企业统一门户之后，才是真正的安全危机开启时……

说到企业门户，大家都很熟悉。无论是各大企业官方网站门户，还是企业各系统应用的登录门户，随时随地，你都不可避免的要和门户打交道。

随着企业信息化与数字化发展的不断深入演进，企业系统应用越来越多，门户也随之越来越多，而你需要记忆的网址、用户名、密码也变得越来越多了。

处理一个业务，你需要频繁切换不同系统门户；忘记账号、密码、网址等现象时有发生；系统各自独立，信息孤岛丛生，跨部门协作与知识共享难；IT系统架构和操作、运维、管理越来越复杂……

这时候，你发现曾经被设计用来辅助企业和员工的软件应用，在不断地新增累积下，逐渐变成了另一种负累。

这时候，怎么办？统一门户来办！

这年头，已经很难再找出一家没有统一办公门户的企业了。如果有，那要么在统一门户建设中，要么在计划中。

而往往当企业统一办公门户建成之时，也就是企业真正的安全危机开启时。

首先，统一门户对企业肯定是有利的，甚至就是大势所趋。但是，如果没有安全基础的统一门户，那就会变成一个“漏洞百出、危机四伏”的集中地，成为企业安全防护中最大的漏洞之一。比如：

1.统一门户，却未做好身份管理

很多企业完成了门户的统一，但是在身份管理上依然停留在过去的各系统分散管理。

也就是说在门户中有一套身份，在各大业务系统应用中又各自有一套身份，不同系统身份管理的技术标准、规则还不统一。
 
这样分散的身份管理体系，随着企业业务系统的不断增加将会越来越难以有效管控，还会滋生孤儿账号、弱口令账号、僵尸账号、幽灵账号等高危账号。

而派拉软件提供的统一身份与访问控制管理（IAM）平台可以有效的满足企业多重需求。

若企业还未建设统一门户，IAM平台可以为企业提供统一门户，基于IAM平台功能，提供新闻公告、消息待办、应用中心、工作日历、常用链接、BI看板等功能；

若企业已建立了门户，为不改变用户习惯，IAM平台可以集成企业已有门户，为门户提供身份账号管理和应用系统集成、单点登录等功能。

IAM平台作为企业统一认证管理中心，负责所有应用认证集成、身份账号与权限统一管理等。

2.单点登录，却没有强安全认证

当然，很多企业为了便利性，在统一门户同时，往往会结合单点登录，解决多账号、多密码问题。

但是，普通专一做门户的企业在单点登录上往往没有很好的安全认证能力。如果门户不具备认证安全，那门户就极易被不法分子攻破。
 
此外，如果有重要系统需要加强保护，风险人员的访问更需要强管控，此时在安全认证基础上还需引入二次认证，加强关键系统与访问人员的安全认证。

甚至结合UEBA能力，通过收集大量用户和实体登录行为数据和复杂的逻辑分析，进行智能化安全认证。

而这些安全能力都已经在派拉软件多因素认证平台上实现。通过采用丰富的API和SDK，快速接入应用、系统和设备，保障企业单点登录需求。

与此同时，内置动态口令认证、二维码认证（如微信、钉钉等移动端扫码登录），并集成短信认证、生物识别认证，第三方数字证书、RSA认证等十几种认证方式来验证用户身份，可根据不同用户维度自定义登录策略、二次认证和风险策略。

结合UEBA能力，对用户访问行为进行动态风险评估，并基于策略与智能化模型快速风险识别，随需响应并匹配相应的安全等级认证方式，提高用户认证的安全性，加强登录认证的安全性、可靠性。

3.破除孤岛，却未做好权限管控

企业做好了统一门户，那也就意味着底层数据的打通，过去隔离各部门的信息墙被打破，部门间的协同变得高效、快速、便捷。但与此同时，安全问题日渐凸显。

以权限管控为例，统一门户让企业所有业务系统暴露在每个身份账号面前。如果企业未做好权限管控，那任意一个账号被攻破都可能造成所有业务数据信息被泄露风险。

因此，采取最小权限原则，把每个用户、身份、账号的权限细化到业务、到菜单栏、到行列等等，将每个账号关联到对应的身份与对应的实体人，结合视频、日志等审计能力，让每一次账号的访问全流程都能被控制、被审计。

一旦出现异常情况能快速及时的告警，并通过审计追溯到账号、身份以及实际的责任人。

4.系统集成，却缺少统一API安全

数字时代，企业统一门户正是希望将越来越多的业务系统应用统一集成、数据互联互通，高效协同共享。然而，随着企业在业务应用需求变得日趋复杂，企业的IT基础设施也变得复杂且难以有效管控。

如果只顾及不断地将各系统应用集成、信息共享，构建统一门户，而忽略了对各个系统应用的及时有效安全管控，势必会让这个门户充满了安全漏洞。

比如，企业信息化程度不断提升，越来越多的API被开放给内部门户、C端门户、合作伙伴门户等，风险暴露面不断增加……

而对于企业系统应用安全运维而言，没有统一的安全运维平台，也会导致系统应用管理运维的混乱无序与低效。

例如，某集团有上百个业务系统应用，哪些系统应用需要互相连接协同、有多少API资产、某个系统对外开放了多少接口等等，这些如果没有一个统一管理平台是很难掌控管理的。

因此，借助类似派拉软件API安全管理平台是每个企业在数字化转型、云化过程中必须要采取的安全防护手段之一。而实际调研数据也显示，企业API安全防护迫在眉睫。

据Gartner的研究，2022年，超过90%web应用程序遭到的攻击来自API。国际权威调查显示，API攻击流量在一年中增长了 681%，94%的所有失窃数据涉及API暴露安全。

所以无论是从企业实际需求还是安全现状来看，加强企业API安全都至关重要。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌 握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法