今年是特殊的一年，一次大的疫情，把遠程辦公推向了一個小的，一個微盟的安全事件，更是把信息安全推向了的中心。無論是遠程辦公下的信息安全關(guān)注點，還是類似微盟的信息安全事件，都讓眾多企業(yè)把信息安全的完善作為了2020年的一個重要的工作內(nèi)容。

派拉軟件作為新一代信息安全技術(shù)公司，在遠程辦全或是企業(yè)數(shù)字化轉(zhuǎn)型過程中的安全方面都有著豐富的實戰(zhàn)經(jīng)驗，因此為了更好的幫助企業(yè)做好安全的遠程辦公和數(shù)字化轉(zhuǎn)型，面向大眾已推出了幾場直播。

直播中的安全話題，引起了眾多企業(yè)的共鳴，紛紛向派拉咨詢。在此過程中，經(jīng)調(diào)研發(fā)現(xiàn)，超過80%的企業(yè)已經(jīng)在安全層面做了較多的工作，只是不知道現(xiàn)在是否完善，更希望通過全局進行考慮，來發(fā)現(xiàn)自身企業(yè)在信息安全建設(shè)中的不足之處，予以彌補。

其實一個全面的信息安全體系規(guī)劃還是非常龐大的，所以一個全面的、通用的、可落地的方案變的尤其重要，那么有沒有一篇比較全面的安全體系供企業(yè)去參考、分析、對比，找到自己的不足之處呢？

本篇文章就給大家介紹一個全面的、有具體量化指標(biāo)的、可落地的信息安全方案【網(wǎng)絡(luò)安全等級保護2.0】，并結(jié)合身份管理教大家如何解讀等保2.0，以及解讀后如何推進身份管理和其關(guān)注點是什么。

2019年5月13日下午，國家召開新聞發(fā)布會，期待已久的網(wǎng)絡(luò)安全等級保護2.0（簡稱等保2.0）正式發(fā)布。等保2.0在2019年12月1日正式實施。

網(wǎng)絡(luò)安全等級保護為信息系統(tǒng)、云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等定級對象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù)，幫助用戶提高定級對象的安全防護能力。此外，《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實施網(wǎng)絡(luò)安全等級保護制度”。

：各大部委、各省級、各地市級、各事業(yè)單位等；

金融行業(yè)：金融監(jiān)管機構(gòu)、各大銀行、證券、保險公司等；

電信行業(yè)：各大電信運營商、各省電信公司、各地市電信公司、各類電信服務(wù)商等；

能源行業(yè)：電力公司、石油公司、煙草公司；

企業(yè)單位：大中型企業(yè)、央企、上市公司等；

其它有信息系統(tǒng)定級需求的行業(yè)與單位。

級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。

第二級，信息系統(tǒng)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導(dǎo)。

第三級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重損害，或者對國家安全造成損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查。

第四級，信息系統(tǒng)受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重損害，或者對國家安全造成嚴(yán)重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督、檢查。

第五級，信息系統(tǒng)受到破壞后，會對國家安全造成特別嚴(yán)重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查。

網(wǎng)絡(luò)安全等級保護工作包括定級、備案、安全建設(shè)、等級測評、監(jiān)督檢查。

評測機構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)、平臺或基礎(chǔ)信息網(wǎng)絡(luò)等定級對象安全等級保護狀況進行檢測評估的活動。

主要涉及以下兩方面內(nèi)容：

技術(shù)層面：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心。

管理層面：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。

前面我們一起了解了等保2.0，那么如何把里面條款轉(zhuǎn)化為我們所需要的需求和方案呢？本節(jié)就是基于身份安全管理，解讀等保2.0的部分規(guī)定。

綜合以上關(guān)于身份管理的部分條款解讀，我們已經(jīng)可以分析出需要的內(nèi)容：

1、需要實現(xiàn)身份的集中化管理

2、需要實現(xiàn)高強度認證和多因素認證

3、需要嚴(yán)格進行權(quán)限控制

4、需要進行安全審計

身份管理平臺功能

當(dāng)我們通過等保2.0的解讀之后，了解到身份管理平臺，那么實現(xiàn)的步驟是什么樣的呢？有沒有具體的關(guān)注點呢？

推進步驟：

一、咨詢梳理

* 梳理身份數(shù)據(jù)

將用戶的所有系統(tǒng)身份全部統(tǒng)一存儲，建立身份數(shù)據(jù)源，統(tǒng)一規(guī)范

* 梳理管控流程

控制所有應(yīng)用系統(tǒng)的賬號，應(yīng)用訪問流程，建立RBAC，建立PBAC，自動化，流程化權(quán)限管控過程

* 梳理技術(shù)標(biāo)準(zhǔn)

建立登錄認證標(biāo)準(zhǔn)、賬號管理標(biāo)準(zhǔn)，權(quán)限分配和訪問控制標(biāo)準(zhǔn)、以及安全審計標(biāo)準(zhǔn)等方面安全技術(shù)標(biāo)準(zhǔn)

二、平臺搭建

* 尋找安全性高、符合等保要求的身份管理平臺

* 搭建系統(tǒng)，完成認證、、審計的平臺

* 實施標(biāo)準(zhǔn)、流程和規(guī)范

三、集成階段

* 分批應(yīng)用接入

* 按批次上線

四、持續(xù)優(yōu)化

* 發(fā)揮安全、效率

* 提升用戶體驗

* 發(fā)掘客戶價值

核心關(guān)注點（部分）

1、平臺安全性設(shè)計

由于身份管理平臺是系統(tǒng)的大門入口，那么該平臺本身的安全性設(shè)計就顯得特別重要，我們在選擇平臺時就需要考慮其安全性設(shè)計：

? 數(shù)據(jù)加密：支持多種加密算法SHA256/512、AES256、MD5、國密算法SM2等……加密字段設(shè)置，可任一字段屬性進行加密存儲；

? 數(shù)據(jù)庫防拖庫/撞庫設(shè)計：數(shù)據(jù)庫集群架構(gòu)，實現(xiàn)分庫分表存儲機制，敏感數(shù)據(jù)加密存儲，防泄漏；

? 身份票據(jù)傳遞加密：基于SSL安全鏈接傳輸tickets，基于OAuth code加密，code為一次性，防止仿冒；

······

2、智能風(fēng)險認證

我們按照等保要求需要對系統(tǒng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

但是這樣會給用戶系統(tǒng)登錄帶來極大的繁瑣，反而不利于我們系統(tǒng)的推廣，為了給用戶帶來更好體驗的同時增強安全性，我們可以采用智能風(fēng)險因子認證：利用大數(shù)據(jù)技術(shù)和AI算法，以身份數(shù)據(jù)為基礎(chǔ)，結(jié)合用戶行為分析、訪問途徑上下文、設(shè)備指紋/FaceID建立風(fēng)險引擎，引入風(fēng)險模型算法，根據(jù)用戶訪問習(xí)慣、特征判別風(fēng)險等級，智能化身份識別驗證。

3、風(fēng)險審計

在集中安全審計的過程中，審計不僅僅是為了做時候的查詢，更多的時候可以幫我們對于危險訪問行為進行預(yù)警。

基于用戶的訪問習(xí)慣，結(jié)合大數(shù)據(jù)技術(shù)，在脫離了常用的安全環(huán)境和安全訪問習(xí)慣后，將采用風(fēng)險審計，給予管理員、本人、高級別的進行提醒，方便采取措施。同時，后期的集中風(fēng)險審計，更有助于分析企業(yè)內(nèi)部的不安全因素，做到提前預(yù)防。