2018年3月25日,由中国新一代IT产业推进联盟指导,CIO时代学院、中山CIO联盟联合主办,CIO时代APP承办的"华南CIO同学&中山CIO联盟新年会暨CIO时代中国行中山站"成功举行。来自全国各地的专家学者、知名CIO、优秀厂商近两百人在中山喜来登酒店欢聚一堂,围绕本次论坛主题"智能制造与数字化转型",展开了热烈讨论与分享。竹云解决方案中心总经理戴立伟在活动上分享了题为《建立身份治理体系,加快企业数字化转型》的主题演讲。
戴立伟:大家好,我是竹云科技戴立伟。首先谢谢姚老师,谢谢刘京同学,把我们带到这么美丽宜居的地方。刚刚听李红总给我们分享了很多,我特别的开心,我们不约而同的都选择了相同的视角和案例。我今天发言的主题是“建立身份治理体系,加快企业数字化转型”。
信息化建设现在总体处于什么阶段?刚刚李红总提到我们处在数字化阶段。的确,我们现在是在这个阶段。如果划分的话,由网络前到网络化的阶段、数据化的阶段和智能化的阶段。那么现在真正属于第二和第三个阶段中间。有些做的比较好的可能到了第三个阶段,那么有些稍微差的可能还在第二个阶段。但是即便是在第二个阶段大家会发现我们的消费者用户也都参与到了整体的生产过程当中去。
为什么会这样?大家可以看到一方面国家在做供给侧改革,另外一方面互联网现状让我们越来越多的网民、手机、APP接入到整个互联网体系当中来,大家要知道一点,当我们把这样一些用户接到互联网体系来的时候,我们就有可能把这些用户接入到生产体系来,利用信息化手段来对生产进行重新的塑造。
刚刚李红总提到王坚老师,的确,我们在上课的时候也有很深刻的印象。王坚老师提了一个观点,他讲到信息化其实已经是我们整体的生产要素了,它就像电、水、煤基础设施一样会嵌入到生活当中来。所以在做数字化转型时,如果没有把信息作为一个生产要素纳入到整个体系当中去那我们可能会落后。
我们看看一家先进的企业红领。刚刚李红老师也在讲这家企业。的确是这样。红领是青岛的一家企业,2012年开始做了整个规划转型。他转型之后有一个很大的特点是,他的整个组织体系架构有变化。红领到目前没有都没有财务部。大家想想一家企业如果没有财务部会是什么概念,感觉好不可思议啊。其实他的财务数据已经在他整个的数据体系化当中,已经把它消化出去了。它利用数据重塑了它的产品、运营的平台、以及盈收和渠道的模块。所以整个数字化的变化急剧的会带来我们组织的变革和变化。
传统的信息化建设做法很简单,我管我内部的,我给企业做好信息化支撑就OK了。但现在不可以了,你面向的不仅仅是内部的员工,而更多的是经销商、供应商、消费者。以前我们管系统很简单,我管20个、30个,多一点的管100个。现在的系统,如果真想做好,你会管的非常多。中国石化是我的客户,中国石化里面有6000多个系统,6000多个系统它都在管。最开始所有人员的电子身份散落在这6000多个中,没有一套标准化的规范体系,这些电子身份都面临着失控的风险!
以前我们常说做好信息化安全的管控,用一个防火墙围起来之后就可以了,我的信息泄露不出去了。现在不行了,我们整个信息化的趋势是开放、赋能,所以你的数据无论如何都可能延伸到企业外部。作为一家制造业行业的企业,我的生产资料信息是否可能被“合法”的泄露出去,注意这里的合法是加了双引号的!所以我们在做好数据安全和网络安全的时候,对于人的安全也要做好更多的管控。
同时可以看到现在电子身份智能化、业务场景多样化等等特征非常明显,现在接触到的生产数据渠道太多了,不是简单的一个PC, APP、微信等都可能接入到生产数据当中去。
如果说一个人就是我们企业的员工他离职了,你没有及时关闭他的账号信息的话,我相信很多企业都没有做到一点,那他可能对你的生成系统或者核心资料带来极大危害,比如2013年美国花旗银行一名心怀恶意的员工破坏了银行90%的路由器配置,导致银行整个网络瘫痪数小时。
所以后来2017年6月份出了《网络安全法》,《网络安全法》现在是一把手的责任,任何数据的丢失一把手都要担责任的。所以我们有必要去建立一套整个的身份治理体系。
大家做信息化的都知道我们做OAR、ERP等各种各样的业务系统,但是每个系统一定是按照自己的业务特征进行建设的,它没有按照人的特征进行建设。所以说我们在使用这些系统时会有割裂感,会产生不同系统切换的感觉,而且这些系统它对于人安全能力的把握一定不是它专业和专长。所以我们有必要把这样人员相关信息拉在一起统一管理,找一个最专业的堡垒把它管控起来。
所以我们要做到用户账户体系的统一化的建设,一个人到企业内部开始,从他入职、离职、调岗、转岗、返聘,这样一个生命周期状态下,他在本企业中所有信息化系统的账号、访问控制、权限都会随之发生变化,这种变化可以通统一化的建设被自动捕获到,并通过自动化手段完成。比如一家知名企业,一个员工从他入职进去到他拿到电脑、开通所有工作账号花了七天时间,所以说这七天的工资是白给的。
我们还可以有一个统一的授权中心。以前就是输入用户名、密码,或者其他特定的凭证就OK了。那这安全吗?不安全。
举个例子,我们在今天这个酒店入住的时候可以拿自己的身份证入住。身份证是不是代表我的凭证。那么问题来了,如果酒店的工作人员看到我拿了我的身份证,跟我校验也是OK的,但是他看到我鬼鬼祟祟、东张西望、神情不安,这个时候他是不是应该继续帮我办理入住呢?我觉得不应该。他可能会多问我一些问题来确认我的真实性,这个人可能是个逃犯,或者他本身正受到一些威胁。所以我们有必要在他完成基础的凭据校验之后,继续通过他的行为对他进行风险评估。所以在电子身份凭证校验环节,也需要有一个风险引擎时刻监控访问行为习惯。
现在SaaS服务发展很好,我们制造业当中也可能很多企业也在使用SaaS服务。而我们使用SaaS服务时大家会有两个痛点,第一个我在所有访问SaaS服务的时候,你的用户名、密码是不是全部存到SaaS那边了。你会觉得很担心,如果我的密码丢掉了,用户信息丢掉了,那算他的算我的?算SaaS的还是算我企业的?老板肯定算你的。
所以我有必要做一件事情,把你的认证点从SaaS的一瞬间转企业内部,你的个人密码就不会在SaaS处落地。第二点,我们在使用SaaS服务时,你的个人信息可以通过安全身份网关脱敏掉,所以最终你使用了SaaS的业务能力,但是你所有个人信息全部在你本地。
现在大家会面临越来越多的各种认证方式,有人脸、智能、指纹、指脉等等。但是这些方式我们会发现,其实我们在使用时都是散落着的,没有一个平台来统一管理。现在有越来越多的认证方式,比如说心跳识别,通过你的心跳来判断你是否是你。如果我想用的话,每一个应用又得和这种新的认证方式对接一次,很痛苦。那有必要把所有的认证方式融合起来,把所有的认证能力可以一键化的赋能给每一个应用。你可以去按照应用来赋能。这个应用启用认证1、认证2,那个应用启用认证3、认证4。你不想用的时候,把认证能力在后台直接给它勾掉,就没有了。你可以按人来赋能。这些认证方式可以串起来用,也可以把它并起来用。我喜欢刷脸就可以刷脸,我喜欢指纹校验就可以指纹校验,我喜欢哪个就用哪个。
另外还有我们安全中心的建设。这里面也蛮有意思的。比如有一天我们打开自己的APP,突然发现有个人登了我的HR系统。大家知道HR系统是可以查工资的,他是不是正在系统里查我的工资了。好,那你拿出APP,你可以把这个会话踢出去,我不让他登了。你不让他登,然后你心里觉得还不安全。为什么?因为他已经知道你密码了,要不然登不进去啊。那这时候你可以给它加一把锁。登陆HR时必须要通过人脸进去才能够登,而这把锁只针对你,所以他即便知道用户名和密码也已经进不去了。所以通过这个平台可以做个人风险偏好的设定,根据自己的想法来做更多的认证方式。
另外我们提供了整个的风险引擎。这么个风险引擎能够根据大家自己过往的各种数据,包含了交易数据、访问数据,通过整个数据挖掘的方式来真实的判断,当前访问你的生产资料信息的时候这个人是不是你。
如果仅仅以登陆为例的话,在这一瞬间就会有很多信息被搜集到。包括登陆用户名、登陆名字、时间、地点、来源IP、服务器IP、访问的系统是什么、登陆成功没有、认证方式是什么、认证结果是什么、失败了没有、如果失败了那失败的原因是什么、设备是不是新的设备、设备是不是被越狱掉了、是不是使用可信WIFI接入。这样数据全部都可以收集到,收集到之后我们可以做对应的风险分析。我们能看到你是不是登陆的模式异常,可以看到访问关系是不是异常,访问的时间是不是异常等等,从而判断你是不是你。
讲了这么多,其实大家都有点累了。所以我给大家放一些视频,让大家可以看一下真实的用法应该是怎么样的更合适。现在映入大家眼帘的,这个就是我们很容易知道的一个信息化的系统。正常的登陆进去你会看到所有权限访问的系统,实现单点登陆的功能。这个大家会觉得很简单,没有什么问题。而事实上我们会发现有些应用,他应用安全级别不相同。你的财务应用跟OA应用这两个级别就不一样,所如果这是一个敏感度更高的业务时,你一点它就进不去了,这个时候他会要求你做指纹校验,这时候你可以拿出手机打开相应的APP完成指纹校验。
所以大家会发现一个特点,在手机上做完指纹校验之后,你整个的PC应用就可以登陆成功了。所以这是一个你的手机跟你PC的融合互动。而且你的手机本来就是把“移动钥匙”。
那究竟这个控制是怎么样的,我们来到后台看看。每一个应用对着认证链条,可以看到刚刚这个认证链条设定时是第二级是指纹校验。我想指纹校验不够安全,我还想加一种认证方式怎么办呢?很简单。如果想加声纹校验,我只需要把声纹校验这个图往里一拖就可以了,我已经把声纹校验的能力赋能给对应的应用了。
好,那我们退出应用再做重新的登陆来看一下。我们现在登陆进去,再一次访问这个应用的时候大家会发现你整个的认证链条已经全部变掉了。它会告诉你,你要先做指纹校验再做声纹校验。所以这个时候我拿出对应的APP,先做指纹校验再完成真正的声纹校验。
当我指纹校验通过之后,你会发现整个引导页面就已经变掉了,他可以很智能化的捕捉到这个事情,然后我们再做对应的声纹校验。声纹校验会让大家念一串数字,通过念数字来判断是不是你。
所以当你想用这些认证能力,怎么赋能都可以的,很方便。后面的话包括APP应用也是这样的,后面我就不再做演示了。
这个也蛮有意思的。我们登电脑时通常会用静态密码来登录。有人觉得很麻烦,记不住密码。这样的话我可以拿出手机,我用手机刷个人脸,刷完人脸之后,手机上校验我这个人是我,我的电脑有可以自动登陆。另外大家可以看到这个载体可以是手机,也可以是任何一个载体,比如说UKey,都没有问题的。你可以把Ukey插在你电脑上,它自动会登陆。Ukey一拔这个电脑会自动注销掉。而且当你登陆完这个电脑之后,再到任何的一个系统当中的时候,不再需要身份凭据的校验了。
我们再看一下风险引擎的演示。首先可以看到当前企业登陆信息的分布。比如可以看到登录设备的分布,可以看到登录城市的分布,等等,同时我可以看到当前风险监控分布,都在什么时间产生了巨大的风险。
同时如果到它对应的大屏当中也是可以看到访问的实时情况。如果以北京为例的话,你可以看到全国包括日本实时在登录系统的情况。明显可以看到,上海的气泡要比南昌的气泡要大,说明来自上海的登陆压力很大。同时右边会有实时风险监控,能够看到当前是不是有人正在不停的用你的用户名密码进行重试,是不是有人在短时间之内用你的帐号进行立即登陆。是不是有一个IP地址突然来了500个账户登陆。这些异常我们可以全部发现出来,同时会有告警、预警出现。
左上角可以看到实际风险的分布图。短期异地登陆、不同设备登陆等等这些风险分布图可以让我们知道当前我们面临的最大风险在哪个地方。只有知道这个之后才能做对应的防控。
最后允许我花一点时间给竹云做个介绍。竹云是2013年专注于信息安全领域IAM身份管理以及访问控制及云应用这个领域的。2013年之前竹云的团队主要做海外,包括巴西、挪威电信等等。2013年开始随着国内信息化水平发展和信息化建设要求不断提升,竹云2013年推出了全套自主知识产权的产品,包括统一身份安全管理平台、互联网用户安全访问平台、移动安全e账通、安全e登录和竹云IdsCloud云身份管理平台等。公司总部在深圳,在北京、上海、广州、杭州、武汉、潍坊、成都都有分公司。
竹云产品线分为几大块,刚刚我讲到的很多的是内部用户的管控,这是基础安全平台,它能帮大家做整体的统一用户的管理、统一权限的管理、统一访问控制的管理,包括一些特权帐号管理。另外,增强安全当中包含了互联网用户的管控,互联网用户都是几千万上亿的。内部员工,中石化比较多了,180万,也就是100多万而已。那么你面向几千万上亿用户存储的时候,他的整个存储模式、技术架构必须完全不相同。所以底层一定采取分组分片的方式进行存储。 另外我们有移动端的,刚刚也给大家做个演示。还有云端的,云端各个SaaS之间的孤岛打通。你内外部如何进行融合。
竹云的客户主要分为三大类:第一类是制造、能源、航空,国企以及上市公司,比如中国石化集团、金融街控股、中国核建、中信集团、首钢集团、深圳巴士等等,都是我们的客户。第二类是金融行业的,包括招商银行、广发银行、青岛农商行、廊坊银行、东莞银行等等,也是我们的客户。第三类是政府行业,包括深圳龙岗区政府、坪山区政府、龙华区政府等等。
竹云也获得了一些资质,安全领域里的ISO27001、质量管理里的ISO9001等。最后我们看一些荣誉,当时竹云做海外的时候是全亚洲唯一一家获得全球身份服务融合创新服务奖的供应商。另外在国内获得了很多奖项:安全E航奖、金融创新突出贡献奖等等。
由于时间有限,我今天的分享就到这里,接下来大家也可以在展台这边和我做更进一步的交流。再次感谢姚老师、感谢CIO时代、感谢刘京为我们说提供这么好的场地,让我们进行了一个很好的思想碰撞,谢谢大家!
第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
