國家涉及身份安全新規解讀 | 《關鍵信息基礎設施安全保護要求》

2022 年11 月 7 日，《信息安全技術關鍵信息基礎設施安全保護要求》（GB/T39204-2022）國家標準發布。作為關鍵信息基礎設施安全保護標準體系的構建基礎，該標準將於 2023 年 5 月 1 日正式實施。

該標準提出了以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防的關鍵信息基礎設施安全保護 3 項基本原則。重點對於身份安全鑒別與授權提出明確的要求：

• 應明確重要業務操作、重要用戶操作或異常用戶操作行為，並形成清單；
• 應對設備用戶、服務或應用、數據進行安全管控，對於重要業務操作、重要用戶操作或異常用戶操作行為，建立動態的身份鑒別方式，或者採用多因子身份鑒別等方式；
• 針對重要業務數據資源的操作，應基於安全標記等技術實現訪問控制。

關鍵信息基礎設施網路安全保護要求框架

01 關鍵信息基礎設施，為何如此重要？

關鍵信息基礎設施建設，是網路安全防護的核心。

關鍵信息基礎設施是指面向公眾提供網路信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統，這些系統一旦發生網路安全事故，會影響重要行業正常運行，對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。

對於企業來說，企業內部核心關鍵系統是企業內部對核心過程執行所需的資源進行管理的主要系統。如 ERP、SCM、CRM、BPR、OMS、WMS 以及相關的控制系統等，保護這些核心關鍵系統安全穩定運行至關重要。在疫情防控常態化、遠程辦公常態化以及企業上雲趨勢明顯的大背景下，保護核心關鍵系統正變得越來越以風險為基礎和以身份為中心。

根據近年來對網路安全的高度關注，Authing 發現，IAM 身份與訪問管理技術，是數字化轉型的必經之路，主要用於管理數字身份和用戶對組織內數據、系統和資源的訪問。通過打通身份系統之間的隔離，連接割裂的業務系統孤島，極大提升工作效率、降低身份相關的訪問風險。多雲環境下的身份認證和基礎設施，主要的落地方式就是基於雲原生架構的 IDaaS 產品。

02 如何建立安全的計算環境？

安全防護是根據已識別的關鍵業務、資產、安全風險，在安全管理制度、安全管理機構、安全管理 人員、安全通信網路、安全計算環境、安全建設管理、安全運維管理等方面實施安全管理和技術 保護措施，確保關鍵信息基礎設施的運行安全。

《信息安全技術關鍵信息基礎設施安全保護要求》提到，要建立安全的計算環境，包括鑒別與授權、入侵防範、自動化工具、安全建設管理、安全運維管理、供應鏈安全保護、數據安全保護等七大方面。

在過去幾年中，管理訪問企業資源的身份生態系統變得更加複雜。不斷增加的身份、網路釣⻥的攻擊使得企業雲採用率逐年增長。

根據云岫資本調查《基於雲原生時代的身份安全管理》顯示，IT 整體環境的變化，催生了基於雲原生的身份安全的統一身份管理需求。

• IT 架構根源性的變化：隨著移動互聯、IOT 設備的普及，大量的設備接入讓企業的身份信任邊界外擴，傳統的內外網分離方案，本地化的 IAM 方案已經滿足不了當前的需求。
• 企業資料庫從 IDC 遷移到雲上：隨著雲計算的浪潮，越來越多的企業選擇全站上雲或 50% 業務上雲，導致防護環境發生變化。
• 企業 SaaS 服務發展：企業網盤、釘釘等企業 SaaS 服務的發力，意味著越來越多的企業工作流，數據流和身份都到了外部，而非固定在原本的隔離環境中；大量的 SaaS 服務認證憑據無法得到統一、有效的管理。
• 多雲進一步深化，降本增效需求迫切：多應用、混合雲的環境，給企業帶來沉重的管理負擔。企業 IT 管理員需要維護每個員工在不同系統之間的賬號信息，並做日誌審計和授權管理。當員工使用企業內部 AD 域賬號訪問外部系統，以及外部系統需要通過 VPN 登錄到內部 AD 域的時候，員工需要維護複雜的賬戶密碼體系。

簡言之，隨著企業管理身份數量的不斷增加，身份安全防護成為重中之重。身份安全要確保正確的人在正確的時間，因為正確的原因訪問了正確的資源。

CrowdStrike Overwatch 研究表明，80% 網路安全攻擊來源於身份攻擊。現代網路安全攻擊通常會繞過傳統的網路殺傷鏈防禦模型，而直接利用受損的身份憑據來發動更大的網路攻擊。遺憾的是，身份驅動的攻擊極難檢測。當有效用戶的憑據被泄露並且攻擊者偽裝成該用戶時，通常很難區分用戶的典型行為與使用傳統安全措施和工具的黑客行為。

身份安全是身份和訪問管理 （IAM）一個重要方面，是任何組織安全的基石。Gartner 提出：「數字業務和網路安全威脅的增加，對 IAM 系統提出了更高的要求。組織必須支持更廣泛的身份用例，並且能夠更快速、近實時地適應新的請求和威脅。為了應對這些挑戰，組織必須採納一種新的視角，事關 IAM 系統必須如何運行和演進。一個新的、動態的、智能的架構，以先進的分析技術得到增加，正在演進以滿足現代身份的需要。」

現如今，企業 IT 部門正在加大對 IAM 的投資，IAM 作為零信任模型中的重要組成部分，可以實現身份管理、認證和授權等重要功能。

作為雲端的統一身份認證系統，IAM 必須實現以下四個功能：

第一，統一用戶管理（Identification）。租戶的賬號、密碼等信息集中存儲，統一管理。 第二，身份鑒別（Authentication）。當租戶想要登錄某個應用系統時，驗證他的票據或者身份是否合法。 第三，許可權控制（Authorization）。規定允許登錄系統的租戶具備哪些操作許可權。 第四，操作日誌登記（Accountability）。記錄租戶的操作行為，以便事後責任追溯。

在雲安全計算環境中，許可權管理與授權很重要，即企業需要根據事先定義好的許可權和策略方案來控制用戶登錄後的行為，即規定他能做什麼，不能做什麼，防止由於某些員工被賦予過多無關許可權或過高許可權導致許可權蔓延等問題，從而引發的數據泄露風險，同時還要強調職責分離與多人控制，避免一位員工擁有過多許可權，導致不法分子攻擊一個 ID，便可破解整個身份系統。

在應用系統後台管理中，對於身份要具備幾個功能：

1. 身份唯一性，具備自動去重檢驗
2. 對密碼複雜度有強制性應用功能
3. 具備登錄失敗功能
4. 具備遠程接入加密傳輸
5. 具備兩種以上身份鑒別方式

03 Authing 如何保證身份安全？

Authing 提供「高安全、高可用、高性能」的身份安全基礎設施，通過多因素認證、許可權管理和審計日誌功能，保障企業身份安全。

（1）多因素認證 MFA

多因素身份認證 MFA 是一種非常簡單的安全實踐方法，它能夠在用戶名稱和密碼之外再增加一層保護。啟用多因素身份驗證後，用戶進行操作時，除了需要提供用戶名和密碼外（第一次身份驗證），還需要進行第二次身份驗證，多因素身份驗證結合起來將為您的賬號和資源提供更高的安全保護。

MFA 建立了一個多層次的防禦，使沒有被授權的人更難訪問計算機系統或網路。MFA 由 2 個或 3 個獨立的憑證進行驗證，這些憑證主要包含以下三個要素：

• 所知道的內容：用戶當前已經記憶的內容，最常見的如用戶名密碼等；
• 所擁有的物品：用戶擁有的身份認證證明，最常見的方式有 ID 卡、U 盾、磁卡等；
• 所具備的特徵：用戶自身生物唯一特徵，如用戶的指紋、虹膜等。

使用 MFA 成為企業防止數據泄露的基本手段，降低發生安全漏洞的風險，並確保數據安全。在過去，要求靜態用戶名和密碼才能訪問賬戶，似乎足以保證安全性。但是，弱密碼或被盜密碼作為唯一身份驗證形式時，可用於執行欺詐攻擊，造成數據泄露。在 2020 年 RSA 安全會議上，微軟工程師提到，微軟每月追蹤到的 99.9% 受感染賬戶，都沒有啟用多因素身份驗證。

通過對數據安全監管等技術的研究，Authing 提升了針對違法數據流動等安全隱患的監測發現與處理能力，採用全局 MFA 提升整體的安全性。Authing 多因素認證賦能 Authing 應用，即刻提升應用認證與訪問安全等級。**Authing **可提供包括手機令牌、簡訊/郵箱驗證碼、兼容第三方身份驗證器、生物識別、圖形鎖、小程序認證等多種認證方式，提高企業身份安全性。

許可權管理

Authing 支持 RBAC 的傳統許可權管理模型，同時通過 OPA 為底層引擎，支持 ABAC 的動態許可權管理，包括主體、客體的屬性與用戶代理上下文的動態屬性為條件的動態授權，並且支持策略化的授權能力。同時提供面向開發者友好的 API/SDK 快速接入許可權數據，幫助該企業實現了高效、靈活且細粒度的許可權管理和分配。實現員工入轉調離時，統一開閉系統許可權，降低機密數據泄露風險。

具體而言，Authing 提供統一許可權入口、統一許可權模型、統一授權、許可權生命周期自動化管理、許可權合規分析、許可權畫像等服務，幫助解決企業當前身份許可權管理面臨的開通難、統一難、授權難、溯源難、查詢難、回收難、監管難的問題，打造科學的許可權治理體系，整合銀行資源，實現用戶、應用、設備、伺服器、操作系統、 API 許可權可管、可控和可視。

此外，Authing 剛剛推出了高級許可權管理功能，幫助開發者控制應用內的資源訪問許可權，幫助企業降低 80% 數據泄露風險：避免企業出現研發人員刪庫跑路、離職人員依然保有關鍵系統許可權問題，加強對企業核心資源控制力度，保護企業核心數據與資源資產安全。

審計日誌

審計日誌可用於對系統進行及時審計操作，實現對越權訪問控制等敏感操作的預警，並將異常情況反饋給系統管理員或相關用戶。Authing 提供的審計功能強化了企業資源統一審計力度，促進企業精細化管理，幫助企業高效分析整個業務系統的用戶行為與數據信息，提前識別潛在風險，降低企業內外部惡意攻擊風險。

主要分為兩個方面：

• 管理員行為的操作日誌：你可以得到所有管理員用戶通過身份管理平台的行為
• 用戶行為的日誌：可以清晰的還原出用戶在平台中的行為，以支持企業的合規管理，同時可用作事件發生後的回溯和定責。

關於Authing

Authing 既是客戶的支持者，也是客戶的產品專家和戰略顧問，更是值得信賴的合作夥伴。我們提供全球化的身份專家支持團隊，通過網路或電話，7*24 小時不間斷支持。Authing 的幫助中心提供最新的技術知識庫、商業案例以及與您的同行和 Authing 專家聯繫的機會。無論您何時需要我們，Authing 的支持團隊總能最快響應。

目前，Authing 身份雲已幫助 30,000+ 家企業和開發者構建標準化的用戶身份體系，感謝可口可樂、元氣森林、中國石油、三星集團、CSDN 等客戶選擇並實施 Authing 解決方案