構(gòu)筑身份管理系統(tǒng)的幾大要素

構(gòu)筑身份管理系統(tǒng)的幾大要素

一、必不可少的身份和存取管理

從用戶的觀點(diǎn)來看，身份管理可能像應(yīng)用程序的登錄一樣簡單，但是從企業(yè)領(lǐng)導(dǎo)層的觀點(diǎn)來看，身份和存取管理(I&AM)是一項(xiàng)更為復(fù)雜的事業(yè)。這項(xiàng)事業(yè)的核心是旨在讓合適的人員進(jìn)入重要信息系統(tǒng)，而不正當(dāng)?shù)娜藛T則被擋在門外。做好身份管理工作，能夠防止IT經(jīng)理浪費(fèi)時(shí)間和金錢，及時(shí)解決數(shù)據(jù)安全問題；能夠把所有相關(guān)信息集中存放，使管理人員更容易管理，并允許用戶管理自己的檔案；能夠降低入侵者或不正當(dāng)?shù)娜藛T獲得機(jī)密數(shù)據(jù)或使用目的，未用過的賬號(hào)進(jìn)入公司系統(tǒng)的可能性。坦率地說，不重視身份認(rèn)證管理即是讓重要信息資源和個(gè)人信息處于無法承擔(dān)的風(fēng)險(xiǎn)當(dāng)中。廣義地說，身份管理可描述為企業(yè)能夠建立并管理數(shù)字身份，定義誰進(jìn)入那個(gè)系統(tǒng)并保護(hù)私人和業(yè)務(wù)機(jī)密信息的一套業(yè)務(wù)流程、政策和技術(shù)。過去，身份管理主要是防止未獲得授權(quán)的用戶訪問特定數(shù)據(jù)。如今，身份管理正在朝著讓信得過的，經(jīng)過認(rèn)證的用戶訪問Web服務(wù)和應(yīng)用這樣的模式發(fā)展。

二、構(gòu)建身份管理系統(tǒng)六要素

那么如何構(gòu)建身份管理系統(tǒng)呢？據(jù)筆者觀察，盡管沒有標(biāo)準(zhǔn)身份管理套件，許多企業(yè)逐漸使用下列主要技術(shù)提高安全性、降低成本、支持業(yè)務(wù)流程并提高效率。一流的身份管理工作的基礎(chǔ)由六項(xiàng)技術(shù)組成，包括：認(rèn)證、存取管理、用戶管理、配給、數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)和應(yīng)用集成服務(wù)。(1)認(rèn)證證實(shí)所有用戶的身份當(dāng)然對(duì)建立各個(gè)企業(yè)所依賴的信任關(guān)系至關(guān)重要。許多公司使用令牌、智能卡和數(shù)字證書等便攜式設(shè)備技術(shù)加強(qiáng)認(rèn)證效果。直到最近，認(rèn)證仍然主要采用口令方式。單點(diǎn)登錄(SSO)技術(shù)的出現(xiàn)，為使用多個(gè)口令進(jìn)行認(rèn)證提供了代用方案并提供了整個(gè)企業(yè)中的各種應(yīng)用。盡管單點(diǎn)登錄給用戶提供了很大的方便并且提高了生產(chǎn)率，但是在某種程度上，也向用戶提供了進(jìn)入企業(yè)王國的密鑰。用戶必須加強(qiáng)保護(hù)這些具有強(qiáng)認(rèn)證功能的“密鑰”，強(qiáng)認(rèn)證將用戶與其行為聯(lián)系起來，證實(shí)所述用戶是訪問資源或完成事務(wù)的個(gè)人。(2)存取管理鑒于公司可以通過認(rèn)證驗(yàn)證用戶身份，所以存取管理是決定誰訪問哪些應(yīng)用、服務(wù)和業(yè)務(wù)資源的方法和流程。隨著現(xiàn)代公司逐漸雇傭承包商并致力于與合作伙伴建立牢固、開放的關(guān)系，公司向越來越多的用戶開放其系統(tǒng)。通常公司在如此行事時(shí)，并沒有管理系統(tǒng)訪問權(quán)限的企業(yè)政策。因此，外部人員可能毫無必要訪問卻訪問了機(jī)密商業(yè)資源。通過存取管理，向IT員工授予權(quán)力，允許依據(jù)他們選定的標(biāo)準(zhǔn)(通常按用戶的具體位置，具體地按用戶部門、職務(wù)說明書或在公司的任期)向用戶分配訪問權(quán)限。從商業(yè)客戶的觀點(diǎn)來看，可以依據(jù)賬戶余額、信用評(píng)級(jí)或其他預(yù)先確定的基準(zhǔn)設(shè)置訪問權(quán)限。(3)用戶管理用戶管理是通過授權(quán)管理，組織可以分配管理IT以外用戶賬號(hào)的責(zé)任。例如，具體的業(yè)務(wù)單位或部門可能能夠更新自己的用戶賬號(hào)，而不會(huì)增加IT部門的工作量。另一種方法是用戶自理，允許用戶通過公司內(nèi)聯(lián)網(wǎng)更新部分舊賬戶，如地址信息。通常，當(dāng)用戶忘記其密碼時(shí)，用戶就與IT員工聯(lián)系，IT員工必須接著進(jìn)入系統(tǒng)并人工重設(shè)密碼。根據(jù)IDC公司的資料，平均5000名雇員的公司每年在密碼管理上花費(fèi)100至150萬美元。(國內(nèi)還沒有相關(guān)的統(tǒng)計(jì)資料)。采用用戶自理方式時(shí)，通過減少與密碼相關(guān)的幫助要求，降低成本、提高數(shù)據(jù)輸入的準(zhǔn)確程度以及提高效率，可以快速收回投資。(4)配給管理配給指依據(jù)商業(yè)政策為雇員、商業(yè)合作伙伴和客戶在多種應(yīng)用和資源范圍內(nèi)分配數(shù)字身份和訪問權(quán)限。為了徹底減少問題，在開始時(shí)必須準(zhǔn)確可靠地配給。自動(dòng)分配、維護(hù)和撤回這些身份和權(quán)限應(yīng)成為集中統(tǒng)一的功能。配給不正確，會(huì)產(chǎn)生過時(shí)的“孤立賬戶”。這些到期的賬戶為雇員和黑客留下了開放的門，帶來了安全風(fēng)險(xiǎn)。(5)數(shù)據(jù)存儲(chǔ)設(shè)施目錄和數(shù)據(jù)庫等數(shù)據(jù)存儲(chǔ)設(shè)施存儲(chǔ)和檢索用戶身份信息。數(shù)據(jù)存儲(chǔ)設(shè)施沒有吸引力，但卻是身份管理不可分割的一部分。通過數(shù)據(jù)存儲(chǔ)設(shè)施，可以從分布很廣的場所中的多種應(yīng)用集中查看、收集和組織用戶數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)設(shè)施還消除了多種應(yīng)用中的重復(fù)身份信息。為保障數(shù)據(jù)存儲(chǔ)設(shè)施安全而考慮的兩種技術(shù)是加密和數(shù)據(jù)拆分(在不同服務(wù)器中拆分信息)。一些公司存儲(chǔ)私人信息(例如，社會(huì)保障號(hào)碼)以便對(duì)客戶進(jìn)行認(rèn)證，這些私人信息使數(shù)據(jù)庫不僅造價(jià)高昂，而且吸引想要成為黑客的人。對(duì)于這類存儲(chǔ)的數(shù)據(jù)，廣泛使用加密技術(shù)對(duì)客戶信息進(jìn)行加密，使客戶信息在被盜取或截取時(shí)無法辨認(rèn)。通過拆分?jǐn)?shù)據(jù)，公司保證任何單獨(dú)一臺(tái)服務(wù)器中都沒有完整的社會(huì)保障號(hào)碼；黑客不得不設(shè)法控制多臺(tái)服務(wù)器，這無疑極大地加大了黑客破解的難度。(6)網(wǎng)絡(luò)和應(yīng)用集成服務(wù)為了保證服務(wù)真正全面廣泛，身份管理戰(zhàn)略必須將其功能與組織現(xiàn)有和將來的企業(yè)技術(shù)和基礎(chǔ)設(shè)施融為一體。需要保護(hù)的各種元件有：VPN、CRM和HR應(yīng)用服務(wù)器以及與門戶相連的供應(yīng)鏈管理系統(tǒng)、Web服務(wù)器和其他網(wǎng)絡(luò)和后端系統(tǒng)。安全解決方案包括應(yīng)用程序界面、Web代理、Web服務(wù)和合作伙伴的產(chǎn)品的互操作能力，所有這些都設(shè)計(jì)用于有效地將不同的企業(yè)系統(tǒng)與保障其安全的安全技術(shù)融為一體。強(qiáng)認(rèn)證管理戰(zhàn)略還要求承擔(dān)更大的責(zé)任。因?yàn)楣久媾R許多新規(guī)定，如《1996年健康信息可攜帶性和責(zé)任法》(通常稱為HIPPA)、《2002年Sarbanes-Oxley法)以及《1999年Gramm-Leach-Bliley法》，創(chuàng)建審計(jì)跟蹤記錄是一種寶貴的方法。

三、目前市場已經(jīng)提供的部分解決方案

目前市場上已經(jīng)有了比較齊全的產(chǎn)品，包括認(rèn)證、網(wǎng)絡(luò)存取管理和開發(fā)人員解決方案。一些較有實(shí)力的安全公司提供的產(chǎn)品是一系列開放式、基于標(biāo)準(zhǔn)的產(chǎn)品，并且采用的技術(shù)易于與用戶公司的IT環(huán)境輕松集成。(1)認(rèn)證?，F(xiàn)有的認(rèn)證產(chǎn)品有助于在用戶通過虛擬專用網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和Web服務(wù)器等網(wǎng)絡(luò)資源與重要業(yè)務(wù)數(shù)據(jù)和應(yīng)用交互之前正確識(shí)別用戶和設(shè)備。(2)網(wǎng)絡(luò)存取管理。一些公司的產(chǎn)品采用了基于標(biāo)準(zhǔn)的方法，這些方法用于通過保證安全地訪問多個(gè)Web應(yīng)用和服務(wù)，從而協(xié)助公司盈利、增加客戶信任度并降低成本。它可以協(xié)助向最終用戶分配合適的訪問權(quán)限，使用戶能夠使用單點(diǎn)登錄技術(shù)在有權(quán)訪問的應(yīng)用和域之間輕松高效地移動(dòng)。(3)開發(fā)