大家好，我是戴立偉。今天我的演講題目是《連接·智能·安全，以IAM來構(gòu)筑我們智慧企業(yè)數(shù)字化轉(zhuǎn)型的新動能》。

現(xiàn)在，各行各業(yè)都在推行整個數(shù)字化轉(zhuǎn)型，但是到底什么是數(shù)字化轉(zhuǎn)型，本身是見仁見智的。我的理解是：數(shù)字化轉(zhuǎn)型針對業(yè)務(wù)部門提出的固定的需求實(shí)現(xiàn)，早期的時候我們稱之為信息化。數(shù)字化階段我們產(chǎn)生的需求可能來自于市場，當(dāng)我們需要考慮是否能夠快速地通過數(shù)字化手段滿足市場上的業(yè)務(wù)需求，這個時候我們就要做數(shù)字化，這是大的數(shù)字化轉(zhuǎn)型的背景和思路。

數(shù)字化轉(zhuǎn)型過程當(dāng)中有很多問題，這個問題我們這里不提的太廣泛了，我們提一下身份安全的問題。第一，比如我們看到的一些權(quán)限被別人圍攻獲取了，造成大量各種各樣信息的泄露，其實(shí)主要問題不是被黑客攻擊，而是我們沒有強(qiáng)大的權(quán)限管理能力。第二，比如一個人已經(jīng)從公司離職了，這個人依然可以拿走公司的很多信息，我們可以設(shè)置更多的防火墻，但它們除了防病毒沒有更多價值。第三，IoT無法幸免，黑客可以通過弱病碼直接造成攻擊。

以前的安全更多關(guān)注邊界安全，通過網(wǎng)絡(luò)邊界和防火墻構(gòu)建護(hù)城河，護(hù)城河內(nèi)部是安全的，但是現(xiàn)在我們看到很多資產(chǎn)在不同網(wǎng)絡(luò)設(shè)備，不同人員都可以進(jìn)行訪問，這個墻上已經(jīng)有很多很多的漏洞了。現(xiàn)在看一個人是否有權(quán)限訪問信息資產(chǎn)，最核心的東西就是“身份”，身份越來越重要。在5G時代之下，身份更加重要，因為我們的觸點(diǎn)越來越多。

當(dāng)今時代，我們有一個手機(jī)、電腦，在5G時代下可能是汽車，還有可能汽車和汽車之間都會發(fā)生聯(lián)動。每個觸點(diǎn)之間我們要確定雙方的身份安全的特性，任何一個地方出了問題都會導(dǎo)致周期性的財產(chǎn)和人身安全隱患，這個時候必然需要一個核心、智能的數(shù)據(jù)中心把所有的身份數(shù)據(jù)統(tǒng)一、安全地管控起來。

IAM怎么解決這個問題？它是一個可有效控制人或物等不同類型用戶訪問行為和權(quán)限的管理系統(tǒng)。IAM能做什么？IAM能實(shí)現(xiàn)事前預(yù)警、事中控制、事后審計的全閉環(huán)流程管理。舉個例子，一個大型企業(yè)突然發(fā)生一起事件，發(fā)現(xiàn)有個人登錄公司系統(tǒng)，通過公司郵件賬戶往外發(fā)了一萬多份郵件。這個郵件賬戶已經(jīng)被盜了，后來追溯的時候發(fā)現(xiàn)它是從新加坡登錄的，但這個賬戶從來沒有在新加坡登錄過，如果我們能夠提前發(fā)現(xiàn)這樣一些問題，就能夠識別出來賬戶已經(jīng)被盜用了，這個就是我們要做的事前預(yù)警。

那如果在事中控制的過程中發(fā)現(xiàn)有問題怎么辦？其實(shí)有風(fēng)險之后我們可以通過調(diào)動設(shè)備自動化發(fā)現(xiàn)風(fēng)險。講到這兒，我們到底能做什么？事實(shí)上我們可以通過IAM來解決問題。什么是IAM？簡單來講它是身份云，通過2E、2C、2IoT的方式實(shí)現(xiàn)一點(diǎn)合規(guī)的過程。我們在地產(chǎn)、制造行業(yè)，通過IAM已經(jīng)賦能到每一個消費(fèi)者客戶。

這是整體架構(gòu)圖。簡單解釋一下，大家以前關(guān)注更多的是單點(diǎn)登錄，但其實(shí)所有這些最重要的基礎(chǔ)是身份，只有身份統(tǒng)一了，我們才能實(shí)現(xiàn)上述這些能力的落地。當(dāng)然，這個賬戶不是隨便由別人開通的，而是基于安全認(rèn)證通過后才可以開通。還有我們的風(fēng)控管控，以前獨(dú)立建設(shè)的用戶賬戶決策權(quán)限，風(fēng)險防范控制，現(xiàn)在不用一一建設(shè)了，只需一點(diǎn)建設(shè)，大家都可以通過連接的方式直接使用。未來真正的身份不僅僅是連接線上信息化系統(tǒng)，還會包括線下的，門禁、wifi、食堂的飯卡等等背后的身份校驗，實(shí)現(xiàn)全面的建設(shè)、全面的聯(lián)通、全面的合規(guī)。

我們再看一下怎么實(shí)現(xiàn)混合云的建設(shè)。比如我們在一個地產(chǎn)公司，這個公司希望能夠把所有的內(nèi)部人員使用的信息化系統(tǒng)統(tǒng)一管理，這些包括內(nèi)部自建的和云端建設(shè)的，還有它的C端用戶進(jìn)入商業(yè)地產(chǎn)之后的信息系統(tǒng)全部統(tǒng)一納管進(jìn)來，通過混合云的方式來實(shí)現(xiàn)。而對于公有云建設(shè)，因為公有云有很多SaaS用戶，通過城堡云橋的方式打通，大家可以看到，office365是有密碼，如果我們密碼存在云端不夠足夠安全，通過云橋的方式可以把它由云端轉(zhuǎn)到企業(yè)內(nèi)部，這樣所有的密碼不需要落在云端只在企業(yè)內(nèi)部就可以，相對較安全。

另外，企業(yè)內(nèi)部接了這么多的系統(tǒng)，我們可以一次性全部都拉到釘釘、企微、騰訊企業(yè)郵。以前需要我們云端的賬戶，現(xiàn)在我們登錄的時候，使用釘釘掃碼，所有做的登錄都在企業(yè)內(nèi)部。國外一些產(chǎn)品體系也完全可以使用自己內(nèi)部的賬戶體系完成登錄和建設(shè)。我們還可以通過連接配置，實(shí)現(xiàn)用騰訊的企業(yè)微信一鍵化的訪問到阿里云、華為云的內(nèi)容。

通過企業(yè)端APP端就可以達(dá)成上述目標(biāo)，為什么能夠做到這一點(diǎn)?因為我們有很強(qiáng)的統(tǒng)計數(shù)據(jù)中心，我們關(guān)注的內(nèi)部系統(tǒng)，到了外網(wǎng)、社交、內(nèi)部系統(tǒng)、安防系統(tǒng)、線下企業(yè)、聯(lián)邦互信等等統(tǒng)一完成。我們不僅會檢查用戶密碼，對訪問時間、訪問地點(diǎn)、訪問設(shè)備等都會進(jìn)行檢測。比如我們在這個設(shè)備上登錄，我們會發(fā)現(xiàn)這個賬戶已經(jīng)被被盜了，我們會發(fā)現(xiàn)突然通過這個IP地址來訪問很多賬戶，并試圖登錄，這些都可以被發(fā)現(xiàn)，大家可以看到這里面各種各樣的監(jiān)測，包括對環(huán)境、設(shè)備、時間、行為等都可以做到實(shí)時監(jiān)測。

我們看一下對應(yīng)的場景，當(dāng)我發(fā)現(xiàn)風(fēng)險怎么辦？這個特別有意思，以前我們發(fā)現(xiàn)風(fēng)險的時候更多是希望我們通知出去，現(xiàn)在我們更多希望通過自動化的事前校驗，關(guān)閉風(fēng)險，提高執(zhí)行度。這里面特別有意思的東西就是對應(yīng)一個框架，這個框架已經(jīng)有人臉、指紋等認(rèn)證方式，比如進(jìn)入門禁的時候人臉識別要達(dá)到95%，而取錢的時候要達(dá)到99%。在不同場景之下，風(fēng)險發(fā)現(xiàn)也是不相同的，所有的應(yīng)用只需要對接一次，并且我們實(shí)現(xiàn)的是一個全面的多端認(rèn)證。

我們所有的節(jié)點(diǎn)都是用手機(jī)端來完成，當(dāng)然也可以進(jìn)入到Web端。包括我們登錄各種VPN的時候，現(xiàn)在越來越多的金融和政企單位客戶，都可以通過直接加上OTP的方式通過web端完成登錄。當(dāng)然，我們也可以實(shí)現(xiàn)跨瀏覽器登錄。有些時候我們做信息建設(shè)時有些人會圍觀，有圍觀的話會自動鎖屏。離席的時候，如果我們忘記鎖屏，系統(tǒng)會自動把屏幕關(guān)掉。這是我們跟華為做的關(guān)鍵場景和應(yīng)用，這些特別適合在一些信息特別敏感的系統(tǒng)內(nèi)進(jìn)行使用。

還有領(lǐng)導(dǎo)數(shù)字駕駛艙的功能，包括風(fēng)險顯示、登錄次數(shù)等等信息都可以看得到，今天時間有限我不詳細(xì)講了。現(xiàn)在網(wǎng)絡(luò)安全當(dāng)中，最先進(jìn)的就是“零信任”，一開始不信任一切，從完成由0開始的校驗之后再啟動信任。這其中有一個核心思路，舉一個例子，它強(qiáng)調(diào)是以身份為核心，動態(tài)的訪問控制和權(quán)限的自動化的賦予。比如說這棟大樓里面有人通過wifi登錄到我的系統(tǒng)，拿著我的手機(jī)出了大樓，這個時候網(wǎng)絡(luò)變成4G，那么我的權(quán)限會自動從20個變成18個。等我們拿著手機(jī)接到餐館的wifi，權(quán)限又會自動從18個變成5個。“零信任”就是完成一次交易核驗，但是隨著環(huán)境的不同，權(quán)限會自動化的授予，所以“零信任”會對應(yīng)到應(yīng)用安全和權(quán)限安全，這也是我們和碧桂園等客戶完成實(shí)驗室的結(jié)合。

最后花一分鐘時間介紹一下竹云。我們總部在深圳，在青島有數(shù)字身份國際研究院，在全國各地設(shè)有分支機(jī)構(gòu)，目前國家發(fā)改委、國資委、國家信息中心、國家藥品監(jiān)督管理局、中海油、中國中鐵、上藥、上港、東方航空、友邦等都是我們的客戶，同時榮獲金灣獎暨2019粵港澳大灣區(qū)十大卓越創(chuàng)新力企業(yè)獎、中央企業(yè)網(wǎng)絡(luò)安全與工業(yè)互聯(lián)網(wǎng)十佳解決方案第一名、金融科技安全以及全球身份管理創(chuàng)新服務(wù)等行業(yè)重要獎項。