摘要

本文将主要与大家一起探讨目前国内身份管理与访问控制(IAM)体系建设的驱动因素、实施现状,以及实施过程中遭遇的难点和解决思路。最后,将与大家一起分享身份管理与访问控制(IAM)体系建设项目的实践经验。

1、身份管理与访问控制(IAM)是什么

IAM(Identity Access Management),一般译为“身份管理与访问控制”。在企业环境中,它定义和管理了每个网络用户的身份角色及其所需资源的访问权限,并根据网络用户身份角色生命周期,对其所需资源访问权限进行动态管理。

身份管理与访问控制

我们认为,IAM的发展是基于早期的“基于角色的访问控制”(RBAC:Role-based access control)控制方法。RBAC需要用户加入特定的“角色”组,才能访问其需要的资源。而“角色”,也是IAM中的一个重要概念,所有授权的资源,都是通过对该角色职责定义而确认的。IAM本身是一种管理体系,它既可以通过自动化的IAM系统实施运行,也可以采用相对笨拙的手工方法处理实现,两者之间是成本、效率和准确度的区别。

2、IAM体系建设驱动因素

目前,国内外信息安全与信息泄露事故频发,不断上升的黑客攻击、勒索、网络钓鱼和恶意软件攻击严重威胁到了企业信息资产的安全,使企业遭受巨大的经济损失。据Cybersecurity Ventures预测[1],到2021年,网络犯罪造成的损失将从2015年的3万亿美元增加到每年6万亿美元。除外部攻击外,内部人员的“参与”将进一步增加事件发生的可能性和影响程度,如赋予员工或承包商超过其职责所需的访问权限时,容易产生敏感数据泄露的风险。因此,企业越来越重视对“人”的风险的识别和控制。成熟的IAM体系可以通过确保在整个组织中一致地应用用户访问规则和策略来增加企业对信息资产的保护、解决企业的身份权限管理需求,以及应对合规和安全要求。

1)IAM体系建设可帮助企业解决账号权限管理内在需求

  • 用户数量不断增加IAM体系可以帮助企业更科学的管理内部人员、合作伙伴、外部用户、供应商等不同类型群体的权限。同时,通过建立用户权限库,可对用户权限有一个清晰的视野,便于发现风险;

  • 应用/系统数量持续上升。应对不断增多的应用/系统,企业需建立统一的用户管理规范,并将规范融入至不同应用/系统当中;

  • 用户账号权限自动化管理趋势。IAM体系可以帮助企业提高电子身份信息的管理效率,增强用户的体验;

  • 业务场景持续变化。IAM体系可以帮助企业实现在不同业务之间的身份和访问权限的联动管理;

2)IAM体系建设可帮助企业应对日益复杂的合规和安全要求

日益复杂的合规和安全要求给企业带来了比以往任何时候都更大的压力,《中华人民共和国网络安全法》的出台也进一步促使企业必须找到管理、控制和捍卫身份的方法。IAM体系的实施可以帮助企业满足自身以及国家各级监管的需求,并且同时促进身份和访问控制的进一步完善。例如:

  • 《信息安全技术 网络安全等级保护基本要求》中身份鉴别章节的要求;

  • 《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》中第七条对内控防控的要求;

  • 《个人信息安全规范》中个人信息访问控制措施的要求。

3、国内IAM体系建设的现状

如今,IAM在国内的管理还稍落后于信息设施数字化程度领先的企业,他们对于IAM体系建设可概括分为两种,一部分是使用IAM系统进行管理企业的用户账号权限,这是少部分;另一部分则依然使用传统的手工方法管理用户的账号权限,这是大部分。其中:

1)部分企业已使用自动化管理系统进行IAM管理

目前已有多家国内本土厂商发布了相对成熟的IAM管理系统,并已为不少企业实施部署。这些IAM管理系统的技术方案与国外主流品牌厂商的区别并不明显,包括单点登录(SSO),特权账号管理(PAM),多因素身份认证(MFA),统一身份认证等常见的功能组件。

根据我们对多家国内厂商客户群体的统计,使用自动化管理系统进行IAM管理的企业主要集中在银行业,非银行金融业,汽车行业,通讯行业,房地产行业,政府部门及大型国企等具备雄厚实力,有一定规模的企业。而国内的外资企业,合资企业则更偏爱使用国外主流品牌厂商的系统进行IAM管理。这些使用“自动化”工具进行身份权限管理的企业,仅占国内企业的一小部分,且部分企业仅部署了单点登录(SSO)或特权账号管理(PAM)等工具。他们对IAM体系建设还仅仅是部署工具,而并非在企业范围内建设IAM管理体系。

2)大部分企业使用传统手工方式进行IAM管理

除了使用集中管理系统进行IAM管理的企业外,其余大部分企业仍在使用传统手工的方式进行IAM管理。其实,对于系统数量和用户数量不多的中小企业,采用传统手工的方式管理,更节省成本,更灵活。但是,对于系统数量和用户群体多的中大型企业来说,传统手工的处理方式则存在着不可避免的缺陷。

  • 人力成本大。传统手工的IAM管理方法需要企业建立一支庞大的队伍去处理和记录用户的权限需求、设置和维护人员角色和系统权限的清单,还需要专门的人员去控制整个流程的实现,并进行定期审阅和人工审计(如果他们关注安全问题的话)。

  • 手工梳理不可避免的差错。一旦企业环境或业务流程发生变化,相关的IAM管理人员队伍需要重新调整工作方法和习惯,人工出错的可能性增加,这对于审计合规来说,是致命的。

  • 用户体验差。手工处理时间长,审批和处理的环节繁琐,用户需求难以得到及时的满足和反馈。

或许大部分企业还停留在只关注边界防护,终端安全,云安全等,认为实施IAM体系建设是一件辛苦而琐碎的事情,才导致他们对IAM管理望而止步吧。

4、IAM系统建设时常见的难点和改善建议

即使企业决心进行IAM体系建设,在建设过程中也难免遭遇各种的小问题和难点,面对这些难题,我们应该如何避免或者弥补?以下将列出IAM体系建设项目实施时常见的几个问题。

常见难点一:业务所有者和系统所有者认为IAM体系建设只是IT内部的事情,不应有他们的职责。

建议:

在跟业务部门了解沟通过程中,需要对他们进行充分的讲解和培训,包括在整个实施过程和后续运营中的职责。因为业务所有者的角色是从业务的角度去保证用户使用的权限仅为工作/业务需要,IT部门是对该权限功能进行解析然后在系统中实现。

常见难点二:对IAM系统需求识别不足,导致后期维护困难。

建议:

  1. 前期开展广泛的业务调研,充分了解业务部门的需求,促使他们深度参与到流程定义和体系设计中,可以帮助项目实施人员清晰梳理账号权限审批流程,亦能保证上线后的用户满意度,毕竟业务部门是主要的使用群体;

  2. 重视基层操作人员的意见,因为他们面对终端用户的经验比较丰富可对改善用户体验提供非常有价值的建议;

  3. IAM系统选型时,最好选择具备标准化的配置选项,同时又支持灵活的定制的产品,但这一对需求有时是矛盾的;

  4. 最好具备丰富运维经验的内部团队,能快速响应来自业务系统用户和IT操作人员的优化需求。

常见难点三:企业内各种各样的应用系统无统一管理规范,与IAM系统集成时耗费大量的人力和时间。

建议:

这是技术规范问题,针对已选型的IAM系统制定统一的对接需求规范,为其他应用系统提供清晰的接口开发指引(无论是自开发还是供应商开发),也能为新开发系统指明权限的设计。

这只是一般企业进行IAM体系实施时经常遇到的几个问题,不同的企业有自身特有的内部文化,地域文化。一些常见的小碰撞可能还包括部分用户认为审批耗费了业务处理时间,部分下属员工认为高层管理人员的审批为自己带来困扰,资深员工对新页面难以适应等,这些都可以通过前期做大量的沟通理解工作,提供足够的指引去解决。

4、IAM体系建设的优秀实践经验

既然仅仅部署一个系统是无法解决企业面临的身份管理问题,那么,应该如何实施IAM体系建设项目呢?据我们的实践经验,“从上而下”和“从0到0.1”是目前实施IAM体系建设项目较为有效的原则。

  • “从上而下”——由高层管理人员发起项目实施,以保证IAM实施符合企业的战略和授权充分的资源。同时,人力资源部门、IT部门、信息安全部门和其他业务部门的参与和协作,能够使IAM项目更顺利的实施、更有前瞻性、更贴合组织的业务策略。

  • “从0到0.1”——在选择合适的IAM系统工具时,应遵循从易到难的方式。首先,实现 IAM 系统的基本元素,以获得快速的投资回报,比如,随着用户数量和应用系统增多,每个用户持有不同的密码,而且每个应用系统使用的密码都在不同的过期日期,因此企业的服务台helpdesk充满了密码提醒和重置需求。对于大多数公司来说,削减登录的复杂性以及服务台helpdesk的工作量,是实施IAM后最浅显而快速的即时回报。

IAM体系的建设

IAM体系建设项目的详细实施步骤,可分以下五个阶段:

  1. 项目启动阶段 - 此阶段目的为保证项目所需资源,并确保所有利益相关方对于实施IAM后的各自职责和运营处于应有的理解水平。

  2. 现状梳理评估 - 汇总目前企业的IT资源,用户清单,以及业务流程和账号权限管理流程。为IAM实施提供现状的总览,以确定可实现的目标和方向。

  3. IAM体系设计 - 根据业务特性及合规要求,对身份账号权限管理流程进行优化,设计合适的IAM运营模式,同时与各流程相关人进行职责确认。根据最小权限,确认用户身份角色(User Profile)和职责分离规则(SoD)等。

  4. IAM系统实施规划 - 制定企业的IAM系统集成实施规划,以及在实施过渡期的折中管理方案(帐号权限管理、权限审计、SOD审阅等)。

  5. 落地实施 - 该阶段主要是技术实施部分,需要完成系统部署配置,UAT测试。部署后,需要对所有终端用户进行培训,对该系统的管理员进行培训。同时,建立该IAM系统管理、配置、开发等方面的知识库。

IAM体系的日常运营

随着IAM体系的落地实施,企业将进入日常运营管理过程。如我们前面所述,IAM是一个管理体系,即使借助工具去实施,成本问题和合规问题并不会消失,同时,它需要企业内各方人员和一系列动态的流程去运作和维护,用户身份权限管理才能得以维持和不断优化。毕竟风险环境是持续变化的,企业的业务也不是一成不变。

为了达到持续运营和优化的目的,企业需要把IAM所需的流程融合到现有的管理流程中,如人力资源的员工管理流程,系统开发生命周期管理(SDLC)和变更管理流程(UCR)等。以保证IAM管理和系统工具的信息和配置可以随着受管理的应用系统和业务流程的变化保持一致。而且,参与以上流程活动的人员,将来自企业的各个重要部门。

下图为IAM体系日常运营中可能涉及的部门角色,和他们在日常运营流程中的职责。

IAM体系运营中人员职责和流程关系图

根据我们实施IAM项目的经验,参与IAM日常运营的各方职责人员可大致分为管理类和技术类两种角色,每个角色都承担着各自的职责。

其中管理类角色包括:

管理类角色
角色名称角色职责
IAM 系统所有者IAM系统生命周期管理:在组织内推广IAM体系的管理理念,争取高级管理层和业务部门代表的认同;根据组织业务策略,作出IAM系统部署或升级替换计划,并定期评估IAM系统运行的收益和成本,确定IAM系统的存在必要性。对IAM系统的日常变更申请进行审阅和批准。企业流程整合:推动企业管理流程为IAM进行适应性改造,推动业务岗位权限控制以及岗位权限职责分离原则的落实。资源保障:推动IAM相关项目的立项和实施,对IAM相关项目的交付成果进行验收并负责获取为运营IAM管理体系所需要的资源。
人力资源部门人力资源部门是企业人员身份信息的权威来源,IAM系统对员工基本信息和组织架构信息的维护,都需与人力资源部门提供的信息一致,包括入职,转岗,离职流程,组织架构的调整,员工基本信息更新。
业务部门代表提出变更需求(根据业务需要,新增或修改权限角色,设置权限控制自动化),参与用户验收测试(UAT),审批应用系统变更申请(Application Owner与Role Owner),定期对帐号和权限进行审阅(Re-certification)。
法律及合规管理部门定期审阅SoD职责分离规则,发起审计要求。
IT合规管理人员记录应用系统所有者和权限角色所有者(新增、改变)和SOD职责分离规则;发起帐号和权限定期审阅(Re-certification)流程。对法律合规部门的审计要求提供支持。检查流程执行记录,审阅系统汇总的相关风险报告。
流程负责人确保各方参与者根据流程执行。
项目管理人员如项目内容涉及应用系统权限设计改造,需根据权限管理流程执行。

技术类角色包括:

技术类角色
角色名称角色职责
IT业务分析人员对来自业务部门或其他IT项目的权限管理需求进行沟通理解,协助IAM技术支持和开发人员评估需求的实现方案;指导需求提出方提交合适的变更流程。
IAM系统开发人员协助业务分析人员和技术支持人员对需求进行分析,初步设计解决方案,对方案进行可行性分析,并评估其潜在影响和需要的资源成本。如需外包开发工作,则需要与需求提出方进行方案沟通,确定工作范围,检验项目成果等。如采用自开发满足需求,则对IAM系统进行二次开发优化。安排用户验收测试,协助准备日常的变更上线文档,并完善IAM系统配置的知识库。协助日常的排障工作(Troubleshooting)。
IAM系统技术支持人员协助需求分析,主导方案初步设计。对IAM系统进行日常的配置管理,其中配置内容可能包括:员工身份属性设置,基于组织架构进行权限自动配置,审批流的调整设置,与其他应用系统集成时的映射配置,为利益相关方定制报表配置。
IAM系统操作员日常信息录入、配置和更新;数据导出;根据给定的操作指南进行生产操作;汇报IAM系统使用中发现的问题,协助排障工作(Troubleshooting)。

6、小结

总的来说,实施IAM体系建设包括系统部署和部署后日常运营两部分,它不仅能节省企业成本,提高用户的体验,更多的是扮演合规管理工具的角色。无论从IT角度还是企业管理角度来看,它都可以提供一个对企业内部风险环境的清晰描述,帮助企业灵活地根据用户的性质和活动,定义合适的预防和检测的控制措施,去降低所面临的风险。

参考文献:

1.Top 5 Cybersecurity Facts, Figures, Predictions, And Statistics For 2019 To 2021,https://cybersecurityventures.com/top-5-cybersecurity-facts-figures-predictions-and-statistics-for-2019-to-2021/

声明:本文来自ATLAS Academy,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。