传统安全转向业务安全,身份重构安全边界,零信任模型将成主流统计显示,重大数据泄露事件中被盗身份是主要突破口,81%的相关安全事件都源于被盗、默认或弱口令。移动互联网、云计算、大数据快速发展,新的安全形势下必须以身份为新的安全边界,“零信任模型”将成为最优选择。
用户身份与访问管理(IAM)
产品定位 统一身份访问通过移动认证解决密码安全问题,并为企业提供统一身份治理、权限集中管控、应用单点登录、日志审计等功能,实 现一次认证、全网通行,达到安全、便捷、易管理的完美平衡。
产品定位 双因素认证通过移动认证和认证插件技术,无须对目标系统进行改造或少量改造,便可以实现密码认证之外的第二因素认证。 基于芯盾时代独有的终端安全技术和灵活认证策略,让企业获得高强度的认证安全保护。
产品定位 业务安全平台在传统IAM产品基础上,增加应用资源动态访问控制功能,实时监控用户所有业务行为,包括身份认证、应用访问、 应用资源操作等行为,连续自适应风险与信任评估,构建企业内部零信任业务安全平台。
产品架构 系统架构IAM产品负责用户身份治理、权限管理、安全认证、单点登录、行为审计等业务,与应用系统进行账号同步、单点登 录、双因素认证集成,并与外部数据源、基础认证能力等资源进行集成。IAM的使用群体包括普通用户、超级管理员、 应用管理员。
产品架构 功能架构产品纵向分为应用层、服务层、功能层、数据层;横向分为统一门户、移动认证、管理中心、统一账号、统一认证、 统一应用与授权、单点登录、统一审计、应用网关、认证代理模块。
产品架构 服务架构采用SpringCloud/SpringBoot微服务架构(兼容K8S服务治理),把系统划分为不同的微服务,各微服务独立部署, 支持横向扩展、高可用、高并发。
IAM产品零信任模型芯盾时代IAM产品零信任理念是连续自适应风险与信任评估,在传统IAM基础上增加应用资源动态访问控制功能, 实现用户身份认证、应用访问、应用资源操作全链路行为的动态访问控制。
产品价值统一用户管理 场景概述统一用户管理,对用户(HR)、身份(IAM)、账号(应用)进行治理及管理,通过同步、映射、关联等方案,形成用 户统一登录身份,并对用户全生命周期进行管理。统一用户管理主要包括组织用户同步与管理、用户身份管理、应用账 号管理与同步等功能。
统一用户管理 数据源同步企业组织用户一般由HR系统进行管理,可能存在多套数据、非正式员工管理等需求。IAM统一身份认证基础是整合企业 零散的组织用户数据,形成权威的组织用户体系,并供应给应用系统。芯盾时代IAM产品支持定时同步(LDAP、SQL、 API)、实时同步(API)、初始化(LDAP、Excel)方式,以及同步任务管理。
统一用户管理 用户全生命周期管理用户全生命周期管理,管理员通过用户与权限管理实现用户到应用账号的自动化流转,减少管理工作量, 并保证安全性。芯盾时代IAM产品采取自动化管理流程、结合人工管理方案,实现科学、高效、实用的用 户全生命周期管理模型。
统一用户管理 用户自动分组策略用户自动分组策略,通过用户属性控制用户账号可用状态、用户应用授权、应用账号同步,综合运用RBAC与ABAC权限 模型,实现岗位授权、部门授权、用户组授权,实现用户到应用账号的自动化流转。
统一用户管理 多维组织企业多维组织需求包括两个场景:用户属于多个部门(横向组织),多套异构组织用户(HR、AD各管理一套组织用户 数据),企业的诉求是优先统一用户、兼容组织现状、按需向应用供应数据、逐步推进标准体系建设。芯盾时代IAM产 品通过【组织与用户多对多数据模型】支持用户属于多个部门场景,通过【多套数据源同步、基于数据源优先级合并用 户、应用账号同步选择组织维度】支持多套异构组织用户场景。
统一用户管理 用户属性扩展不同企业的用户属性存在差异、且存在后期扩展调整需求。芯盾时代IAM产品可以灵活扩展用户属性,支持用户身份 标记设置、可登录属性设置、显示与检索设置。
统一用户管理 应用账号管理应用独立账号权限体系,存在安全隐患,增加管理工作的复杂性,IAM需要实现用户与应用账号的关联, 这样应用才能识别登录用户身份。应用账号支持两种策略:主账号策略(用户身份作为应用账号,两者是 一 一对应的)、从账号策略(应用账号独立维护,无法关联用户身份,可以绑定到用户身份)。
统一用户管理 应用账号同步芯盾时代IAM产品支持应用账号拉取与推送,按照应用配置同步方式,实现用户到应用账号自动化流转。
统一用户管理 应用公共账号应用账号分为两种:普通实名账号,与用户一一对应;公共账号,比如管理员账号、招聘邮箱账号等,非实名账号, 无法与用户对应,存在多人共享需求。应用公共账号需要解决安全认证与共享问题,芯盾时代IAM产品通过【应用特 权账号授权关联用户、 用户实名认证、用户选择登录应用普通账号或特权账号】方案有效解决了应用特权账号使用过 程中的安全认证与共享需求,提升了用户体验。
统一用户管理 应用多账号应用多账号场景指一个用户在一个应用中存在多个应用账号(角色权限不同),芯盾时代IAM产品提供应用账号绑定、 解绑、选择登录方案,支持管理员操作与用户自助操作。
统一用户管理 应用账号委托应用账号委托对应工作委托代办场景,传统解决方案是共享应用账号密码,存在严重的安全隐患。芯盾时代IAM产品 可以实现安全的应用账号委托,支持管理员委托、用户自助委托、以及委托有效期。
零信任方案 增强型IAM传统IAM增加应用资源动态访问控制能力,把IAM打造为企业内部零信任业务安全平台。
零信任方案 增强型IAM定义应用资源与安全控制等级、风险规则、处置策略,通过连续自适应风险与信任评估,实现应用资源动态访问控制。
零信任方案 风险审计规则引擎基于大数据流式计算引擎与专业规则引擎构建,实现规则与指标分离、规则灵活定义、指标预计算、毫秒级响应,满足 零信任业务安全场景下的规则自定义、风险检测实时响应需求。规则管理系统: 规则管理、指标管理;指标计算系统: 流式引擎、指标计算;规则引擎系统: 规则匹配,风险识别。
系统部署 虚机部署采用虚拟化服务器,通过Spring Cloud应用微服务框架与数据存储集群,满足系统高可用、高并发、横向扩展需求。 采用虚机混合部署可以节省硬件资源。
系统部署 容器部署应用服务部署在Docker容器中(选择使用K8S服务治理,或者Spring Cloud服务治理),存储集群部署在虚机中(考 虑数据备份以及集群通讯,存储组件不适宜部署在容器中)。
系统部署 私有云部署企业私有云部署模式,IAM部署在企业内网,通过防火墙端口映射与互联网通讯,对接企业内部应用、SaaS应用、移 动应用。
系统部署 DMZ部署企业DMZ部署模式,IAM部署在DMZ区,内网应用、互联网应用均可以访问IAM服务,适用于互联网访问较多、有 DMZ网络区域限制场景。
系统部署 公有云部署IAM系统部署在公有云,对接企业公有云应用、SaaS应用、企业内部应用,为企业应用向云端迁移奠定基础。
系统部署 灾备部署(两中心)IAM灾备部署模式适用于对高可用要求很高的行业客户,两中心双活方案实现主机房服务故障转移。
系统部署 灾备部署(三中心)IAM灾备部署模式适用于对高可用要求很高的行业客户,三中心双活方案实现主机房服务故障转移与数据异地备份。
成功案例芯盾时代已经在全业务领域与150+银行用户展开了合作,包括手机银行交易安全、身份管理、反欺诈、机器学习、移动办公、连续自适应认证等,获得了银行用户的广泛 认可,市场份额快速增长,银行业最高标准的打磨也支撑了公司产品和技术在行业中的绝对领先地位。芯盾时代身份管理、用户行为分析、连续自适应认证等产品聚焦业务安全,凭借友好的用户体验,无缝的系统接入,全面的认证能力,快速获得了用户的认可,市场份额 不断扩大,已实现中央网信办、水利部、中国移动、中国联通、VIPKID等重要行业用户的突破,最终打造成为全行业一站式业务安全解决方案平台。
集中身份管理系统是针对国内企业信息化发展现状而开发的应用系统管理平台,可以在不改变现有软硬件及网络环境的前提下,无缝地将用户各种现有的应用系统整合到单点登录平台上,实现一次登录后就可访问所有有权限访问的应用系统。
安全可靠
使用便捷
数影星球SaaS三方平台帐号管理方案,通过数影办公平台访问自有或者第三方办公系统,自动实现数据和行为全管控,安全办公。支持主流电商客户端账号管理,其它三方应用需要定制开发。免开发,不支持标准化账号协议也可接入。精准控制敏感数据流向,保证敏感数据只在受信任的系统之间流转。
账号共享
数据导出
下载管控
统一管理
基于易盾安全实验室大数据算力,智能锁定唯一的设备ID,用于唯一标识设备特征。广泛应用于电商、金融、银行、游戏等行业。作为安全风控的底层核心技术的保障,离开了设备指纹,安全性就无从谈起。
设备标识
智能追回
风险检测
设备信用体系
领先的企业数字化服务平台
客服电话:400-0972-788
