等级保护之身份安全

等级保护之身份安全派拉软件有关身份安全的关键词Gartner的报告显示，全球网络安全支出2019年将超1240亿美元1240亿涉事企业平均损失资金3.47亿美元包括法律费用、罚款、补救费用和其他费用3.47亿2.57亿每次数据泄露事件平均影响2.57亿人Facebook造成用户身份泄露，罚款50亿美元。欧洲GDPR动则罚款上亿美金。50亿73%据Imperva调查发现：有73%的企业员工表示，他们可以很轻松访问到内部敏感数据网络安全等级保护2.0等保2.0-身份安全涉及身份安全的主要章节8.1.4安全计算环境8.1.4.1身份鉴别8.1.4.2访问控制8.1.4.3安全审计8.1.4.6可信验证8.1.4.7数据完整性8.1.4.8数据保密性8.1.4.11个人信息保护等级保护要点解读身份鉴别（以等保3级为例）1.应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；2.应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；3.当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听4.应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。可信验证可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心。访问控制1.应对登录的用户分配账户和权限；2.应重命名或删除默认账户，修改默认账户的默认口令；3.应及时删除或停用多余的、过期的账户，避免共享账户的存在；4.应授予管理用户所需的最小权限，实现管理用户的权限分离；5.应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问6.访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级7.应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。等级保护要点解读安全审计1.应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；3.应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等；4.应对审计进程进行保护，防止未经授权的中断。数据完整性1.应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；2.应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。数据保密性1.应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；2.应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。个人信息保护1.应仅采集和保存业务必需的用户个人信息；2.应禁止未授权访问和非法使用用户个人信息。信息安全之木桶原理在信息化建设过程中，网络防护、数据保护、黑客入侵防范等建设往往先行，而“身份与访问控制”被选择性忽略，从而形成信息安全短板！身份安全面临的挑战74身份混乱⚫内外部用户多，包含集成商、供应商等⚫应用系统多，每个系统都建立不同的账号，难以识别⚫关键资源特权账号root,dba管控混乱5账号和权限混乱⚫IT不知道员工需要哪些权限⚫无法对人员全生命周期进行合理管理⚫员工离职，容易造成漏删账号，形成安全隐患３缺乏技术保障⚫没有完整的自助服务⚫依赖员工自觉遵守⚫需要记忆各种账号密码⚫缺乏统一的登陆入口1缺乏身份标准规范⚫缺乏权威身份数据的确认⚫缺乏身份认证的统一标准⚫各系统创建账号缺乏统一规范2缺乏管控流程⚫人员的录转调离的管控⚫权限最小化管控流程⚫对外部人员的管理⚫对应用上线管控面临挑战6标准形同虚设⚫过于复杂密码写在文档或便签上⚫轻松绕过标准（如堡垒机）⚫出借账号给其他人员⚫轻易被钓鱼安全等保下的统一身份认证解决方案建立统一身份安全管控平台系统1系统2系统3……系统4系统5系统N统一身份将用户的所有系统身份全部统一起来，建立一个身份中心加强管控统一标准在登录认证、安全审计、访问控制、权限分配、账号管控等方面安全技术标准统一管理控制所有应用系统的访问，建立应用的攻防对抗机制，多层次多角度减少内部误操作，遏制外部攻击整体功能核心•用户身份集中管理•用户身份统一供给•组织部门集中管理•账号全生命周期管理•角色集中管理•......•SSO单点登录•多因子认证•生物识别认证•智能风险认证•国密算法加密•国家三级等保标准•最小权限原则•一点清权•应用统一授权•细颗粒度授权•分级授权管理•......•全面审计•账号操作行为审计•用户访问行为审计•用户改密审计•用户登录审计•.......AD域人脸识别/指纹/二维码外部用户动态口令微信/钉钉/QQ整体功能架构OA应用应用系统用户管理组织管理用户分类应用管理帐号管理安全审计策略管理角色管理调用接口HR人事系统管理员/甲方对接人生命周期管理入职调岗离职返聘……解锁改密兼职命名……①帐号服务口组织服务接自服务接口AD/ExchangeOTO短信平台CRM系统内控系统LDAP/DB（集中身份存储）用户登录认证行为审计自助服务账号解锁安全设置应用列表Oauth2.0SSOLTPASSOLDAPSSOForm-BasedSSO统一身份认证（SSO）统一身份管理（IDM）认证方式风险管理系统财务系统SRM系统特权管理系统用户信息数据操作接口服务N+上游数据源内部用户②SRM管理系统研报系统……应用……IT基础设施用户/组织/岗位SSO认证基于智能风险识别的安全认证策略基于用户行为的风险识别，支持根据用户所在地点、终端、访问习惯等场景信息，制定差异化的认证策略，利用大数据技术和AI算法，以身份数据为基础建立风险引擎引入风险模型算法，根据用户访问习惯、特征判别风险等级，智能化身份识别验证不同用户不同终端不同地点不同应用&&&场景信息场景信息•不同用户使用同一帐号登录•同一个用户帐号在不同地点登录•使用不同设备终端登录•访问不同敏感度级别的应用•……•采用短信验证码增强认证•登录地点发生变化异常提醒机制•高风险，拒绝登录，要求用户确认•敏感度高应用采用二次认证•……事件场景：安全措施：评估风险，触发递进式认证策略智能分析风险识别多因子认证统一权限无授权大门授权细粒度授权核心授权核心授权将应用的核心权限，与用户相关的权限，即用户可申请的核心权限大门授权用户能否访问应用，通过用户是否具备某个角色或者群组来判断，也叫应用级别授权无授权用户只要属于物产用户就可以访问到应用系统细粒度授权控制应用系统的表单，菜单，按钮级别的授权安全审计身份认证平台审计数据集中采集审计数据集中存储审计数据综合分析审计展现合规分析用户认证审计事件建立统一的、标准化的数据采集功能，实现从各个应用/系统采集相关的安全审计数据，数据抓取到集中统一的审计平台数据库通过数据采集，实现将整个公司信息化安全审计相关的数据统存储到统一的数据库，为审计分析提供支撑基于采集的完整的、结构化的数据，在统一的审计平台进行集中的多维度的安全审计分析功能在统一的审计系统实现审计结果的展现，满足各类安全审计和安全合规分析的需求安全事件审计平台（SIEM）安全治理、合规管理和风险控制身份、帐号操作审计事件用户访问行为审计事件审计报表及展现访问行为帐号管理操作行为异常行为分析安全设计价值体现系统价值1.建立企业权威用户管理中心，实现基于用户的全景管理视图2.建立统一的认证管理中心，集中管理各种认证技术1.支持账号认证和权限分离2.差异化认证策略3.可视化行为审计4.特权账户进行了专项管理5.符合国家法律、法规、等保要求1.一次登录即可访问所有系统2.基于角色策略的应用账号自动化创建3.员工离职一键清理应用权限强化管理防范风险提高效率派拉软件简介1个目标10+年专注100+项著作权和专利500+名专业技术顾问500+家用户的认可为客户提供最好的身份安全解决方案10年来专注身份安全管理和业务安全的研发与服务30多项软件创新解决方案全国5个区域分支机构，提供专业售后服务保障500家客户的认可，专业的技术服务提供商2008年，公司在上海张江高科成立2012年，引入Pre-A轮投资2015年，公司引入A轮投资2017年，上海小巨人科技企业2018年，荣获上海科创中心“新锐创业企业”奖，B轮融资2019年，成功完成B+轮融资，正在开展C轮融资上海总部武汉北京长春广州成都派拉软件-简介派拉软件身份安全方案优势产品能力大数据、人工智能驱动支持DevOps迭代产品质量高可用性性能安全性产品用户体验快速、简单界面美观，使用便捷人员能力国际化视野人员资质和认证项目经验丰富产品先进性微服务架构Docker部署公司能力公司规模和稳定性公司资质和奖项研发能力雄厚⚫产品技术领先微服务架构大数据技术人工智能算法⚫客户案例领先50家500强企业行业标杆企业银行，集团，外资客户认可⚫安全可控领先国家信息安全测评中心采用公安部、国密办认证政府、公安部门采用部分客户案例客户案例典型的行业及客户❖500强中的50+❖集团化企业案例丰富，大量的标杆客户❖涵盖行业广泛❖国家级安全背书感谢聆听！