易安联EnIAM零信任身份管理平台_统一认证管理系统

易安联EnIAM零信任身份管理平台

EnIAM对企业复杂的账号和权限体系进行统一治理，提供用户账户的全生命周期管理，应用系统账号集中管理，提供统一账号目录服务和授权服务，有效地降低风险，提升用户体验，让管理更加科学高效。

需求分析

IAM（身份管理和访问控制）平台的建设应实现企业内部员工、供应商、合作伙伴和外部客户身份信息统一供应、统一存储、统一认证、统一权限及统一审计等功能，并根据统一身份和认证业务的特点进行相应的制度和规范的建设，以形成保障业务用户身份和账号安全的完整体系，并可借此开启组织的零信任改造。

账号统管
1)建立组织的统一用户信息全景图；2)建立全生命周期的身份与账号权限的自动化管控机制；3)实现从统一身份源将用户的信息自动同步至其它应用系统中。

应用集成
1)单点登录:支持JAVA/.Net/PHP等不同应用的SSO集成；2)身份安全管理平台集成的方式应包括多种，针对不同类型的应用提供最合适的集成方式，对于不能改造的应用也能提供解决方案，如代填。

强身份认证
1)多因子认证:在提供多种集成方式的基础上支持对多种强认证方式的灵活扩展，包括证书、动态口令、生物识别等，以保证用户的登录安全；2)账号管理:常见管理员账号、密码强度、首登改密、定期改密、

集中审计
根据法规政策监管要求，身份管理和访问控制平台需要具备相关的审计功能，对用户管理和访问控制中的关键流程、操作进行审计

合规改造的必要性

级保护2.0，在身份鉴别、访问控制及安全审计等方面提出了更高要求：

EnIAM零信任身份管理平台产品功能 icon

全生命周期管理
支持用户电子身份全生命周期管理。

多种单点登录方式
支持CAS、OAuth、SAML等单点登录协议，对接企业现有的认证源。

统一身份管理
提供添加、导入等方式创建用户和组织机构，自动维护用户唯一的身份标识。

统一认证管理
支持多样化的认证源，以及多种认证方式的编排。

应用访问控制
在应用访问阶段，支持多种安全策略，为应用安全访问保驾护航。

安全策略
支持终端、数据安全、认证安全等多维安全策略。

身份服务框架

认证对接标准与形态

EnIAM的用户交互——有端 icon

EnIAM的用户交互——无端 icon

PC web 门户

统一门户，收敛访问入口，防绕行；

适配任意浏览器，无需安装客户端；

推广方便，运维简单；

对接企业微信、钉钉小程序，移动接入安全又便捷；

SDK集成安全改造，不改变使用习惯，使用无感知

产品能力1-认证中心 icon

统一身份管理系统提供本地用户管理和三方认证系统快速对接能力，支持LDAP/AD/RADIUS/DB等外部服务器:

• 支持 MFA/双因子认证能力，包括但不限于：密码、短信、OTP、邮箱、手机和生物识别等多种认证方法组合；

• 支持三方扫码认证，如微信、钉钉、企业微信，飞书等；

• 支持主流单点登录（SSO）协议；

• 便捷运维：账号开通提醒、密码自助找回、账号自助社交绑定……

产品能力2-策略中心 icon

账号策略
1、长时间未登录：根据不同的时间颗粒度，执行不同的处置动作（账号锁定或二次认证）；2、账号绑定：账号可绑定手机号、邮箱、钉钉、企业微信、微信。3、强二次认证：HW或重保期间可开启强身份认证，账密登录时添加二重身份认证手段；4、防暴力破解：可根部不同时间颗粒度，检测尝试账号数量，并执行不同动作（IP锁定或二次认证）5、账号开通提醒：可以邮箱或短信方式通知账号所有人

密码策略
1、首登改密2、密码超期：密码超期时，可进行告警或强制用户修改密码；3、密码强度：强度等级（共5个等级）、执行动作，当用户登录的密码强度不符合要求时，可进行告警或强制修改密码；4、密码重试：针对重试次数、重试周期进行检测，并可执行账号锁定或二次认证动作

认证策略
会话策略；时间策略；常用位置策略； IP白名单策略

系统管理策略
管理员IP白名单；管理员强制二次认证

产品能力3-健康提醒 icon

系统运行
系统硬件运行检测

系统软件健康检测

业务健康
单点服务器健康度监测

接口健康度监测

分级告警
告警信息的历史，提供4级记录和查询：紧急、重要、次要和提示，便于了解系统运行过程中不同级别告警的分布，便于对重点问题的响应与优化

产品能力4-运维

IAM提供强大的自定义日志审计与大屏展示模块，可以根据需要，将安全运营最关心的信息以图表的形态自由组合并呈现出来。且支持系统日志的导出，日志包含时间、用户IP归属地、客户端/浏览器版本、操作系统、操作内容等。

公司整体介绍

公司总部位于南京，已建成2大研发中心，3大区域运营中心，1个网络安全研究院（筹建），1个分公司（筹建），覆盖中国的服务支撑体系及创新研究。公司主营业务全面覆盖零信任安全、网络边界安全、终端安全、通信传输安全、数据安全、网站安全、云安全、应用安全、异常流量分析等全领域安全产品及解决方案；提供专业的零信任安全咨询服务、顶层规划服务、体系建设服务、建设效果评估服务，零信任安全培训等一体化零信任服务内容。拥有来自华为、中兴、网御星云、启明星辰、亚信安全等公司业内最专业的管理团队、安全团队及交付团队超120人的专业网络安全专家咨询顾问团队、安全实施团队和定制开发团队，65%团队成员是拥有高级\中级安全认证或网络专家认证；具有密码学、终端安全、网络安全、传输安全、认证及访问管理、业务隐藏、UEBA、大数据分析处理、数据建模、实时流计算、机器学习等技术功底。

上榜《零信任产业图谱》 icon

上榜网安全景图

易安联入选FreeBuf《CCSIP（China Cyber Security Industry Panorama）2022中国网络安全行业全景册（五版）》多个图谱

三方接口持续扩展中

帮助多个组织完成IAM基础建设 icon

易安联为各行各业的客户在数字化转型的过程中添砖加瓦，帮助500+客户在完成身份统管的前提下，逐步往零信任安全架构过渡，让安全架构更符合现代网络安全日新月异的新变化，数据资产始终安全，安全生产全年无虞！

组织IAM分阶段建设规划 icon

我们希望组织通过IAM的建设，一方面解决组织数字化转型过程中面临的账号难管理、用户体验差等问题，另一方面通过IAM纳管组织所有资源的访问权限，开启组织零信任改造之路！

零信任大安全

1）对接远程接入平台，与堡垒机等安全设备，实现内部l外部接入的门户融合一站式接入(支持无端方式或有端方式)，将内外部用户通过远程接入l内网直访的场景均纳入IAM的全天候场景，2)不拘泥于传统边界安全防护模型，任何位置任何人针对任意资源的访问请求，均需要经过严格的零信任身份认证体系，在身份基座上拓展建设零信任大安全建设方案，对接更多的安全产品的能力，逐步推进组织的零信任改造之旅.....

全面纳管，全局互通

1) 门户与业务系统权限的精细化打通，实现“一处修改，两边同步”；2）将一阶段遗漏的资产（网络设备、安全设备）纳入IAM，实现真正的一次登录，全局免验证，打造身份安全基座；

信息梳理，身份统一

1）梳理架构︰组织架构（分/子公司、供应国链.....）」、用户群体（内部员工、驻场三方、上下游供应链临时人员...…）；2）梳理资产:服务器（业务服务器、）与设备（网络设备、安全设备），建设统一门户；3)匹配人-账号-资产（本阶段主要为业务系统）的对应关系；4）身份认证统一与访问授权:建设全局唯一账号，建设统一门户，替换AD，实现单点，收拢访问入口，策略（时间、增强认证、多因子认证、密码策略等）编排与执行

中复神鹰：异地多业务中心身份统管 icon

客户背景

中复神鹰碳纤维股份有限公司(上市央企)，隶属于国务院国资委的世界500强企业-中国建材集团有限公司，建有连云港、西宁生产基地和上海研发基地。多地多业务中心，涉及自建、共用多种建设与运维模式的业务系统，账号管理、资源安全访问等方面存在诸多挑战......

面临挑战

多系统账号不统一：异地多业务中心模式，存在共用和自建业务，账号体系复杂增加员工使用成本、运维人员维护成本；资产暴露面过大：业务直接对外发布，系统易遭受扫描与爆破、漏洞利用等威胁；运维成本高:用户的异常/违规行为无审计手段，安全设备日志晦涩难懂，提高运维门槛，出事后难定责。不满足安全合规要求：在等保安全法和数据安全法下，很难快速完成改造满足安全合规要求。

解决方案

通过零信任身份管理平台，提供了全生命周期的管理功能，及时规避潜在的风险，同时不断地推动员工提高安全意识。统一身份管理：建立EnIAM统一身份管理平台，对接钉钉实现统一身份认证与授权，统管上下级各公司业务系统账号，运维降本增效；安全访问策略：多因子认证、强登录策略链、账号-设备绑定等方式，确保用户本人访问系统；规避访问绕行：收敛访问入口，统一业务资产安全发布门户网站，实现一次认证，免密访问异地多业务中心系统；安全接入：融合SDP安全架构，实现有端/无端方式下的快捷安全接入，收敛资产暴露面；安全合规：利用通行字、通行字口令长度、有效期、复杂度等账号管理，符合集团规定。

深圳烟草：轻重安全随时切换，安全运维得心应手 icon

客户背景

深圳烟草工业有限责任公司，日常使用企业微信进行业务发布与访问，便捷办公的同时存在互联网暴露面过大的风。

面临挑战

资产暴露面大:企业微信发布与访问业务时，直接通过端口映射的方式，导致企业业务系统均对外暴露，有极大可能成为黑客攻击标靶，以此为跳板渗透进内网后进行东西向扩散，严重威胁企业数据资产安全;HW与日常运维难兼顾:HW期间安全考核要求高，因业务系统漏洞经常沦为被通报扣分对象，影响单位考核，而日常办公又希望兼顾便捷性;文件上传不便:部分业务系统因浏览器适配与插件问题，无法在普通员工PC上访问相关业务系统并上传文件，只能到特定办公PC上传文件，降低员工办公效率;

解决方案

通过零信任访问控制系统，默认关闭所有的端口，对于非法用户来说，所有的请求都得不到回应，所有的应用和零信任平台自身都处在隐身的状态。国产化适配：支持统信客户端，上架统信应用商店，满足国产化全面推广的政策要求；统一门户：对接企业维信工作台，收拢应用访问入口，规避访问绕行；统一身份：对接企微SSO，实现企微静默登录下的用户访问应用时的权限管理；安全级别一键切换：强弱安全模式一键切换，特殊时期开启强安全模式，日常办公期间轻便运维，不限定用户资源访问方式（有端/无端）；文件上传更便捷：开启终端Samba挂盘上传文件方式，文件定向上传，不受浏览器或插件限制，文件上传不受限

宇通客车：流程简便又安全，员工上网新体验 icon

客户背景

宇通客车是中国客车行业上市公司，其主要业务为客车相关产品的研发、制造与销售，客户涉及国内外各行各业,内部办公PC及服务器中存储有大量研发数据、客户敏感信息等，保护重要数据不因有意或无意外泄，是保证企业持久健康发展的基本要求，也是符合宇通维护广大客户利益的必备条件，为此宇通积极寻找既能保证数据安全性，又不妨碍员工正常上网进行客户交流或信息检索的安全可行的技术方案。

面临挑战

开通上网权限流程繁琐:用户本地进行了严格的上网管控，无法访问任何互联网资源，严重影响企业办公效率;终端沦陷后内网威胁扩散:开通了访问互联网权限后易导致内网感染恶意病毒;敏感数据外泄:部分员工使用聊天工具或邮件系统，将内部的敏感数据私自下载外发，严重威胁企业数据资产安全与公司多年努力维护的正面形象。

解决方案

在可信的用户终端上创建可控的外访空间，通过对内外网访问隔离，实现外访空间持续监控审计。对接现有认证体系：在AD账号绑定设备的前提下，依然可用AD账号直接登录沙箱端，无需重复创建账号；上网权限即开即用：细粒度用户授权，开放/收回员工上网权限，无需繁琐线上/线下工单审批；阻断威胁目标站点：阻断员工访问黑名单内特征库、URL库，在威胁发生前进行阻断，防止终端染毒，降低威胁在内网扩散的可能性；数据流转双向可控：文件/文本/截图等的流转可进行大小/类型/审批流程限制，断绝大多数敏感信息外泄渠道；数据流转可审计：各类经由剪切板、审批流转的数据均可在查、可溯源，方便定位泄密源。

产品推荐查看更多>>

网御星云超融合流量检测探针CS Plus

网御星云网络流量超融合探针，采用特征检测技术、异常行为检测技术、威胁情报技术、黑白名单技术、基线技术、静态APT技术等多种相结合的方法，通过对网络流量的深度包解析和流解析，实现了网络各种威胁的全面有效检测，同时也可以通过配置策略方式，让探针记录所关注的流量，便于后期可以根据相关的事件日志，对当时的攻击进行回溯分析，追踪取证。

流量实时采集

安全威胁检测

元数据提取

场景化分析检测

立即咨询查看详情

宁盾网络设备AAA管理平台

宁盾网络设备AAA管理是采用Tacacs+协议集认证、授权、审计于一体的网络设备综合运维管理平台。面向企业运维人员提供双因素身份验证、细力度授权用户可操作权限及业务场景，并实时审计操作行为。具有良好的可扩展性，可兼容cisco、华为、H3C等不同品牌网络设备，实现对所有异构交换机、路由器等不同类型网络设备进行统一集中运维。

可扩展性

集中运维

实时审计

异构设备

立即咨询查看详情

威努特态势分析与安全运营管理平台

威努特态势分析与安全运营管理平台，为实现企业的安全目标为宗旨，以等保、关保为参考依据，提供覆盖安全防护、安全运维、安全建设管理、安全工作考核全过程牵引和技术支撑。数据分析实现多种数据的多维度数据分析，建立各种模型基线，识别未知异常和威胁。通过多种探针多种协议，采集网络中的主机、设备、日志和原始流量信息。

安全运维

安全应用

数据处理

数据采集

立即咨询查看详情

数字化社区查看更多>>