00:26
首先第一个是权限的这个问题的梳理,因为我觉得这个问题其实对所有的企业来讲,它是一个最最最最呃起步的一个问题,而这个其实也是本身是最难的问题,因为历史上来看,大量的这种场景里面都碰到的是呃,所有的这种权限梳理不清楚,而我刚刚讲的,尤其是这种,比如说几千人上万人的这种企业,有上千个这样的OA系统的时候,他是不可能能把这个这个能力进行一个维护的,而且这里碰到了一个更纠结的一个问题是,那我有合作伙伴,然后我现在还有云跟私有云的时候,那这个场景里面会碰到一个几乎无法去运营的这样的一个系统的问题,所以对企业来讲,第一步最重要就是去权限,首先梳理清楚,那权限梳理清楚了,第一步,那就是说我权限的这种集中化的管理,那么我必须首先要有限的集中化管理,我才能知道这是第一步,第二步是我当有权限了以后,那就是关于权限的审计,那权限的审计大家都知道说我常规的审计。
01:27
里面我可以称说谁在某个时间点发生了什么样的一件事情,这是属于常规的这种啊,这种日志的记录,那么这种日志的记录是有,然后呢,也能够进行一定的这种报警,但是它解决不了的。另外一个问题是说,那我今天这个日志里面,你看上去没有异常,但我实际上可能真的发生了,已经发生了异常,比如说我举个例子,就是说那今天,那呃,今天有一个这个信息被泄露了,但是它不是在我的OA上面出去了,我可能在我这手机上面,我用另外一个模块出去了,那这个时候出去的时候,你到底能不能知道某人曾经登录了,然后又从那个手机出去了,然后这是一方面,第二方面是如果我不在公司内,我是通过公有网,公有网络接入的,你怎么能保证我的背后就是员工本人,而不是这个员工账号,因为这个账号真真正的权限,他的这个密码被别人知道了,你怎么保证他是不是本人,所以在这个环节里面,那必须要有一。
02:27
就我除了在前端的验证身份进来以后,还必须在这个环节里面叫做有一个权限的那种审计模块,去审计这一次行为是是不是高危行为,如果一旦发现是高危行为的话,他要做必须要做及时的阻断,而不仅仅是说做一致的身份的这种验证,而我们的身份验证的这种产品的话,那除了去说呃进行权限的集中管理以外,更重要的是我们的风控能力,当发现异常的时候,及时的去做一个阻断,以及事后出现问题的时候,进行一个事后的回溯的这种检查,这是一方面,第二方面就是除了他的操作路径以外,那对他的实时的这种业务流当中的一些权限的这种控制,也是必须要去控制住的,比如说有些业务是提供API,可以去调用的,那么这些API在经过的时候,他必须要在所有路径上面都跟现在员工的权限去打通,因为当启动这种API调用的时候,我必须要知道是哪一个模块的负责人过来的环节一一旦发现说不是,那OK,必须要进行一个拦截。所以我们在。
03:27
常规讲述去做这种员工的身份认证的时候,它必须有三个环节,就身份的治理环节,访问的控制环节,以及我们的这种网关的这种梳理的环节,那所以这三个环节缺一不可。如果是作,作为传统的这种办法来讲,我只能一个一个去系统去梳理,但他这里有两个问题,第一是梳理几乎不可能,第二个是就算你梳理完了,你将来可维护性也几乎是没有的,因为不可能我今天梳理我废了三个月或者五个月,我梳理完了,我我过个一年,我又花三五个月过来,这个事情是完全不可以持续的。所以唯一的办法就是说我必须把所有的这种权限统一集中在一个平台当中去处理,对于身份安全来讲,它的第一步就是把权限的统一的这种收拢准备收拢权限就是说我必须有统一的这种权限,梳理的这种模块,我只有当收拢以后那才可以。所以他的第一步必须是说我能够把各种这种权限,就是他的OA系统或者说运营系统里面的,他的这种跟权限相关的模块,全部对接到所有的我们的身份治理的中心里面去,只有在这这样完成以后才可以梳理,因为只有对接完成以后,就只要做一件事情,就是我把所有企业在的这个员工做一次就可以了,以后因为他都都在一个系统里面管理了。那其。
04:44
他的模块自然也就不用梳理了,所以这是一个呃,一次性做完,然后将来就可以维护地方,也便于审计跟管理。在移动互联网时代,尤其是像今年的这种疫情期间以后,远程办公开始流流行起来,那在远程办公云和移动化起来以后,就会变成说,第一我的手机可以随时办公,然后第二我可能不在本地,我不在,甚至我就不在你的局域网之内,我是通过公网来进行的。那这里就会牵引出来说第1BID这一块,你必须要支持多种不同的移动终端的这种认证,而老旧的这套系统是不能支持这种多种不同终端,因为你有可能用ipad,也有可能用安卓的手机,也有可能用iPhone,甚至说那你用到一些这种。
05:28
啊,不同的这种电脑啊之类的这种都有可能,就是或者说在你小孩的这个电脑上面去使用,这这个都是有可能的,这是一方面,那第二方面,随着云兴起以后,会企业会企业会发现说,那因为我要做产业互联网,那我刚刚也提到一个问题,我还有我的合作伙伴,过往的时候很多企业都是封闭的经济体,那现在大家会提供一个叫做产业链的这样的一个概念,会越来每一家企业都会出现大量的合作伙伴,那么这些合作伙伴可能也要跟这个企业本身有联合的一些工作,那既然他有移动化业有有合作伙伴,那已经打破了他原来说那进不来企业的都不用进来了这样的一个观点,那。
06:11
可以允许员工在这个公网办公,也可以允许我的合作伙伴通过外网来开始进入到我的这个呃基础系统里面,那这个时候的权限的这种优先级就比原来要高了,也就是总结来讲,我们以前是要靠保安来做第一道门,那现在没有保安的这个概念以后,那我们必须以这种身份来作为我的第一道门,那如何认证身份,就会导致说我们现在的这种身份认证的这样的一个功能模块的兴起。等保2.0的这些规范里面已经明确提出了对身份认证的这种多因素的这种要求,这是国家大规模的这种情况,就是就大规模的政策要求,比如说像等保2.0,那同时还有一些行业的这种规范里面也明确提了,比如说像你们,呃,去年能源行业里面已经明确提了,那我们需要有相应的这种身份安全的统一的模块的能力,比如说多因子认证,比如说身份的这种治理啊,适合身份的统一集中化的管理审计这样的模块,那所以在整个国家大的这种标准政策,比如说像等保2.0,以及这种行业政策的这种推动下,那企业也会越来越多的有有动力去做这种身份统一管理。
07:24
现在当你在外网甚至是合作伙伴的时候,这里就加入了一个很重要的这种概念是叫可信终端,那我从终端怎么来判断你是一个人,因为你有可能这个手机是别人拿了以后。尤其是安卓,这个也容易被解锁。我怎么知道操作的这个人就是本人,那第二方面的时候,如果没有统一的这种权限控制的话,那我如何保证我的工作的这种。便利性,因为经常大家在不同的这种模块里的要求是不一样的,比如说原则上来讲。我远程有些操作是不能做的,但是呢,基于说远程的这种必要性,在有有比如说有临时的这种问题的时候,我可能需要一次性的这种授权,在过往的系统里面,一般就是我给你直接把权限提上了,但他没有一个有效期的概念。
08:13
那会导致说我一次授权以后可能忘记了,然后就再也不会降回去了,那在第二次的时候,那我无意中可能点了一个删除,就直接把这个相应的某一个高优先级,高权限的这种能力所能删除的模块给删除掉,影响了现程的线网的这种故障,举个最简单的例子,这是这就是为什么在很多程序员的噩梦里面,有一条命令叫做RM-RF就是这是在root命令登录的时候,因为它可以直接把磁盘上面所有的数据给全部删除掉,那但是你如果有权限控制以后,当然当然这个不是靠I'm来实现的,这个是靠着呃,这种运维的这种权限控制来看了,但是它本质上来讲,它的含义是一样的,就是我我去物质性成一个。有问题的这种这种这种这种指令,因为就算从web上面控制也是一样的。
09:06
身份认证的产品我们称为I'm,那么I'm呃分为emm跟CM,那么emm主要是针对企业的这种雇员跟他的合作伙伴,那么C主要是针对企业的最终的这种用户,那么我们这个产品呢,呃这这个模块呢,在呃像这个数字广东,然后越省市,甚至说包括呃这个北呃这个呃中央部委的这个国省市我们也开始在使用,那么呃这个月省市和国省市其实背后都是使用了我们的这个腾讯安全的CM的这样的一个模块,它本质上来讲呢,是我们通过把呃我们用I'm的这种权限,把各个这个呃相应的这种局办的这种机关的这种主权限的能力给打通,然后呢,通过统一的这种身份的管控,在在同一点管理的这样的这种办法去实现说,因为我们的身份认证的模块已经跟各个局办,比如说呃,公安的这个出入境证件中心,比如说社保公积金医保的这些模块进行了打通。
10:06
当我们在月审室这里登录的时候,那我用户可以直接通过月审室存,呃对,比如说脸刷脸跟这个相应的微信,呃,还有手机的这种登录以后,那么我们可以在月行师这边生成一个相应的这种用户的这种权限,呃和用户的这种集中的管理,那么呢,呃,我们的身份认证这个程序呢,会在后端直接跟相应的这种局办的,这个局办的这样的一个系统进行一个权限的这种打通,那当用户在这里登录的时候,就可以直接连到这个,呃,这个相应的这个这个举办,比如说社保啊,或者公积金这样的一些模块,去进行自己的这种资料信息的这种查询,那同时的时候呢,我们因为我们在这个程序里面,我们跟国省市这样的小程序也进行了一个也单点的不就是双向的这种打通,也就是说用户不论你在国省市注册,再来月省市,还是用月省市注册,再去国省市,那所有的这个模块的这种数据,呃的这个权限都是短,都是进行了一个双向打通的。所以换句话说,我。
11:06
只要在任何一点注册,因为它有双向的这种数据打通的这样的这种机制的话,我们可以确保这个用户一点使用,可以多点通信。多个账户依次使用的话,其实在本身在权限里面是有分组的概念的,我们可以为整个的这个合作伙伴,比如说在企业使用的时候,他可以为整个合作合作伙伴的为他进行分组,我可以把一个组里面的就统一授予一样的这种权限就行了,只要把它拖拉进来,身份认证的产品走到今天,他已经是一个非常非常成熟的这样的一种产品形态了,但中间不管你是说是临时授权还是分组授权,甚至说分机构去授权,我们都可以去使用,而且而且现在呃,腾讯安全我们提供的这个身份认证的这种产品,除了在呃这种私有就是私有云的这种产品里面可以使用的话,因为他现在我们现在的组织结构,我们现在的这种基本的系统结构是可以支持公有云、私有云和混合云的三种形态的这种部署的,所以不管你是在私有化体系里面进行了一次认证,还是说你部署在公有云甚至混合云的这种场景里面进行认证的话,我们可以支持这三个维度的这种打通。那这样的话,你不管是进行这种。
12:19
从批量的这种授权还是临时性的授权,那都可以直接在一个控制台上面去完成以后在所有的模块里面都可以快速的这种登录。因为我刚刚其实提到了企业里面有两个场景,一个是em,一个是CI,因为随着越来越多的互联网的,就是传统的这种企业开始进入互联网的这个环节,那他的客户里面可能更多的就是互联网的客户,我我再提一个这个很有意思的这种场景,就是我以航空公司为例吧,那么航空公司会碰到一个很有意思的这种场景,就是他的终端客户,以前呢,我们是只要注册一个账号就完了,但是呢,他会碰到一个情况是说那航空公司注册的这个用户跟他在机场里面去办事的时候,那这两个场景之间的这种数据是不互通的,那其实就是同一个人,比如说我本人在北京,呃,国际机场。
13:12
T3,乘坐某一家航空公司的航班,但其实是同一个用户,那么在这个用户的时候,他是中间有很多这种商业的这种衍生价值的,比如说这个用户,如果我们知道说用户是在航空公司已经在浏览了航空公司,比如说呃,他有奖品兑换的这种页面,他也有很多促销的这种页面的时候,那我们在机场这里是可以为他在比如托运的时候啊,或者说他在服务区的时候,是可以为他提供更好的这种个性化的服务的,但是因为现在的这种身份认证是没有办法去提供我在这个两个关联行业之间的这种打通的这样的一种机制,那如果说要使用这种身份认证,未来未来在身份认认这里能提供这种关联企业的这样的一个打通的机制的话,那么就更好的就除了我满足身份认证集中管理的需求以外,我能延展到说我更好的去为客户去知道这个客户的这个使用的这种场景,能够为他提供更好的这种个性化的服务,能够帮助企业去最终延展他的这种个性,他的经。
14:13
价值。腾讯安全的这个I'm的这种产品,现在已经是一个比相对成熟的这种产品,那么我们在呃政府,广电呃交通呃旅游都有大量的这个案例的存在,那么而且呃,类似于像国省市和粤省市这样的这种小城区里面,我们已经拥有了数千万的这种用户和稳定超过一呃两年的这个稳定运营的这样的一个经验,未来的这个方向呢,我们会把整个的这种I'm更好的去往企业去去去进行一个呃推广,那么推广的这个过程当中,同时呢,我们会把I''m跟企业的这种办公这一块做一个更加深度的这种结合,甚至说我们会在微信这一块,就是去提供企业的整个办公的集成,我们会跟会议,跟微信能够更好的去进行一个集成,就企业微信去进行一个更好的这种集成,能够帮助整个的企业能够快速的去提供他自己的一个效率,而不用说呃,我在的其他。
15:19
的这种模块里面,再去进行一个大量重复的这个开发,就呃可以完成我整个声控管理的这种要求了。
我来说两句