关于身份与访问管理(IAM),中国的企业机构广泛采用的是4A(账户、认证、授权、审计)概念和平台。但传统的4A主要由内部控制和审计而非业务需求所驱动。因此,它无法完全解决因快速扩张的数字业务和严格的监管环境而出现的新兴使用场景。
随着围绕身份的安全威胁和攻击不断升级,这些挑战变得更为严峻。企业机构应演进为“身份优先”的安全策略,通过扩展IAM支持的业务范围,形成通用的安全控制面(见图1)。然后,企业机构应优先考虑国内支持标准协议及具有良好互操作性的工具和厂商,从而构建可组装的、敏捷的IAM架构。
图1:身与访问管理概览
明确IAM核心功能,梳理IAM技术需求
IAM项目可帮助正确的人员、机器和设备基于合理的原因,在正确的时间访问正确的资产,同时防止未经授权的访问。
IAM范围及核心功能包括:
IAM与中国本土概念和周边技术的关联
4A和安全运维堡垒机(SMBH)是在中国广泛采用的IAM概念和产品。
中国的企业机构一般采用4A概念,使用为符合企业风险和内部控制要求而设计的IAM产品。4A产品提供的集中式平台,结合了IGA、AM和用户认证的功能。
SMBH——在中国也叫做安全运维管理平台——是IT或数字系统运维的安全入口。对于在中国运营的企业机构来说,SMBH是一个常用的工具,可以帮助企业机构更好地遵守安全等级保护制度(MLPS)2.0中规定的特权账户访问管理和审计要求。
零信任网络访问(ZTNA)
安全和风险管理(SRM)领导者应了解IAM和ZTNA之间的依存关系,明确二者中哪一项,抑或是同时采用能更好地满足用户访问应用的需求。ZTNA通常的定位是代替VPN。拥有可以提供可靠身份和身份验证上下文的IAM工具是成功实施ZTNA的先决条件。SRM领导者应该优先考虑IAM,以提供身份认证上下文,特别是在具有众多SaaS应用和机器身份的现代环境中。
制定“身份优先”的安全战略及路线,以支持数字业务转型
IAM战略应被纳入IAM项目群。IAM的定位应该是数字业务的推动者,而不仅是一个安全技术项目。它需要持续和长期的投资,而不能作为一次性项目来对待。负责IAM的SRM领导者应该让利益相关者(包括IT部门以外的利益相关者)也参与进来,在符合业务优先事项和成果的前提下,定义“身份优先”的安全战略和路线。图二概述了IAM战略规划的基本步骤。
图二:IAM战略规划流程
在当今分布式IT环境下构建敏捷的可组装式IAM架构
中国的混合云采用趋势,以及新的IT方法(如DevOps、容器化、无服务器计算和微服务架构)的盛行,为IAM带来了新的挑战。传统的IAM架构和工具不够灵活,无法支持不断涌现的新兴使用场景。中国的SRM领导者应该转向一种可组装的、敏捷的IAM架构,并重新调整IAM工具选择的策略。以下两个问题尤其值得重视:
如果企业机构在IAM系统中用大量的定制化代码支持复杂的IT环境,那么由于成本和迁移的复杂度,他们很难将所有现有的IAM基础设施都换成现代化的基础设施。相反,他们需要利用现有的IAM投资,同时在新用例的驱动下增加新的、更智能的、更敏捷的能力。重要的是要意识到,IAM系统正在发生重大变化。它们需要更好的可配置性和可组装性能力,它们的设计要能跟上快速地变化和新的扩展,从而助力组织机构实现其数字化转型。
好文章,需要你的鼓励
在我们的日常生活中,睡眠的重要性不言而喻。一个晚上没睡好,第二天的工作效率就会大打折扣,而充足的睡眠不仅能让我们恢复精力,还能帮助大脑整理和巩固当天学到的知识。有趣的是,AI模型竟然也表现出了类似的“睡眠需求”。
DeepSeek-AI团队通过创新的软硬件协同设计,仅用2048张GPU训练出性能卓越的DeepSeek-V3大语言模型,挑战了AI训练需要海量资源的传统观念。该研究采用多头潜在注意力、专家混合架构、FP8低精度训练等技术,大幅提升内存效率和计算性能,为AI技术的民主化和可持续发展提供了新思路。
尽管模型上下文协议(MCP)自11月推出以来用户数量快速增长,但金融机构等监管行业仍保持谨慎态度。银行等金融服务公司虽然在机器学习和算法方面是先驱,但对于MCP和Agent2Agent(A2A)系统的采用较为保守。监管企业通常只使用内部代理,因为其API集成需要经过多年审查以确保合规性和安全性。专家指出,MCP缺乏基本构建块,特别是在互操作性、通信标准、身份验证和审计跟踪方面。金融机构需要确保代理能够进行"了解您的客户"验证,并具备可验证的身份识别能力。
加拿大女王大学研究团队首次系统评估了大型视频语言模型的因果推理能力,发现即使最先进的AI在理解视频中事件因果关系方面表现极差,大多数模型准确率甚至低于随机猜测。研究创建了全球首个视频因果推理基准VCRBench,并提出了识别-推理分解法(RRD),通过任务分解显著提升了AI性能,最高改善幅度达25.2%。