传统安全转向业务安全,身份重构安全边界,零信任模型将成主流统计显示,重大数据泄露事件中被盗身份是主要突破口,81%的相关安全事件都源于被盗、默认或弱口令。移动互联网、云计算、大数据快速发展,新的安全形势下必须以身份为新的安全边界,“零信任模型”将成为最优选择。
用户身份与访问管理(IAM)
产品定位 统一身份访问通过移动认证解决密码安全问题,并为企业提供统一身份治理、权限集中管控、应用单点登录、日志审计等功能,实 现一次认证、全网通行,达到安全、便捷、易管理的完美平衡。
产品定位 双因素认证通过移动认证和认证插件技术,无须对目标系统进行改造或少量改造,便可以实现密码认证之外的第二因素认证。 基于芯盾时代独有的终端安全技术和灵活认证策略,让企业获得高强度的认证安全保护。
产品定位 业务安全平台在传统IAM产品基础上,增加应用资源动态访问控制功能,实时监控用户所有业务行为,包括身份认证、应用访问、 应用资源操作等行为,连续自适应风险与信任评估,构建企业内部零信任业务安全平台。
产品架构 系统架构IAM产品负责用户身份治理、权限管理、安全认证、单点登录、行为审计等业务,与应用系统进行账号同步、单点登 录、双因素认证集成,并与外部数据源、基础认证能力等资源进行集成。IAM的使用群体包括普通用户、超级管理员、 应用管理员。
产品架构 功能架构产品纵向分为应用层、服务层、功能层、数据层;横向分为统一门户、移动认证、管理中心、统一账号、统一认证、 统一应用与授权、单点登录、统一审计、应用网关、认证代理模块。
产品架构 服务架构采用SpringCloud/SpringBoot微服务架构(兼容K8S服务治理),把系统划分为不同的微服务,各微服务独立部署, 支持横向扩展、高可用、高并发。
IAM产品零信任模型芯盾时代IAM产品零信任理念是连续自适应风险与信任评估,在传统IAM基础上增加应用资源动态访问控制功能, 实现用户身份认证、应用访问、应用资源操作全链路行为的动态访问控制。
产品价值统一权限管理 场景概述用户权限管理涉及用户拥有哪些应用访问权限、用户应用账号具备哪些权限。传统方案是由管理员给用户开通应用账 号并分配权限,开通账号即代表用户拥有该应用访问权限,完全依靠人工管理,存在严重安全隐患以及较大管理工作 量。另一个事实是应用独立维护权限、权限与业务耦合、权限不断变化,导致第三方平台很难完全接管应用账号权限。 芯盾时代IAM产品重点关注用户应用访问权限管理,也支持轻量级的用户应用账号权限管理方案,并且两者是独立的、 互不影响。
统一权限管理 用户应用访问权限芯盾时代IAM产品综合考虑存量用户、新增用户、特殊用户三种场景权限管理需求,支持各种授权模型。存量用户权限导入:从应用数据库导出账号数据,在IAM平台按照应用维度导入;新增用户自动授权:基于用户属性定义自动分组策略,通过ABAC与RBAC模型,实现自动化、动态授权;特殊用户人工授权:管理员根据业务需求,人工调整部分用户应用访问权限。授权模型:支持DAC、RBAC、ABAC授权模型,支持岗位授权、用户组授权、部门授权、用户授权、应用授权。 IAM主要管理用户应用访问权限,用户应用账号权限可以在应用账号同步时授予默认权限,特殊用户账号权限由应用 管理员人工调整,这是目前通用解决方案。
统一权限管理 用户自动授权芯盾时代IAM产品用户自动分组策略,综合运用ABAC与RBAC权限模型,建立用户属性、用户组、应用权限三者之间的动态关联,实现默认授权与动态权限调整。用户自动分组策略支持用户任意属性关联权限组,比如用户状态、用户 类型、用户岗位、用户部门、用户职级等。用户自动分组策略与用户同步、用户管理、用户应用账号下发功能相结合, 形成完整的自动化授权体系,是身份治理与权限管理的核心方案。
统一权限管理 用户自助申请权限用户可以通过应用门户自助申请应用权限,管理员审批通过后,触发用户应用账号同步操作,应用账号同步完成后, 用户即可正常访问应用。用户自助申请应用权限,可以更好满足用户差异化权限需求,并减轻管理员工作量。
统一权限管理 用户应用账号权限用户应用内部账号权限,与应用业务逻辑强耦合,很难由IAM完全接管,国内外有以下解决方案。 应用控制方案:应用从IAM同步账号时自动赋予默认权限、应用管理员对特殊账号权限进行调整,比较简单实用。双向同步方案:IAM与应用之间同步用户权限信息、IAM管理权限、应用控制权限,比较繁琐、应用改造难度大,不实用。IAM控制方案:IAM定义控制应用权限、应用无权限逻辑、应用访问请求需要先到IAM做权限检查,应用改造难度大,不实用。芯盾时代轻量级应用账号权限管理方案。 IAM导入应用权限、IAM管理用户授权、用户登录应用时下发权限信息、应用控制权限,该方案IAM不用与应用同步权限信息、应用系 统无须改造或者改造很小。
统一权限管理 分级管理IAM集中管理用户身份与应用权限信息,对于体系复杂、用户规模大、应用数量多的企业集团来说,从管理运营体系、 管理效率等方面考虑,存在分级管理需求,也就是按照功能、组织、应用来进行分级管理。芯盾时代IAM产品通过 RBAC1、ABAC模型构建灵活的分级管理方案,满足功能分级、组织分级、应用分级等管理业务场景。
零信任方案 增强型IAM传统IAM增加应用资源动态访问控制能力,把IAM打造为企业内部零信任业务安全平台。
零信任方案 增强型IAM定义应用资源与安全控制等级、风险规则、处置策略,通过连续自适应风险与信任评估,实现应用资源动态访问控制。
零信任方案 风险审计规则引擎基于大数据流式计算引擎与专业规则引擎构建,实现规则与指标分离、规则灵活定义、指标预计算、毫秒级响应,满足 零信任业务安全场景下的规则自定义、风险检测实时响应需求。规则管理系统: 规则管理、指标管理;指标计算系统: 流式引擎、指标计算;规则引擎系统: 规则匹配,风险识别。
系统部署 虚机部署采用虚拟化服务器,通过Spring Cloud应用微服务框架与数据存储集群,满足系统高可用、高并发、横向扩展需求。 采用虚机混合部署可以节省硬件资源。
系统部署 容器部署应用服务部署在Docker容器中(选择使用K8S服务治理,或者Spring Cloud服务治理),存储集群部署在虚机中(考 虑数据备份以及集群通讯,存储组件不适宜部署在容器中)。
系统部署 私有云部署企业私有云部署模式,IAM部署在企业内网,通过防火墙端口映射与互联网通讯,对接企业内部应用、SaaS应用、移 动应用。
系统部署 DMZ部署企业DMZ部署模式,IAM部署在DMZ区,内网应用、互联网应用均可以访问IAM服务,适用于互联网访问较多、有 DMZ网络区域限制场景。
系统部署 公有云部署IAM系统部署在公有云,对接企业公有云应用、SaaS应用、企业内部应用,为企业应用向云端迁移奠定基础。
系统部署 灾备部署(两中心)IAM灾备部署模式适用于对高可用要求很高的行业客户,两中心双活方案实现主机房服务故障转移。
系统部署 灾备部署(三中心)IAM灾备部署模式适用于对高可用要求很高的行业客户,三中心双活方案实现主机房服务故障转移与数据异地备份。
成功案例芯盾时代已经在全业务领域与150+银行用户展开了合作,包括手机银行交易安全、身份管理、反欺诈、机器学习、移动办公、连续自适应认证等,获得了银行用户的广泛 认可,市场份额快速增长,银行业最高标准的打磨也支撑了公司产品和技术在行业中的绝对领先地位。芯盾时代身份管理、用户行为分析、连续自适应认证等产品聚焦业务安全,凭借友好的用户体验,无缝的系统接入,全面的认证能力,快速获得了用户的认可,市场份额 不断扩大,已实现中央网信办、水利部、中国移动、中国联通、VIPKID等重要行业用户的突破,最终打造成为全行业一站式业务安全解决方案平台。
京东云实名认证服务平台,从技术架构、认证流程及管理规范上,设计并提供了符合电子认证规范的实名认证流程。 提供毫秒级响应速度,每秒万次认证服务能力。高效核验、查询,无需等待。 对企业及个人分别提供具有针对性的认证方式,从身份资料、备案资料等多维度保障实名认证的可靠性。
人像核验
实名认证
高效核验
毫秒级响应
可信身份认证平台,是基于商兆的电子营业执照对接能力、工商数据对接能力和司法公证对接能力,为各客户业务系统提供对接国家电子营业执照统一信源和全国工商统一信源的开放平台。
提升企业身份认证能力
提升市场主体身份监控能力
对外提升客户服务体验
对内有效助力降本增效
易安联EnCASB零信任云应用安全接入平台,无需下载客户端和插件,通过浏览器输入应用访问地址,直接登录进行业务访问。应用安全门户作为应用访问的唯一入口,原有对外接口封闭,降低安全风险。并支持自定义门户样式,不改用户界面及操作习惯 。
便捷访问
设备管理
行为分析
应用管理
领先的企业数字化服务平台
客服电话:400-0972-788
