什么是新一代身份安全

新一代身份安全是對與政企數字化業務的用戶身份管理與訪問控制相關的一系列能力組件的統稱。利用系統工程方法將身份管理與訪問控制能力組件相互組合，構成協同聯動的技術平臺、運行管理流程和安全管理規范，特征是以數據驅動構建身份安全。在數字化場景下，新一代身份安全以泛化身份數據管理和資源屬性管理為基石，采用基于屬性的權限管理與訪問控制將數字身份同政企業務運行環境進行聚合，實現全場景數字化身份安全管理。

新一代身份安全設計思路包括以下這些：

• 以身份為基礎：夯實基礎設施及應用的安全防護，進一步強化以身份為中心的訪問控制體系。通過聚合人員、設備、程序等主體的數字身份，為動態訪問控制提供基于由身份數據驅動的訪問決策支撐，為身份分析平臺提供身份大數據所依賴的身份、權限和屬性數據。

• 最小權限控制：遵循最小化權限原則，為訪問主體按需設定最小權限。通過構建保護面來實現對攻擊面的收縮，默認隱藏所有業務，開放最小權限，所有的業務訪問請求都應該進行全流量加密和強制授權，并針對要保護的核心業務資產（如應用、服務、接口等）構建安全訪問屏障。

• 持續信任評估：以身份大數據為支撐，通過信任評估引擎，實現基于身份的信任評估能力，同時對訪問的上下文環境進行風險判定，對訪問請求進行異常行為識別并對信任評估結果進行調整。持續信任評估為身份基礎設施提供策略驅動的自動化治理能力，為動態訪問控制平臺提供信任評估結果，并將其作為動態權限判定的依據。

• 動態訪問控制：動態訪問控制是零信任架構的安全閉環能力的重要體現。它通過RBAC和ABAC的組合授權實現靈活的訪問控制基線，基于信任等級實現分級的業務訪問，當訪問上下文和環境存在風險時，需要對訪問權限進行實時干預并評估是否對訪問主體的信任進行降級。動態訪問控制能力依據身份基礎設施和身份分析能力，為全場景業務的安全訪問提供能力支撐，是全場景業務安全訪問的策略判定點。

• 實施動態最小權限：實施動態最小權限的依據是訪問的上下文場景信息，需要匯聚身份、權限、行為、風險等數據，根據多維度的數據和屬性進行分析研判，決定能賦予訪問者的權限。以訪問者的崗位、訪問者需要開展的業務需求為基礎，開放其完成任務所需要的最小權限。實時感知訪問風險并對權限進行動態調整，實現風險閉環對應的動態最小權限。在全業務場景中部署策略控制點，確保動態最小權限策略不被繞過。

回答所涉及的環境：聯想天逸510S、Windows 10。