隨著信息技術不斷進步，數字經濟逐步邁入發展深水區，同時疫情常態化也推動了產業上云以及各行各行數字化轉型進程。數字社會的發展逐步瓦解了線上與線下、開放互聯網與安全局域網的邊界，新型安全風險也隨著邊界模糊化而出現。為解決此類問題，“零信任”體系從概念加速走向落地。

零信任理念的核心思想是不信任任何網絡和用戶，對每個用戶的每次訪問均進行信任識別、評估、認證和授權，因此零信任的基礎是身份，需要圍繞強大的身份識別和訪問控制（IAM）方案構建。業內普遍認為，軟件定義邊界（SDP）、身份識別與訪問管理（IAM）、微隔離（MSG）是實現零信任的三大技術路徑。

01 金融業零信任需求分析

《金融業數字化轉型發展報告（2020年-2021年）》中提出，為應對新技術應用帶來的安全邊界模糊、安全敞口放大等風險，金融機構開始推進零信任安全體系應用。47家受訪機構的有效反饋顯示，9家機構開展零信任規劃、計劃配置產品及服務，6家機構實現零信任部分場景落地應用，27家機構開展應用研究探索，僅有6家機構還未開展此項工作。

02 新一代身份識別和訪問控制（IAM）平臺“信令云”

身份識別與訪問控制技術（IAM）的核心是在用戶進入網絡之前建立身份，這也是零信任模型的核心，二者在多數理念上不謀而合，因此IAM 被認可為零信任入門級解決方案。在零信任體系下，用戶不僅僅包含個人和企業，還有終端設備，以及應用API等，接入應用的部署環境包括私有機房、私有云、公有云，甚至是混合云等。

那么，如何保證正確的主體，在正確的條件下，獲得正確的訪問權？這是IAM在運營與迭代中直面的挑戰?；谝陨闲枨蠛吞魬?，中國金融認證中心（CFCA）構建了零信任體系下的新一代身份識別和訪問控制（IAM）平臺——信令云統一身份認證平臺（簡稱“信令云”），該平臺包括統一身份管理、統一認證管理、單點登錄服務、統一訪問授權、統一合規審計、統一資源管理等模塊，體系架構如圖所示：

基于IAM技術架構，信令云主要為客戶提供兩方面的能力：身份管理和訪問管理。

其中，身份管理是指將員工或者內外部用戶在各個應用系統中的用戶名和密碼進行統一管理，實現用戶在組織機構中隨著入離調轉等行為而產生的整套身份標識的全生命周期管理。具體分為以下幾類功能：

·  數據源管理：支持打通外部數據庫、AD域、通用LDAP等多種數據源，并且可通過HTTP、RADIUS等多種協議完成用戶身份數據的實時同步。

·  賬號管理：提供賬號全生命周期管理的功能，不再需要每個應用系統單獨配置賬號，管理員可以統一高效地處理賬號的創建、變更、啟用和禁用。

·  權限管理：支持基于角色的授權模型，支持組織機構分級授權，實現權限的及時分配和回收。

訪問管理提供單點登錄、多因素認證、訪問策略配置，以及訪問審計等功能，可以解決由于各個系統安全策略和訪問權限的不同而導致的認證方式混亂、登錄流程復雜等問題。具體分為以下幾類功能：

·  單點登錄：支持OIDC、SAML2、OAuth2.0、CAS等多種單點登錄的協議，滿足PC端、移動端等多種應用的接入需求。用戶只需一次認證，即可登錄多個應用系統。

·  多因素認證：在靜態密碼的基礎上增加二次認證，通過動態口令、“掃一掃”、生物識別、手機推送等方式提升訪問的安全性，并且可支持數字證書高安全級別的認證方式。

·  認證管理：支持靜態密碼、動態口令、生物識別、數字證書，以及微信、釘釘等第三方認證等多種認證方式，并提供認證工具的管理，認證策略的配置等功能。

03 產品價值

信令云將為各類數字化轉型主體提供以下功能價值：

·  保護信息安全

提供安全可靠的身份和鑒權服務，提供更好的用戶訪問控制，降低了內部和外部數據泄漏的風險。

·  提升管理效率

有助于企業IT部門從繁瑣重復的賬號管理、權限管理等工作中解脫出來，可以大幅提升企業的管理效率，降低管理成本。

·  消除信息孤島

將信息系統進行整合，實現單點登錄、統一認證，消除信息孤島，促進協同辦公。

·  滿足合規要求

符合商用密碼安全性評估標準《信息安全技術信息系統密碼應用基本要求》和等級保護2.0中關于身份鑒別相關要求。

當下，在金融業推動數字化轉型深入發展的進程中，加強網絡安全風險防范成為轉型平穩、高效進行的關鍵。CFCA依托自身20余年在身份認證領域積累的豐富經驗和技術優勢，助力金融機構網絡安全保障體系從傳統的被動防護體系向更加積極主動的新型安全防御體系轉型。

責任編輯：韓希宇