電子商務(wù)安全(第2版) 課件 第13章-IBM電子商務(wù)安全解決方案

身份管理單點(diǎn)登錄（SSO）IBMSecurity案例IBM電子商務(wù)安全解決方案IBMSecurityVerify可保護(hù)企業(yè)內(nèi)外的用戶和應(yīng)用，同時(shí)作為云原生解決方案實(shí)現(xiàn)技術(shù)敏捷性和運(yùn)營(yíng)效率。除了單點(diǎn)登錄和多因素身份驗(yàn)證之外，Verify還是一種現(xiàn)代化的模塊化IDaaS（IdentifyasaService），可為基于風(fēng)險(xiǎn)的身份驗(yàn)證和自適應(yīng)訪問決策提供深入的AI支持上下文，為開發(fā)人員提供價(jià)值實(shí)現(xiàn)時(shí)間的引導(dǎo)式體驗(yàn)以及全面的云IAM功能。從隱私和同意管理到整體風(fēng)險(xiǎn)檢測(cè)和身份分析，Verify可集中員工和消費(fèi)者IAM進(jìn)行任何混合云部署。身份管理IBMSecurityVerify集中式用戶管理單點(diǎn)登錄無密碼身份驗(yàn)證多因素驗(yàn)證基于風(fēng)險(xiǎn)的身份驗(yàn)證和自適應(yīng)訪問用戶生命周期管理身份分析云IAM身份管理IBMSecurityVerify提供了一個(gè)集中式用戶管理界面，該界面可以通過管理UI進(jìn)行管理，也可以通過

RESTAPI自動(dòng)進(jìn)行管理。支持通過跨域身份管理系統(tǒng)（SCIM2.0）進(jìn)行完整的配置文件管理，以便從HR系統(tǒng)預(yù)配入站以及出站到應(yīng)用程序和其他端點(diǎn)。將多個(gè)標(biāo)識(shí)鏈接在一起，以便更輕松地進(jìn)行用戶遷移，并在用戶帳戶位于多個(gè)源（如社交提供者身份驗(yàn)證）時(shí)提供靈活的用戶體驗(yàn)。身份管理集中式用戶管理IBMSecurityVerify使用戶能夠毫不費(fèi)力地啟動(dòng)任何應(yīng)用程序。所有應(yīng)用程序都會(huì)在用戶登錄時(shí)提供給用戶。當(dāng)用戶更改角色時(shí)，會(huì)動(dòng)態(tài)調(diào)整授權(quán)以自動(dòng)添加和刪除訪問權(quán)限。當(dāng)用戶需要訪問應(yīng)用程序時(shí)，他們可以輕松地從其應(yīng)用程序目錄中請(qǐng)求訪問權(quán)限。通過Verify的自適應(yīng)訪問功能提供的高級(jí)智能，用戶不會(huì)受到影響其日常工作的多因素挑戰(zhàn)的轟炸。身份管理單點(diǎn)登錄在沒有密碼的情況下對(duì)用戶進(jìn)行身份驗(yàn)證，以提高用戶敏捷性。在Verify中，您可以使用多種無密碼方法

。這允許您完全繞過密碼并使用WindowsHello或TouchID進(jìn)行用戶身份驗(yàn)證。身份管理無密碼身份驗(yàn)證使用MFA方法驗(yàn)證用戶，包括：知識(shí)問題短信、電子郵件、語音回?fù)芤淮涡悦艽a（OTP）基于時(shí)間的一次性密碼（TOTP）推送通知審批（IBM驗(yàn)證應(yīng)用程序）指紋和人臉識(shí)別的生物識(shí)別認(rèn)證使用基于網(wǎng)絡(luò)、地理位置、設(shè)備指紋識(shí)別以及用戶和組屬性等上下文條件的粒度訪問策略來控制和保護(hù)應(yīng)用程序。身份管理多因素驗(yàn)證

減少用戶在Web應(yīng)用程序之間的訪問摩擦，而不會(huì)影響安全性。在驗(yàn)證策略管理器中創(chuàng)建訪問規(guī)則，該見解來自IBMTrusteer，收集在預(yù)定義的無代碼網(wǎng)頁中。

使用來自IBMSecurityTrusteer平臺(tái)的成熟且深入的見解，根據(jù)用戶提供的上下文信息（如設(shè)備指紋識(shí)別、連接詳細(xì)信息、位置和行為異常）生成風(fēng)險(xiǎn)評(píng)分。無需任何代碼，便能主動(dòng)保護(hù)應(yīng)用程序。身份管理基于風(fēng)險(xiǎn)的身份驗(yàn)證和自適應(yīng)訪問

利用Verify的預(yù)配功能自動(dòng)執(zhí)行用戶入職和離職。處理開箱即用適配器的

用戶配置，例如Google，Microsoft365（Azure），Box，Salesforce，ZenDesk等。Verify還具有自定義連接選項(xiàng)，適用于支持SCIM2.0進(jìn)行預(yù)配和取消預(yù)配的基于標(biāo)準(zhǔn)的應(yīng)用。當(dāng)用戶帳號(hào)在應(yīng)用上發(fā)生更改時(shí)，您可以通過Verify的管理控制臺(tái)輕松協(xié)調(diào)更改。身份管理用戶生命周期管理查看IAM環(huán)境的整體運(yùn)行狀況，并掃描跨用戶、授權(quán)和應(yīng)用程序的身份生命周期風(fēng)險(xiǎn)。深入挖掘個(gè)人用戶和應(yīng)用程序，以進(jìn)一步了解違規(guī)行為和累積的AI驅(qū)動(dòng)的風(fēng)險(xiǎn)評(píng)分。突出顯示異常（如對(duì)等組中的非典型權(quán)利），并執(zhí)行Verify建議的補(bǔ)救措施，如重新認(rèn)證訪問權(quán)限或刪除權(quán)利。身份管理身份分析

身份和訪問管理（即IAM）是一種安全規(guī)程，它使合適的實(shí)體（人員或事物）能夠使用自己想要使用的設(shè)備，在需要時(shí)不受干擾地使用合適的資源（應(yīng)用程序或數(shù)據(jù)）。IAM由特定系統(tǒng)和流程組成，它們?cè)试SIT管理員為每個(gè)實(shí)體分配單個(gè)數(shù)字身份，在他們登錄時(shí)進(jìn)行認(rèn)證，授權(quán)他們?cè)L問指定的資源，以及監(jiān)視和管理這些身份的整個(gè)生命周期。身份管理云IAM特權(quán)訪問管理(PAM)基于角色的訪問管理(RBAC)IAM訪問管理身份管理單點(diǎn)登錄（SSO）IBMSecurity案例IBM電子商務(wù)安全解決方案單點(diǎn)登錄單點(diǎn)登錄SSO（SingleSignOn）簡(jiǎn)而言之就是在一個(gè)多系統(tǒng)共存的環(huán)境下，用戶在一處登錄后，就不用再在其他系統(tǒng)中登錄，也就是用戶的一次登錄能得到其他所有系統(tǒng)的信任。單點(diǎn)登錄在大型網(wǎng)站里使用得非常頻繁，例如像阿里巴巴這樣的網(wǎng)站，在網(wǎng)站的背后是成百上千的子系統(tǒng)，用戶一次操作或交易可能涉及到幾十個(gè)子系統(tǒng)的協(xié)作。單點(diǎn)登錄單點(diǎn)登錄（SSO）原理單點(diǎn)登錄以Cookie作為憑證媒介通過JSONP實(shí)現(xiàn)通過token的方式通過jwt的方法單點(diǎn)登錄以Cookie作為憑證媒介單點(diǎn)登錄以Cookie作為憑證媒介Cookie不安全不能跨域?qū)崿F(xiàn)免登單點(diǎn)登錄通過JSONP實(shí)現(xiàn)單點(diǎn)登錄通過JSONP實(shí)現(xiàn)能跨域?qū)崿F(xiàn)免登Cookie不安全

單點(diǎn)登錄通過token的方式單點(diǎn)登錄通過token的方式能跨域?qū)崿F(xiàn)免登Cookie安全數(shù)據(jù)庫(kù)的壓力太大單點(diǎn)登錄JWT方法JWT全稱是JavaWebToken。其實(shí)就是特殊的token，理解起來就是攜帶著用戶信息的token。所以JWT認(rèn)證和token認(rèn)證本質(zhì)上是一樣的。只不過token認(rèn)證的用戶信息是從數(shù)據(jù)庫(kù)里查的。而JWT認(rèn)證的用戶信息是直接從token解析出來的。單點(diǎn)登錄單點(diǎn)登錄的好處：提高用戶的效率。提高開發(fā)人員的效率。簡(jiǎn)化管理。單點(diǎn)登錄思考題：?jiǎn)吸c(diǎn)登錄的壞處？單點(diǎn)登錄單點(diǎn)登錄的壞處：難以重構(gòu)。無人看守的桌面。

單點(diǎn)攻擊。身份管理單點(diǎn)登錄（SSO）IBMSecurity案例IBM電子商務(wù)安全解決方案案例VLI利用IBMSecurity解決方案更快、更安全地運(yùn)送貨物案例每年在巴西各地運(yùn)輸超過3800萬噸的農(nóng)產(chǎn)品、鋼鐵和礦物產(chǎn)品需要做些什么？對(duì)于VLI，它需要8000公里的鐵路，100輛機(jī)車，6700輛鐵路車廂，八個(gè)多式聯(lián)運(yùn)碼頭，四個(gè)戰(zhàn)略位置的航運(yùn)港口，8000名員工和1000名承包商。案例盡管物流和運(yùn)輸很復(fù)雜，但挑戰(zhàn)遠(yuǎn)遠(yuǎn)超出了簡(jiǎn)單地將產(chǎn)品從A點(diǎn)移動(dòng)到B點(diǎn)。作為鐵路、港口和碼頭綜合物流系統(tǒng)的所有者和運(yùn)營(yíng)商，VLI必須應(yīng)對(duì)與合規(guī)、安保、安全和其他因素相關(guān)的無數(shù)政府法規(guī)?！拔覀兪且患覔碛性S多政府法規(guī)的公司，”VLI首席信息安全官（CISO）ThiagoGalvao解釋說?！霸诎臀?，港口法規(guī)要求我們制定與安全相關(guān)的特定控制和流程。最后，法規(guī)與技術(shù)有關(guān)，因此身份管理對(duì)我來說很重要。案例作為裝卸貨物程序的一部分，卡車司機(jī)和鐵路運(yùn)營(yíng)商不得不反復(fù)登錄系統(tǒng)以訪問報(bào)告和交易，從而減慢了流程并降低了生產(chǎn)率。盡管該公司擁有龐大的IT和開發(fā)團(tuán)隊(duì)，但無法跟蹤或跟蹤訪問VLI服務(wù)器的特權(quán)用戶。新員工入職并授予他們?cè)L問系統(tǒng)和應(yīng)用程序的權(quán)限的過程花費(fèi)了數(shù)周時(shí)間，因?yàn)樗鞘謩?dòng)處理的。該公司還依靠勞動(dòng)密集型的基于紙張的流程來管理用戶生命周期，并執(zhí)行與用戶訪問相關(guān)的其他控制。案例當(dāng)Galvao于2018年加入公司時(shí)，他立即意識(shí)到對(duì)身份和訪問管理（IAM）解決方案的需求?！拔覀冞^去沒有身份認(rèn)同，我做了一個(gè)評(píng)估，并向董事會(huì)展示了風(fēng)險(xiǎn)，以及建立一個(gè)系統(tǒng)來控制用戶訪問的重要性。案例VLI是IBM首個(gè)在IBM安全身份和訪問管理產(chǎn)品的整個(gè)產(chǎn)品組合中部署解決方案的客戶。為了幫助進(jìn)行集成和部署，VLI求助于IBM業(yè)務(wù)合作伙伴Qriar，這是一家專門從事網(wǎng)絡(luò)安全解決方案的技術(shù)公司。Qriar自最初的RFP應(yīng)答階段以來一直與VLI合作。它在整個(gè)項(xiàng)目中與公司合作，從規(guī)劃和定義架構(gòu)到根據(jù)客戶的需求和最佳實(shí)踐推出、安裝、配置和定制IBM產(chǎn)品。案例VLI分四個(gè)階段推出了解決方案案例第一階段于2019年9月開始，兩個(gè)月后結(jié)束，重點(diǎn)是IGA。在此期間，該公司部署了IBMSecurityVerifyGovernance軟件和MicrosoftAzureActiveDirectory平臺(tái)。IBM軟件可自動(dòng)執(zhí)行過去勞動(dòng)密集型的流程，例如訪問認(rèn)證、訪問請(qǐng)求和密碼管理。它還提供詳細(xì)的報(bào)告和重新認(rèn)證活動(dòng)，以確保用戶僅獲得完成工作所需的訪問權(quán)限。案例在第2階段，VLI部署了IBM特權(quán)訪問管理套件中的三個(gè)解決方案：IBMSecurityVerifyPrivilegeVault、IBMSecurityVerifyPrivilegeManagerforClient和IBMSecurityVerifyPrivilegeManagerforServer技術(shù)。IBMSecurityVerifyPrivilegeVault軟件無需共享特權(quán)用戶的密碼，從而幫助保護(hù)VLI最敏感的服務(wù)器。會(huì)話記錄功能記錄服務(wù)器上執(zhí)行的所有操作，從而提供廣泛的審計(jì)跟蹤，并幫助VLI管理對(duì)嚴(yán)格身份治理要求的合規(guī)性。案例IBM安全驗(yàn)證權(quán)限管理器技術(shù)通過減少在端點(diǎn)上具有管理權(quán)限的非管理用戶的數(shù)量，幫助VLI最大限度地降低惡意軟件和勒索軟件攻擊的風(fēng)險(xiǎn)。VLI還可以配置受信任和不受信任的應(yīng)用程序和命令的列表，并自定義提升策略。案例在第3階段，VLI部署了IBMSecurityVerifyAccess（以前稱為IBMSecurityAccessManager軟件或ISAM）的企業(yè)版和虛擬企業(yè)版以及IBMSecurityDirectorySuiteEnterpriseEdition技術(shù)。案例除了簡(jiǎn)化身份驗(yàn)證架構(gòu)之外，IBM安全驗(yàn)證訪問軟件還為基于Web和非基于Web的系統(tǒng)提供單點(diǎn)登錄（SSO）功能，有助于提高生產(chǎn)線工作人員的工作效率。將來，該公司可以擴(kuò)展其虛擬版本，以實(shí)現(xiàn)多因素識(shí)別或無需密碼的登錄。借助IBMSecurityDirectorySuite技術(shù)強(qiáng)大且可擴(kuò)展的目錄，VLI可以存儲(chǔ)內(nèi)部和外部用戶的身份，并利用強(qiáng)大的復(fù)制和高可用性功能。案例目前，VLI處于第4階段，涉及將其IGI解決方案與SAPERP集成。最終，IBM技術(shù)將連接到10多個(gè)關(guān)鍵的IT系統(tǒng)和子系統(tǒng)。它們還將幫助支持VLI的IAM標(biāo)準(zhǔn)，以便與現(xiàn)有和新