国家涉及身份安全新规解读 | 《关键信息基础设施安全保护要求》

2022 年11 月 7 日，《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）国家标准发布。作为关键信息基础设施安全保护标准体系的构建基础，该标准将于 2023 年 5 月 1 日正式实施。

该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护 3 项基本原则。重点对于身份安全鉴别与授权提出明确的要求：

应明确重要业务操作、重要用户操作或异常用户操作行为，并形成清单；
应对设备用户、服务或应用、数据进行安全管控，对于重要业务操作、重要用户操作或异常用户操作行为，建立动态的身份鉴别方式，或者采用多因子身份鉴别等方式；
针对重要业务数据资源的操作，应基于安全标记等技术实现访问控制。

关键信息基础设施网络安全保护要求框架

01 关键信息基础设施，为何如此重要？

关键信息基础设施建设，是网络安全防护的核心。

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

对于企业来说，企业内部核心关键系统是企业内部对核心过程执行所需的资源进行管理的主要系统。如 ERP、SCM、CRM、BPR、OMS、WMS 以及相关的控制系统等，保护这些核心关键系统安全稳定运行至关重要。在疫情防控常态化、远程办公常态化以及企业上云趋势明显的大背景下，保护核心关键系统正变得越来越以风险为基础和以身份为中心。

根据近年来对网络安全的高度关注，Authing 发现，IAM 身份与访问管理技术，是数字化转型的必经之路，主要用于管理数字身份和用户对组织内数据、系统和资源的访问。通过打通身份系统之间的隔离，连接割裂的业务系统孤岛，极大提升工作效率、降低身份相关的访问风险。多云环境下的身份认证和基础设施，主要的落地方式就是基于云原生架构的 IDaaS 产品。

02 如何建立安全的计算环境？

安全防护是根据已识别的关键业务、资产、安全风险，在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施，确保关键信息基础设施的运行安全。

《信息安全技术关键信息基础设施安全保护要求》提到，要建立安全的计算环境，包括鉴别与授权、入侵防范、自动化工具、安全建设管理、安全运维管理、供应链安全保护、数据安全保护等七大方面。

在过去几年中，管理访问企业资源的身份生态系统变得更加复杂。不断增加的身份、网络钓⻥的攻击使得企业云采用率逐年增长。

根据云岫资本调查《基于云原生时代的身份安全管理》显示，IT 整体环境的变化，催生了基于云原生的身份安全的统一身份管理需求。

IT 架构根源性的变化：随着移动互联、IOT 设备的普及，大量的设备接入让企业的身份信任边界外扩，传统的内外网分离方案，本地化的 IAM 方案已经满足不了当前的需求。
企业数据库从 IDC 迁移到云上：随着云计算的浪潮，越来越多的企业选择全站上云或 50% 业务上云，导致防护环境发生变化。
企业 SaaS 服务发展：企业网盘、钉钉等企业 SaaS 服务的发力，意味着越来越多的企业工作流，数据流和身份都到了外部，而非固定在原本的隔离环境中；大量的 SaaS 服务认证凭据无法得到统一、有效的管理。
多云进一步深化，降本增效需求迫切：多应用、混合云的环境，给企业带来沉重的管理负担。企业 IT 管理员需要维护每个员工在不同系统之间的账号信息，并做日志审计和授权管理。当员工使用企业内部 AD 域账号访问外部系统，以及外部系统需要通过 VPN 登录到内部 AD 域的时候，员工需要维护复杂的账户密码体系。

简言之，随着企业管理身份数量的不断增加，身份安全防护成为重中之重。身份安全要确保正确的人在正确的时间，因为正确的原因访问了正确的资源。

CrowdStrike Overwatch 研究表明，80% 网络安全攻击来源于身份攻击。现代网络安全攻击通常会绕过传统的网络杀伤链防御模型，而直接利用受损的身份凭据来发动更大的网络攻击。遗憾的是，身份驱动的攻击极难检测。当有效用户的凭据被泄露并且攻击者伪装成该用户时，通常很难区分用户的典型行为与使用传统安全措施和工具的黑客行为。

身份安全是身份和访问管理（IAM）一个重要方面，是任何组织安全的基石。Gartner 提出：“数字业务和网络安全威胁的增加，对 IAM 系统提出了更高的要求。组织必须支持更广泛的身份用例，并且能够更快速、近实时地适应新的请求和威胁。为了应对这些挑战，组织必须采纳一种新的视角，事关 IAM 系统必须如何运行和演进。一个新的、动态的、智能的架构，以先进的分析技术得到增加，正在演进以满足现代身份的需要。”

现如今，企业 IT 部门正在加大对 IAM 的投资，IAM 作为零信任模型中的重要组成部分，可以实现身份管理、认证和授权等重要功能。

作为云端的统一身份认证系统，IAM 必须实现以下四个功能：

第一，统一用户管理（Identification）。租户的账号、密码等信息集中存储，统一管理。 第二，身份鉴别（Authentication）。当租户想要登录某个应用系统时，验证他的票据或者身份是否合法。 第三，权限控制（Authorization）。规定允许登录系统的租户具备哪些操作权限。 第四，操作日志登记（Accountability）。记录租户的操作行为，以便事后责任追溯。

在云安全计算环境中，权限管理与授权很重要，即企业需要根据事先定义好的权限和策略方案来控制用户登录后的行为，即规定他能做什么，不能做什么，防止由于某些员工被赋予过多无关权限或过高权限导致权限蔓延等问题，从而引发的数据泄露风险，同时还要强调职责分离与多人控制，避免一位员工拥有过多权限，导致不法分子攻击一个 ID，便可破解整个身份系统。

在应用系统后台管理中，对于身份要具备几个功能：

身份唯一性，具备自动去重检验
对密码复杂度有强制性应用功能
具备登录失败功能
具备远程接入加密传输
具备两种以上身份鉴别方式

03 Authing 如何保证身份安全？

Authing 提供“高安全、高可用、高性能”的身份安全基础设施，通过多因素认证、权限管理和审计日志功能，保障企业身份安全。

（1）多因素认证 MFA

多因素身份认证 MFA 是一种非常简单的安全实践方法，它能够在用户名称和密码之外再增加一层保护。启用多因素身份验证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要进行第二次身份验证，多因素身份验证结合起来将为您的账号和资源提供更高的安全保护。

MFA 建立了一个多层次的防御，使没有被授权的人更难访问计算机系统或网络。MFA 由 2 个或 3 个独立的凭证进行验证，这些凭证主要包含以下三个要素：

所知道的内容：用户当前已经记忆的内容，最常见的如用户名密码等；
所拥有的物品：用户拥有的身份认证证明，最常见的方式有 ID 卡、U 盾、磁卡等；
所具备的特征：用户自身生物唯一特征，如用户的指纹、虹膜等。

使用 MFA 成为企业防止数据泄露的基本手段，降低发生安全漏洞的风险，并确保数据安全。在过去，要求静态用户名和密码才能访问账户，似乎足以保证安全性。但是，弱密码或被盗密码作为唯一身份验证形式时，可用于执行欺诈攻击，造成数据泄露。在 2020 年 RSA 安全会议上，微软工程师提到，微软每月追踪到的 99.9% 受感染账户，都没有启用多因素身份验证。

通过对数据安全监管等技术的研究，Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力，采用全局 MFA 提升整体的安全性。Authing 多因素认证赋能 Authing 应用，即刻提升应用认证与访问安全等级。**Authing **可提供包括手机令牌、短信/邮箱验证码、兼容第三方身份验证器、生物识别、图形锁、小程序认证等多种认证方式，提高企业身份安全性。

权限管理

Authing 支持 RBAC 的传统权限管理模型，同时通过 OPA 为底层引擎，支持 ABAC 的动态权限管理，包括主体、客体的属性与用户代理上下文的动态属性为条件的动态授权，并且支持策略化的授权能力。同时提供面向开发者友好的 API/SDK 快速接入权限数据，帮助该企业实现了高效、灵活且细粒度的权限管理和分配。实现员工入转调离时，统一开闭系统权限，降低机密数据泄露风险。

具体而言，Authing 提供统一权限入口、统一权限模型、统一授权、权限生命周期自动化管理、权限合规分析、权限画像等服务，帮助解决企业当前身份权限管理面临的开通难、统一难、授权难、溯源难、查询难、回收难、监管难的问题，打造科学的权限治理体系，整合银行资源，实现用户、应用、设备、服务器、操作系统、 API 权限可管、可控和可视。

此外，Authing 刚刚推出了高级权限管理功能，帮助开发者控制应用内的资源访问权限，帮助企业降低 80% 数据泄露风险：避免企业出现研发人员删库跑路、离职人员依然保有关键系统权限问题，加强对企业核心资源控制力度，保护企业核心数据与资源资产安全。

审计日志

审计日志可用于对系统进行及时审计操作，实现对越权访问控制等敏感操作的预警，并将异常情况反馈给系统管理员或相关用户。Authing 提供的审计功能强化了企业资源统一审计力度，促进企业精细化管理，帮助企业高效分析整个业务系统的用户行为与数据信息，提前识别潜在风险，降低企业内外部恶意攻击风险。

主要分为两个方面：

管理员行为的操作日志：你可以得到所有管理员用户通过身份管理平台的行为
用户行为的日志：可以清晰的还原出用户在平台中的行为，以支持企业的合规管理，同时可用作事件发生后的回溯和定责。

关于Authing

Authing 既是客户的支持者，也是客户的产品专家和战略顾问，更是值得信赖的合作伙伴。我们提供全球化的身份专家支持团队，通过网络或电话，7*24 小时不间断支持。Authing 的帮助中心提供最新的技术知识库、商业案例以及与您的同行和 Authing 专家联系的机会。无论您何时需要我们，Authing 的支持团队总能最快响应。

目前，Authing 身份云已帮助 30,000+ 家企业和开发者构建标准化的用户身份体系，感谢可口可乐、元气森林、中国石油、三星集团、CSDN 等客户选择并实施 Authing 解决方案