作為數(shù)字化轉(zhuǎn)型安全保障的重點項目,新一代安全統(tǒng)一身份管理基礎(chǔ)設(shè)施平臺的意義重大,不僅打通了國航各個部門�、各個業(yè)務(wù)系統(tǒng)的身份認證,全程保障了國航數(shù)字化業(yè)務(wù)的正常運轉(zhuǎn)����,同時也為我國推動智慧民航發(fā)展樹立了“身份即服務(wù)、身份即安全”的行業(yè)標(biāo)桿���。
身份盜取盛行 泛在身份安全勢在必行
在業(yè)界已知的重大網(wǎng)絡(luò)安全事件中����,身份盜竊(冒用)占據(jù)絕大多數(shù)��。例如:在安全測試機構(gòu)ImmuniWeb發(fā)布的全球大型機場網(wǎng)絡(luò)安全研究報告顯示����,全球100個最大的機場中有97個存在安全風(fēng)險;據(jù)Gemalto的報告����,在企業(yè)級的用戶應(yīng)用系統(tǒng)中�,平均每秒就有80個賬戶被盜�;Verizon發(fā)布的數(shù)據(jù)泄漏調(diào)查報告中顯示�,約有81%泄密事件都是黑客通過竊取身份憑證來實現(xiàn)的。
隨著航空業(yè)數(shù)字化轉(zhuǎn)型進度的快速推進�����,復(fù)雜、多級��、互聯(lián)的用戶權(quán)限策略管理和海量訪問認證常常因為管理制度����、落地工具之間的不匹配造成重大的數(shù)據(jù)泄密事件。為此����,亞信安全推出了以身份為核心的統(tǒng)一身份認證管理平臺(IAM平臺),為設(shè)備���、網(wǎng)絡(luò)���、應(yīng)用、服務(wù)����、數(shù)據(jù)提供泛在身份體系�����,為應(yīng)用系統(tǒng)提供多樣化的身份管理、訪問管理服務(wù)�����,進而解決航空用戶現(xiàn)有身份數(shù)據(jù)分散����、跨系統(tǒng)身份互信互認以及用戶體驗不佳等問題。
亞信安全針對航空行業(yè)用戶需求推出的泛在身份管理解決方案�����,包含了三個層面的細化:
- 萬事萬物皆有身份:這不僅包含了傳統(tǒng)模型下針對“人��、網(wǎng)絡(luò)設(shè)備����、IOT”的身份管理,同時也涵蓋了內(nèi)部員工�、外部合作伙伴以及各項業(yè)務(wù)之間的身份可信����,即實現(xiàn)數(shù)據(jù)域�����、應(yīng)用域�����、網(wǎng)絡(luò)域��、設(shè)備域��、用戶域的全場景覆蓋�。
- 身份即安全:以安全身份標(biāo)識貫穿所有業(yè)務(wù)應(yīng)用,提供身份數(shù)據(jù)和隱私保護�。用4A回答了“When”、“Where”����、“What”、“Who”����、“How”這樣的問題���,從時間、位置�����、角色���、行為等多個維度去維護業(yè)務(wù)系統(tǒng)的安全性,確保合法用戶安全方便使用特定資源����。
- 身份即服務(wù):提供了全功能化、全行業(yè)化����、全形態(tài)化、全維度化的身份服務(wù)基礎(chǔ)設(shè)施建設(shè)方案,提供了內(nèi)外融合�、人物聯(lián)動的登錄認證和身份鑒別服務(wù)。
以零信任架構(gòu)為內(nèi)核 實現(xiàn)全場景覆蓋
與傳統(tǒng)身份認證系統(tǒng)“一次認證”的運行機制不同��,亞信安全提供的泛在身份安全解決方案采用了以“零信任”架構(gòu)為內(nèi)核���,以身份為核心串聯(lián)各類身份管理和認證業(yè)務(wù)場景的管理模式�。
【圖:零信任身份管理體系】 其中,“零信任”解決了安全領(lǐng)域存在已久但無法落地的三大原則(最小特權(quán)����、需要知道、深層防御)�,其持續(xù)信任評估和動態(tài)訪問控制的原則也是適應(yīng)了5G、云網(wǎng)��、虛擬化等新業(yè)務(wù)推倒傳統(tǒng)網(wǎng)絡(luò)邊界之后的情況���,為企業(yè)建立起全新的身份邊界���、數(shù)據(jù)邊界,實現(xiàn)了安全定義邊界����。
在場景支撐方面,提供了內(nèi)外網(wǎng)融合的統(tǒng)一身份認證��、身份鑒權(quán)�、授權(quán)訪問控制等服務(wù),支持內(nèi)外部用戶及合作伙伴之間的統(tǒng)一登錄認證���、實名身份核驗�、授權(quán)流程審批、單點登錄�、信任傳遞等業(yè)務(wù)場景,并且提供了包括堡壘機�、等保2.0多因素認證、金庫授權(quán)等統(tǒng)一應(yīng)用管理�����,還可以通過API���、SDK及標(biāo)準(zhǔn)協(xié)議為應(yīng)用提供對接服務(wù)和集成服務(wù)�。
【圖:泛在身份管理能力全景】 在認證能力編排能力上���,可利用電話、短信���、動態(tài)令牌���、掃描等多認證方式,以及生物識別����、數(shù)字證書�、FIDO認證�����、微信支付寶等快捷登錄����,實現(xiàn)了前端可信、后端權(quán)威核驗的認證管理體系��。
乘“新基建”數(shù)字東風(fēng) 助“智慧機場”安全升級
以物聯(lián)網(wǎng)��、云計算�����、大數(shù)據(jù)���、移動互聯(lián)網(wǎng)���、人工智能等為數(shù)字核心的“新基建”正在為民航業(yè)帶來一次深刻的數(shù)字變革。而智慧機場的迭代更新�����,無疑對信息安全保障體系提出了更高要求。
亞信安全將依托身份安全���、APT治理���、態(tài)勢感知、大數(shù)據(jù)安全���、云安全等核心領(lǐng)域的技術(shù)優(yōu)勢��,為民航行業(yè)提供信息安全戰(zhàn)略規(guī)劃設(shè)計與建議�����,用創(chuàng)新技術(shù)和周到服務(wù)�����,為航空用戶提供信息安全能力的“智”變與“質(zhì)”變。
