【IT168 评论】临近岁末，很多企业和相关机构都对2018年的安全趋势进行了相关解读预测，大家公认在新的一年里，AI安全、区块链安全、IOT安全都将成为2018年网络安全领域的热门话题。但无论安全趋势如何发展，我们都不能否认一个既定事实，那就是人的因素依旧是我们在信息安全最薄弱的环节。

　　亚信安全曾对2015年-2016年的两个年度报告进行了简单分析，通过分析发现：2015年的报告指出95%的安全事件都可以追溯到身份访问凭据被盗，身份访问凭据很简单。2016年也指出在2000多起的数据泄露事件的分析过程中，可以确定63%都涉及到弱口令、默认口令或被盗口令有关系。由此可见，身份安全问题已经成为网络安全的主要“拦路虎”之一。

▲亚信安全网络安全事业部副总经理兼安全产品中心总经理 吴冬

　　正如亚信安全网络安全事业部副总经理，兼安全产品中心总经理吴冬所讲：“在围绕以数据安全为核心的安全管理架构中，人的因素是其中最薄弱的一环。在2017年上半年，全球就有19亿条记录被泄或被盗，比2016年全年总量（14亿）还多，而这一趋势伴随着人类的本性弱点而存在，将会愈演愈烈。在企业数字化转型的过程中，攻击者将利用这块短板，窃取和冒用合法用户的身份，盗取机密数据。同时，由于缺少严密的身份安全管理手段，不法分子控制的物联网设备会引发更大规模的攻击，甚至会直接造成用户群体的生命危险。”

　　两个案例：从雅虎数据库泄露到乌克兰电站事件

　　相信大家对雅虎数据库泄漏事件和乌克兰电站瘫痪事件都不会陌生。很多人不禁要问了，这两件事和身份安全有什么关系？接下来就来听听吴冬的分析：在雅虎数据库数据泄密事件中，黑客向雅虎的员工发送了钓鱼的邮件，员工打开邮件后木马程序留了一个后门，通过后门黑客在他的网络里寻找并扩展，最后找到了关键服务器的访问凭据，并通过关键服务器的访问凭据进入到雅虎的核心数据库从而窃取了用户的隐私信息。

　　无独有偶，两次乌克兰电站事件中，黑客也是向乌克兰电站工作人员发送了钓鱼邮件从而植入木马下载了后门程序，通过该后门黑客通过键盘记录、邮件的嗅探、域控制器服务器存的用户名、密码，等方式找到访问核心控制服务器的地址并登录，从而获得密码并登录到核心服务器，最后将核心服务器做了格式化，导致电站瘫痪。

　　从这两个事件可以看出，黑客都是通过不同的手段获取到了关键服务器的关键的身份信息，并登录到服务器造成危害，也就是说无论黑客通过怎样的方式进行攻击，其最后都是通过身份信息认证入侵到了客户的服务器中，所以说身份安全是整个安全防卫体系的最后一道墙也不为过！

　　重锤出击 亚信安全为身份安全保驾护航

　　为了保障身份安全，亚信安全也有着自身成熟的解决方案。亚信安全认为，所谓身份安全，就是要确保正确的人能够在正确的时间和正确的原因下正确访问正确的资源。而其实现的非常好的途径非“4A”莫属，通过对IT系统的账号（Account）、认证（Authentication）、授权（Authorization）和审计（Audit）进行统一集中管理，4A解决了“When”、“Where”、“What”、“Who”、 “How”这样的问题，也就是说谁能够在什么时候获得怎样的授权来使用某一个应用或设备，如何去使用这样的应用或设备， 以及知道谁在什么时候访问了某些应用或设备等，确保合法用户安全方便使用特定资源。

　　作为身份安全领域的垂直子集，亚信安全的企业内部身份安全管理（4A）产品不仅多年保持着国内市场占有率第一的位置，在公安，金融，教育，政府等关键行业都具有较大影响力，更在运营商行业，已享有22个移动省份，23个电信省份，8个联通省份的部署。而从横向的整体实力来看，亚信安全是目前国内耕耘时间最长、规模最大的身份安全厂商。亚信安全通过二十年的产品创新和技术积累，不仅技术能力已实现1000余种设备和应用的身份安全管控，其产品功能也覆盖到了身份管理、访问管理、高级认证、身份威胁分析、特权账号管理、堡垒机、互联网接入认证、网站统一认证等方方面面。

▲亚信安全业务安全产品部总监  张辉

　　在研讨会分享中，亚信安全也向我们简单介绍了其身份安全产品的以下几个主要特点：

　　●产品线最全，亚信安全身份安全产品线覆盖了互联网的基础接入、企业内部的身份内控、电子商务身份认证等各个领域。

　　●电信级身份安全产品，亚信安全的客户对象一直以运营商为主，无论是用户量还是设备的数量都非常高，在服务于客户的过程中，使得亚信安全的身份安全产品具备了高性能、高可用、高扩展等特点。

　　●产品功能特性完备，亚信安全的身份安全产品目前已经能够支持一千余种设备和应用的身份安全管控能力。

　　●拥有安全自主知识产权，亚信安全的4A曾被工信部授予计算机信息系统集成典型解决方案称号。

　　●亚信安全作为身份安全提供商，不单单提供了产品，实际上亚信安全为用户提供了整体的解决方案，包括从为用户提供身份安全建设的相关咨询，到提供产品，以及到产品交付及运营，亚信安全提供了身份安全端到端的解决方案。

　　●经过将近20年的发展，亚信安全在身份安全领域一直做持续的探索，包括如何做好物联网的身份安全，如何将身份安全与防欺诈相结合，如何进行用户行为分析，以及如何进行物联网实体的行为分析等方面，亚信安全均有相关探索创新。

　　物联网时代的身份安全蓝图

　　随着技术的不断演进，我们即将进入万物互联时代，吴冬认为在物联网的时代，身份的管理将变得更加复杂，信息安全管理也是复杂的问题。为此吴冬提出了物联网时代的身份安全蓝图，他认为未来的身份安全要满足以下几点需求：

　　首先从底层来看身份安全可以跨平台部署和运营，既要能够在内部部署，也可以在公有云、私有云上进行部署；第二要有海量的性能扩展性，我们现在不只有人，还有物。因为它是面向复杂关系的数据存储，所以原来传统的做身份管理要带有目录的方式，已经不能适应新的身份安全的要求；第三要面向人、设备、物进行统一的智能化的身份管控；最后吴冬认为，对于真正智能化的方面，需要进行协议的转换，从而为用户提供友好一致的使用体验。

　　吴冬表示：“在万物互联的场景下，安全威胁因素更加多样，特别是要确保低功耗、低成本、大规模、多样化的物联网设备具有可信的身份。针对物联网时代新问题，亚信安全再次踏出了关键的一步，联合更广泛的合作伙伴解决身份安全架构的一致性问题，为用户提供从咨询、产品、交付到运营的端到端服务。同时，亚信安全将会继续引领国内身份安全的技术发展，确保身份安全管理能够支持多样化、碎片化的物联网系统，携手用户在物联网身份安全、身份信用与防欺诈、用户与实体行为智能分析等领域不断创新和探索。”