如今，随着云计算、大数据、物联网和人工智能等信息技术的深度应用，身份和访问管理平台已经成为企业网络安全体系的重要组成部分。通过基于角色的控制，它可以帮助企业管理数字身份和用户对组织内系统、网络和关键信息的访问行为。

身份治理规划的总体概述

随着企业信息化水平的快速提升，身份治理作为企业管理平台和基础安全平台，已被大多数企业纳入企业整体业务战略规划。企业如何根据自己的业务形式和信息安全管理需求来规划和设计身份治理？我们从四个方面考虑身份治理的统一规划和建设:

风险评估:基于身份治理管理的要求，针对企业面临的信息安全挑战和存在的问题，充分评估身份治理风险的合理性；

规划设计:结合企业战略规划和IT规划，制定符合企业业务发展和管理模式的身份治理规划蓝图；

平台建设:介绍身份治理建设经验和专业实施者，明确实施路径和目标，推进身份安全平台和体系建设；

生态融合:推动数字化转型创新，实现线下身份管理、云、物联网等多场景业务融合和生态融合。

新兴身份管理系统

电子身份eID

EID是公安部公民网络身份系统向公民发放的网络电子身份，以密码技术为基础，以智能安全芯片为载体。其特点是可以在线远程识别身份，而不泄露身份信息。

具体来说，当用户打开eID时，智能安全芯片中的非对称密钥算法会生成一组公钥和私钥对，可用于电子签名。基本原理是用户可以使用自己的eID私钥对信息进行电子签名并发送给其他人，其他人可以使用用户的eID公钥对签名信息进行验证。

当用户使用eID通过网络向申请方进行身份认证时，申请方会向与公安部公民网络身份系统连接的服务机构发送请求，验证用户网络身份的真实性和有效性。

一旦验证了用户的网络身份，应用端就可以在当前应用上获取用户的网络身份应用标识。由于用户在不同的在线应用中使用的网络身份应用识别码不同，因此可以避免在不同的在线应用中收集、分析和跟踪用户的行为数据。

目前，我国已发行5000万张Eid，广泛应用于银行、证券、保险、征信、互联网金融、电子商务等领域。很多欧盟国家也发布了eID来代替传统的身份证件，让eID具备了网上离线身份识别和远程身份识别的功能。

OAuth

OAuth是Open Authority的缩写，Open Authority是一种授权框架，或授权标准，它使第三方应用程序或客户端能够获得对HTTP服务上用户信息的有限访问权限。

OAuth的工作原理是将用户身份验证委托给托管用户的服务，并授权客户端访问用户。它可以为Web应用程序、桌面应用程序和移动应用程序提供授权过程。

OpenID协议

OpenID是Live Journal社区创始人Brad Fitzpatrick提出的一个去中心化的在线身份认证系统。OpenID允许用户使用现有帐户登录多个网站，而无需创建新密码。

相反，他们只需要提前在OpenID身份提供者的网站上注册，就可以随意享受OpenID支持的网站上的资源。

OpenID的特点是其分散的架构。任何网站都可以使用OpenID作为用户登录的方式，任何网站也可以作为OpenID身份提供者。

目前，OpenID在互联网上传播迅速，支持OpenID的用户账户超过10亿，接受OpenID登录的网站超过5万个，包括谷歌、、雅虎、微软、MySpace、Novell、Sun、意大利电信等。

2020年身份和访问管理趋势

身份和访问管理即服务

管理对一组应用程序和文件的访问可能很棘手，要求很高。尽管IAM已经迁移到云上很长时间了，但是精细维护应用程序的责任仍然在于管理员。

借助IAM即服务，许多IAM功能被转移到云中并实现自动化。远程用户可以轻松访问他们的工具:他们只需要登录一次就可以访问他们需要的所有资源和解决方案。

借助IAMaaS，用户可以轻松、自动地连接到安全和欺诈保护系统，无需额外努力就能提高应用程序和文件的安全性。此外，自动化工具将大大减少管理员的工作量。

微服务的身份和访问管理

微服务已经席卷了信息技术世界。开发人员使用链接的容器化小程序而不是单个集成应用程序来执行以前由单个集成应用程序执行的功能。即使一个组件出现故障，整个应用程序也不会崩溃。

相反，自动化系统启动故障组件的副本，这将用户的停机时间减少到零。

从传统的IAM角度来看，这是有问题的。现在，应用程序的各种组件可以通过网络进行通信，这意味着攻击者可能会窃听或伪造这些通信。有时，这些服务使用公共互联网在多个数据中心之间进行通信，这使得加密和安全性变得更加重要。

因此，IAM解决方案开始与微服务集成。在一个这样的解决方案中，微服务之间的每个通信还包括唯一的令牌，该令牌将在接收时被验证。应用程序将仅在收到有效令牌后执行请求的功能。

这对应用程序的性能几乎没有影响，但它可以防止不良行为者冒充微服务或窃听您的应用程序。

自主身份

用户拥有的身份数据需要反复证明，这是一件怪诞却又现实的事情，不仅带来不便，也是数据泄露的恶源。

自主和主权身份是建立在区块链基础上的数字身份，也是用户对数字身份拥有最高控制度的形式。这种数字身份结合了区块链的去中心化、分布式、共识机制、哈希加密等特点，因此具有独立性、安全性和可控性。

在物理世界中，用户可以通过多种方式验证自己的身份，而无需用户名或密码。他们可以出示驾照、护照、社会保障卡或其他身份证。

过去，显示完整账户的信用卡收据使得身份盗窃变得容易。所谓自主身份是指当个人使用这些实体验证自己的身份时，没有第三方维护副本，因此被盗的风险很小。

简而言之，自我主权身份使用户能够像在线“证明自己”一样验证自己。用户可以存储自己的个人身份数据，而无需提交给公司管理的中央数据库，因为如果这些公司被黑客攻击，数据泄露将不可避免。

自我主权身份的问题在于，没有公认的媒介来存储和验证自己的身份。现在，许多自我主权的支持者认为，区块链是一个加密的分散的个人信息数据库，它代表了个人在网上轻松验证身份的理想机制。

因此，整合区块链可能会在很大程度上改变IAM。根据您的居住地，您的用户名和密码可能会被政府颁发的数字身份所取代。这已经发生在瑞士楚格，你的城镇可能是下一个。

总之，可以预见，随着全球各大公司和政府“消除密码”的努力，在线身份识别和管理方式也面临着很大的变化。

身份和访问管理产品和解决方案

卫士通

统一身份认证系统

产品介绍:

威视通通过身份管理和认证系统，提供统一、高安全性、高可靠性的统一身份认证解决方案，统一集中管理和控制分布式用户和权限资源，为用户访问应用提供安全认证和单点登录。用户一次登录就可以访问自己有权访问的所有应用系统，避免了频繁登录，保证了用户身份的合法性和唯一性。为应用系统的访问建立了一套完整的安全保护和用户管理机制。身份管理和身份认证的核心业务场景如下:

身份管理和身份认证的核心业务场景

方案特征

满足单位内部的组织架构，用户统一身份管理，同一单位不同网络域统一身份管理和身份认证，行业内下级单位统一身份管理和身份认证；

支持基于国家秘密算法的多种身份认证模式，根据业务应用系统安全注册情况设置应用系统认证方式和等级；

支持统一授予用户对业务应用系统的访问权限，支持授权模板，并参照模板自动授权；

支持用户操作日志、认证日志、访问日志的统一管理和审核。

客户关注的主要功能

组织管理:维护公司内部的组织，支持手工录入组织信息和用EXCEL导入组织信息；

用户管理:支持公司内用户信息的维护，为用户分配唯一的身份；

应用资源管理:维护应用系统的基本信息，分配应用系统的身份；

人员分组管理:根据人员属性建立人员分组，支持属性分组和离散用户分组；

身份订阅:支持业务应用系统组织结构数据和用户身份数据的订阅；

应用授权:支持授权用户访问业务应用系统，支持分组授权；

身份认证:支持用户名密码认证、证书认证、短信认证、二维码扫描认证、动态密码认证、二次认证、多因素认证。

带给客户的核心价值

卫士通企事业单位统一身份认证系统，提供安全可靠的身份管理和身份认证，是企事业单位信息化建设过程中的基础和核心业务支撑系统。可以实现企事业单位资源有序共享、业务安全协同，达到一次性认证、全网接入的效果，有效保障业务应用和数据的安全。