統(tǒng)一身份認證系統(tǒng)---企業(yè)實施和保護

統(tǒng)一身份認證系統(tǒng)的核心目標是為每個用戶賦予一個身份，可以是企業(yè)身份標識、生物特征標識等，該數(shù)字身份一經(jīng)建立，從用戶登錄系統(tǒng)->權(quán)限授予->登出系統(tǒng)的整個過程中，根據(jù)需要在恰當?shù)臈l件下及時賦予正確的用戶對企業(yè)內(nèi)適當資產(chǎn)的訪問權(quán)，并對資源的使用過程進行全過程的安全審計。

管理服務(wù)

統(tǒng)一身份認證系統(tǒng)是企業(yè)所有應(yīng)用系統(tǒng)標準化的用戶管理基礎(chǔ)設(shè)施,它集中管理著所有應(yīng)用系統(tǒng)的用戶,包括用戶整個生命周期的管理、用戶賬號的統(tǒng)一管理以及用戶屬性的統(tǒng)一管理,并為各個應(yīng)用系統(tǒng)提供安全的服務(wù)與支持。

因此統(tǒng)一身份認證系統(tǒng)旨在管人、管系統(tǒng)。

“人”可以是自然人，也可以是設(shè)備，如充電樁、車載系統(tǒng)等。統(tǒng)一身份認證系統(tǒng)的核心是圍繞以”人”為中心的全生命周期管理模式，通過人員的屬性勾畫人員畫像；通過人員的生物特征或其他標識屬性進行身份認證；通過人員的業(yè)務(wù)不同進行人員分類；通過不同系統(tǒng)的權(quán)限體系進行人員權(quán)限；通過人員的活動周期，如入職、調(diào)崗、離職、返聘、到訪、離場等過程的進行全過程監(jiān)控。

人的身份與人的訪問權(quán)限管理是任何企業(yè)安全管理中兩個*的重點管理對象，它與企業(yè)的安全和生產(chǎn)力密不可分。

由于企業(yè)中各個系統(tǒng)面向不同業(yè)務(wù)管理方向，各有其對應(yīng)的用戶群體，不同的用戶群體對應(yīng)不同的權(quán)限體系，系統(tǒng)間的信息共享、信息交換、人員分類必然受到限制...因此企業(yè)需要定義統(tǒng)一標準的人員類型，常見的人員類型有：正式員工、實習生、外服人員、供應(yīng)商、臨時訪客、嘉賓、退休返聘、設(shè)備用戶、一級粉絲、二級粉絲...視企業(yè)的具體人員組成而定。以人力資源為主要內(nèi)部人員信息來源，并集成收集互聯(lián)網(wǎng)、OA、CRM、SRM等為外部人員信息來源，建立集團性質(zhì)身份管理數(shù)據(jù)源；并由統(tǒng)一身份認證系統(tǒng)統(tǒng)一對外提供人員身份數(shù)據(jù)供給服務(wù)，實現(xiàn)從統(tǒng)一身份系統(tǒng)到各個應(yīng)用系統(tǒng)間的數(shù)據(jù)同步。

“系統(tǒng)”包含了企業(yè)應(yīng)用系統(tǒng)、IT服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等。統(tǒng)一身份認證旨在將分散在各個信息系統(tǒng)中的用戶賬戶管理、屬性管理及入門級應(yīng)用訪問權(quán)限進行統(tǒng)一集中管理,簡化信息系統(tǒng)管理人員對多信息系統(tǒng)賬戶操作的維護工作量,提升系統(tǒng)安全性。同時可根據(jù)企業(yè)內(nèi)部的組織架構(gòu),通過體系化的部署建設(shè),使之能夠覆蓋企業(yè)內(nèi)部分散的多個應(yīng)用域。

1. 統(tǒng)一賬號、身份池管理。將用戶與用戶在各個系統(tǒng)的身份進行統(tǒng)一管理。

2. 建立以自然人為中心的管理模式，定義權(quán)限開通規(guī)范，明確什么樣的人員群體開通的應(yīng)用系統(tǒng)權(quán)限。

3.  根據(jù)人員類型、職位、部門等設(shè)置不同的權(quán)限供給策略，當人員信息發(fā)生變更時由統(tǒng)一身份認證系統(tǒng)自動完成各個應(yīng)用系統(tǒng)中的人員信息修改、權(quán)限合并、權(quán)限變更。

認證服務(wù)

員工可以代表身份的標識在系統(tǒng)與系統(tǒng)、用戶與系統(tǒng)、用戶與用戶之間建立起一種信任關(guān)系,從而保證了系統(tǒng)的安全性。人員的認證標識包含：手機、指紋、人臉、互聯(lián)網(wǎng)賬號（QQ、微信、微博、支付寶等）、工號、AD賬號、郵箱、門禁卡、一卡通賬號等；

認證內(nèi)容包含員工的身份信息、員工的辦公環(huán)境。員工的應(yīng)用系統(tǒng)訪問權(quán)限。人們需要既能保護住隱私又能驗明自身的方法，我們需要通過人員的信息能夠清晰描繪出人員的畫像，以便確立該員工的身份：

1. 通過員工指紋、人臉能夠判斷該人員是為我企業(yè)員工，還是外部訪客；

2. 通過員工政治面貌、工齡、崗級、榮譽證書、職稱等信息判斷該員工可以享受什么樣的公司福利、社會福利、國家福利、社會公益活動等；

3. 通過員工、支付寶、微信等信息判斷該員工是否可以進入內(nèi)部停車場停車并支付，飯?zhí)贸燥埜顿M等；

4. 通過工卡、指紋、人臉等信息判斷該員工可以辦公的樓層、可以使用的辦公電話、辦公PC、打印機、可以訪問的應(yīng)用系統(tǒng)等；

5. 員工通過指紋識別可以使用公共PC、公共電話、打印機等公共資源

認證方式的發(fā)展歷程：LADP目錄服務(wù)--->集中身份驗證服務(wù)--->雙因子認證2FA--->多因素認證MFA--->生物特征身份認證-->…；

目前流行的認證手段包含：AD域、Kerberos、OpenLdap、CA、U-Key、OTP、SMS、人臉、指紋、IOT、Oauth、CAS、OIDC、LTPA、SAML等等。

企業(yè)服務(wù)

統(tǒng)一身份認證系統(tǒng)的建設(shè)目標是為企業(yè)的各種網(wǎng)絡(luò)服務(wù)和應(yīng)用系統(tǒng)提供統(tǒng)一的用戶管理平臺和身份認證服務(wù),管理人員可以在同一認證系統(tǒng)中集中對各個應(yīng)用系統(tǒng)的用戶進行管理,有效提高整個企業(yè)的管理和運行效率，并使企業(yè)在管理上滿足企業(yè)安全合規(guī)性要求。

1) 臨時訪客應(yīng)該哪些樓層；可以連接哪個網(wǎng)絡(luò)

2) 出差的到下屬單位或集團的員工可以訪問哪些樓層

3) 退休返聘人員可以訪問哪些協(xié)同辦公系統(tǒng)

4) 外服人員人員使用哪些辦公電話、打印機

5) 員工自身清晰自己訪問的系統(tǒng)權(quán)限

1) 避免了傳統(tǒng)認證方式所帶來的弱口令風險

2) 人員離職后及時關(guān)閉所有權(quán)限避免惡意訪問所帶來的數(shù)據(jù)泄露風險

3) 清晰統(tǒng)計各單位、各部門、各人員的權(quán)限開通情況

4) 清晰統(tǒng)計各部門人員打印機打印次數(shù)、打印紙張

1) 建立各類人員生命周期管理規(guī)范制度

2) 建立應(yīng)用系統(tǒng)權(quán)限安全訪問規(guī)范

3) 建立IDC服務(wù)器等特權(quán)賬號訪問安全規(guī)范

4) 所有特權(quán)賬號密碼統(tǒng)一管理、定期改密、使用前申請、使用中監(jiān)控、使用后審計

5) 避免系統(tǒng)中影子賬號、僵尸賬號存在