IAM平臺構建了一個基于帳號管理、認證管理、授權管理和安全審計的整體統一身份安全治理解決方案，為企業提供一站式身份權限管理服務，同時為業務融合和數字化轉型提供強有力支撐。

3月9日晚，“這就是數字化”——數字化百家講堂第一季第26期課程中，深圳竹云科技股份有限公司成都子公司副總經理、解決方案中心負責人向韜以《現代IAM 夯實數字化安全底座 賦能數字化轉型》為主題，深度解讀IAM（身份識別與訪問管理）技術如何賦能企業數字化轉型。

企業的數字化轉型數據從物理世界延展到數字世界的進程中，是一個由點到面的過程，可以從四個階段解讀：第一個是信息化階段，信息化階段數據的分布是相對零散、非標準化的點，此時的數字化就是將零散無序的數據進行簡單的信息化處理和錄入；第二個是平臺化階段，在這個階段業務流程串聯成線，進行的是線性的建設，是基于應用功能的數字化建設；隨著數據的不斷發展，從物理世界向數字世界縱向深化，進入場景化階段，此時針對業務場景企業要將各平臺全流程全功能的打通；最后抵達智能化階段，數據賦能經濟體和產業生態就是在這個階段，從業務數據全生命周期的可視化進行分析和決策。

優勢：具有提高產品性能、完善用戶體驗、傳統業務數字化、與數字化生產力相匹配的生產關系再造。

劣勢：面對大數據與企業應用不匹配，業務流程相互割裂，多系統并立卻難以互通。

機會：新技術能夠更快的投入應用，新政策相繼出臺的全面監管、在科技創新的驅動下新需求的誕生。

挑戰：數據作為最重要的生產要素，網絡安全性顯得尤為重要

數字經濟發展戰略與國家網絡安全發展戰略齊頭并進，從《網絡安全法》、《數據安全法》和《個人信息保護法》的相繼出臺，以及工信部在《網絡安全產業高質量發展三年行動計劃（2021-2023年）》中指出，將零信任列入網絡安全需要突破的關鍵技術，由此可見國家對于網絡安全的高度重視。

隨著企業獲數據資源的數量不斷增加，數據作為生產要素復雜程度不斷提高。數字鏈的身份管理對于企業是一項極其重要的系統工程。在用戶群體不再單一、移動設備加入到了終端行列的復雜場景下，安全邊界不斷變化，為了保障數據安全，對業務流程進行實時監控，提高企業決策效率，助力企業數字化轉型升級，就要做到永不信任，始終驗證。新的安全邊界“身份”誕生于網絡環境無時無刻不危險的理念之中。

方案規劃原則

IAM作為企業數字化轉型的安全底座，全流程服務于業務體系，相當于統一的管理中臺，確保了國產自助可控，其最大的特征是可以信任。同時可以快速的融合新技術，滿足企業在數字化轉型過程中的個性化服務。安全層面技術架構保持領先。以此夯實數字化安全底座，賦能數字化轉型。

賦能業務

快速融合AI、大數據、云計算、IoT等新興技術實現業務場景無縫鏈接，同時支持多維度、跨行業的業務模型。

建立生態

利用IAM針對所有伙伴生態體系中提供數字化業務編排的能力，實現精簡、自動化的數字業務流程，快速為組織建立集用戶的身份、應用和設備于一體的數字工作區。

安全流程做到自動化管控并滿足國家標準，提供事前預警、事中控制以及事后審計追溯的安全可信體系。秉持開放原則，基于API和微服務架構能實現應用到應用間、數據、流程、服務的快速融合、集成。

伴隨著整個數字化轉型業務發展，在信息化階段做到多認證協議兼容，確保了智能化階段時達到業務互聯網+，進而實現數字化的全感知、全連接、全場景、全智能。

建立全業態的數字化生產體系，解決內部的私有云問題；建立內部部署數字化生產體系，解決公有云和混合云多場景的身份體系的統一。同時基于人物應用設備納入到統一數字身份管理體系，相當于數字化傳遞，使其能夠覆蓋到整個企業線下移動端互聯網云端多樣化的業務場景。

方案理念：作為數字身份的智能中臺，基于國家標準、信創標準、安全規范、行業準則等為企業數字化轉型提供全域統一身份的安全管控體系。

方案定位：數字身份智能中臺，為企業數字化轉型提供全域統一的身份安全管控體系。基于中臺組織變革及協同模式，建立快速響應的數字化作戰指揮中心，共享“業務+數據”雙中臺服務能力，賦能業務板塊數字化有效落地。

方案愿景：以身份大數據為基礎構建可視、可知、可管、可控、可溯、可預警的全域網絡身份安全體系。通過對用戶應用權限風險不同創建畫像，讓企業實時了解并解決在數字化轉型中安全問題。

方案價值：夯實數字化轉型安全底座，智聯萬物，提供全流程身份

第一個價值：泛在聯接。連接身份、連接應用、連接設備從不同場景，不應用全部納入到IAM的管控范圍內。

第二個價值：安全可控。通過事前全面的風險評估、行為風險預判，事中持續的信任評估、實時通知、權限降級等，事后用戶行為分析、統一用戶權限視圖、全維度可視化報表來實現安全閉環。

第三個價值：智慧識別。能夠做到身份識別、風險識別、訪問識別。

第四個價值：提供統一管理、認證手段，保證過程的安全性。

1.身份自動化管理中心

實現用戶身份全生命周期管理，用戶賬號的一鍵創建于回收。基于身份屬性匹配相關的業務體系。

2.智能融合認證中心

通過“認證鏈”的方式融合多種認證方式，構建統一認證服務能力。

3.權限管理中心

分級分權，實現應用級別的細粒度權限、API權限、數據權限統一管理。

4.自適應動態風控中心

分析用戶登錄、訪問等并檢測可疑行為，實現用戶訪問環境風險智能感知；提供可視化、圖形化用戶日志與報表數據。

通過IAM從風險感知到安全策略的管控，來保證業務系統的合理合法使用，提供動態規則自我凈化的能力。實現由“靜”至“動”的持續防護安全體系。

在實戰場景中建設IAM需要以下4個步驟：

1.賬號管理與身份供應

建設統一的用戶視圖，讓企業第一時間了解用戶的身份以及分布，最終實現用戶身份的智能化自動化管理。

2.訪問控制與認證機制

通過多安全級別融合認證、跨通道認證體系、AI智能場景認證等，最終在認證階段實現智能化。

3.權限管理與授權服務

建立權限中臺，統一權限開發框架，對企業進行精細化管控。

4.審計管理與合規性

通過身份行為報告、職責分離監管、用戶行為分析、可視化身份、權限、認證儀表盤，來對企業的審計進行管理。

基于以上4個步驟以及身份風險大屏，UEBA，用戶行為畫像等實現全面風險控制。

第一階段：身份治理階段。企業需要進行標準規范體系建設來進行風險管控，把基于身份的業務串聯，其中包括多端融合認證服務的建設和基于風險的自適應判斷體系建設，實現強化自身的安全體系。

第二階段：智能權限階段。利用數據權限的精細化管理解決申請難、授權難、追溯難等企業一系列問題，將整個企業的權限納入到風控體系當中進行管理。

在不遠的未來，網絡安全將通過三大核心技術IAM、SDP、MSG來構建零信任安全體系。

竹云科技在對多家大型企業所做的IAM項目進行調研后發現，企業在實施了IAM解決方案之后若干年里，ROI(投資回報)往往可以達到一個很可觀的預期值。

IAM的應用不僅能為用戶帶來更低的管理成本、降低信息風險發生概率、更好的法規遵從、并能更快地交付增值的IT服務，而且重要的是，IAM能為企業實現價值的最大化。