了便利。同时,我们也看到科技驱动着产业变化与组织变革,而安全性对于任何一个新技术应用领域都是至关重要的。这里,我要重点提到的是随着新兴技术的快速成长,IAM身份管理与访问控制技术会变得更加重要。无论技术趋势如何变化,其在企业信息系统环境中提供的安全管理基础始终不会改变,即谁在什么时间、被谁授权、可以进入那些系统,以及对所有不同类型用户的访问权限和行为能否进行及时、准确的风控审计。
现今,各产业朝着数字化、移动化、智能化快速发展,随着新技术的广泛与深度应用,企业信息系统异构环境变得庞大复杂,这给信息安全管理带来挑战。信息安全发展趋势是随着业务变化主要经历了各类基础设施与网络环境安全建设,之后伴随在基础设施之上的众多业务类型应用系统的建设,又对应用系统安全和访问系统的用户管理、身份安全管理有了多样化需求。接下来由于企业规模扩大,组织体系发生变化,信息环境处于实时动态变化中,因此企业更需要建立完善、系统的安全管理机制,须让技术与管理实现有机结合,技术驱动管理创新,同时相适应的管理机制又能够推动创新的技术手段得以顺利落地。
当前,我们看到组织中的业务场景出现几个明显变化:一是,用户数快速增长,访问系统的用户维度不断扩大。有日益增长的内部人员、外包人员、供应商以及外部客户等不同人员,而这些人员所被赋予的岗位职责和权限,对组织的流程效率和风险都密切相关。大量数据显示,多数安全风险实际是来自组织的内部人员或由于缺失规范的内部控制体系导致内外部人员违规操作、联合作案,从而直接威胁到组织经营安全。因此须要考虑如何将不同纬度的用户纳入统一的授信与风险管理体系;二是,应用规模增长造成的信息孤岛。组织中的各业务系统是在不同时期由不同厂商建设而成的,造成不同的标准、不同的用户管理体系、不同的用户命名规范,同时缺失应用安全接入的统一规范,造成运营效率低下和诸多安全隐患。三是,对用户电子身份缺乏身份智能化管理与流程自动化。以往企业为这些用户创建或禁用账号权限时,都是通过手工逐个操作。手工操作容易造成人为不当操作产生的安全后门隐患,如遗漏账号、违规私建账号、账号数据误删除等。遗留的安全后门成为公司信息资产外泄的黑洞,离职员工仍可能利用这些账号继续违规使用系统获得保密资料,造成客户资金丢失等重大损失。四是,移动应用、云应用、大数据等新技术的快速发展,带来业务需求场景复杂多样化。须要考虑将不同的移动终端纳入统一的安全管理范围,同时在大数据、物联网应用场景下,须要解决人与系统、机器与机器之间的安全交互。大数据环境下对所有类型用户的身份安全管理,包括不同维度的内、外部人员、机器、设备、系统、组织等。组织需要做到对这些所有用户的访问行为进行实时预警、事中控制与事后责任审计。五是,当前网络与信息安全问题频出,政府加大行业监管力度,网络安全法的颁布实施,对组织内部控制与信息安全管理提出更高的要求。
基于此,现代企业需要将身份治理纳入企业战略规划中,无论是对组织中的内部人员、外包人员、供应商、外部客户以及互联网用户等不同维度的人员权限和访问行为,还是对人与机器、机器和机器间的交互都需要纳入统一的风险管控体系。通过建立内、外部用户的统一身份治理体系,实现集中用户主数据服务以及对不同类型的用户实现统一管理、分级授权以及访问行为的可视化审计,并通过整合各类业务与组织内外部的资源实现高效协同,为管理精准赋能。
结合不同业务场景的安全需求,首先须要加强组织内部控制,通过统一身份管理平台有效融合各类应用、APP、门禁考勤、无线上网设备以及服务器等。其次,为提升互联网用户安全管理及优化用户体验,实现面对外部客户、微信用户等外部人员一键式高效登录互联网系统,并通过用户画像智能分析模型实现渠道整合与用户数据的定向导流,为业务发展实现精准赋能。在移动安全管理方面,通过移动端融合多种主流安全认证,对各种认证方式进行统一入口的可视化管控;通过风险引擎模型建立统一授信机制,能够根据访问时间、访问习惯、设备异常情况等多种场景和因素智能识别出不同用户和机器设备的安全级别,可结合实际需要采用不同的认证组合,并可进行个人风险偏好设定。同时实现了移动端和PC端的无缝融合,通过在移动端扫码、刷人脸、声纹等方式验证身份安全,即可直接登录到PC端,从而免于记忆复杂冗长的密码,既大幅增强了安全性又优化了用户体验。从增强云端应用安全看,一方面需要提高用户线下、线上跨平台的访问效率,同时需对不同的云用户进行统一授权、统一访问及可视化责任追溯。从物联网应用场景看,物联网需要大规模安全性,需为具有不同复杂度、界面和标准的设备提供安全设计。因此,必须提供一套身份安全治理机制,合理控制谁、在什么时间、因为何种原因、拥有哪些权限、访问什么类型的物品。身份治理,万物互联,身份安全让任何用户、设备或机器可以与应用以及服务之间进行安全、高效、无缝地连接。
10年前,几乎没有人能预测到技术变化以及它如何影响人们的生活方式。而今,我们可以预测的是,在未来10年中,新技术也将彻底改变我们的生活方式。最后,我要总结的重点是,通过执行一个全面的身份管理解决方案与信息战略规划,企业才可能成为以最低成本将新技术高效运用起来的组织。互联网时代,技术让组织从一个醒目的建筑转变成一个必须安全可信的依托于信息技术的交易。因而,信息技术平台已成为行业能够实现预期收入的重要核心资产。可以说IT平台的规范化、易用性、高敏捷性直接决定企业是否会成为第一个运用越来越低的交易成本给客户提供创新服务的组织。