構(gòu)筑身份管理系統(tǒng)的幾大要素

構(gòu)筑身份管理系統(tǒng)的幾大要素

一、必不可少的身份和存取管理

從用戶的觀點來看，身份管理可能像應(yīng)用程序的登錄一樣簡單，但是從企業(yè)領(lǐng)導(dǎo)層的觀點來看，身份和存取管理(I&AM)是一項更為復(fù)雜的事業(yè)。這項事業(yè)的核心是旨在讓合適的人員進入重要信息系統(tǒng)，而不正當?shù)娜藛T則被擋在門外。做好身份管理工作，能夠防止IT經(jīng)理浪費時間和金錢，及時解決數(shù)據(jù)安全問題；能夠把所有相關(guān)信息集中存放，使管理人員更容易管理，并允許用戶管理自己的檔案；能夠降低入侵者或不正當?shù)娜藛T獲得機密數(shù)據(jù)或使用目的，未用過的賬號進入公司系統(tǒng)的可能性。坦率地說，不重視身份認證管理即是讓重要信息資源和個人信息處于無法承擔(dān)的風(fēng)險當中。廣義地說，身份管理可描述為企業(yè)能夠建立并管理數(shù)字身份，定義誰進入那個系統(tǒng)并保護私人和業(yè)務(wù)機密信息的一套業(yè)務(wù)流程、政策和技術(shù)。過去，身份管理主要是防止未獲得授權(quán)的用戶訪問特定數(shù)據(jù)。如今，身份管理正在朝著讓信得過的，經(jīng)過認證的用戶訪問Web服務(wù)和應(yīng)用這樣的模式發(fā)展。

二、構(gòu)建身份管理系統(tǒng)六要素

那么如何構(gòu)建身份管理系統(tǒng)呢？據(jù)筆者觀察，盡管沒有標準身份管理套件，許多企業(yè)逐漸使用下列主要技術(shù)提高安全性、降低成本、支持業(yè)務(wù)流程并提高效率。一流的身份管理工作的基礎(chǔ)由六項技術(shù)組成，包括：認證、存取管理、用戶管理、配給、數(shù)據(jù)存儲、網(wǎng)絡(luò)和應(yīng)用集成服務(wù)。(1)認證證實所有用戶的身份當然對建立各個企業(yè)所依賴的信任關(guān)系至關(guān)重要。許多公司使用令牌、智能卡和數(shù)字證書等便攜式設(shè)備技術(shù)加強認證效果。直到最近，認證仍然主要采用口令方式。單點登錄(SSO)技術(shù)的出現(xiàn)，為使用多個口令進行認證提供了代用方案并提供了整個企業(yè)中的各種應(yīng)用。盡管單點登錄給用戶提供了很大的方便并且提高了生產(chǎn)率，但是在某種程度上，也向用戶提供了進入企業(yè)王國的密鑰。用戶必須加強保護這些具有強認證功能的“密鑰”，強認證將用戶與其行為聯(lián)系起來，證實所述用戶是訪問資源或完成事務(wù)的個人。(2)存取管理鑒于公司可以通過認證驗證用戶身份，所以存取管理是決定誰訪問哪些應(yīng)用、服務(wù)和業(yè)務(wù)資源的方法和流程。隨著現(xiàn)代公司逐漸雇傭承包商并致力于與合作伙伴建立牢固、開放的關(guān)系，公司向越來越多的用戶開放其系統(tǒng)。通常公司在如此行事時，并沒有管理系統(tǒng)訪問權(quán)限的企業(yè)政策。因此，外部人員可能毫無必要訪問卻訪問了機密商業(yè)資源。通過存取管理，向IT員工授予權(quán)力，允許依據(jù)他們選定的標準(通常按用戶的具體位置，具體地按用戶部門、職務(wù)說明書或在公司的任期)向用戶分配訪問權(quán)限。從商業(yè)客戶的觀點來看，可以依據(jù)賬戶余額、信用評級或其他預(yù)先確定的基準設(shè)置訪問權(quán)限。(3)用戶管理用戶管理是通過授權(quán)管理，組織可以分配管理IT以外用戶賬號的責(zé)任。例如，具體的業(yè)務(wù)單位或部門可能能夠更新自己的用戶賬號，而不會增加IT部門的工作量。另一種方法是用戶自理，允許用戶通過公司內(nèi)聯(lián)網(wǎng)更新部分舊賬戶，如地址信息。通常，當用戶忘記其密碼時，用戶就與IT員工聯(lián)系，IT員工必須接著進入系統(tǒng)并人工重設(shè)密碼。根據(jù)IDC公司的資料，平均5000名雇員的公司每年在密碼管理上花費100至150萬美元。(國內(nèi)還沒有相關(guān)的統(tǒng)計資料)。采用用戶自理方式時，通過減少與密碼相關(guān)的幫助要求，降低成本、提高數(shù)據(jù)輸入的準確程度以及提高效率，可以快速收回投資。(4)配給管理配給指依據(jù)商業(yè)政策為雇員、商業(yè)合作伙伴和客戶在多種應(yīng)用和資源范圍內(nèi)分配數(shù)字身份和訪問權(quán)限。為了徹底減少問題，在開始時必須準確可靠地配給。自動分配、維護和撤回這些身份和權(quán)限應(yīng)成為集中統(tǒng)一的功能。配給不正確，會產(chǎn)生過時的“孤立賬戶”。這些到期的賬戶為雇員和黑客留下了開放的門，帶來了安全風(fēng)險。(5)數(shù)據(jù)存儲設(shè)施目錄和數(shù)據(jù)庫等數(shù)據(jù)存儲設(shè)施存儲和檢索用戶身份信息。數(shù)據(jù)存儲設(shè)施沒有吸引力，但卻是身份管理不可分割的一部分。通過數(shù)據(jù)存儲設(shè)施，可以從分布很廣的場所中的多種應(yīng)用集中查看、收集和組織用戶數(shù)據(jù)。數(shù)據(jù)存儲設(shè)施還消除了多種應(yīng)用中的重復(fù)身份信息。為保障數(shù)據(jù)存儲設(shè)施安全而考慮的兩種技術(shù)是加密和數(shù)據(jù)拆分(在不同服務(wù)器中拆分信息)。一些公司存儲私人信息(例如，社會保障號碼)以便對客戶進行認證，這些私人信息使數(shù)據(jù)庫不僅造價高昂，而且吸引想要成為黑客的人。對于這類存儲的數(shù)據(jù)，廣泛使用加密技術(shù)對客戶信息進行加密，使客戶信息在被盜取或截取時無法辨認。通過拆分數(shù)據(jù)，公司保證任何單獨一臺服務(wù)器中都沒有完整的社會保障號碼；黑客不得不設(shè)法控制多臺服務(wù)器，這無疑極大地加大了黑客破解的難度。(6)網(wǎng)絡(luò)和應(yīng)用集成服務(wù)為了保證服務(wù)真正全面廣泛，身份管理戰(zhàn)略必須將其功能與組織現(xiàn)有和將來的企業(yè)技術(shù)和基礎(chǔ)設(shè)施融為一體。需要保護的各種元件有：VPN、CRM和HR應(yīng)用服務(wù)器以及與門戶相連的供應(yīng)鏈管理系統(tǒng)、Web服務(wù)器和其他網(wǎng)絡(luò)和后端系統(tǒng)。安全解決方案包括應(yīng)用程序界面、Web代理、Web服務(wù)和合作伙伴的產(chǎn)品的互操作能力，所有這些都設(shè)計用于有效地將不同的企業(yè)系統(tǒng)與保障其安全的安全技術(shù)融為一體。強認證管理戰(zhàn)略還要求承擔(dān)更大的責(zé)任。因為公司面臨許多新規(guī)定，如《1996年健康信息可攜帶性和責(zé)任法》(通常稱為HIPPA)、《2002年Sarbanes-Oxley法)以及《1999年Gramm-Leach-Bliley法》，創(chuàng)建審計跟蹤記錄是一種寶貴的方法。

三、目前市場已經(jīng)提供的部分解決方案

目前市場上已經(jīng)有了比較齊全的產(chǎn)品，包括認證、網(wǎng)絡(luò)存取管理和開發(fā)人員解決方案。一些較有實力的安全公司提供的產(chǎn)品是一系列開放式、基于標準的產(chǎn)品，并且采用的技術(shù)易于與用戶公司的IT環(huán)境輕松集成。(1)認證。現(xiàn)有的認證產(chǎn)品有助于在用戶通過虛擬專用網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和Web服務(wù)器等網(wǎng)絡(luò)資源與重要業(yè)務(wù)數(shù)據(jù)和應(yīng)用交互之前正確識別用戶和設(shè)備。(2)網(wǎng)絡(luò)存取管理。一些公司的產(chǎn)品采用了基于標準的方法，這些方法用于通過保證安全地訪問多個Web應(yīng)用和服務(wù)，從而協(xié)助公司盈利、增加客戶信任度并降低成本。它可以協(xié)助向最終用戶分配合適的訪問權(quán)限，使用戶能夠使用單點登錄技術(shù)在有權(quán)訪問的應(yīng)用和域之間輕松高效地移動。(3)開發(fā)