搜索

以身份安全为基础,联动应用安全、数据安全,「派拉软件」帮助企业建立多层次安全能力

真梓 · 2020-06-09
形成信息安全产品矩阵。

IAM( Identity and Access Management ),即“身份与访问控制管理” 是网络安全领域中的一个细分方向。从效果上来看,IAM产品可以定义和管理用户的角色和访问权限,并规定用户获得授权(或被拒绝授权)的前提条件。它的核心目标是为每个用户赋予数字身份,并在登录、权限授予、登出系统的整个过程中,及时为用户赋予匹配的权限,以保证企业资产访问安全。

根据Gartner的定义,IAM的核心主题围绕以下几个方向展开。

  • 认证 ,指的是通过确认实体(包含人与设备等)的身份,建立信任,这其中的概念包括多因素认证等。

  • 访问控制,确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。

  • 身份治理,对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。

  • 特权身份管理,指的是对管理员等权限较高的账户等进行进一步管理。

和其他网络安全产品不同的一点是,IAM是一套“平台级系统”,需要连接各种应用打通信息孤岛,实现企业身份管理。由此产生的效果不仅是减少由于账号滥用等问题而产生的安全风险,同时也可以提升企业自身的IT管理效率。以中、大型企业举例,这类企业通常员工较多并对接了不少业务系统,如果自身缺少类似的身份管理平台,那么企业在需要关停某些账号时,就会给自己的IT人员带来较大工作量,同时还有可能关停不到位,从而造成安全风险的提升和企业运营效率的下降。也正是由于企业在数字化转型时产生的类似需求增加,再加上信息安全政策驱动,自 2018 年起,IAM 行业呈现快速发展态势。

36氪日前接触到的「派拉软件」(以下简称「派拉」),成立于2008年,自2011年起聚焦于身份领域,目前已成长为该行业的头部公司之一。并且该公司以身份安全为基础,衍生出应用安全和数据安全两条新产品线,不仅为「派拉」身份安全产品赋能,同时其独立的产品能力,使派拉形成了覆盖以上三领域的信息安全产品矩阵。

相较而言,身份安全是「派拉」最重要的一条业务线。值得一提的是,公司在以上提到的认证、访问控制、身份治理等典型IAM功能基础上,衍生出C端身份管理平台、物联网身份管理平台以及云身份管理平台等产品。

据公司创始人兼CEO谭翔介绍,C端身份管理平台的目的是帮助企业方管理C端身份。

在营销等业务场景中,用户可能会通过手机、微信等不同方式进行注册购买,同时这些数据由于来源不同也可能会分散存储在营销、服务等不同的部门中,这对企业确定用户身份和来源产生难度。一个统一的C端用户身份管理平台可以起到厘清用户来源,防范欺诈行为等效果。

提到C端用户数据的使用,目前还有一些CDP公司会对用户数据打标签、分层等,目的是帮企业进行营销,而「派拉」的C端身份管理平台可以从身份层面整合用户信息,拿到企业全量的C端用户数据,为营销活动提供支撑。从企业客户的角度出发,CDP类型的公司更像一个业务系统,而「派拉」这样的C端身份管理平台更像一个内部管理系统。

物联网身份管理平台,是公司在2019年推出的新产品。和员工身份管理类似,物联网设备也需要确认身份从而降低安全风险。“如果任何一个设备都可以接入网络,那么物联网设备需要去认证云端下发的指令是不是自己真正该接受的指令,这就对物联网的身份管理产生了需求。”谭翔介绍。目前「派拉」的物联网身份管理平台先在汽车行业进行试点,接下来计划推广到其他行业客户中。

云身份管理平台,即IDaaS身份认证云。相比传统的IAM产品以私有化部署为主,面向客户多分布在金融、政府、能源、汽车领域。云交付的身份安全产品由于成本较低、部署速度快等因素,更适合中、小型企业采购。「派拉」的IDaaS业务从2015年开始推进,目前面向中型企业较多。

应用安全和数据安全是「派拉」在身份基础上建立的两条业务。在「派拉」的应用安全产品线中,API安全网关平台是一个典型产品。在银行等金融客户的日常工作场景中,常常需要面对许多消费类APP调用API的需求。这种情况涉及到软件和软件之间的认证和访问管理,而软件之间的认证途径可以通过确认API的身份、为匹配的API授权实现。国外的身份安全公司如Okta等也有类似产品。

数据安全产品是公司从2016年开始做的业务,具体包含大数据安全管理平台、数据湖平台、大数据日志分析平台等产品。关于数据安全,目前在市面上已经有一些专攻于此的厂商,对此谭翔介绍,「派拉」的相关产品会走相对差异化路线,“我们不会进入到传统数据库管理领域。公司目前会针对大数据库进行安全访问管理,业界其他公司目前多还围绕Oracle、MySQL等关系数据库。”

谈及扩展业务线的初衷,谭翔介绍,应用安全仍属于身份领域的拓展,而数据安全可以为客户提供价值加成,帮助客户在身份管理的基础上实现对数据的控制,对「派拉」来说相当于已有能力的变现。而且,扩展业务线对公司而言也意味着人力和财力的投入,「派拉」是在衡量自身能力的基础上有规划地扩展产品,暂时没有大规模扩展更多产品的计划,希望在已有产品的细分领域上做到前沿水准。

从投入规模和营收占比来看,身份安全仍是「派拉」目前最重要的产品线。公司当前有员工约400人,约70%的人手归属于身份安全业务,典型客户案例包含中国信息安全测评中心、中国银行、中国银联、中国投资、太平保险、中核集团、一汽集团、上汽集团、东风集团、长江电力等。

具体到客户方的考量标准,谭翔介绍,能否满足细致的功能点要求是关注重点之一,比如在遇到员工离职、调岗等情况是权限是否能快速匹配,用户忘记密码时是否可以快速解决相关问题等,用户登录时的行为轨迹是否能完整展现等。

整体来看,谭翔认为「派拉」相较友商的优势主要有二,首先是创业团队技术基因浓厚,这会使公司的产品和技术能力更强。第二在客户组成方面,公司的客户分布在各行各业,已为超过 1000家客户提供服务,其中也包括很多外资客户,并不完全集中于央企国企。

+1
2

好文章,需要你的鼓励

参与评论
登录后才能参与讨论哦...
后参与讨论
提交评论0/1000

请回复有价值的信息,无意义的评论将很快被删除,账号将被禁止发言。

下一篇

当一向货不愁卖的头部品牌开始以极为罕见的力度打折促销,整个行业都应该为此提高警惕。

2020-06-09

36氪APP让一部分人先看到未来
36氪
鲸准
氪空间

为你推送和解读最前沿、最有料的科技创投资讯

一级市场金融信息和系统服务提供商

聚集全球最优秀的创业者,项目融资率接近97%,领跑行业