身份认证和访问管理贯穿整个项目周期

　　——安讯奔为企业信息安全保驾护航

　　随着“互联网+”的影响逐渐深入，以及《网络安全法》草案的公布，信息化的“自主可控、安全可信”已经上升为国家战略。信息安全迎来了新一轮的爆发式发展。

　　北京安讯奔科技有限责任公司（简称安讯奔）是优秀的信息安全解决方案提供商，专注于为全球金融机构、政府部门和高安全敏感环境提供统一身份认证、特权与访问管理解决方案，凭借自主研发的核心技术，为广大用户的信息安全建设保驾护航。

　　解决方案简介

　　安讯奔自主研发的AccessMatrix统一身份认证和访问控制平台（简称AM平台）是一套整合的企业级安全解决方案，让用户能够有效地部署委托授权管理、细粒度权限管理、统一认证、统一单点登录和安全凭证管理服务，并提供可配置的访问控制、身份认证和审计策略，以满足用户对应用程序和终端设备的最严格的信息安全管理要求，实现贯穿整个企业的信息安全策略。

　　AM平台是一个通用的开放平台，集中了不同的功能模块，构建基于账户（Account）管理、认证（Authentication）管理、授权（Authorization）管理和安全审计（Audit）的4A整体安全管理解决方案。

　　通用身份管理系统（UIM）是一套业务驱动型的身份和权限管理、自动化资源调配解决方案，可以帮助企业提升合规化建设和IT治理的水平，以最低的维护成本匹配业务的快速变化。它基于业务模型，可以灵活驱动管理，实现对员工电子身份生命周期的全自动化管理，实现员工访问公司各种IT资源和系统的流程化自动管控。UIM具备众多技术优势：采用业务驱动型策略方法，基于用户组织、岗位、职责等设计相应的业务角色，来管理公司的IT资源和使用权限；支持IT系统自动适配员工入离职、调岗等变化，同时自动灵活地适配组织重组、合并、拆分、收购等业务变化。

　　通用认证管理系统（UAS），使用身份认证工作流，集成多种身份认证方法和机制，简化集成和部署工作，满足多种强身份认证和授权的要求，帮助企业强化认证安全，提高认证效率；它具备双因素认证功能（E2FA），可以满足企业更高级别的强认证需求；采用面向未来的插入式认证模块技术（PAM），便于集成生物识别等各种新的认证方式；它具备带外数据（OOB）一次性密码（OTP）模块，无需同步用户信息即可简单快速地集成现有应用程序；提供丰富的应用程序接口，可以便捷地集成SDK、SOAP、JAVA、.net等各种应用程序；支持SMS、E-mail、IVR等多重交付机制；支持灵活的OTP策略，可适应不同的定制化需求。

　　端到端加密（E2EE）是一项对身份认证过程中的凭证和数据进行更安全保护的加密技术，它进一步强化了认证信息安全，使企业敏感信息的安全防护无懈可击。E2EE的原理是：在客户端的访问设备和硬件安全模块（HSM）之间建立一个安全通道，密码在客户端被加密之后，仅在HSM验证PIN信息时进行解密，加密过程和PIN验证只会发生在HSM设备的安全防篡改保护的环境里，从而确保认证信息在整个系统中是一直处于加密状态。

　　通用登录管理系统（USO）是一个非嵌入式的单点登录解决方案，可以整合不同的登录机制，在多个应用之间制定统一的密码管理流程，使得客户只要一键登录即可无缝访问众多C/S系统和B/S系统；可以集成到现有IT框架中，利用现有的认证方法和用户注册表，无需对应用系统源代码做任何改变，即可实现单点登录。

　　通用访问控制管理（UAM）是一套综合的Web单点登录、Web访问控制管理、联邦单点登录（USSO）、外部授权管理和分层授权管理系统；提供一套可以支持Web服务、Java和.NET的完整的API，使得开发人员可以高效地开发有关安全管理、认证、授权和审计服务，大大降低集成的工作量；具备可扩展的插入式认证模块；提供防篡改审计跟踪日志；通过Web管理控制台定义授权和管理范围。

　　通用凭证管理系统（UCM）是新一代特权账户管理解决方案，集成了无代理连接器、录像记录和单点登录等功能模块，提供由HSM设备进行强加密的虚拟保险箱（带ID和密码特权账户）来存储信息；采用基于Web的特权账户管理解决方案与多层次审批流程机制，让用户可以严格管理特权共享账号和密码的使用。

　　堡垒机组件（PSM Gateway配合UCM使用）是为企业提供操作记录和审计的工具，可避免有意或无意的错误操作（如删除文件或修改数据库的硬盘格式化等）所带来的严重后果；在系统管理员、操作员和数据库管理员之间采用问责制；记录所有的鼠标和键盘操作，并提供基于会话的完整审计文件。

　　YESsafe移动设备安全平台是安讯奔面向移动终端市场的信息安全需求设计研发的统一管理平台，包含YESsafe Token和YESsafe ID两个主要模块，其中YESsafe Token是新一代手机令牌，基于一次性密码和数字证书技术，可实现强认证和交易授权等功能，提供交易验证、不可抵赖和数据完整姓保护；YESsafe ID借助端到端的虚拟身份卡管理和验证系统，提供移动终端上的统一访问门户，为用户提供安全便捷的移动终端单点登录工具。

　　安讯奔的AM平台为企业敏感信息提供全方位、深层次的安全保护，帮助企业不断完善信息化建设，最大限度地提高IT管理效率、节约IT维护和支持成本。安讯奔拥有独立自主的知识产权，可满足国家政策和监管的要求，以及不断发展变化的用户需求。

　　典型案例和用户反馈

　　以国内某城商行为例（某省第一家具有法人资格的股份制商业银行，员工人数超过3000人，营业网点近100家），该行自2013年开始采用安讯奔AM解决方案，由内部的员工统一身份认证和授权管理扩展到外部用户的“一户通”项目。

　　在与该行的长期合作过程中，安讯奔了解到该行具有以下业务需求：对现有的10个业务系统进行改造，对一个用户可登录多个业务的渠道进行整合；实现用户信息共享；统一用户管理，减少管理员维护工作量；使用银行统一的密码加密控件；提供认证给第三应用；符合行业法规和监管规定（HIPAA、SOX、ISO27001、巴塞尔协议等）。

　　基于对该行需求的深入了解，安讯奔为其设计了电子渠道整合（一户通）解决方案。首先，采用通用认证（UAS），使“一户通”用户绑定该行各个业务系统，并依据目前运维的流程，在原应用系统的源代码下增加SAML认证配置。其次，使用OAuth作为移动端单点登录（USO）接入规范，绑定与业务相关的调用，实现账户聚合，“一户通”用户只需记住一个用户名和密码，就可以在多个业务系统进行单点登录。最后，将统一授权和审计（UCM）在全行推广，实现对全行的服务器、网络设备和数据库的特权账号进行规范有序管理和审计。

　　安讯奔的安全整合方案贯穿整个项目生命周期，帮助该行快速、安全地整合了各种电子渠道，满足了该行的业务需求，增加了至少两倍的客户访问量，减少50%以上的客户流失，增强了客户黏性。安讯奔的AM平台解决方案得到了该行的高度认可。

　　自成立至今，安讯奔始终坚持以用户需求为导向，以专注的态度和专业的技术能力为立足点，以持续创新的精神为发展动力。安讯奔的AM平台解决方案不仅在众多银行得到广泛应用，而且在保险、制造、交通运输、媒体、医疗等诸多领域也积累了众多成功案例。

关注读览天下微信， 100万篇深度好文， 等你来看……