亚信安全AIS IAM管理平台_身份安全管理平台

亚信安全AIS IAM管理平台

亚信安全AIS IAM管理平台，构建企业级以身份为核心的AISIAM平台，覆盖内外部用户体系，逐步接入设备、网络、应用、服务、数据身份体系，为对纳入应用资源、系统资源提供多样化的身份管理和认证服务能力，解决身份数据分散、跨系统身份互信互认与用户体验不佳等问题，保障企业的应用信息安全。

立即咨询

首页 > 产品中心 > 身份安全 > 亚信安全AIS IAM管理平台

信息化发展带来新的身份管理挑战 icon

新技术架构带来的全新挑战 icon

随着企业数字化转型不断深入，微服务架构、容器化部署、上云已成普遍需求，尤其是IT基础架构云化、容器化、能力中台化以及云计算、大数据、AI等新技术密集应用，对传统安全管理和防护提出全新挑战。

IAM主流技术趋势

总结IAM技术发展与趋势，大致经历三个阶段：无序、集成、治理。显现出不同阶段的技术特点与建设关注点。

IAM产品需求

开箱即用
能力强：标准化能力可覆盖绝大部分业务场景。改造少：方便应用集成对接，适配好。交付快：产品标准能力强，交付周期短。运维省：可视化运维、高可用、灰度发布。可扩展：泛身份、零信任等。

灵活接入
主体身份：人、机、物、网、服、数。身份源：企业身份源、权威身份源、外部身份源等。认证源：生物识别、数字证书、实名认证、企业微信、钉钉等。企业不同类型、不同终端的应用资源、系统资源的接入或自助接入。

性能卓越
高可用：IAM作为企业身份基础设施平台，稳定压倒一切。高性能：大用户规模下的平台高效响应与高并发支持。微服务架构：前后端解耦、服务组件化，降低故障影响。云化部署：满足IT架构演进需要。

监管合规
安全合规，符合国家安全法律法规条例。合规审计，满足监管要求。运维合规，要求等保合规要求等。

AISIAM目标与定位 icon

构建企业级以身份为核心的AISIAM平台，覆盖内外部用户体系，逐步接入设备、网络、应用、服务、数据身份体系，为对纳入应用资源、系统资源提供多样化的身份管理和认证服务能力，解决身份数据分散、跨系统身份互信互认与用户体验不佳等问题，保障企业的应用信息安全。通过统一产品技术底座、微服务化业务能力组件、逻辑与业务可编排、业务组件可拼接等关键技术，打造可组合、可拼接的平台级云化IAM产品。

满足监管、合规要求

安全合规，满足国家安全法律法规，合规审计，满足监管要求，运维合规，要求等保合规要求。

提升安全防护水平

提高风控水平，防止身份冒用盗用、防止越权访问，自动账号封禁和权限封禁，进一步提升安全。提升身份管理能力与服务水平，满足企业IT资产的集中身份管理与认证服务需求，为零信任安全能力的前提。提升数据资产防护能力，防止数据泄漏风险。

提高安全管理效率

数字身份全景视图，助力安全管理和运营决策。全局策略应用、服务调用链监控，减少运维工作量。

总体架构：成熟先进、强化运营、面向未来 icon

成熟先进：面向未来，采用微服务架构且成熟先进的技术体系构建AISIAM产品；强化运营：加强运营视角，构建新型可视化、面向调用链的监控和运维能力。稳定的产品基座，功能组件可选，可合可分。面向未来：丰富的接口，联动其他安全产品，协同联防。

微服务技术架构产品采用微前端及微服务技术进行“纵横解耦”设计，构建身份管理微服务组件，通过叠加方式灵活组成业务能力，支持弹性伸缩、灰度上线、云环境适配等。

系统内生安全采用SpringCloud开发架构，并内置RASP（运行时自我保护）技术、隐私数据保护技术、国产密码技术等。

高性能、高可用、高兼容集群化部署、负载均衡、容灾/应急机制。持续交付、关键业务的隔离、熔断机制保障。环境兼容：浏览器、云平台、组件适配。丰富的最佳实践案例。

系统自动运维系统统一运维中心，支持组件存活监控、服务可用监控、业务调用链监控、运行日志监控等，通过监控策略执行自运维动作。

面向业务与运营需要的功能架构 icon

IAM门户、账号管理、认证管理、网关、堡垒主机、安全与监控能力等有特色功能。技术上主要以微服务为基础，满足运营商行业规范和上云等建设要求，围绕“提升安全能力、提高接入效率、共享安全能力、实现自主可控”进行IAM能力建设。

面向安全与运营的新技术架构 icon

全面服务化设计，基于先进成熟的技术组件，增加服务支撑能力、优化前端、提升性能设计、增加监控能力。

AISIAM产品核心能力 icon

统一门户

IAM统一门户为普通用户与管理员提供统一访问登录入口页面，根据访问权限，展示不同的门户功能。包含普通用户的个人工作台、管理员的管理工作台，支持门户展示组件视图的自定义与编排能力。

身份中心

全面覆盖企业各类用户类型（内部、外部）和组织机构，为企业构建全网的统一身份源和统一身份服务进行输出，并实现用户身份的全生命周期管理；提供泛身份模型，并支持自定义与扩展，符合业务未来身份管理发展需要。

身份中心能力

身份账号集中管理：对企业各类用户的身份与账号、组织机构等信息实现全面集中管理，提供全网统一身份源与身份数据输出服务；实现身份与账号的全生命周期管理，简化企业用户账号管理工作量。身份数据同步与共享：提供与上游身份源的身份和账号数据同步，下游应用的身份数据共享管理能力，助力企业身份账号集中管控。支持账号采集机制，含AD域、数据库、文件采集方式。涉敏角色标识与同步：针对应用资源和数据库资源，可同步涉敏角色，并依据从账号与角色对应关系标识当前从账号是否为涉敏从账号身份账号安全策略：通过合理的用户账号访问策略、密码策略、账号治理等能力，保障企业用户账号使用安全与管理策略落实。

全生命周期的流程化支撑：支持用户的身份管理流程与审批能力，支持与企业指定流程引擎集成（需定制），灵活支撑身份账号管理流程。数据同步与共享接口方式：提供标准协议、消息订阅、API接口等身份管理服务集成方式，便捷支撑身份数据同步与共享。

特色功能

泛身份模型，可支持人、机、物、网、服、数的主体身份模型管理，满足企业未来身份管理发展需要。支持身份属性扩展与自定义。组织/账号采集能力，支持AD/LDAP、数据库、文件（Excel）采集方式，高效便捷同步上游身份账号数据。身份账号治理：账号活跃度、密码有效期等监控，避免僵尸账号、弱密码等问题。

认证与访问控制中心

认证与访问控制中心为用户提供身份鉴别和准入控制服务，包括认证服务、访问控制策略（静态/动态/金库/密码策略）、SSO单点登录等功能，支持主流的强认证手段与多因素组合认证，包括但不限于PKI/CA证书、动态令牌、短信及生物认证等，支持设备认证（Raduis/Tacacs+）。

认证与访问控制中心能力

多认证源接入：支持企业自有认证源、社会化认证源和自定义数据库三种模式接入能力。强认证能力：支持企业自建认证能力与联绑认证，认证方式支持但不限于账号密码、短信验证码、动态令牌、扫码、邮件、指纹、人脸、PKI/CA数字证书、微信/QQ/钉钉等；支持Raudis/Tacacs+协议认证。认证策略&认证编排：提供双因素、多因素认证组合等认证策略管理和认证编排能力。访问控制策略：提供基于环境、时间、终端、黑白名单等多纬度条件的静态访问策略、基于基线学习与持续风险评估的动态策略、金库策略、密码策略。单点登录：被管资源（应用/系统资源）的单点登录能力，支持标准协议、代填与票据SSO。

特色功能

便捷高效构建各类认证能力，主流认证方式全支持。认证策略和认证编排能力，支持MFA认证、设备认证，满足不同业务安全场景的认证需求与等保合规要求。强大的访问控制策略（静态、动态、金库、密码），确保对主体访问IAM系统的行为进行安全管理。支持应用与系统资源单点登录，支持代填与票据SSO，应用接入无障碍。

资源中心

资源中心为通过IAM平台安全访问的企业应用资源、系统资源进行集中管控，实现对应用与系统的实体资源管理、从账号与授权、单点与集成接入等功能。

应用资源中心：提供对按标准单点登录协议集成（SAML、OAuth、CAS、OpenID等）和具备定定制开发能力的应用管理、应用单点能力；支持应用的账号/组织由IAM托管与应用自管模式；IAM托管模式：支持账号与组织的导入（LDAP/AD方式、自定义数源方式、EXCEL文件方式）、导出、批量管理与稽核（应用连通性、账号与密码稽核）；应用自管模式：支持应用授权与应用账号定期批量导入管理；应用资源访问支持4种登录方式：支持从IAM门户登录、应用门户拦截跳转至IAM门户登录、应用调用IAM平台的API认证服务进行登录、应用内嵌IAM登录窗口；日志记录：该应用的所有访问登录及操作日志。系统资源中心：提供对纳管的系统资源类型包括：主机、数据库、网络资源、安全设备、网元等，完成系统资源的全生命周期管理及从帐号全生命周期管理、系统资源的单点登录能力；支持系统资源分组、分域/驱动管理、批量授权、单个/批量单点登录（可触发金库），并支持工单流程，完成资源申请、账号延期的业务场景。

特色功能：支持与数据安全管控平台对接，实时获取涉敏资产分布情况，通过映射匹配，及时更新4A系统中资产的涉敏标识。覆盖主流标准协议，如SAML、OAuth、CAS、OpenID等，标准协议应用对接免改造；联调沙箱*以及接入指南，应用自助接入，支持帐号托管和自管。覆盖10大系列主机、23大系列数据库、66系列网络/安全设备的系统资源设备纳管，累计支持260+系统资源版本对接。灵活的应用资源与系统资源多样化登录方式，满足各种不同资源类型与应用场景。

权限中心

权限中心实在对人、应用、资源的权限管控。权限模型可视化可配置。支持按照主体、客体、属性授权。支持RBAC、ABAC*等多种权模型的组织形式，全面覆盖“什么主体，对什么客体，在什么条件下，可以执行什么动作”的权限全流程管控。

权限满足最小化授权与访问控制的目标支持对人、应用与纳管资源的权限管控。权限模型可视化、可配置，支持各应用权限模型定义及元数据字段级别的控制。支持RBAC、ABAC*授权方式。支持实体级、细粒度级别授权。提供统一鉴权服务。

特色功能权限模型可视化与可配置，简化权限管理与授权过程。权限模型定义与ABAC*授权方式，更加简便与灵活，满足应用权限模型差异与个性化权限需求场景。细粒度权限管控，可控制至元数据字段级别，支持应用内有权限和无权限管理方式，由IAM平台提供统一鉴权服务。支持金库触发的特殊授权场景，采用双人协作方式增强敏感高危操作防护。支持管理员配置提前提醒时间范围和提醒间隔。根据配置的通知方式使用邮件、短信或系统通知向相关用户发送提醒信息，以便用户及时处理授权到期的情况。

API网关

API 网关提供了对IAM平台微服务的统一API封装与共享，通过创建、维护和监控API，在保持现有基础设施前提下，实现格式转换、认证授权、负载均衡、服务监控、灰度发布等诸多功能，帮助用户在IAM平台和多个系统之间实现跨系统、跨协议的API服务互通。

统一API封装与共享

为IAM微服务之间、外部应用的接口调用提供统一API封装、发布、认证、授权服务，确保面向前端使用API服务的数据一致性。

流量管控

对API服务访问进行路由、负载均衡、限流等高可靠机制，保护了后端系统服务的平稳运行。

服务监控

实时监控服务运行情况，当服务异常时可采取熔断机制，保证整个体系不会过载，并且对所有请求与响应都日志记录，便于审计分析。

灰度发布

按用户请求特征，根据流量灰度策略（IP、浏览器、操作系统、百分比等）将流量引导到不同的负载对象（现网环境负载和灰度环境负载）；也可采用基于权限灰度的动态路由的切换方式（细粒度）。

认证网关

认证网关实现用户到目标资源访问过程中，应用系统通过标准协议的客户端发起认证请求，认证网关处理认证协议并调用认证与访问控制中心的认证服务，实现统一认证并记录认证请求日志。认证网关支持RADIUS、TACACS+、LDAP协议认证与转发。

认证网关能力

支持RADIUS协议认证，并支持二次认证（短信、邮件一次性密码、令牌卡）与金库触发

支持TACACS+协议认证

支持LDAP协议认证

经过认证网关的认证请求日志记录。

特色功能

RADIUS协议认证支持二次认证，更加安全且符合等保要求。

应用网关

应用网关通过应用访问认证与代理、应用账号密码代填/SSO、应用访问控制、增强安全、日志记录等能力，实现对应用访问全过程的安全防护，达到对应用访问的安全防护的目的。

应用网关能力

应用身份认证（口令、票据）与应用访问代理。应用单点登录：账号密码代填、应用票据SSO。应用访问控制：黑白名单策略（IP、时间、浏览器类型）、菜单URL按钮URL的金库策略，支持二次认证、会话阻断。增强安全：在线会话控制、启用HTTPS、WAF、页面水印等日志记录：操作时间、主账号、源IP、浏览器、会话号、应用URL等详细应用访问信息。

特色功能

应用系统不改造情况下，实现B/S应用代填单点登录，C/S应用代填通过运维网关SSO Agent完成。应用账号密码代填的加密处理，确保代填信息安全性。联动零信任持续信任评估组件，基于用户风险进行阻断、二次认证，增强主动安全能力。

运维网关

满足运维场景下，运维人员通过IAM平台安全访问系统资源进行运维操作的需求，支持不同运维场景（不同终端、不同访问模式）下的系统资源访问。通过对运维人员账号、资源分组管理、资源的单点登录、访问授权、操作录像与日志等能力，确保整个运维过程的安全性。实现运维人员在不同场景下安全访问系统资源进行运维操作，访问入口为IAM门户或通过IAM平台认证的运维客户端；支持不同终端类型：Windows、MAC、国产终端（国产OS、国产浏览器）等；支持不同访问模式：本地客户端、远程图形发布客户端、H5客户端进行访问系统资源；支持运维操作过程的录像、日志记录，便于事后分析与审计。内置丰富260+系统资源版本的纳管与集成能力，并不断在扩展中，几乎覆盖各类主流主机、数据库、网络设备、安全设备、5G网元设备。

协议网关支持本地客户端工具直接通过SSH、Telnet、FTP、SFTP等协议访问系统资源；支持通过客户端SSO Agent控件调起图形网关的远程发布工具，联动协议网关方式访问系统资源；支持客户端采用浏览器/HTML5方式，通过H5网关联动协议网关访问系统资源。

图形网关支持通过客户端SSO Agent控件调起图形网关的远程发布工具，联动协议网关方式访问系统资源；支持客户端采用浏览器/HTML5方式，通过浏H5网关联动图形网关访问系统资源。具有支持多种运维工具的国产化图形堡垒，包括主机运维工具：Putty，数据库运维工具：DBeaver，FTP/SFTP运维工具：Filezilla，浏览器：Chrome、FireFox。

H5网关支持客户端采用浏览器/HTML5的方式，联动协议网关、图形网关访问系统资源；支持SSH、Telnet协议访问和RDP、SVN图形访问。磐维常用数据库的单点登录和操作及运维管控功能。

金库管理

安全云盘——数据不落地 icon

安全云盘的用户前台数据的下载/上传重定向至个人文件夹，同时结合IAM的权限管控、金库服务等，实现数据阅览、数据操作、分发流转在云端进行，降低数据出网风险。可对外提供标准化接口，与客户侧各业务系统对接。

日志审计

全方位建立系统行为审计，实现对IAM的登录日志、资源访问日志、运维操作日志、平台操作日志、系统运行日志等进行详细记录与操作溯源，并提供查询、自审计、统计分析功能，也支持将平台日志同步至综合审计产品进行专业审计。特色功能：支持通过各种审计场景，定期分析出帐号的风险级别。当帐号登录时，平台调用审计接口，审计返回该帐号的风险级别，平台根据帐号的风险级别来判定是否允许其登录。对运维操作过程实现日志审计，录像视频回放，当发生安全事件时，实现操作过程精确溯源、事件责任人精准定位，保障IT运维过程的安全可控、可管、可审。日志实时发送到审计，采集程序实时进行采集，分析程序进行分析，一旦发现高危操作，立刻告警/给相关审计人员发送短信，实现准实时告警。

运营视图

针对4A系统运营使用数据提供可视化界面展示能力，提供丰富的运营视图与展示指标，方便用户直观的了解4A整体运营情况。

视图内容

基于数据可视化编排能力提供用户透视视图、资产透视视图、账号透视视图、涉敏透视视图四个维度的视图。

展示指标

系统可根据规则自动判断账号类型或状态并进行标记，包括涉敏、沉默、孤立、共享、远程接入等

可视化编排

通过数据可视化编排支持用户根据自己的业务需要，对基础数据进行分割重组、快速汇总所需数据，并以图形化的方式直观的展示业务数据。

系统监控

探测异常
捕捉和分析业务请求在系统内部各节点之间的传输过程，通过监控数据全面掌握服务过程及全路径运行情况，准确的定位问题。

半自动化处置-告警响应
报警支持多策略，提供报警响应阀值、同环比策略分析，短信、邮件等告警方式。

异常解决
为用户提供常见的问题解决方案，通过故障问题的方案帮助用户快速解决问题。

分析定位
每一个异常问题详情页中，提供故障分析能力，占比分布分析、趋势图分析、用户详情分析等。

自动化处置
对异常节点的服务或者主机资源支持自动重启，对故障问题进行自恢复，及时保障服务的高可用性，同时记录日志信息。

AISIAM产品能力总结 icon

产品化能力
统一基于微服务的底层架构和系统组件，确保产品技术底座的稳定与安全。服务功能组件可灵活装配，可按需购买与开通。资源部署弹性可伸缩，灵活可扩展。标准化接口与集成协议，确保资源与应用的高效对接，提供开发者中心文档，方便自助集成。

功能丰富
产品功能齐全，覆盖绝大部分行业身份管理需求。含有IAM统一门户、身份中心、认证与访问控制中心、权限中心、资源中心、应用网关、运维网关、API网关、安全云盘、金库、日志审计及系统监控等丰富功能与服务组件。特色功能：门户视图编排、认证编排、HTML5运维网关、Linux运维网关、金库、安全云盘、调用链监控等。

高性能、高可用
大规模用户与并发支撑，支持云化与集群化部署，支持双中心、两地三中心的容灾设计，支持应急系统与应用逃生机制。丰富的高性能高可用最佳实践案例。

平台自安全
内置RASP、隐私数据保护、国产密码技术等，业务与系统运行监控等内生安全设计。满足安全与行业监管合规建设要求。

新技术特性3：国产化能力提升 icon

国家层面：从“棱镜门”事件，到华为、中兴等中流砥柱企业以及国内知名高校被国外列入“实体清单”制裁。这无一不是在提醒国产化进程迫在眉睫。通信行业：通信行业涉及通信信息和国防信息安全问题，是至今未对外资开放的基础保障性行业。从“去IOE”到“去SOA”就是例子，国产化替代已经从软硬件国产化的“去IOE”（IBM、Oracle、EMC）延伸到顶层设计咨询国产化的“去SOA”（SAP、Oracle、Accenture），保证全方位的信息安全。

IAM管理平台适配国产化系统，平滑完成对国产化系统、应用资源、系统资源兼容支持。 IAM系统支撑国产化终端运维主要采用跨平台技术架构模式，包括服务部署到国产化操作系统、终端（客户端）适配国产化操作系统、 WEB服务适配国产化浏览器、采用国产化加密算法、终端环境适配服务，包括界面样式兼容适配、通信协议兼容适配、多终端同时并行运行适配。支持国产化服务和国产芯片：飞腾服务器。支持各类国产操作系统主机：中标麒麟、银河麒麟、统信UOS、Bclinux、CentOS；支持国产化的数据库：达梦数据库、金仓数据库、南大通用、阿里云、万里开源、中兴通讯、亚信科技、磐维。支持国产浏览器：国产化终端的浏览器适配，包括CMCC专用浏览器、麒麟浏览器、统信浏览器。支持基础技术组件国产化：JDK基础运行（支持阿里Dragonwell JDK）、中间件（支持可视化中间件开源nginx、TongWeb、Apusic）、IAM开源组件使用，支持开源代码和开源协议，开源代码支持获取到开源组件的开源源码，代码直接支持修改，防止技术垄断免费使用（国内和国际双栈维护），一但国外不更新，可以转用国内开维护更新的组件。

支持国密算法：对现有IAM加密存储机制等密码算法环节进行升级，满足国密算法的需要，支持标准的国密算法，如SM2/SM3/SM4/CPK，另支持RSA等多种国际算法。

AISIAM特性与优势总结 icon

以合规为基础、以业务为牵引、从使用者视角和运营视角出发，效率优先体验优先的综合身份服务平台。

合规满足
符合国家法律法规条例的安全合规与行业监管合规要求，满足企业身份安全管理需求

个需满足
独立功能包开发覆盖个需，同时保障了基座系统的稳定可靠，影响范围最小化

全新系统
“新架构、新体验、新技术”系统特性，打造更加安全可靠、性能卓越的IAM平台

需求交付效率高
标准能力与自定义能力，自定义、可编排、低代码开发，独立功能包、灰度发布、自动化部署与测试，提升需求交付效率

高效交付
标准化产品能力，便捷集成企业各类身份源、认证源，提供应用/系统资源的身份管理与服务，实现高效交付

运维工作减负
服务组件监控与故障定位、可视化、调用链监控、自动化处置，有效提升运维效率

客户案例

亚信安全进行了大量IAM项目实践，积累了大量案例，涉及运营商、企业、政府、电力等行业。