专家视点 | 安全的身份:数字中国的基础设施

数字身份将是开启世纪之门的钥匙,更信任是未来的硬通货。当数以亿计的人们与不计其数的相互关联的机器和设备相连时,他们的所有身份、联系、交易、数据完整性和隐私都必须得到最佳的管理和保护。如果没有可信的身份世界将会一片混乱。

身份安全的历史

身份安全包含了两个密不可分的要素:”身份”以及”安全”,身份是合作的要素,安全是身份可信的保障,缺少安全的身份将使合作不可信赖,缺少身份的安全将变得毫无价值。以现今的信息安全体系而论,计算及数据资源需要被合理身份的人合理访问是其核心,建设安全体系无非是防护非正常身份的入侵与访问,比如病毒、木马、窃取、撞库、DDOS等,绝对的安全是将计算、数据资源置于某个不能被任何形式访问的环境,但那样将毫无价值可言。

从身份安全的现状来看身份安全的定位与发展,并对身份安全的未来趋势进行预测,难免会陷入管中窥豹的窘境。纵观整个人类的历史,身份安全一直服务与人类社会更大规模的合作与融合,在每个关键的历史事件中我们都能看到身份安全参与其中,而今天我们所讨论、所关注的身份安全不过是将实现人类更大范围合作的这一要素数字化而已。

追述身份安全的起源,可能在数万年前的某一天,在语言和文字被发明以前,两个相遇的人类部落通过火把的使用证明了自己”智人”的身份,而不是非洲广袤草原上的猿人。从此两个部落一同围猎更大型的猎物,占领更广阔的猎场,在与其它物种群落的进化之争中占得先机。在这里”智人”是身份,火把是验证身份的信物。

身份安全被广泛使用是在3000年前,通过一系列的军事活动帝国逐渐形成,帝国自上而下的统一管理需要有身份体系的支撑,因此诞生了户籍制度,在中国最早起源于先秦,此后伴随着中华文明的历史一直沿用至今。同时出现的还有代表管理者阶层身份的腰牌、虎符、官印、朝珠等信物证明帝国赋予的管理职权与行事范围。在这里”民”或”官”是身份,而户籍、官印是验证身份的信物。当然,帝国的执法系统对伪造户籍、官印等威胁身份安全的行为进行了定义与惩罚,作为保障身份安全的辅助手段。

身份安全的趋势

2017年12月,习主席在主持中共中央政治局第二次集体学习时强调,推动实施国家大数据战略,加快完善数字基础设施,推进数据资源整合和开放,保障数据安全,加快建设数字中国,更好服务我国经济社会发展和人民生活改善。”数字中国”在全国两会期间全面升温,2014年”大数据”、2017年”数字经济”、2018年”数字中国”先后首次被写入政府工作报告,数字中国建设大幅提速。数字中国既是打造网络强国的核心力量,也是惠民利民的有效手段。

纵观历史,使我们可以更清晰的看到身份安全的定位。身份安全是人类更大范围合作的要素,数字中国是国家层面的数据资源整合与开放,那么身份安全作为数字中国的基础设施,这一点毋庸置疑。结合现在,使我们可以更清晰的看到身份安全的发展方向。在身份安全领域现今出现了两个分支EIAM(Enterprise Identify and Access Manager)与CIAM(Customer Identify and Access Manager),EIAM侧重于企业内部的身份安全统一管理,较典型的产品有企业级4A、企业应用单点登录、特权账号管理等,CIAM侧重于客户身份体系的统一管理,向客户提供一体化数字服务体验,较典型的产品有UAM、外部应用SSO。数字化体系的建设是先建能力、再提供服务的过程,在政府、企业数字化转型的过程中EIAM与CIAM都是身份安全体系不可或缺的部分,EIAM更关注权限的细化、CIAM更关注业务的融合体验。一个数字化转型成功的政府或企业,必将拥有完善的EIAM与CIAM。综上,实现与更高层面的数字化平台(如国家数字化平台)身份互信能力共享、形成融合EIAM与CIAM的身份安全体系是行业的发展趋势。

融合的身份安全体系

在与众多客户接触的过程中,客户提出的需求也验证了亚信安全对身份安全发展趋势的判断,在此介绍几个案例:

某金融客户

某金融客户其下属众多子公司,如财险公司、寿险公司,当一个优质客户购买了一份财险公司的金融产品,如车险后,根据集团市场部营销规则给予客户保险优惠抵用券,以鼓励客户在集团购买其它类型的保险产品。那么现在问题来了,各子公司的对外与内部身份安全体系是孤立的,优惠券在用户财险公司的账号下,用户在今年又没有继续购买车险的需求,如何让用户在寿险的网站注册后就能使用财险账号下的优惠券?客户首先想到的办法是通过手机号或微信、支付宝进行单点登录,但这会引起另一个问题,那就是羊毛党会通过各种方式收购这类优惠券,在寿险网站注册后通过申请手机号码变更等方式把优惠券再转给另一个经常出车险的客户,使其以优惠的价格购买到价格透明的车险产品。当然这个场景一定可以用其它技术手段解决,如风险控制、优惠券使用限制、手机号修改限制等,但这不符合市场的营销策略,过多的限制会让客户觉得这类优惠”不诚心”,同时也对客户IT系统带来巨大的负荷与改造成本,一个场景就这样改,那么更多的场景呢?

客户提出了他构想中完美的场景,用户在在财险网站上领到优惠券后就可以免密登录寿险网站,并在网站上选购需要的寿险产品。而寿险客户经理可以直接用他在寿险公司的员工账号直接登录财险公司的CRM系统,获得用户的信息资料,而不用需要再让用户填一遍姓名、手机、身份证号。但整个流程都必须在有权限保障体系的情况下进行。而亚信安全的融合4A方案正适用于这样的场景,帮助客户解决数字化转型过程中遇到的问题,而且亚信安全拥有多个上亿级用户的支撑案例,有足够的实力支撑客户的业务拓展。

某政府客户

某市政府智慧办负责市里政务数字化平台的建设工作,内部有政务审批、流程系统,对外有政务数字化服务平台,通过网站、APP向社会公众提供统一的政务数字化服务,如社保、交通、出入境等。政务数字化服务平台是智慧城市的重要组成部分,政务数字化服务平台的能力强弱、便利程度将很大程度上影响智慧城市的建设成效。作为政府单位数字化转型的掌舵人在进行规划与设计时,需要比社会企业的数字化转型考虑的更多。一方面需要尽量方便老百姓办事,把惠民、利民落到实处,另一方面要有足够的措施应对数字化转型过程中必将遭遇的信息安全风险,避免造成社会负面影响。

在客户的理想规划中,一方面,政务服务能力需要与国家平台进行对接,使流动人口可以享受无边际的政务服务漫游体验,使本市民众可以享受省里或外地业务的无缝办理。另一方面,对涉及民众隐私数据在市政府各职能单位间的访问与共享有严格的安全机制进行保护,既要共享又要安全。因此需要把看似相互矛盾的需求在同一个场景下进行统一,安全的融合4A方案正适用于这样的场景,亚信安全承建了国家政务服务平台,在过去的十多年里帮助众多运营商级客户实现大规模信息资产的安全运营,有足够的实力与经验解决客户数字化转型过程中遇到的问题。

根据以上两个案例,我们不难看出客户对身份安全的需求不再局限于过等保、应付检查这样的琐事,而是需要用身份安全为基础设施去构架一个更广阔的业务平台,在未来的几年中我们一定可以看到更多身份安全的身影服务于数字化转型。身份安全服务于更大范围的合作,不仅是现今身份安全的趋势,也是身份安全不变的趋势,顺应身份安全的趋势,融入亚信安全对身份安全的经验与理解,亚信安全已开始向部分高端客户提供融合4A身份安全解决方案。

亚信安全融合4A身份安全解决方案

亚信安全融合4A身份安全解决方案部署上以云化IAAS平台为基础,将各类生物识别引擎和多种身份核验渠道融入能力层作为标准化服务开放,提供内外网融合的一体化统一身份认证、基于自然人身份的五级身份等级鉴权、融合机器学习技术的风险自适应访问控制等能力,以支撑外网服务系统、上下游产业合作伙伴系统以及内部系统进行一体化无缝认证、实名身份核验、信任传递等业务需求的实现。

方案由亚信安全多年的技术、经验沉淀以及CMMI5订制化服务体系作为支撑。亚信安全扎根安全、懂得业务、理解客户,助力客户数字化转型,成就客户更高业务目标达成。

“C3安全峰会”精彩预告

在即将召开的2019年C3安全峰会上,身份安全也将会成为重要的热门话题。作为峰会七大技术与管理论坛之一的”身份安全分论坛”,将聚焦身份认证安全,关注可信身份核验、物联网身份认证、网证应用、行为识别技术对身份认证的价值和意义。与会的安全大咖究竟将发表怎样的精彩观点呢?让我们拭目以待。

【本文作者吴冬系亚信安全身份安全专家】