自己身份信息泄漏了怎么办,别怕,带你了解身份管理与访问控制
一、前言
在網絡安全中,身份管理和訪問控制(IAM)在對于訪問對象的管理和信息傳遞的聯系中起著至關重要的作用。身份管理與訪問控制不僅要管理身份信息錯誤風險,還要保障在存儲、處理乃至其他環節的機密性、完整性以及可用性。
根據Cybersecurity Ventures預測,到2021年,網絡犯罪造成的損失將從2015年的3萬億美元增加到每年6萬億美元。除外部攻擊外,內部人員的“參與”將進一步增加事件發生的可能性和影響程度,如賦予員工或承包商超過其職責所需的訪問權限時,容易產生敏感數據泄露的風險。正因如此,組織對于身份的識別和管理控制的重視程度連年提升。一套健全的身份管理和訪問控制體系是利用保障組織中用戶訪問策略以提升企業對于信息資產保護、解決組織內管理身份權限的需要,包括組織應對國內外合規等各類網絡安全需求。
IAM是一個策略與技術的框架集合,用以確保組織中成員能夠在合適地訪問相應地信息資源,主要為:1)用戶身份鑒別2)憑證3)公鑰基礎設施4)授權5)訪問控制。總而言之,身份管理與訪問控制體系的部署和實施,不僅能節省企業成本,提升用戶體驗,起到承擔合規管理工具的任務。因此,它能清晰的描述企業內部風險,有效幫助企業靈活調整用戶權限,檢測、預防并控制內外風險,以降低組織整體面臨的風險。
該領域國內市場活躍性的增高,尤其是政府部門、金融業、銀行業等較為顯著,因為我國的信息化建設發展到一定階段,存有穩健增長發展的基礎,國內企業和組織重視信息系統的建設嗎,所以該領域得以順應發展。其二,不論是歐盟GDPR,或是網絡安全等級保護2.0標準體系的頒布,無不推動了身份管理與訪問控制行業的發展。
本報告主要探討和研究國內身份管理與訪問控制的發展情況,分析國內企業和組織的需求,推進該領域的落地實施和高效發展,提出組織在實施中的難點和常見解決方案。
二、身份管理與訪問控制的挑戰和威脅
1.安全挑戰
常見的身份管理和訪問控制的安全挑戰,大多因為數據位于不同的位置和業務部門,因此組織難以審查身份、批準訪問請求。訪問權限尋求的過程中所遇到的一定程度上的阻礙,導致請求者跨越適當審核過程直接上報給高層管理人員。負責審核的人員對于請求發起者和申請訪問內容缺乏洞察力,無法準確定位哪些員工需要訪問機密數據。
挑戰主要包括對于身份管理,用戶缺少集中性的身份數據庫;系統特權的分發超過或者低于原本授予的訪問權限。對于訪問控制,認證時審查員對獲取需求的知識不同,更不用講業務部門之間的流程往往是手動的,難以進行標準化,審查人員需進行多次重復和細致的驗證;當手動配置無效時,這些預配置和預定標示之間會產生矛盾;無法刪除的不適當的IAM特權或者無法克隆訪問配置文件,如果無法分工并監察管理員、高級用戶和臨時訪問權限,可能會阻礙規則執行。其他問題包括缺乏對集中式訪問管理解決方案的支持,例如目錄和單點登錄,過時或不存在的訪問管理策略以及無法建立基于規則的訪問。
組織機構中身份管理與訪問控制的常見問題有:
1)各應用系統賬號管理分散,缺少統一的管理機制;
2)共用賬號、無主賬號現象大量存在,無法定位責任人;
3)應用系統認證各自獨立,沒有統一認證策略,沒有建立安全的單點登錄機制;
4)采用傳統的賬號與口令認證方式,安全強度低;
5)授權管理和訪問控制缺少完整性、真實性、抗抵賴性等安全信任保障;
6)無法滿足企業進行集中身份與訪問過程記錄與審計需要。
然而,在組織中由于特權身份管理帶來的挑戰有:
1)管理帳戶憑據:許多IT組織依靠人工密集型且易于出錯的管理流程來輪換和更新特權憑據。這可能是一種低效且昂貴的方法。
2)跟蹤特權活動:許多企業無法集中監視和控制特權會話,從而使企業面臨網絡安全威脅和合規性違規行為。
3)監視和分析威脅:許多組織缺乏全面的威脅分析工具,無法主動識別可疑活動并補救安全事件。
4)控制特權用戶訪問:組織經常難以有效地控制特權用戶對云平臺(基礎架構即服務和平臺即服務)、軟件即服務(SaaS)應用程序、社交媒體等的訪問,從而造成合規性風險和運營復雜性。
5)保護Windows域控制器:網絡攻擊者可以利用Kerberos身份驗證協議中的漏洞來模擬授權用戶并獲得對關鍵IT資源和機密數據的訪問權限。
2.安全威脅
保護用戶身份及權限可信,企業的關鍵業務均大量地采用計算機系統和網絡技術,因此企業基于 IT 環境的業務系統越來越多、越來越龐大,除了傳統的服務中斷、黑客攻擊,也帶來了新的威脅和風險,如未經授權的訪問、訪問權限混亂、授權管理復雜等,進一步突出了信息安全的重要性,這就要求采取適當的管理措施和技術手段確保權限授予的合理性和合規性,企業面臨的具體存在的問題與風險如:安全風險、數據泄露、管控風險造成大面積企業內部信息泄露、合規審計難以支撐等安全威脅。
3.客戶需求分析
1)賬戶無分類:內部用戶、外包用戶、應用賬號、 公共賬號、系統賬號等分級機制沒 有建立,無法統一進行管控;用戶無統一賬號,分散賬號體系, 用戶體驗較差。
2)認證無分級:無論訪問者、被訪問資料是否機密,均使用相同等級的認證,沒有針對場景進行相關的增強認證。
3)授權無規則:崗位對應的權限無合規限定;核心系統細粒度權限無合規檢查機制 ;超越合規權限如何管理無定義。
4)密碼無管理:不同系統的密碼管理機制不相同;沒有統一的密碼標準;沒有弱密碼檢測機制。
5)全方位審計缺乏:用戶的所有訪問日志,時間、 地點、服務器IP等信息,沒有統一審計機制;用戶信息修改,個人修改、管理員修改等沒有統一審計機制。
6)定期審閱機制欠缺部門領導不會定期審閱下屬員工權限;應用管理員不會定期審閱使用者權限;內部管理人員不會定期審閱外包人員權限;應用離職賬號及弱密碼無法自動審閱及告警,無法滿足銀保監定期審查要求。
隨著該客戶業務的迅速發展,各種系統資源和用戶數量的不斷增加,網絡規模迅速擴大,信息安全問題愈見突出,對系統之間的整合提出了更高的要求。對于各部門的運維帳號權限現狀無從得知,管理策略和標準也無法統一,造成了運維帳號權限管理能力參差不齊,策略、流程不統一,沒有統一的運維視圖,全景境況模糊不清,存在安全死角和風險不容易發現的混亂現象。原有的運維帳號權限管理措施已不能滿足山東廣電目前及未來信息化系統發展的要求。
用戶在發展中對IT產品或者系統的主要需求,或者企業在發展中遇到的IT系統阻礙業務發展的難題。目前,社會公眾辦理政務服務業務非常頻繁,部委政務服務中的身份認證服務主要支撐兩方面的業務,一是本業務的身份認證服務,涉及到業務內用戶注冊、用戶管理、身份認證和單點登錄,使得用戶在本業務內能夠安全的認證登錄;二是跨業務系統的身份認證服務,涉及到用戶在跨業務系統進行業務申辦時需要進行的跨業務系統身份認證和單點登錄,實現用戶使用非本系統賬戶進行登錄認證,實現真正的“單點登錄,全網通辦”。
隨著互聯網的發展,各身份認證廠商構建了種類繁多的身份認證方式,如用戶名/密碼、郵箱/密碼、手機號/密碼、證書登錄、生物特征識別、手機或APP輔助登錄等方式,這些方式基于不同的認證技術在不同程度上識別了登錄用戶的身份,然而單一的認證技術無法保證用戶身份的可信,從“所知、所持、所是”三個角度來看,用戶名、郵箱、手機號等登錄方式均采用了“所知”這一層次的認證方式,雖然認證方式最為簡潔但安全性較低,而證書登錄、手機或APP輔助登錄等采用了“所持”這一層次的認證方式,保證了較高的認證可信,生物特征識別作為“所是”這一層次的認證方式,能夠體現最高的用戶可信性,但其認證流程和認證方式較為復雜,便捷性不足。因此,構建身份認證方式時,應深入分析業務應用的安全需求,綜合考慮“所知、所持、所是”三方面用戶屬性,尋求適當的身份認證模式,構建安全便捷的身份認證服務。
三、IAM產品形態與功能構成
? 產品形態
現將參與本次調研的網絡安全企業身份管理與訪問控制的產品形態歸納總結如下:
? 功能構成
用戶身份管理:
主要分為兩種內部用戶和外部用戶,內部用戶則分為HR用戶和非HR用戶,便于用戶集中管理,其他功能委派給最終用戶使用。IAM利用每天的定時任務到內部HR用戶以獲取當天數據并寫入IAM主數據庫。返回問題數據到中間表,IAM對于中間表輪詢校驗,直到返回值無誤后寫入主數據庫。非HR用戶創建時制定相關責任人(HR用戶),責任人更新職責分配或離職時相關非HR用戶也需同步變更責任人等信息來提高系統數據的準確性,保障系統安全性。外部用戶通過隔離區在外網注冊和使用相關服務,外部用戶數據存于獨立的專門庫。
賬號管理則是將自然人與其擁有的所有系統賬號關聯,集中進行管理,包括按照密碼策略自動更改密碼,不同系統間的賬號同步等。
單點登錄(SSO):
一種對于許多相互關連,但是又是各自獨立的軟件系統,提供訪問控制的屬性。當擁有這項屬性時,當用戶登錄時,就可以獲取所有系統的訪問權限,不用對每個單一系統都逐一登錄。這項功能通常是以輕型目錄訪問協議(LDAP)來實現,在服務器上會將用戶信息存儲到LDAP數據庫中。相同的,單一退出(single sign-off)就是指,只需要單一的退出動作,就可以結束對于多個系統的訪問權限。
特權賬戶管理(PAM):
人是最薄弱的一環。從內部特權用戶濫用其訪問級別,到外部網絡攻擊者瞄準并竊取用戶特權以作為“特權內部人員”進行隱匿操作,人類始終是網絡安全鏈中最薄弱的環節。特權訪問管理可幫助組織確保人們僅獲得進行工作所需的訪問級別。PAM還使安全團隊能夠識別與特權濫用有關的惡意活動,并迅速采取措施來補救風險。
在數字業務中,特權無處不在。系統必須能夠相互訪問和通信才能共同工作。隨著組織采用云、DevOps、機器人流程自動化、IoT等技術,需要特權訪問的機器和應用程序數量激增,攻擊面也越來越大。這些非人類實體的數量遠遠超過典型組織中的人數,并且更難監控和管理,甚至根本無法識別。現成的商用(COTS)應用程序通常需要訪問網絡的各個部分,可能被攻擊者所利用。強大的特權訪問管理策略可在存在特權的本地、云或混合環境中處理它們,并在發生異常活動時進行檢測。
網絡攻擊者將端點和工作站作為目標。在企業中,默認情況下,每個端點(筆記本電腦、智能手機、平板電腦、臺式機、服務器等)都包含特權。內置的管理員帳戶使IT團隊可以在本地解決問題,但也會帶來巨大的風險。攻擊者可以利用管理員帳戶,然后從一個工作站跳到另一個工作站竊取其他憑據、提升特權,并通過網絡橫向移動,直到到達所需的位置。積極主動的PAM計劃應考慮完全刪除工作站上的本地管理權限,以降低風險。
PAM對于實現合規性至關重要。監視和檢測環境中的可疑事件的能力非常重要,但是如果沒有明確關注表現出最大風險(不受管控、不受監視和不受保護的特權訪問)的因素,企業將仍然易于受到攻擊。在全面的安全和風險管理策略中實施PAM可使組織記錄與關鍵IT基礎架構和敏感信息有關的所有活動,從而幫助他們簡化審核和合規性要求。
特權訪問特指超出標準用戶訪問權限等特殊訪問情況,特權訪問能夠有效保護基礎設施和應用程序,有效維持業務運營并保護敏感信息不受侵害。組織實施PAM以防止憑據盜用和特權濫用所造成的威脅。PAM是指由人員、流程和技術組成的綜合網絡安全策略,用于控制、監視、保護和審核整個企業IT環境中所有特權身份和活動。PAM有時被稱為特權身份管理或特權訪問安全,其以最小權限原則為基礎,即用戶僅獲得執行其工作職能所需的最低訪問級別。最小權限原則被廣泛認為是網絡安全的最佳實踐,并且是保護對高價值數據和資產的特權訪問的基本步驟。通過執行最小權限原則,組織可以減少攻擊面并降低惡意內部人士或外部網絡攻擊可能導致代價高昂的數據泄露的風險。
目前,市場上安全企業常見特權訪問管理實施解決方案有:1)保護和控制基礎架構帳戶。將所有眾所周知的基礎架構帳戶都放在一個集中管理的數字保管庫中,并在每次使用后定期自動輪換密碼。2)限制身份的橫向訪問行為3)管理更新SSH密鑰。保持存儲在服務器上的SSH密鑰定期更換4)對于云端/組織內部定期輪換、檢索管理特權賬戶、密鑰和API密鑰。
認證管理:
身份認證是信息安全的第一道防線,用以實現支撐系統對操作者身份的合法性檢查。對信息統中的各種服務和應用來說,身份認證是一個基本的安全考慮。身份認證的方式可以有多種,包括靜態口令方式、動態口令方式、基于公鑰證書的認證方式以及基于各種生物特征的認證方式。
統一認證功能主要包括:1)多平臺認證2)身份認證服務插件或SDK體系3)分級安全策略4)多因子認證4)多種認證方式兼容的認證方式
基于策略的集中式授權和審計:
將一個企業Web 應用程序中的客戶、合作伙伴和員工的訪問管理都集起來。因此,不需要冗余、特定于應用程序的安全邏輯。可以按用戶屬性、角色、組和動態組對訪問權進行限制,并按位置和時間確定訪問權。授權可以在文件、頁面或對象級別上進行。此外,受控制的“模擬”(在此情形中,諸如客戶服務代表的某個授權用戶,可以訪問其他用戶可以訪問的資源)也由策略定義。
審計是指收集、記錄用戶對支撐系統資源的使用情況,以便于統計用戶對網絡資源的訪問情況,并且在出現安全事故時,可以追蹤原因,追究相關人員的責任,以減少由于內部計算機用戶濫用網絡資源造成的安全危害。
動態授權:
授權是指對用戶使用支撐系統資源的具體情況進行合理分配的技術,實現不同用戶對系統不同部分資源的訪問。從安全意義上,默認權限越小越好,滿足基本需求即可。
基于從不同本地或外部源(包括Web服務和數據庫)實時觸發評估數據的安全策略,從而確定進行訪問授權或拒絕訪問。通過環境相關的評估,可獲得更加細化的授權。例如,限制滿足特定條件(最小帳戶余額)的客戶對特定應用程序(特定銀行服務)的訪問權。授權策略還可以與外部系統(例如,基于風險的安全系統)結合應用。
用戶身份鑒別:
在公鑰密碼中,發送者用公鑰加密,接受者用私鑰解密。公鑰一般為公開的,不必擔心受到監聽,解決了對稱密碼中密鑰配送的問題。但接收者仍然無法判斷公鑰的合法性,無法排出中間人假冒以發起攻擊。于是,需要對公鑰進行簽名,從而確認公鑰有無被篡改。加了數字簽名的公鑰稱為證書。PKI中的認證是一種具有一定權威性的證明身份過程。
四、身份管理與訪問控制解決方案
——以下方案順序隨機排序,不分先后
亞信安全——國務院下正屬部級單位:
以身份為核心的認證服務
緊抓身份關鍵要素,建立以身份證號等可以確定用戶身份的標識信息,建立不同標識唯一性的標識序列,按次序進行身份整合,以整合身份為核心,串聯不同應用系統中的用戶數據,形成明確的用戶身份。以此為核心,提供的統一登錄驗證服務可以方便地為各個應用系統提供統一認證、動態認證和增強認證,方便使用者在不同應用系統中進行跨應用操作,無需多次認證,滿足政務服務“一號一窗一網”的要求。
應用管理
根據部委用戶實際情況,建立應用管理機制,對每個業務應用系統建立應用標識、以區分每個應用系統,為每個應用建立相關配置數據,并為每個應用建立密鑰,以便在認證時方便判斷應用所需的認證要素,按動態認證原則顯示所需的認證方式,完成動態認證,并及時按配置的回調地址等返回應用系統,無需每次都將回調地址等參數在URL中傳遞,提升系統效率。而應用密鑰為加密傳輸的重要支撐,為通訊安全提供了有力保障
實名核驗
實名核驗能力是身份管理的重要支撐,沒有了實名核驗,所謂的用戶身份只是一堆代碼。實名等級也需要實名核驗能力進行等級設定和驗證。實名核驗能力建設的關鍵是與權威部門或機構對接,將用戶信息傳遞到權威部門進行核驗,是對對接能力的一個考驗。為保障部委外網統一登錄驗證系統順利實施,將實名核驗能力建設作為重點。
以用戶行為核心的安全審計
安全審計是重要的環節。在系統中對以下審計做重點支持。
登錄認證審計
主要為業務系統登錄認證記錄的審計。包括登錄認證和單點登錄。審計主要內容包括用戶名或其他標識、用戶ID、令牌、認證要素等,以及時間等其他輔助性信息。
用戶身份合并記錄審計:主要指部委外網統一登錄驗證系統對身份的合并記錄。
實名核驗審計:主要指部委外網統一登錄驗證系統進行實名核驗的記錄,包括核驗請求的相關信息和后端核驗的過程的相關信息。
場景增強認證審計:主要指業務系統發起場景增強認證的請求、場景增強認證過程與結果等相關信息。
重要場景的增強認證
動態認證用于業務系統未存在登錄會話時進行登錄認證。而在動態認證以外,還存在其他需要場景進行增強認證的情況,舉例如下:
某重要業務場景需要保證當前操作是用戶本人進行操作、而非其他人進行的操作,而此時距離登錄認證已過去很長時間,無法保證此時操作的人與登錄時的操作人是否為同一人。這時,業務系統需要彈出增強認證窗口,由使用者進行增強認證,保證當前操作者持有符合認證強度需要的認證憑據,用以確認當前操作者是符合業務場景所需要的權限,以滿足業務系統的安全要求。
數據安全與隱私保護
亞信安全在本次項目建設中著重在系統安全、應用安全與數據安全方面,尤其是隱私數據保護等方面進行了詳細設計和實現。
首先,亞信安全統一登錄驗證系統對于業務安全有關明確的安全要求,安全要求覆蓋賬號口令、驗證碼、異常處理、異常登錄等方面。
針對不同通訊安全級別采用不同加密傳輸機制,減少系統開銷和開發成本的同時,保障傳輸安全。針對統一登錄驗證系統中存在大量用戶身份信息這一情況,采用隱私數據保護方案,對用戶隱私進行有力保護,保障系統安全。
用戶受益:
綜述亞信安全解決方案對用戶系統功能的改善與提高,給用戶帶來的價值提升。結合“互聯網+電子政務”總體指導思想和技術架構、政務服務線上“一網通辦”的主要目標,通過建設本部委外網統一登錄驗證系統,充分整合、集成部委外網所有政務服務系統,對所有系統的用戶登錄、身份驗證等進行統一管理,對外滿足自然人、法人等系統用戶“一次登錄、全網通辦”,提高政務服務便捷性,對內滿足各業務系統內部管理和使用人員的統一登錄、認證和審計等管理,不斷提升政務服務效能。
派拉軟件——某核電集團
1.統一組織賬號,實現單點登錄
派拉軟件統一身份管理產品幫助某核電集團構建統一的辦公入口。為需要與統一身份認證與任務集中處理平臺集成的系統制定統一的組織編碼和賬號管理規則,通過多應用系統有序集成,實現單點登陸、身份管理、任務管理,用戶可通過統一身份認證與任務集中處理平臺“我的應用”訪問其他業務系統。同時,組織人員信息可實現一點調整,相關應用自動更新,無需多系統重復操作。
2.入轉調離-全生命周期賬號管理
1)員工入職-賬號開通
在HR系統中錄入人員信息后,統一身份認證與任務集中處理平臺可自動為該員工開通平臺賬號,根據開通策略,部分通用業務系統賬號自動開通,并可在系統中自動同步組織人員信息,無需多系統重復操作;
2)員工調/轉崗-賬號變更
正式員工調動必須由HR在系統中進行調整,至相應系統IT管理員進行相應權限開通關閉操作,權限調整響應及時;
3)員工離職/退休-賬號清權
員工離開工作崗位后,管理員通過統一身份認證與任務集中處理平臺可一鍵停用賬號,并對該賬號所關聯的所有系統進行清權操作,無需多系統后臺重復清權,有效規避離職員工的賬號風險;
除此之外,還可進行賬號限時權限管理,例如正式員工兼職時,兼職賬號到期時系統可自動回收權限;同時,統一身份認證與任務集中處理平臺也與ERP結合,更好的管理聘用工的信息維護和權限開通;也可全面掌控承包商在核電的服務狀態,以便給與相應授權和應對措施。
3.統一身份授權,強化權限管控
1)用戶權限查詢
統一身份認證與任務集中處理平臺通過ESB調用下游應用系統的權限接口服務,用戶或管理員可在統一身份認證與任務集中處理平臺中查詢自己具體的應用權限。
2)用戶權限申請
用戶若想申請相應系統權限,需通過統一身份認證與任務集中處理平臺提交權限申請審批流程,審批通過后申請人方可獲得相應系統權限,不再允許系統管理員私自在后臺進行授權操作。
3)多點授權
系統可分配多級別的管理員,各級別的管理員的權限應可靈活分配。通過數據同步的功能將用戶從賬號信息同步到應用系統后,由應用系統完成用戶在應用系統中的權限管理(細粒度授權)。
4)一點清權
由于采用了集中的管控方式,當用戶離職時,管理員可以通過一點對用戶在所有業務系統中的賬號進行刪除,實現“一點清權”,防止孤兒賬號的存在,保證了系統的安全性。
在實現用戶集中管理時,統一用戶管理系統通過已有的適配器與用戶數據進行連接,并實現用戶的增加、修改、刪除和回收等操作。
用戶價值:建立標準規范,統一任務管理,提升業務效率
1)“身份主數據”,標準化規范化
建立了一套標準化規范,包括組織和用戶集成的標準化規范、單點登錄的集成標準和待辦集成的標準化規范,并根據項目需要,整理了公司組織和賬號的標準數據庫。組織和人員信息管理是安全管理中一個重要的組成部分,通過人員身份管理,可以及時有效了解系統中的賬戶情況,從而消除由于人員所帶來的安全隱患。
企業內的員工來源于SAP HR系統,通過SAP PI發布的ESB平臺的訂閱服務,統一身份管理系統定時增量通過訂閱的服務進行人員及組織信息同步。對于沒有業務系統支撐的通過管理員錄入的方式進行處理。
企業員工可以代理外部人員申請相關應用系統的權限,可及時了解外部人員的賬號狀態及授權。除了AD、TDS采用直接通過LDAP協議連接的方式,其他集成都將通過ESB平臺實現。
數據同步有詳細的日志記錄,便于查看同步情況。當同步出錯時,發出短信/郵件給管理員,提醒管路員手動處理。
2)“個人工作臺”,一站式業務開展
統一身份認證與任務集中處理平臺通過ESB企業服務總線實現了超強數據集成能力,通過統一身份認證與任務集中處理平臺,用戶無需切換應用系統,便可查看賬號信息、發起業務流程、處理待辦事宜、查看郵件、查看日程安排、接收通知公告等。用戶也可根據自己的使用習慣,自由配置常用菜單、應用等頁面。
3)“我的待辦”,多系統待辦消息整合展現
統一身份認證與任務集中處理平臺平臺全面集成下游應用系統,整合同步各系統中待辦信息,形成統一的待辦中心。用戶可通過統一身份認證與任務集中處理平臺集中處理待辦事宜,同時各系統新的待辦提醒也可直接推送至統一身份認證與任務集中處理平臺平臺。重要待辦不遺漏,業務處理效率大幅提升!
4) “遠程辦公”,零信任防護身份和安全
先認證后連接,永不信任持續驗證。遠程辦公的用戶先通過VPN進行用戶認證后連接內網后才能訪問統一身份認證與任務集中處理平臺,從統一身份認證與任務集中處理平臺再訪問下游系統,實時的重復校驗用戶身份和安全狀態,融入多因子強認證對于風險用戶進行多次認證后才能持續訪問下游資源系統。
竹云科技——某大型央企案例
統一身份管理
建立統一身份管理平臺,為集團內部員工、外包用戶、外部用戶等不同維度用戶提供集中用戶身份存儲、集中用戶管理、身份信息同步、統一密碼策略、員工自服務等功能,實現集團統一用戶、統一賬號的全生命周期管理。同時梳理集團內外用戶的身份管理流程,落地符合集團業務需求的統一身份管理能力。
智能融合認證
建立統一認證服務中心,提供各類應用的統一登錄入口和集中導航,實現一套賬號體系登錄、全網通行;通過“認證鏈”的方式融合多種認證方式,構建統一認證服務能力,支持包括密碼、證書、短信等傳統認證方式,指紋、聲紋、人臉等生物識別方式,AD、企業微信等第三方認證服務等,同時支持快速擴展其他認證方式。
統一權限管理
建立統一權限管理服務,實現應用系統應用級,角色級的權限集中管控。建立權限統一管理的入口,根據身份權限流程實現業務權限、系統權限的自動化賦予與回收,支持用戶自助開通、變更、撤銷權限等操作,確保可信的人在合理的時間訪問適當的系統和數據。
智能風險控制
提供統一用戶范圍內的用戶,賬號,權限以及用戶訪問行為的統計和分析能力。實現基于動態策略的用戶訪問過程的預警及控制能力。
規范建立與應用接入
為保障集團應用的安全性以及自上而下連接與交互的貫通性,發布應用系統集成與統一用戶和權限管理相關標準規范。
客戶收益:
身份集中,認證便捷。提供單點登錄及多種認證方式,提供對內外網用戶的支持,滿足集團互聯網化的需求,實現實名制的全生命周期管理。統一規范,簡化應用。提供標準的應用接入和接口規范,簡化應用集成難度,提供多種集成手段,最大化滿足企業復雜應用場景需要,自主可控,安全合規,打破國外技術壁壘,實現知識產權自主可控,滿足公安部信息系統安全等級保護要求。運營感知,集中管控。實現對主要服務和應用狀態的實時監控,實現對設備和應用的集中管控,提供統一報表,提升運維感知粒度,滿足對上市企業合規審計的需求。
寧盾——某客戶身份管理解決方案:
架構中各組件之間相互支撐協作:
DKEY AM:基于SSO協議(如標準OAuth2.0、SAML、CAS、OIDC及EasySSO協議等)與各業務系統對接,接管各業務系統身份認證;通過LDAP目錄服務或DB中存儲的用戶數據和權限,并為用戶提供統一認證、訪問控制、授權管理及雙因素認證等服務。
LDAP Server/DB數據庫:是整個方案的身份信息數據中心,作為賬號源負責賬號的統一存儲(如AD、IBM TDS等),為DKEY AM提供用戶身份數據源并提供同步服務。
User Center:作為用戶登錄認證門戶Portal的后端服務器,提供各應用系統的統一登錄,為終端用戶存儲應用列表及提供如賬號密碼修改、令牌綁定等自助服務。門戶Portal為終端用戶提供多業務系統的SSO單點登錄入口,并負責傳遞單點登錄用戶token,是統一身份認證過程中終端用戶唯一能直觀感知到的。
統一應用接入:寧盾身份管理通過單點登錄協議與不同的業務系統對接,建立信任關系,使用戶在一個應用登錄后,可以訪問相應的應用系統群,而無需每次訪問業務系統都要使用不同的賬號和密碼進行一次登錄。寧盾支持主流SSO標準,并提供自研EasySSO協議,降低應用對接成本,實現本地、云應用及企業自研發等所有應用系統的統一接入和認證。具體按應用自身情況以下面三類方式進行對接。
統一賬號映射:寧盾身份管理可創建一個唯一一個主賬號源體系,并通過姓名、手機號、郵箱、身份證號等屬性與各應用之間的賬號身份進行關聯映射,以達到統一身份和單點登錄的效果。寧盾從預先選定好的用戶數據較全面的應用系統或HR系統或AD/LDAP中同步用戶信息作為主賬號源。再根據定義好的策略,實現與其他應用系統的用戶屬性字段的映射匹配,支持批量自動映射或單個映射。可同步用戶分組/角色等信息,實現用戶權限自動分配,從而方便對單點登錄認證的授權和各應用系統權限的授權。當用戶使用尚未同步至寧盾系統的賬號初次登錄時,寧盾會自動為該用戶創建賬號作為主賬號源,這樣在系統運行后逐步地消除零散賬號,從而建立統一的用戶身份信息庫。
在賬號源上,寧盾支持本地賬號,兼容企業AD/LDAP等外部賬號源,支持關聯微信、釘釘等社交賬號,及SAAS和公有云應用賬號。
統一認證門戶:單點登錄Portal門戶集中展示了企業所有業務系統,是最終用戶訪問各應用并單點登錄的唯一入口。用戶在門戶內可以看到其有權訪問的應用列表,直接點擊應用圖標就可實現訪問。
安全認證:寧盾提供完善的雙因素認證產品,幫助企業加強用戶身份安全。動態密碼安全認證:在單點登錄過程中,通過在賬號密碼認證的基礎上增加動態密碼,形成身份認證安全加固。寧盾動態令牌支持手機令牌、企業微信/釘釘H5令牌、硬件令牌、短信令牌等多令牌形式。還可兼容第三方令牌形式(如RSA SecurID、Google Authentication等),接管第三方令牌認證,實現逐步性替換,不改變用戶原有的認證習慣。企業微信(釘釘)掃碼認證:通過與手機號、郵箱、企業微信賬號等主賬號進行關聯,可實現借助企業微信或釘釘“掃一掃”來登錄User Center,省去賬號密碼輸入過程,提升BYOD等移動用戶的登錄認證安全。
權限管理:統一權限管理分為三個等級。一級權限管理僅實現對用戶的粗粒度控制,即用戶是否具有訪問某應用的權限,形成用戶在Portal門戶的應用列表。二級權限管理基于RBAC模型(基于角色的訪問控制Role-Based Access Control),身份管理系統通過向各業務系統返回用戶角色,角色與權限匹配,實現中粒度權限。三級權限管理需要梳理各業務系統建立統一的權限管理策略標準,并將權限粒度精確到對象,實現細粒度權限。越高級別的權限管理,企業對應用系統的管控力度越強,但要求對應用系統的改造量越大、實施周期更長,項目風險也就越大。
在實際業務模型中,大多數統一身份認證系統能做到的,是基于用戶角色/用戶組的中粗粒度的權限控制。如可以授予角色為“管理員”的用戶在相應的業務系統中擁有管理員權限,或設置僅在“財務”組的用戶可訪問那些財務部門內的應用系統。
流程引擎:企業級的工作流體系,往往需要跨越多個服務器或業務系統。流程引擎(如BPM、OA)連接各業務系統,根據業務邏輯定義工作流流程,并負責驅動流程流動和控制流動路徑。
負載均衡與高可用:寧盾利用Heartbeat/Keepalive服務為DKEY AM認證服務進行高可用部署。DKEY AM之間通過主從復制方式進行數據的實時同步。在正常情況下,當主機出現異常時,服務ip自動切換到備機進行工作,對業務不產生影響。User Center提供無狀態服務,本身不存儲任何關鍵業務信息,利用負載均衡器實現系統負載均衡。
客戶價值:
整合認證:不論企業總部還是分支,所有終端用戶訪問各業務系統,統一通過Portal門戶來進入。用戶操作平臺(User Center)向身份認證平臺(DKEY AM)發送認證請求。身份認證平臺(DKEY AM)調取LDAP服務器/DB數據庫中存儲的身份信息并進行驗證。僅一次身份驗證通過后,用戶即可訪問所有業務系統,而不需要切換到每個業務系統中做多次重復驗證。
身份信息存儲:借助LDAP或DB數據庫存儲用戶身份信息,形成身份信息庫,包含了用戶基本信息(如工號、姓名、性別等)、用戶類型(如員工、代理商、外包等)、職能信息(如崗位、部門、職級等)、屬性信息(如身份證號、家庭地址等)、認證信息(如賬號密碼等)、授權信息(如角色、分組等)。企業一般采用身份信息庫的工號/用戶ID等作為用戶的唯一身份標識,映射到各應用系統中。
賬號生命周期管理:借助流程引擎,如BPM(Business Process Manager業務流程管理)或OA(Office Automation辦公自動化),連接HR及其他各業務系統,為不同類型的用戶(如員工、外包、供應商等)自定義賬號創建、審批等業務流,形成與企業自身業務相匹配的生命周期管理流程。當有新人員進入時,企業為其在HR系統中新增一條身份數據,這時針對該用戶的賬號生命周期管理流程啟動。流程引擎在探測到該數據后,驅動LDAP或類似服務創建對應賬號并存儲在用戶身份信息庫中。然后各業務系統根據流程引擎的預定義,以用戶的唯一身份標識來創建各自的賬號。同理,流程引擎探測到該用戶的身份信息發生變更,會驅動各業務系統自動/半自動同步更新。
安全認證:身份認證(Authentication)是對用戶身份進行認證的過程,以判斷出該用戶是否可以訪問或使用某些系統資源。身份認證在整個信息安全中占據著很重要的位置,是其他安全機制的基礎。SSO門戶作為用戶訪問所有業務系統的唯一入口,一個賬號打通所有應用,賬號安全的重要性可想而知。再加之為適應包括供應商、外包、合作伙伴、員工移動辦公等多類型人員的訪問需求,SSO門戶通常直接暴露至公網,賬號密碼泄露、破解風險時刻存在。為使用戶身份得到更高的安全性,在用戶輸入賬號密碼登錄門戶時,通常會借助雙因素認證技術,額外增加一層認證因子,如動態口令令牌、掃二維碼等。動態口令雙因素認證,通過為用戶提供隨機的數字密碼來二次驗證用戶身份,該密碼隨著時間自動變化,具有唯一性,從而加固了用戶賬戶安全。
數字認證——某省政務服務網
隨著某省政務服務網不斷拓展完善,特別是市民個人網頁、企業專屬網頁等應用逐步建立,辦事人在網上辦理過程中存在著:多處注冊,賬戶信息難以管理;多處登錄,操作繁瑣;持有多家CA證書,辦事成本高等問題,因此,建設“以用戶為中心”的政府服務需求十分迫切,某省政務服務網通過數字認證統一身份認證管理系統搭建全省自然人和法人的統一身份認證體系,解決以上問題:
主要建設內容如下:
(一)構建全省統一身份認證平臺門戶
對全省用戶的普通賬戶和CA賬號提供網上辦事業務統一身份認證平臺門戶,為各省直部門、地市部門業務系統提供身份認證入口的統一管理,配置、維護和管理多種身份認證方式,形成人員和應用統一入口、統一管理,支持對省網辦大廳本地普通賬戶認證和多CA交叉認證,支持建行、工行網銀U盾登錄,支持微警認證、政務服務APP掃碼登錄、中國政務服務平臺賬號等第三方信任源登錄方式。
(二)構建全省普通賬戶信息注冊及認證管理體系
通過集中統一的用戶管理,解決各個信息系統之間基本用戶信息共享,實現互聯互通,減少管理的重復性。針對全省網辦大廳普通用戶進行完善的用戶信息管理,對用戶進行集中管理和分級認證管理,提供多種用戶實名認證模式,包括現場窗口認證,CA證書、銀行U盾、等第三方驗證方式。
(三)構建全省網辦大廳多CA數字證書交叉認證機制
構建全省網上辦事業務多CA交叉認證服務體系,結合省數字證書交叉認證平臺、省信息中心本地CA信息管理、省直部門交叉認證平臺等對CA 賬戶進行多CA交叉認證服務,整合現有資源,打破條塊分割,實現邏輯上集中、物理上分布、應用上透明的全省多CA交叉認證應用體系,實現數字證書互聯互通、“一證通用”。
(四)建立省政務服務網與各省直部門、地市部門業務系統單點登錄功能,實現全省統一身份認證
通過省政務服務網與地市部門和省直部門業務系統有效對接,實現省政務服務網與地市部門、省直部門業務系統訪問入口間實現平滑的系統切換,無需重復登錄,實現“一個賬號,全省通用;一次登錄,全省通行”。
客戶價值:
某省政務服務網統一身份認證平臺的建設,提升了用戶網上辦事的體驗,切實做到網上辦事“以用戶為中心”。省政務服務網、省直部門和地市部門業務系統按照統一規范接入統一身份認證平臺,實現從省政務服務網到省直部門、地市部門業務系統的“統一認證、單點登錄”。用戶可通過PC端、移動端、自助終端等渠道訪問省政務服務網,在省政務網登錄成功后,通過單點登錄跳轉至省直部門、地市部門的業務系統,無需用戶重復登錄,實現“一個賬號,全省通用;一次登錄,全省通行”,降低自然人、法人的辦事成本和難度,提升全省政務服務能力與水平,實現為公眾提供高效、便捷的網上辦事服務。
螞蟻金服——IIFAA聯盟實踐方案
主要圍繞基于可信的身份確認過程,實現對物聯網設備的可信認證以及對于操作者身份的可信確認,從而確定該用戶對物聯網資源是否具有 相應的訪問和使用權限,進而使物聯網系統的訪問控制策略能夠可靠、有效的執行。物聯網系統的訪問控制策略可應用于用戶與設備、設備與設備、設備與系統/服務間的訪問環節。在身份認證過程中,還可以進一步確定雙方數據交互的安全防護手段,從而確保設備和系統能夠安全、有效地運行,防止攻擊者非法竊聽、篡改交互過程中產生的數據并進一步假冒合法用戶身份獲得設備的操作權限,從而保證系統和數據的安全以及合法用戶的利益。
省政務服務網統一身份認證平臺建設系統架構圖
主要建設內容如下:
(一)構建全省統一身份認證平臺門戶
對全省用戶的普通賬戶和CA賬號提供網上辦事業務統一身份認證平臺門戶,為各省直部門、地市部門業務系統提供身份認證入口的統一管理,配置、維護和管理多種身份認證方式,形成人員和應用統一入口、統一管理,支持對省網辦大廳本地普通賬戶認證和多CA交叉認證,支持建行、工行網銀U盾登錄,支持微警認證、政務服務APP掃碼登錄、中國政務服務平臺賬號等第三方信任源登錄方式。
(二)構建全省普通賬戶信息注冊及認證管理體系
通過集中統一的用戶管理,解決各個信息系統之間基本用戶信息共享,實現互聯互通,減少管理的重復性。針對全省網辦大廳普通用戶進行完善的用戶信息管理,對用戶進行集中管理和分級認證管理,提供多種用戶實名認證模式,包括現場窗口認證,CA證書、銀行U盾、等第三方驗證方式。
(三)構建全省網辦大廳多CA數字證書交叉認證機制
構建全省網上辦事業務多CA交叉認證服務體系,結合省數字證書交叉認證平臺、省信息中心本地CA信息管理、省直部門交叉認證平臺等對CA 賬戶進行多CA交叉認證服務,整合現有資源,打破條塊分割,實現邏輯上集中、物理上分布、應用上透明的全省多CA交叉認證應用體系,實現數字證書互聯互通、“一證通用”。
(四)建立省政務服務網與各省直部門、地市部門業務系統單點登錄功能,實現全省統一身份認證
通過省政務服務網與地市部門和省直部門業務系統有效對接,實現省政務服務網與地市部門、省直部門業務系統訪問入口間實現平滑的系統切換,無需重復登錄,實現“一個賬號,全省通用;一次登錄,全省通行”。
客戶價值:
某省政務服務網統一身份認證平臺的建設,提升了用戶網上辦事的體驗,切實做到網上辦事“以用戶為中心”。省政務服務網、省直部門和地市部門業務系統按照統一規范接入統一身份認證平臺,實現從省政務服務網到省直部門、地市部門業務系統的“統一認證、單點登錄”。用戶可通過PC端、移動端、自助終端等渠道訪問省政務服務網,在省政務網登錄成功后,通過單點登錄跳轉至省直部門、地市部門的業務系統,無需用戶重復登錄,實現“一個賬號,全省通用;一次登錄,全省通行”,降低自然人、法人的辦事成本和難度,提升全省政務服務能力與水平,實現為公眾提供高效、便捷的網上辦事服務。
螞蟻金服——IIFAA聯盟實踐方案
主要圍繞基于可信的身份確認過程,實現對物聯網設備的可信認證以及對于操作者身份的可信確認,從而確定該用戶對物聯網資源是否具有 相應的訪問和使用權限,進而使物聯網系統的訪問控制策略能夠可靠、有效的執行。物聯網系統的訪問控制策略可應用于用戶與設備、設備與設備、設備與系統/服務間的訪問環節。在身份認證過程中,還可以進一步確定雙方數據交互的安全防護手段,從而確保設備和系統能夠安全、有效地運行,防止攻擊者非法竊聽、篡改交互過程中產生的數據并進一步假冒合法用戶身份獲得設備的操作權限,從而保證系統和數據的安全以及合法用戶的利益。
物聯網身份認證整體架構
面向物聯網用戶的可信身份認證和管理:
主要包括在用戶身份認證注冊、身份認證以及身份認證注銷等環節中,都應能夠使用有效的技術手段確認該用戶的身份及其是否具備相應的權限完成對物聯網的操作請求。需要注意的是,因為物聯網應用場景的多樣性,實際過程中對于用戶進行身份認證的方案有多種。根據在認證環節中是否需要連接身份認證服務器,可大體分為離線認證模式和在線認證模式。
離線認證模式:
該模式下,用戶的身份認證憑據一般是存儲在物聯網設備中(比如用戶設置的口令或者錄入的生物特征)或者存儲在用戶所持有的一個Token 中,這樣在認證過程中,可以無需連接位于云端的身份認證服務器即可完成認證。
與之相對應是,在身份認證注冊環節,一般是用戶在提供了身份證實材料并審核通過后,即可在物聯網設備上直接設置身份認證憑據,或者是通過身份認證服務器對物聯網設備進行安全配置更新;在身份認證環節中,用戶直接操作物聯網設備或者通過物聯網控制設備與物聯網設備進行交互,提供認證憑據實現對用戶的身份認證;在身份認證注銷環節中,相對應的是在物聯網設備上直接刪除跟該用戶相關的身份認證憑據,或者是通過身份認證服務器對設備進行安全配置更新。
在線認證模式:
在該模式的認證過程中,需要連接到位于云端的身份認證服務器來完成對用戶的身份認證。IFAA 此前在移動智能終端上制定的本地免密解決方案和遠程人臉認證解決方案,即是這種結合了身份認證服務器實現的在線認證方案。事實上,移動智能終端在物聯網中也是一種非常重要的物聯網控制設備,IFAA 本地免密解決方案和遠程人臉認證解決方案也可以應用于物聯網身份認證領域中。差異點在于,在通過物聯網控制設備完成對用戶的在線身份認證后,還需要將這種認證結果通過可信的方式傳遞給設備本身。
奇安信——某部委大數據中心的跨網數據訪問案例
數據集中導致安全風險增加
大數據中心的建設實現了數據的集中存儲與融合,促進了數據統一管理和價值挖掘;但同時大數據的集中意味著風險的集中,數據更容易成為被攻擊的目標。
基于邊界的安全措施難以應對高級安全威脅
現有安全防護技術手段大多基于傳統的網絡邊界防御方式,假定處于網絡內的設備和用戶都被信任,這種傳統架構缺乏對訪問用戶的持續認證和授權控制,無法有效應對愈演愈烈的內部和外部威脅。
靜態的訪問控制規則難以應對數據動態流動場景
大數據中心在滿足不同的用戶訪問需求時,將面臨各種復雜的安全問題:訪問請求可能來自于不同的部門或者組織外部人員,難以確保其身份可信;訪問人員可能隨時隨地在不同的終端設備上發起訪問,難以有效保障訪問終端的設備可信;訪問過程中,難以有效度量訪問過程中可能發生的風險行為并進行持續信任評估,并根據信任程度動態調整訪問權限。如上安全挑戰難以通過現有的靜態安全措施和訪問控制策略來緩解。
圖:大數據中心安全場景
為應對上述安全挑戰,基于零信任架構構建安全接入區,在用戶、外部應用和大數據中心應用、服務之間構建動態可信訪問控制機制,確保用戶訪問應用、服務之間API調用的安全可信,保障大數據中心的數據資產安全。
解決方案:
梳理核心資產訪問路徑,構建虛擬身份邊界
奇安信零信任安全解決方案應用于某部委的整體安全規劃與建設之中,在新建大數據共享業務平臺的場景下,訪問場景和人員復雜,數據敏感度高。基于零信任架構設計,數據子網不再暴露物理網絡邊界,建設跨網安全訪問控制區隱藏業務應用和數據。解決方案通過構建零信任安全接入區,所有用戶接入、終端接入、API調用都通過安全接入區訪問內部業務系統,同時實現了內外部人員對于部委內部應用以及外部應用或數據服務平臺對于部委數據中心API服務的安全接入,并且可根據訪問主體實現細粒度的訪問授權,在訪問過程中,可基于用戶環境的風險狀態進行動態授權調整,以持續保障數據訪問的安全性。
圖:奇安信零信任安全解決方案部署圖
客戶收益:
目前奇安信零信任安全解決方案在某部委大數據中心已經大規模穩定運行超過半年,通過零信任安全接入區,覆蓋應用達到60多個,用戶終端超過1萬,每天的應用訪問次數超過200萬次,每天的數據流量超過600G,有效保證了相關大型組織對大數據中心的安全。奇安信零信任安全解決方案,能夠幫助客戶實現終端的環境感知、業務的訪問控制與動態授權與鑒權,確保業務安全訪問,最終實現全面身份化、授權動態化、風險度量化、管理自動化的新一代網絡安全架構,構建組織的“內生安全”能力,極大地收縮暴露面,有效緩解外部攻擊和內部威脅,為數字化轉型奠定安全根基。
五、IAM核心技術的未來趨勢
? 零信任爆發增長趨勢。其架構的應用是大勢所趨,勢必將成為網絡安全的新戰略,身份認證與訪問產品將越發廣泛地在零信任架構的框架下進行發展與升級。目前外網辦公、分公司訪問子公司資源、家庭辦公、出差等,都對傳統的以防火墻物理邊界作為安全邊界的策略提出了挑戰,對于資源的訪問控制不應該依賴于網絡邊界的保護,在這種條件下如何持續的對用戶身份進行認證和訪問控制成了零信任策略的關鍵問題,而解決這種關鍵問題的基礎就是完善的IAM系統,只有完善的IAM系統才能夠從全局實現對資源的持續認證與訪問控制。
? 身份管理與訪問控制(IAM)產品會隨著業務場景的不斷變化和技術更新迭代,IAM技術經歷了由點到面,由單一功能模塊到全面數字身份治理體系的演進過程。從SSO發展到4A,再發展壯大直至現在的IAM,以及由IAM延伸的IGA(Identity Governance and Administration)、IDaaS(Identity-As-A-Service)、CIAM(Consumer IAM)等,業務范圍從內網到外網,從線下到云端、移動端、IoT等領域。
? 未來身份認證產品邁向身份治理(IGA)階段,包含權限合規治理、職責分離、身份數據的智能分析和審計,該階段強調的是管理和安全,與此同時需滿足日益嚴苛的合規監管以及對法律法律(網絡安全法、等保2.0、SOX、GDPR)的遵從。任何人對應用的訪問、對數據的訪問、對設備的訪問都應該圍繞著身份來展開。圍繞著這個理念把全域的管控隱私的保護按零信任的體系有機結合。
? EIAM企業內部人員對統一認證的需求增強。目前企業的信息化程度越來越高,一些大型企業主要的業務流程完全信息化,但這些系統相互獨立,都有各自的一套賬號,導致人員的入職、轉崗、離職等信息變更繁瑣,難以保證信息的一致性。同時,由于人員標識不一致,難以從全局對人員進行訪問控制及審計,帶來一些安全風險。
? CIAM公眾用戶統一認證的需求增強。無論是互聯網+政務、還是向公眾提供服務的某些特定領域,一般都是由多個信息系統組成,因此,需要構建統一認證身份平臺,整合各個服務、整合各信息系統身份體系,實現統一身份管理。
? 隨著5G、IoT技術的深入應用,IAM產品將為人物、物物互聯提供身份安全管理的功能。IAM平臺未來將以一種高度流動的方式工作,因為需要大量調用第三方服務來驗證信息的正確性,技術架構需是輕量級、松耦合,基于微服務架構,實現IAM能力的全面微服務化,快速地和IT基礎設施以及其他應用進行融合。目前通過去中心化的技術比如區塊鏈來解決設備之間的互信問題已 經成為行業內的熱點方向,還有更多的新技術需要探索。
? 為提升智能識別用戶異常訪問行為的能力,IAM從基于靜態規則和策略的安全管理模式走向動態的自適應風控體系,實時感知用戶訪問過程中的安全環境變化,動態調整安全控制策略,并持續評估應用、用戶、數據流的安全性和風險狀態,為數字身份安全提供智能化防御。
信息泄漏了不要慌,學了網安就能囂張
白嫖資料就上車
總結
以上是生活随笔為你收集整理的自己身份信息泄漏了怎么办,别怕,带你了解身份管理与访问控制的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 用每个月的下载量超过300亿次的NPM,
- 下一篇: 别问我SolarWinds Orion