构筑身份管理系统的几大要素.doc

构筑身份管理系统的几大要素 一、必不可少的身份和存取管理 从用户的观点来看，身份管理可能像应用程序的登录一样简单，但是从企业领导层的观点来看，身份和存取管理(I&AM)是一项更为复杂的事业。这项事业的核心是旨在让合适的人员进入重要信息系统，而不正当的人员则被挡在门外。做好身份管理工作，能够防止IT经理浪费时间和金钱，及时解决数据安全问题；能够把所有相关信息集中存放，使管理人员更容易管理，并允许用户管理自己的档案；能够降低入侵者或不正当的人员获得机密数据或使用目的，未用过的账号进入公司系统的可能性。坦率地说，不重视身份认证管理即是让重要信息资源和个人信息处于无法承担的风险当中。广义地说，身份管理可描述为企业能够建立并管理数字身份，定义谁进入那个系统并保护私人和业务机密信息的一套业务流程、政策和技术。过去，身份管理主要是防止未获得授权的用户访问特定数据。如今，身份管理正在朝着让信得过的，经过认证的用户访问Web服务和应用这样的模式发展。 二、构建身份管理系统六要素 那么如何构建身份管理系统呢？据笔者观察，尽管没有标准身份管理套件，许多企业逐渐使用下列主要技术提高安全性、降低成本、支持业务流程并提高效率。一流的身份管理工作的基础由六项技术组成，包括：认证、存取管理、用户管理、配给、数据存储、网络和应用集成服务。(1)认证证实所有用户的身份当然对建立各个企业所依赖的信任关系至关重要。许多公司使用令牌、智能卡和数字证书等便携式设备技术加强认证效果。直到最近，认证仍然主要采用口令方式。单点登录(SSO)技术的出现，为使用多个口令进行认证提供了代用方案并提供了整个企业中的各种应用。尽管单点登录给用户提供了很大的方便并且提高了生产率，但是在某种程度上，也向用户提供了进入企业王国的密钥。用户必须加强保护这些具有强认证功能的“密钥”，强认证将用户与其行为联系起来，证实所述用户是访问资源或完成事务的个人。(2)存取管理鉴于公司可以通过认证验证用户身份，所以存取管理是决定谁访问哪些应用、服务和业务资源的方法和流程。随着现代公司逐渐雇佣承包商并致力于与合作伙伴建立牢固、开放的关系，公司向越来越多的用户开放其系统。通常公司在如此行事时，并没有管理系统访问权限的企业政策。因此，外部人员可能毫无必要访问却访问了机密商业资源。通过存取管理，向IT员工授予权力，允许依据他们选定的标准(通常按用户的具体位置，具体地按用户部门、职务说明书或在公司的任期)向用户分配访问权限。从商业客户的观点来看，可以依据账户余额、信用评级或其他预先确定的基准设置访问权限。(3)用户管理用户管理是通过授权管理，组织可以分配管理IT以外用户账号的责任。例如，具体的业务单位或部门可能能够更新自己的用户账号，而不会增加IT部门的工作量。另一种方法是用户自理，允许用户通过公司内联网更新部分旧账户，如地址信息。通常，当用户忘记其密码时，用户就与IT员工联系，IT员工必须接着进入系统并人工重设密码。根据IDC公司的资料，平均5000名雇员的公司每年在密码管理上花费100至150万美元。(国内还没有相关的统计资料)。采用用户自理方式时，通过减少与密码相关的帮助要求，降低成本、提高数据输入的准确程度以及提高效率，可以快速收回投资。(4)配给管理配给指依据商业政策为雇员、商业合作伙伴和客户在多种应用和资源范围内分配数字身份和访问权限。为了彻底减少问题，在开始时必须准确可靠地配给。自动分配、维护和撤回这些身份和权限应成为集中统一的功能。配给不正确，会产生过时的“孤立账户”。这些到期的账户为雇员和黑客留下了开放的门，带来了安全风险。(5)数据存储设施目录和数据库等数据存储设施存储和检索用户身份信息。数据存储设施没有吸引力，但却是身份管理不可分割的一部分。通过数据存储设施，可以从分布很广的场所中的多种应用集中查看、收集和组织用户数据。数据存储设施还消除了多种应用中的重复身份信息。为保障数据存储设施安全而考虑的两种技术是加密和数据拆分(在不同服务器中拆分信息)。一些公司存储私人信息(例如，社会保障号码)以便对客户进行认证，这些私人信息使数据库不仅造价高昂，而且吸引想要成为黑客的人。对于这类存储的数据，广泛使用加密技术对客户信息进行加密，使客户信息在被盗取或截取时无法辨认。通过拆分数据，公司保证任何单独一台服务器中都没有完整的社会保障号码；黑客不得不设法控制多台服务器，这无疑极大地加大了黑客破解的难度。(6)网络和应用集成服务为了保证服务真正全面广泛，身份管理战略必须将其功能与组织现有和将来的企业技术和基础设施融为一体。需要保护的各种元件有：VPN、CRM和HR应用服务器以及与门户相连的供应链管理系统、Web服务器和其他网络和后端系统。安全解决方案包括应用程序界面、Web代理、Web服务和合作伙伴的产品的互操作能力，所有这些都设计用于有效地将不同的企业系统与保障其安全的安全技术融为一体。强认证管理战略还要求承担更大的责任。因为公司面临许多新规定，如1996年健康信息可携带性和责任法(通常称为HIPPA)、2002年Sarbanes-Oxley法)以及1999年Gramm-Leach-Bliley法，创建审计跟踪记录是一种宝贵的方法。 三、目前市场已经提供的部分解决方案 目前市场上已经有了比较齐全的产品，包括认证、网络存取管理和开发人员解决方案。一些较有实力的安全公司提供的产品是一系列开放式、基于标准的产品，并且采用的技术易于与用户公司的IT环境轻松集成。(1)认证。现有的认证产品有助于在用户通过虚拟专用网、内联网、外联网和Web服务器等网络资源与重要业务数据和应用交互之前正确识别用户和设备。(2)网络存取管理。一些公司的产品采用了基于标准的方法，这些方法用于通过保证安全地访问多个Web应用和服务，从而协助公司盈利、增加客户信任度并降低成本。它可以协助向最终用户分配合适的访问权限，使用户能够使用单点登录技术在有权访问的应用和域之间轻松高效地移动。(3)开发人