数字化进程推进加速，数据已经成为企业最重要的资产。越来越多的企业引入IAM来加强数据安全，确保数据在生产、存储、使用过程中的身份安全。IAM（Identity and Access Management，身份与访问管理）主要用于管理和控制用户对资源的访问，确保企业内部系统中授权人员才能访问相关数据。一方面，IAM系统可以加强企业的数据安全管理，提高信息安全水平；另一方面，IAM系统自身作为一个信息系统也面临着多种数据安全的威胁。这些威胁可能来自内部、外部或系统本身的设计缺陷。

一、IAM作为信息系统面临的安全威胁

1、内部威胁

1.权限滥用：

• 内部员工或特权用户可能滥用其访问权限，对数据进行非法访问、篡改或删除。
• 这种滥用可能出于个人目的、恶意破坏或满足某些不正当的利益需求。

2.内部欺诈：

• 员工可能利用IAM系统的漏洞或缺陷，进行身份伪造或冒充，以获取不应有的权限和数据。
• 内部欺诈行为可能导致数据泄露、财产损失或声誉损害。

2、外部威胁

1.网络攻击：

• 攻击者可能利用恶意软件、钓鱼攻击、社会工程学等手段，获取IAM系统的访问权限。
• 一旦攻击者成功入侵IAM系统，他们就可以窃取、篡改或删除敏感数据。

2.身份盗用：

• 攻击者可能通过破解密码、伪造凭证等手段，冒充合法用户访问IAM系统。
• 身份盗用可能导致数据泄露、业务中断或欺诈行为。

3.供应链攻击：

• IAM系统可能依赖于第三方软件、硬件或服务，这些供应链组件可能存在漏洞或恶意代码。
• 攻击者可能利用这些漏洞或恶意代码，对IAM系统进行攻击或渗透。

3、系统本身的设计缺陷

1.配置错误：

• IAM系统的配置可能存在错误，如权限设置不当、访问控制策略不合理等。
• 这些配置错误可能导致未授权访问、数据泄露或业务中断。

2.系统漏洞：

• IAM系统的软件或硬件可能存在漏洞，如缓冲区溢出、SQL注入等。
• 这些漏洞可能被攻击者利用，对系统进行攻击或渗透。

3.身份认证机制缺陷：

• IAM系统的身份认证机制可能存在缺陷，如密码策略不严格、多因素认证未启用等。
• 这些缺陷可能导致攻击者能够轻松破解密码或绕过认证机制。

4、IAM孤岛现象

IAM孤岛指的是组织内存在多个相互独立、不兼容的IAM系统，导致无法实现统一的身份认证、授权和管理。IAM孤岛现象可能带来以下数据安全威胁：

1. 数据泄露风险增加：身份信息不一致和权限管理混乱，可能导致敏感数据被未授权人员访问，造成数据泄露。
2. 系统入侵风险加剧：攻击者可利用身份管理的裂缝，从一个系统侵入，进而横向扩展至整个网络。
3. 业务连续性受威胁：用户身份管理的混乱可能导致合法用户访问受阻，影响业务运行的稳定性。

5、非人类身份（NHI）管理问题

IAM系统通常需要管理非人类身份（如服务账户、系统账户、IAM角色等），这些身份同样需要凭据进行访问和权限管理。然而，NHI的管理可能带来以下数据安全威胁：

1. 凭据泄露：NHI的凭据（如API密钥、令牌、证书等）可能被泄露，导致攻击者能够利用这些凭据访问敏感数据或执行恶意操作。
2. 访问控制不当：NHI的访问控制策略可能设置不当，导致未授权访问或过度权限分配。
3. 生命周期管理不善：NHI的生命周期管理可能存在问题，如凭据过期未更新、废弃账户未及时删除等，这些都可能带来安全风险。

二、常见的威胁应对措施

为了应对IAM系统面临的数据安全威胁，企业可以采取以下措施：

1. 加强身份认证机制：采用多因素认证、生物特征认证等先进技术，提高身份认证的安全性。
2. 优化访问控制策略：根据业务需求和安全要求，合理设置权限和访问控制策略。
3. 定期审计和监控：定期对IAM系统进行审计和监控，发现潜在的安全风险和漏洞。
4. 加强员工培训和意识提升：提高员工对数据安全的认识和重视程度，培训他们如何正确使用IAM系统并遵守相关安全规定。
5. 整合IAM系统：消除IAM孤岛现象，实现统一的身份认证、授权和管理。
6. 加强NHI管理：建立完善的NHI管理机制，包括凭据管理、访问控制和生命周期管理等。

三、安当ASP身份认证平台有哪些安全实践

安当ASP（Authentication Service Platform）身份认证服务系统为企业用户提供集中式的身份、权限、应用管理服务，产品支持云部署或者本地私有化部署。主要功能包括MFA多因素身份认证、SSO单点登录、统一目录、账号全生命周期管理和安全审计。

安当ASP就是一个典型的IAM身份与访问管理的系统。ASP系统通常以私有化部署方式运行在客户环境中，客户也可以使用安当提供的SaaS服务。主要的能力如下图：

安当ASP是如何应对前面章节提到的IAM数据安全问题的呢？

1、对于内部和外部威胁：

• 要结合部署环境中的防护措施和管理措施一起进行。
• 对于人员权限类问题，ASP系统通过完善的多租户管理能力和完善的用户分权管理机制以及配套的日志审计能力来防止内部员工越权获取用户数据。

2、对于数据孤岛和NHI管理：

• ASP通过广泛兼容的接口协议、灵活的数据源对接企业原有内部系统的身份。
• 通过密钥管理器对接部分老旧的业务系统
• 通过Radius协议支持以及Exchange对接网络设备和邮件系统中的身份。

3、对于系统本身设计的安全：

• 配置类信息（数据库、身份源、用户托管密码等）的加密存储（支持对接安当KSP密钥管理平台实现凭据托管。
• 系统内用户数据（用户证书、用户邮箱、手机、公司信息等）加密存储（支持对接安当KSP实现加密密钥托管）。
• 日志防篡改能力（完整性校验）。

根据前面的讲述安当的ASP身份认证系统，不仅能提高企业信息安全管理水平，ASP自身的数据安全也有完善的防护设计。安当的ASP身份认证平台+KSP密钥管理平台+HSM硬件加密机，能够组合为企业提供全面的数据安全方案。安当将持续探索身份认证方面的前沿技术，并在未来产品演进中加入更多匹配客户安全需求的功能。

文章作者：五台 ©本文章解释权归安当西安研发中心所有