En 400-6655-581
5
返回列表
> 資源中心 > 身份安全 | 企業(yè)身份治理規(guī)劃之風險評估

身份安全 | 企業(yè)身份治理規(guī)劃之風險評估

2020-06-04瀏覽次數(shù):1234

身份治理規(guī)劃總體概述


隨著企業(yè)信息化水平快速提升,身份治理作為企業(yè)管理平臺和基礎安全平臺,已被大多數(shù)企業(yè)納入企業(yè)整體經(jīng)營戰(zhàn)略規(guī)劃中,那么企業(yè)如何結(jié)合自身業(yè)務形態(tài)和信息安全管理要求進行身份治理規(guī)劃設計呢?我們從四個方面進行身份治理的統(tǒng)一規(guī)劃和建設考慮:



風險評估:圍繞身份治理管理要求,針對企業(yè)面臨的信息安全挑戰(zhàn)與存在問題,充分評估身份治理風險于合理性;


規(guī)劃設計:結(jié)合企業(yè)的戰(zhàn)略規(guī)劃與IT規(guī)劃,制定符合企業(yè)業(yè)務發(fā)展與管理模式的身份治理規(guī)劃藍圖;


平臺建設:引入身份治理建設經(jīng)驗與專業(yè)實施商,明確實施路徑與目標,推動身份安全平臺與體系建設;


生態(tài)融合:推動數(shù)字化轉(zhuǎn)型與創(chuàng)新,實現(xiàn)身份治理線下線上、云端及物聯(lián)網(wǎng)等多場景業(yè)務融合與生態(tài)融合。



身份治理風險評估要素


風險評估作為企業(yè)了解自身信息安全與身份治理能力的重要環(huán)節(jié),需要從多個方面進行綜合考慮,結(jié)合企業(yè)信息化特點,我們提出四個方面的風險分析與評估:



技術評估:針對企業(yè)信息化技術平臺進行梳理,了解身份安全存在的技術層面的問題、風險和隱患;


流程評估:針對企業(yè)信息化身份安全流程進行梳理,了解流程體系方面存在的運維、執(zhí)行等方面的問題和風險;


體系評估:針對企業(yè)信息化身份安全規(guī)范體系進行梳理,了解安全體系方面存在的規(guī)范制度缺少、安全培訓、制度遺漏等問題;


管理評估:針對企業(yè)信息化身份安全管理體系進行梳理,了解管理方面存在的合規(guī)審計、職責安排、應急處理等方面的問題與風險。



身份治理風險評估內(nèi)容

結(jié)合身份治理風險評估要素,我們分別從技術、管理、流程、體系方面提供風險評估的詳細內(nèi)容:



技術要求:評估內(nèi)容主要涉及賬號違建、賬號回收、密碼加密、強認證、權限統(tǒng)計、運維安全、應用接口授權、風險監(jiān)管等內(nèi)容;


規(guī)范要求:評估內(nèi)容主要涉及賬號、認證、授權、審計、日志等規(guī)范與標準;


體系要求:評估內(nèi)容主要涉及人員培訓、安全意識、安全考核等內(nèi)容;


管理要求:評估內(nèi)容主要涉及應急管理、職責分工、體系制度等內(nèi)容。



身份治理風險應對策略

根據(jù)身份治理風險評估情況,我們從不同維度和方式,提供一體化身份治理應對措施和方案:


1)  實現(xiàn)身份管理與訪問控制:通過構建集中用戶管理中心與認證中心,拉通信息孤島,融合業(yè)務系統(tǒng),實現(xiàn)用戶身份管理、認證管理、權限管理和合規(guī)審計,提升數(shù)據(jù)安全與業(yè)務安全;


2)  實現(xiàn)運維安全可管可控:實現(xiàn)對機房硬件設備、后臺管理平臺的統(tǒng)一認證、單點登錄、設備密碼管理、運維人員授權、統(tǒng)一賬號、審計追溯的管理,能夠為每一個設備管理員或外部使用人員分配實名制賬號,解決單一虛擬的賬號無法對應到實體自然人身份的問題;


3)  實現(xiàn)強認證安全管控:提供數(shù)字令牌、二維碼認證、數(shù)字證書、RSA、短信及生物識別認證集成,為應用提供增強安全服務能力;


4)  實現(xiàn)數(shù)據(jù)交互API管理:提供基于應用API接口認證、授權、監(jiān)控、流程管理、API熔斷等能力,為應用數(shù)據(jù)訪問提供安全保障;


5)  實現(xiàn)智能風險分析與預警:結(jié)合用戶行為分析、訪問途徑上下文、設備指紋/FaceID建立風險引擎,并引入風險模型算法,根據(jù)用戶訪問習慣、特征判別風險等級,智能化身份識別驗證。