《孫子兵法》“勝兵先勝而后求戰(zhàn)，敗兵先戰(zhàn)而后求勝”。意思是“能取勝的，總是先創(chuàng)造取勝的條件，然后才同敵人決戰(zhàn)，失敗的總是冒然開戰(zhàn)，然后祈求僥幸取勝”。

目前，物聯(lián)網(wǎng)技術(shù)、人工智能技術(shù)、云計算等技術(shù)崛起，為網(wǎng)絡(luò)空間發(fā)展建設(shè)帶來更多機遇，網(wǎng)絡(luò)安全也遇到了的威脅與挑戰(zhàn)。尤其對于企業(yè)而言，越來越多的業(yè)務(wù)應(yīng)用開始依托云端構(gòu)建，使得云端平臺儲存的數(shù)據(jù)資源變得日益龐大，價值也不斷攀升。一旦儲存的數(shù)據(jù)泄露或遭到攻擊，將對一家甚至多家企業(yè)造成難以估量的損失。

本文主要就是從IAM選型角度來分析。

考察方式：參加過IAM廠家的活動或者看過兩次講解，對IAM產(chǎn)品了解不夠全面，僅僅認為是簡單的單點登錄，或者認為僅僅是多了一種多因素認證。

此時決定：兇多吉少，項目失敗率較高，或者做的程度很淺，達不到真實管理需求，前期沒有充分準備，項目付出成本較高。

正確方式：通過初步了解，認識到身份安全的重要性，了解上IAM系統(tǒng)的價值所在，結(jié)合企業(yè)自身的情況，初步判斷自身的需求。通過此步一般能了解到如下信息：

1、國內(nèi)外由于身份管理不到位導(dǎo)致的企業(yè)敏感數(shù)據(jù)日益增多；

2、國內(nèi)外均出具相應(yīng)的法律法規(guī)來保障身份安全，如歐盟的GDPR和國內(nèi)的等保；

3、企業(yè)缺乏統(tǒng)一身份認證以及更高級別的安全認證；

4、建立統(tǒng)一的身份管理，實現(xiàn)賬號的全生命周期管理服務(wù)企業(yè)內(nèi)部標準規(guī)范；

5、建立員工自助服務(wù)平臺，減少運維工作量；

6、實現(xiàn)員工行為審計，服務(wù)內(nèi)部審計要求；

7、實現(xiàn)單點登錄，方便員工操作及提升安全；

8、實現(xiàn)一點清權(quán)等操作，降低安全風(fēng)險。

基于以上的了解，還不夠全面，僅僅知道了需要這樣的產(chǎn)品，但是究竟是選擇什么樣的合作伙伴來實施這個項目，還需要進一步選型。

考察方式：除了看廠家的產(chǎn)品演示，還參觀過廠家的案例客戶，多方面橫評。對IAM產(chǎn)品有一定了解，對各廠家客戶情況了解。

此時決定：勝負各半，只看別人的效果，很難和自身企業(yè)結(jié)合起來。甚至軟件公司與案例客戶結(jié)合起來，夸大產(chǎn)品功能和效果。

正確方式：通過觀察各個廠家的演示及案例參考，對各個廠家有了進一步的了解，應(yīng)通過此步了解如下信息：

1、廠商系統(tǒng)架構(gòu)是否服務(wù)公司未來架構(gòu)要求，例如：微服務(wù)架構(gòu)等；

2、隨著互聯(lián)網(wǎng)發(fā)展，必定有API暴露于外網(wǎng)，知否具備API認證及API網(wǎng)關(guān)；

3、內(nèi)部存在著CS系統(tǒng)，是否支持CS系統(tǒng)認證；

4、內(nèi)部有些系統(tǒng)只支持某種瀏覽器，系統(tǒng)是否支持夸瀏覽器的系統(tǒng)訪問；

5、系統(tǒng)的安全性如何，是否通過了一些的安全滲透攻擊；

6、產(chǎn)品廠商客戶數(shù)量如何，成功案例數(shù)是否較多；

7、產(chǎn)品廠商實施能力如何，是否具備良好的售后服務(wù)能力；

通過以上信息的了解，其實已經(jīng)對IAM產(chǎn)品有了很清晰的認識，也對各個廠商有了清楚的認知，但還遠遠不夠，因為IAM產(chǎn)品是內(nèi)部所有系統(tǒng)源頭，不能出現(xiàn)任何問題，此時做出決定只能說是勝負各半，所以我們要進行進一步的了解。

考察方式：除了完成以上兩個階段，還要進行POC，找出幾個經(jīng)典場景，例如：智能風(fēng)險因子、跨瀏覽器登錄、微服務(wù)架構(gòu)部署、API安全認證、CS系統(tǒng)集成等，讓軟件公司現(xiàn)場開發(fā)，自己從側(cè)面評估工作量和實現(xiàn)技術(shù)手段，以及顧問的專業(yè)水平。

此時決定：已經(jīng)進行了很專業(yè)、很全面的了解，成功把握較大，不會被表象迷惑，失敗率較低。

正確方式：通過廠家的介紹、POC，親自試用，通過系統(tǒng)的集成，服務(wù)框架的部署，并親自體驗產(chǎn)品的功能和穩(wěn)定性，評估對接的工作量和難度。通過此步了解到的信息：

1、系統(tǒng)穩(wěn)定性；

2、功能易用性；

3、廠商的實現(xiàn)方式；

4、工作量的大?。?/span>

5、集成的難易程度；

6、之前溝通過程中承諾的功能是否屬實；

7、廠商的顧問的專業(yè)水平。

通過以上步驟的選型，并向高層說明實施IAM產(chǎn)品重要性，并得到的支持。此時決定，在充分評估供應(yīng)商產(chǎn)品、功能以及售后服務(wù)能力低情況下，項目失敗的風(fēng)險相對就比較低了。