大家好，我是戴立偉。今天我的演講題目是《連接·智能·安全，以IAM來(lái)構(gòu)筑我們智慧企業(yè)數(shù)字化轉(zhuǎn)型的新動(dòng)能》。

現(xiàn)在，各行各業(yè)都在推行整個(gè)數(shù)字化轉(zhuǎn)型，但是到底什么是數(shù)字化轉(zhuǎn)型，本身是見(jiàn)仁見(jiàn)智的。我的理解是：數(shù)字化轉(zhuǎn)型針對(duì)業(yè)務(wù)部門(mén)提出的固定的需求實(shí)現(xiàn)，早期的時(shí)候我們稱(chēng)之為信息化。數(shù)字化階段我們產(chǎn)生的需求可能來(lái)自于市場(chǎng)，當(dāng)我們需要考慮是否能夠快速地通過(guò)數(shù)字化手段滿足市場(chǎng)上的業(yè)務(wù)需求，這個(gè)時(shí)候我們就要做數(shù)字化，這是大的數(shù)字化轉(zhuǎn)型的背景和思路。

數(shù)字化轉(zhuǎn)型過(guò)程當(dāng)中有很多問(wèn)題，這個(gè)問(wèn)題我們這里不提的太廣泛了，我們提一下身份安全的問(wèn)題。第一，比如我們看到的一些權(quán)限被別人圍攻獲取了，造成大量各種各樣信息的泄露，其實(shí)主要問(wèn)題不是被黑客攻擊，而是我們沒(méi)有強(qiáng)大的權(quán)限管理能力。第二，比如一個(gè)人已經(jīng)從公司離職了，這個(gè)人依然可以拿走公司的很多信息，我們可以設(shè)置更多的防火墻，但它們除了防病毒沒(méi)有更多價(jià)值。第三，IoT無(wú)法幸免，黑客可以通過(guò)弱病碼直接造成攻擊。

以前的安全更多關(guān)注邊界安全，通過(guò)網(wǎng)絡(luò)邊界和防火墻構(gòu)建護(hù)城河，護(hù)城河內(nèi)部是安全的，但是現(xiàn)在我們看到很多資產(chǎn)在不同網(wǎng)絡(luò)設(shè)備，不同人員都可以進(jìn)行訪問(wèn)，這個(gè)墻上已經(jīng)有很多很多的漏洞了。現(xiàn)在看一個(gè)人是否有權(quán)限訪問(wèn)信息資產(chǎn)，最核心的東西就是“身份”，身份越來(lái)越重要。在5G時(shí)代之下，身份更加重要，因?yàn)槲覀兊挠|點(diǎn)越來(lái)越多。

當(dāng)今時(shí)代，我們有一個(gè)手機(jī)、電腦，在5G時(shí)代下可能是汽車(chē)，還有可能汽車(chē)和汽車(chē)之間都會(huì)發(fā)生聯(lián)動(dòng)。每個(gè)觸點(diǎn)之間我們要確定雙方的身份安全的特性，任何一個(gè)地方出了問(wèn)題都會(huì)導(dǎo)致周期性的財(cái)產(chǎn)和人身安全隱患，這個(gè)時(shí)候必然需要一個(gè)核心、智能的數(shù)據(jù)中心把所有的身份數(shù)據(jù)統(tǒng)一、安全地管控起來(lái)。

IAM怎么解決這個(gè)問(wèn)題？它是一個(gè)可有效控制人或物等不同類(lèi)型用戶(hù)訪問(wèn)行為和權(quán)限的管理系統(tǒng)。IAM能做什么？IAM能實(shí)現(xiàn)事前預(yù)警、事中控制、事后審計(jì)的全閉環(huán)流程管理。舉個(gè)例子，一個(gè)大型企業(yè)突然發(fā)生一起事件，發(fā)現(xiàn)有個(gè)人登錄公司系統(tǒng)，通過(guò)公司郵件賬戶(hù)往外發(fā)了一萬(wàn)多份郵件。這個(gè)郵件賬戶(hù)已經(jīng)被盜了，后來(lái)追溯的時(shí)候發(fā)現(xiàn)它是從新加坡登錄的，但這個(gè)賬戶(hù)從來(lái)沒(méi)有在新加坡登錄過(guò)，如果我們能夠提前發(fā)現(xiàn)這樣一些問(wèn)題，就能夠識(shí)別出來(lái)賬戶(hù)已經(jīng)被盜用了，這個(gè)就是我們要做的事前預(yù)警。

那如果在事中控制的過(guò)程中發(fā)現(xiàn)有問(wèn)題怎么辦？其實(shí)有風(fēng)險(xiǎn)之后我們可以通過(guò)調(diào)動(dòng)設(shè)備自動(dòng)化發(fā)現(xiàn)風(fēng)險(xiǎn)。講到這兒，我們到底能做什么？事實(shí)上我們可以通過(guò)IAM來(lái)解決問(wèn)題。什么是IAM？簡(jiǎn)單來(lái)講它是身份云，通過(guò)2E、2C、2IoT的方式實(shí)現(xiàn)一點(diǎn)合規(guī)的過(guò)程。我們?cè)诘禺a(chǎn)、制造行業(yè)，通過(guò)IAM已經(jīng)賦能到每一個(gè)消費(fèi)者客戶(hù)。

這是整體架構(gòu)圖。簡(jiǎn)單解釋一下，大家以前關(guān)注更多的是單點(diǎn)登錄，但其實(shí)所有這些最重要的基礎(chǔ)是身份，只有身份統(tǒng)一了，我們才能實(shí)現(xiàn)上述這些能力的落地。當(dāng)然，這個(gè)賬戶(hù)不是隨便由別人開(kāi)通的，而是基于安全認(rèn)證通過(guò)后才可以開(kāi)通。還有我們的風(fēng)控管控，以前獨(dú)立建設(shè)的用戶(hù)賬戶(hù)決策權(quán)限，風(fēng)險(xiǎn)防范控制，現(xiàn)在不用一一建設(shè)了，只需一點(diǎn)建設(shè)，大家都可以通過(guò)連接的方式直接使用。未來(lái)真正的身份不僅僅是連接線上信息化系統(tǒng)，還會(huì)包括線下的，門(mén)禁、wifi、食堂的飯卡等等背后的身份校驗(yàn)，實(shí)現(xiàn)全面的建設(shè)、全面的聯(lián)通、全面的合規(guī)。

我們?cè)倏匆幌略趺磳?shí)現(xiàn)混合云的建設(shè)。比如我們?cè)谝粋€(gè)地產(chǎn)公司，這個(gè)公司希望能夠把所有的內(nèi)部人員使用的信息化系統(tǒng)統(tǒng)一管理，這些包括內(nèi)部自建的和云端建設(shè)的，還有它的C端用戶(hù)進(jìn)入商業(yè)地產(chǎn)之后的信息系統(tǒng)全部統(tǒng)一納管進(jìn)來(lái)，通過(guò)混合云的方式來(lái)實(shí)現(xiàn)。而對(duì)于公有云建設(shè)，因?yàn)楣性朴泻芏?a >SaaS用戶(hù)，通過(guò)城堡云橋的方式打通，大家可以看到，office365是有密碼，如果我們密碼存在云端不夠足夠安全，通過(guò)云橋的方式可以把它由云端轉(zhuǎn)到企業(yè)內(nèi)部，這樣所有的密碼不需要落在云端只在企業(yè)內(nèi)部就可以，相對(duì)較安全。

另外，企業(yè)內(nèi)部接了這么多的系統(tǒng)，我們可以一次性全部都拉到釘釘、企微、騰訊企業(yè)郵。以前需要我們?cè)贫说馁~戶(hù)，現(xiàn)在我們登錄的時(shí)候，使用釘釘掃碼，所有做的登錄都在企業(yè)內(nèi)部。國(guó)外一些產(chǎn)品體系也完全可以使用自己內(nèi)部的賬戶(hù)體系完成登錄和建設(shè)。我們還可以通過(guò)連接配置，實(shí)現(xiàn)用騰訊的企業(yè)微信一鍵化的訪問(wèn)到阿里云、華為云的內(nèi)容。

通過(guò)企業(yè)端APP端就可以達(dá)成上述目標(biāo)，為什么能夠做到這一點(diǎn)?因?yàn)槲覀冇泻軓?qiáng)的統(tǒng)計(jì)數(shù)據(jù)中心，我們關(guān)注的內(nèi)部系統(tǒng)，到了外網(wǎng)、社交、內(nèi)部系統(tǒng)、安防系統(tǒng)、線下企業(yè)、聯(lián)邦互信等等統(tǒng)一完成。我們不僅會(huì)檢查用戶(hù)密碼，對(duì)訪問(wèn)時(shí)間、訪問(wèn)地點(diǎn)、訪問(wèn)設(shè)備等都會(huì)進(jìn)行檢測(cè)。比如我們?cè)谶@個(gè)設(shè)備上登錄，我們會(huì)發(fā)現(xiàn)這個(gè)賬戶(hù)已經(jīng)被被盜了，我們會(huì)發(fā)現(xiàn)突然通過(guò)這個(gè)IP地址來(lái)訪問(wèn)很多賬戶(hù)，并試圖登錄，這些都可以被發(fā)現(xiàn)，大家可以看到這里面各種各樣的監(jiān)測(cè)，包括對(duì)環(huán)境、設(shè)備、時(shí)間、行為等都可以做到實(shí)時(shí)監(jiān)測(cè)。

我們看一下對(duì)應(yīng)的場(chǎng)景，當(dāng)我發(fā)現(xiàn)風(fēng)險(xiǎn)怎么辦？這個(gè)特別有意思，以前我們發(fā)現(xiàn)風(fēng)險(xiǎn)的時(shí)候更多是希望我們通知出去，現(xiàn)在我們更多希望通過(guò)自動(dòng)化的事前校驗(yàn)，關(guān)閉風(fēng)險(xiǎn)，提高執(zhí)行度。這里面特別有意思的東西就是對(duì)應(yīng)一個(gè)框架，這個(gè)框架已經(jīng)有人臉、指紋等認(rèn)證方式，比如進(jìn)入門(mén)禁的時(shí)候人臉識(shí)別要達(dá)到95%，而取錢(qián)的時(shí)候要達(dá)到99%。在不同場(chǎng)景之下，風(fēng)險(xiǎn)發(fā)現(xiàn)也是不相同的，所有的應(yīng)用只需要對(duì)接一次，并且我們實(shí)現(xiàn)的是一個(gè)全面的多端認(rèn)證。

我們所有的節(jié)點(diǎn)都是用手機(jī)端來(lái)完成，當(dāng)然也可以進(jìn)入到Web端。包括我們登錄各種VPN的時(shí)候，現(xiàn)在越來(lái)越多的金融和政企單位客戶(hù)，都可以通過(guò)直接加上OTP的方式通過(guò)web端完成登錄。當(dāng)然，我們也可以實(shí)現(xiàn)跨瀏覽器登錄。有些時(shí)候我們做信息建設(shè)時(shí)有些人會(huì)圍觀，有圍觀的話會(huì)自動(dòng)鎖屏。離席的時(shí)候，如果我們忘記鎖屏，系統(tǒng)會(huì)自動(dòng)把屏幕關(guān)掉。這是我們跟華為做的關(guān)鍵場(chǎng)景和應(yīng)用，這些特別適合在一些信息特別敏感的系統(tǒng)內(nèi)進(jìn)行使用。

還有領(lǐng)導(dǎo)數(shù)字駕駛艙的功能，包括風(fēng)險(xiǎn)顯示、登錄次數(shù)等等信息都可以看得到，今天時(shí)間有限我不詳細(xì)講了?，F(xiàn)在網(wǎng)絡(luò)安全當(dāng)中，最先進(jìn)的就是“零信任”，一開(kāi)始不信任一切，從完成由0開(kāi)始的校驗(yàn)之后再啟動(dòng)信任。這其中有一個(gè)核心思路，舉一個(gè)例子，它強(qiáng)調(diào)是以身份為核心，動(dòng)態(tài)的訪問(wèn)控制和權(quán)限的自動(dòng)化的賦予。比如說(shuō)這棟大樓里面有人通過(guò)wifi登錄到我的系統(tǒng)，拿著我的手機(jī)出了大樓，這個(gè)時(shí)候網(wǎng)絡(luò)變成4G，那么我的權(quán)限會(huì)自動(dòng)從20個(gè)變成18個(gè)。等我們拿著手機(jī)接到餐館的wifi，權(quán)限又會(huì)自動(dòng)從18個(gè)變成5個(gè)。“零信任”就是完成一次交易核驗(yàn)，但是隨著環(huán)境的不同，權(quán)限會(huì)自動(dòng)化的授予，所以“零信任”會(huì)對(duì)應(yīng)到應(yīng)用安全和權(quán)限安全，這也是我們和碧桂園等客戶(hù)完成實(shí)驗(yàn)室的結(jié)合。

最后花一分鐘時(shí)間介紹一下竹云。我們總部在深圳，在青島有數(shù)字身份國(guó)際研究院，在全國(guó)各地設(shè)有分支機(jī)構(gòu)，目前國(guó)家發(fā)改委、國(guó)資委、國(guó)家信息中心、國(guó)家藥品監(jiān)督管理局、中海油、中國(guó)中鐵、上藥、上港、東方航空、友邦等都是我們的客戶(hù)，同時(shí)榮獲金灣獎(jiǎng)暨2019粵港澳大灣區(qū)十大卓越創(chuàng)新力企業(yè)獎(jiǎng)、中央企業(yè)網(wǎng)絡(luò)安全與工業(yè)互聯(lián)網(wǎng)十佳解決方案第一名、金融科技安全以及全球身份管理創(chuàng)新服務(wù)等行業(yè)重要獎(jiǎng)項(xiàng)。