关于身份与访问管理(IAM),中国的企业机构广泛采用的是4A(账户、认证、授权、审计)概念和平台。但传统的4A主要由内部控制和审计而非业务需求所驱动。因此,它无法完全解决因快速扩张的数字业务和严格的监管环境而出现的新兴使用场景。
随着围绕身份的安全威胁和攻击不断升级,这些挑战变得更为严峻。企业机构应演进为“身份优先”的安全策略,通过扩展IAM支持的业务范围,形成通用的安全控制面(见图1)。然后,企业机构应优先考虑国内支持标准协议及具有良好互操作性的工具和厂商,从而构建可组装的、敏捷的IAM架构。
图1:身与访问管理概览
明确IAM核心功能,梳理IAM技术需求
IAM项目可帮助正确的人员、机器和设备基于合理的原因,在正确的时间访问正确的资产,同时防止未经授权的访问。
IAM范围及核心功能包括:
IAM与中国本土概念和周边技术的关联
4A和安全运维堡垒机(SMBH)是在中国广泛采用的IAM概念和产品。
中国的企业机构一般采用4A概念,使用为符合企业风险和内部控制要求而设计的IAM产品。4A产品提供的集中式平台,结合了IGA、AM和用户认证的功能。
SMBH——在中国也叫做安全运维管理平台——是IT或数字系统运维的安全入口。对于在中国运营的企业机构来说,SMBH是一个常用的工具,可以帮助企业机构更好地遵守安全等级保护制度(MLPS)2.0中规定的特权账户访问管理和审计要求。
零信任网络访问(ZTNA)
安全和风险管理(SRM)领导者应了解IAM和ZTNA之间的依存关系,明确二者中哪一项,抑或是同时采用能更好地满足用户访问应用的需求。ZTNA通常的定位是代替VPN。拥有可以提供可靠身份和身份验证上下文的IAM工具是成功实施ZTNA的先决条件。SRM领导者应该优先考虑IAM,以提供身份认证上下文,特别是在具有众多SaaS应用和机器身份的现代环境中。
制定“身份优先”的安全战略及路线,以支持数字业务转型
IAM战略应被纳入IAM项目群。IAM的定位应该是数字业务的推动者,而不仅是一个安全技术项目。它需要持续和长期的投资,而不能作为一次性项目来对待。负责IAM的SRM领导者应该让利益相关者(包括IT部门以外的利益相关者)也参与进来,在符合业务优先事项和成果的前提下,定义“身份优先”的安全战略和路线。图二概述了IAM战略规划的基本步骤。
图二:IAM战略规划流程
在当今分布式IT环境下构建敏捷的可组装式IAM架构
中国的混合云采用趋势,以及新的IT方法(如DevOps、容器化、无服务器计算和微服务架构)的盛行,为IAM带来了新的挑战。传统的IAM架构和工具不够灵活,无法支持不断涌现的新兴使用场景。中国的SRM领导者应该转向一种可组装的、敏捷的IAM架构,并重新调整IAM工具选择的策略。以下两个问题尤其值得重视:
如果企业机构在IAM系统中用大量的定制化代码支持复杂的IT环境,那么由于成本和迁移的复杂度,他们很难将所有现有的IAM基础设施都换成现代化的基础设施。相反,他们需要利用现有的IAM投资,同时在新用例的驱动下增加新的、更智能的、更敏捷的能力。重要的是要意识到,IAM系统正在发生重大变化。它们需要更好的可配置性和可组装性能力,它们的设计要能跟上快速地变化和新的扩展,从而助力组织机构实现其数字化转型。
好文章,需要你的鼓励
在“PEC 2025 AI创新者大会暨第二届提示工程峰会”上,一场以“AIGC创作新范式——双脑智能时代:心智驱动的生产力变革”为主题的分论坛,成为现场最具张力的对话空间。
人民大学团队开发了Search-o1框架,让AI在推理时能像侦探一样边查资料边思考。系统通过检测不确定性词汇自动触发搜索,并用知识精炼模块从海量资料中提取关键信息无缝融入推理过程。在博士级科学问题测试中,该系统整体准确率达63.6%,在物理和生物领域甚至超越人类专家水平,为AI推理能力带来突破性提升。
Linux Mint团队计划加快发布周期,在未来几个月推出两个新版本。LMDE 7代号"Gigi"基于Debian 13开发,将包含libAdapta库以支持Gtk4应用的主题功能。新版本将停止提供32位版本支持。同时Cinnamon桌面的Wayland支持持续改进,在菜单、状态小程序和键盘输入处理方面表现更佳,有望成为完整支持Wayland的重要桌面环境之一。
Anthropic研究团队开发的REINFORCE++算法通过采用全局优势标准化解决了AI训练中的"过度拟合"问题。该算法摒弃了传统PPO方法中昂贵的价值网络组件,用统一评价标准替代针对单个问题的局部基准,有效避免了"奖励破解"现象。实验显示,REINFORCE++在处理新问题时表现更稳定,特别是在长文本推理和工具集成场景中展现出优异的泛化能力,为开发更实用可靠的AI系统提供了新思路。