自“十四五”規(guī)劃發(fā)布以來，我國的信息化建設(shè)進(jìn)入了新的階段?？尚艛?shù)字身份的建立和管理是網(wǎng)絡(luò)安全體系的基石，是信息化建設(shè)的重要支撐和保障，重要性日益突顯。如何建立規(guī)范的身份管理體系，保障網(wǎng)絡(luò)安全與數(shù)據(jù)安全，支撐各項政務(wù)、業(yè)務(wù)的平穩(wěn)運行和高質(zhì)量發(fā)展，成為了各級黨政機關(guān)、企事業(yè)單位關(guān)注的重點。

關(guān)于中國日報社

中國日報社是中央主要宣傳文化單位之一。作為國家英文日報，中國日報自1981年創(chuàng)刊以來，不斷開拓進(jìn)取，已經(jīng)發(fā)展有報紙、網(wǎng)站、移動客戶端、臉譜、推特、微博、微信、電子報等十余種媒介平臺，全媒體用戶總數(shù)超過2億。中國日報是中國走向世界、世界了解中國的重要窗口，是國內(nèi)外高端人士首選的中國英文媒體。

中國日報在國內(nèi)有35個分社、記者站和14個印點。在海外，中國日報社設(shè)有亞太分社、歐洲分社、非洲分社和美國分社四個指揮中心，下設(shè)記者站、辦事機構(gòu)等。

案例背景

中國日報社是媒體行業(yè)信息化建設(shè)的先行者，較早的部署了身份管理平臺。隨著日報社的業(yè)務(wù)系統(tǒng)規(guī)模的快速擴大，原有的身份管理平臺出現(xiàn)了一系列問題：

1.身份管理平臺難以擴容，難以滿足業(yè)務(wù)需求：隨著日報社業(yè)務(wù)的逐步數(shù)字化，業(yè)務(wù)系統(tǒng)快速從原有的4個增加至14個，原有的身份管理平臺難以對接如此多的業(yè)務(wù)系統(tǒng)，不便于日報社對多個業(yè)務(wù)系統(tǒng)做統(tǒng)一身份管理，運維人員需同時管理多個身份系統(tǒng)，既影響了員工的操作體驗、增加運維工作量，又造成了安全隱患。

2.認(rèn)證場景復(fù)雜，異構(gòu)系統(tǒng)多：日報社的業(yè)務(wù)遍及海內(nèi)外，采編人員需在不同的網(wǎng)絡(luò)環(huán)境下，使用PC、手機等不同的終端設(shè)備完成身份認(rèn)證，登錄不同架構(gòu)的業(yè)務(wù)系統(tǒng)，這使得身份認(rèn)證的場景異常復(fù)雜，對身份管理平臺的安全性、體驗性、兼容性提出了很高的要求。

3.采用靜態(tài)認(rèn)證，安全性不足：原有的身份管理平臺采用靜態(tài)認(rèn)證，日報社希望能夠?qū)崿F(xiàn)政務(wù)微信掃碼登錄等多種認(rèn)證方式，在保障認(rèn)證安全的同時簡化員工的操作。

4.業(yè)務(wù)域與辦公域不統(tǒng)一：日報社原來有身份管理平臺與域控制器兩套系統(tǒng)，分別管理業(yè)務(wù)域的諸多應(yīng)用和辦公域的辦公設(shè)備。日報社希望能夠?qū)商紫到y(tǒng)合二為一，將身份管理能力延伸至辦公設(shè)備。

方案設(shè)計

芯盾時代根據(jù)中國日報社的網(wǎng)絡(luò)架構(gòu)和實際需求，基于零信任安全理念，利用用戶身份與訪問管理平臺（IAM）和操作系統(tǒng)用戶身份與訪問管理（OIAM），為日報社建立了統(tǒng)一身份管理平臺。方案功能與設(shè)計如下：

1.用戶身份與訪問管理（IAM）：通過對用戶身份的數(shù)據(jù)治理，實現(xiàn)用戶的統(tǒng)一身份管理，以此為基礎(chǔ)實現(xiàn)各個業(yè)務(wù)系統(tǒng)的統(tǒng)一單點登錄、統(tǒng)一認(rèn)證管理、統(tǒng)一權(quán)限管理和統(tǒng)一審計管理。

日報社機關(guān)通過IAM實現(xiàn)各系統(tǒng)的用戶信息整合，實現(xiàn)用戶生命周期的集中統(tǒng)一管理；同時，對用戶在各業(yè)務(wù)系統(tǒng)的訪問權(quán)限進(jìn)行集中化的統(tǒng)一管理，避免權(quán)限濫用；統(tǒng)一認(rèn)證為用戶提供政務(wù)微信掃碼認(rèn)證、短信驗證碼認(rèn)證等多種認(rèn)證方式，并支持多個業(yè)務(wù)系統(tǒng)單點登錄，實現(xiàn)“一次認(rèn)證，全網(wǎng)通行”；統(tǒng)一審計則針對IAM中用戶和管理員的各種操作行為、認(rèn)證行為等進(jìn)行日志留痕，保證所有行為可記錄、可查詢、可溯源。

2.操作系統(tǒng)用戶身份與訪問管理（OIAM）：在IAM中集成OIAM，將操作系統(tǒng)用戶管理與認(rèn)證納入IAM統(tǒng)一管理范疇，實現(xiàn)業(yè)務(wù)域與辦公域統(tǒng)一身份管理。

客戶價值

借助統(tǒng)一身份管理平臺，中國日報社實現(xiàn)了統(tǒng)一身份治理、統(tǒng)一身份認(rèn)證、統(tǒng)一權(quán)限管理、統(tǒng)一審計管理、統(tǒng)一單點登錄、統(tǒng)一終端管理“六個統(tǒng)一”，身份管理能力跨越式提升。

1.建立統(tǒng)一身份管理平臺，實現(xiàn)員工身份規(guī)范化管理：借助平臺，日報社能夠為每一個登錄業(yè)務(wù)系統(tǒng)的員工創(chuàng)建唯一的數(shù)字身份，定義統(tǒng)一的賬號規(guī)劃、授權(quán)模型，實現(xiàn)對員工身份的創(chuàng)建、修改、停用、啟用的全周期管理；運維人員能夠統(tǒng)一管理各個業(yè)務(wù)系統(tǒng)的認(rèn)證策略、人員的訪問權(quán)限，提升身份管理能力的同時減少運維工作量。

2.統(tǒng)一業(yè)務(wù)域與辦公域，身份管理能力覆蓋至終端設(shè)備：統(tǒng)一身份管理平臺集成終端域控能力，讓員工可以用一個身份登錄終端設(shè)備和業(yè)務(wù)系統(tǒng)，簡化了員工的操作體驗，降低了運維人員的管理成本。

3.實現(xiàn)多種認(rèn)證方式，提升認(rèn)證的安全性和便利性：統(tǒng)一身份管理平臺為日報社員工提供政務(wù)微信掃碼、短信驗證碼、靜態(tài)口令等多種登錄方式，并提供統(tǒng)一應(yīng)用門戶，讓員工認(rèn)證成功后可在門戶中直接打開有訪問權(quán)限的業(yè)務(wù)系統(tǒng)，并實現(xiàn)多個業(yè)務(wù)系統(tǒng)的單點登錄，解決員工多個賬戶、反復(fù)登錄的痛點，讓員工“一次認(rèn)證、全網(wǎng)通行”。

4.登錄訪問行為統(tǒng)一審計，實現(xiàn)閉環(huán)管理：借助統(tǒng)一身份管理平臺，運維人員對管理員操作行為、用戶登錄認(rèn)證行為、用戶應(yīng)用訪問行為、用戶應(yīng)用資源訪問行為進(jìn)行統(tǒng)一審計，及時發(fā)現(xiàn)風(fēng)險行為并追蹤溯源，滿足企業(yè)內(nèi)部的安全審計要求。

芯盾視點

中國日報社通過此次改造，規(guī)范的身份管理體系，提升業(yè)務(wù)系統(tǒng)的安全性，為員工提供了更便捷的操作體驗，降低了運維工作的難度和強度，同時滿足了管理、安全、體驗、運維四個層面的需求。當(dāng)前，我國數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府的建設(shè)持續(xù)加速，中國日報社的此次案例，對各級黨政機關(guān)、企事業(yè)單位有著重要的參考價值。

審核編輯 ：李倩