【IT168 资讯】多种管理身份、多套安全密码将使企业管理更加复杂,企业IT主管必须考虑使多个身份孤岛连通起来,建立统一的身份“库”,以提高系统的安全性,降低管理和开发成本,并使用户获得更好的应用体验。
在企业IT应用中,每一个系统、每一个模块、每一个流程以及每一笔关联交易都会涉及不同的员工、领导、甚至合作伙伴和客户。因此,有效的身份管理是其中必不可少的环节。
作为一种多层面、多角度的安全保障,身份管理已经成为IT管理中一项重大任务。但是,目前真正采用统一、全面的身份管理系统的企业只是凤毛麟角,其应用效果也是差强人意——造成这种现象的根本原因在于,很多企业的CIO并没有真正领悟到采用身份管理的意义和价值。
企业到底有多少身份孤岛
由于分布式计算领域所取得的进步以及 Internet 的运用,使得企业应用程序的访问量迅速增长。为满足不断增长的访问需求,企业多将用户身份信息编制到本地目录和数据库中,而这些目录和数据库均特定于要访问的应用程序或信息。
Oracle公司安全与身份管理开发副总裁Amit Jasuja介绍,在一个典型的企业内部,需要管理的身份信息往往分散在各种不同的应用系统,存在于不同的数据来源内,并受企业内部和外部不同用户组控制。而每一处数据存储点都有独特的用户条目组织方式、安全性政策实施方式和访问权控制调整方式。比如,ERP系统管理中,要设置库管、财务分析、销售统计、采购信息、决策支持等关键用户组,而CRM系统中也需要设置类似关键用户组。
这些冗杂的设置将使企业产生大量孤立、分散的身份和访问“身份孤岛”,从而带来繁重的管理负担和高昂的管理成本。组织规模越大,数据库的数量和种类也就越多,同时所要消耗的精力也就越多。比如“汉堡王” (Burger King)快餐连锁店每年的员工更新率可以达到250%,其对员工身份管理的难度可想而知。
META Group关于身份管理的成本调查显示,用于身份管理活动的 IT 总时间中,执行验证和授权任务占了 34%,同时典型的 IT 组织每年需要更改约 15% 的雇员用户信息。与此类似,雇员的生产力也受到身份管理流程的直接影响。在同一份调查中,META Group 发现在任何指定的月份中,11% 的雇员将遇到访问权限问题,15% 的雇员将遇到密码重置问题,而 7% 的雇员将遇到因个人信息不准确而导致的问题。流程中的这些缺陷导致收益损失,同时为任务完整性、协作性、沟通、效率和生产力带来负面影响。接受该调查访问的 IT 经理预言,如果每天授予新用户访问权限的速度超过标准业务要求,则日常效率和生产力将提高约 30%。
因此,有效的身份和访问管理可以实现供应的自动化,并可以降低维护成本、提高雇员生产力;它可以通过单次登录、复杂的访问控制以及流畅的解除供应功能来降低安全风险;有效的身份和访问管理还可以通过确保雇员使用的数据的机密性与隐私性来降低违规风险。
另外,由于企业不断地突破自身限制,向客户和合作伙伴开放更多的信息系统,如果没有一套集成的数字身份管理解决方案,必然将导致运营成本的增加。例如,CIO或网络管理员和系统管理员常因需要为不同系统创建和管理各种身份而苦恼,即使这些系统均使用同一家公司的产品也相当复杂。
由于用户身份的激增,公司将失去统一客户视图的优势。管理和维护多个身份库及其相关访问权限的成本也将会增加,而企业确保安全访问的能力却会大幅下降。在成本增加的同时,由于企业需要花费时间管理原本可以自动处理的流程,而客户也需要更多时间等待结果,从而通常会导致总体生产力下降。因此,企业往往会发现自己在构建身份和访问管理方面虽然投入了一定资金和资源,但是效果却差强人意。
在这种日益复杂的环境中,身份管理的生命周期,即用户是谁、如何证明、他们可以访问的内容以及权限到期方式和时间等,将是一个首要的流程问题。通过技术实现身份管理流程的自动化和简化,可以帮助企业发挥其 IT 系统中所存储信息的价值,并在客户、雇员、业务合作伙伴和合约商有迫切需要时安全地提供这些信息。
全新的身份管理理念就是要采用虚拟化技术,在各个系统和信息来源之间搭起一座桥梁,进行统一的管理,以使企业各种身份孤岛连通起来,达到一致、统一。Oracle公司安全与身份管理开发副总裁Amit Jasuja指出,由于企业以前无法统一管理各种身份信息,已使企业业务管理越来越复杂。而采用更科学的安全与身份管理将使企业获得更多可信赖和可靠的安全性;保证法规遵从的有效实现;带来更低的管理和开发成本;提供在线业务的网络保障;并使用户获得更好的应用体验。
身份管理应备何种“职能”
对于大多数企业CIO而言,对信息安全产品已经有了足够的重视,而且对于该类产品的选购也基本可以做到心中有数了,但是对于与安全息息相关的身份管理来说,他们往往并不知道该从哪些方面来考察系统性能。就目前来看,一套完备的身份管理系统应具备6项基础功能。
首先,目录式基础架构:利用目录,企业可以将员工信息归类到易于访问的分层结构中。身份管理系统需要一个以稳定且可扩展的目录为基础的强大的基础性骨干架构。这种体系结构的优势使目录能够在简单的分布式环境中同步、复制和链接不同信息库的信息。目录能够跨越不同的地理位置提供超强的快速查找功能,这对企业的成功至关重要。
其次,用户验证: 现在可用生物识别、智能卡和数字许可证证书等方式来验证用户的身份。它们是可信交易的基础。通过这些方式,企业可以在确保其与用户之间的通信保持高度机密的同时,验证用户提交的信息,从而在双方之间建立一定的信任级别。
第三,单点登录和安全访问: 单点登录技术可以简化对企业应用程序的访问。它使用户不必再为需要记住多个系统的多个访问密码而烦恼。安装了这一功能后,管理员使用一个界面就可以管理多个系统,从而有助于降低IT部门的管理成本。基于Web 的业务提供了不同的系统接入点,让用户能通过因特网、外部网和内部网等多种方式进行连接,轻松实现对多种公司资源的安全访问。
第四,自助式注册和自助式管理:自助式注册和自助式管理通过将相应的管理权交给用户,从而降低企业成本,提高用户效率。例如,用户提交了一份基于Web 的表格后就可完成关于某一业务的自助式注册,然后立即就可以开始安全交易。这期间只需要很少,或者根本就不需要人工干预。
第五,帐户移动性: 身份管理战略的一个关键要求就是要确保用户帐户的移动性,便于移动商务办公。关键是用户移动时,其身份也要移动,且无论用户从何处连接企业网络,他们都要具有相同的访问级别。
另外,身份管理基础架构还必须具有足够的开放性和可扩展性,以便支持未来的Web 服务并与其它业务环境集成。
软件如何甄选
目前市场上主流的身份管理系统主要有Microsoft、Oracle、CA、IBM、Sun等几家,其产品在功能上均有一定特点。
Microsoft 致力于帮助客户满足数字身份管理需求的措施包括在平台中建造核心身份和访问管理功能,提供能够降低整个企业身份管理成本的产品与技术,以及与其他行业领导者合作制订跨平台管理身份和权限的标准。Microsoft 在 Windows Server 平台中提供了核心身份管理功能。这些功能包括目录服务、验证、授权、审计和应用程序开发。这些功能采用了 Windows Server 中的 Active Directory、证书授权、验证协议以及基于角色的访问控制等功能,旨在提供一个全面的身份管理系统,同时避免将多个产品和平台集成为单一解决方案产生的高成本和高风险。
Microsoft 身份和访问管理策略的重点是将成功实现身份和访问管理所需的流程和技术集成为一个可理解的解决方案。在配合使用过程中,这些流程可以通过身份管理生命期的自动化来降低运作成本和提高生产力;可以将多个身份“岛”上的用户身份信息合成为单一的视图,以便用户从任何地方的任何网络访问这些信息,从而扩大公司影响;确保在整个组织内一致有效地实施安全及隐私政策,同时遵守 HIPAA 等政府法规关于隐私的条款。
Oracle 身份管理涉及企业应用程序环境中管理用户的各个方面,其中包括如何创建用户,如何授予用户访问权限,如何控制和管理用户对应用程序的访问,以及如何跟踪和报告这些活动。Oracle 身份管理是一个集成的、强健的可伸缩身份管理基础架构。它包括访问管理、用户管理和自助服务、联合支持、用户供应、LDAP V3 目录服务、目录同步、web 服务管理和一个 X.509 V3 认证中心。Oracle 身份管理的主要优势在于它的强健性和可伸缩性、对 Oracle 产品现成的部署支持,以及通过开放、基于标准的实施提供的异构应用程序支持。
2006年2月17日,Oracle对自身的身份管理进行了全面升级,推出了Oracle身份管理10g第三版。新版软件增强了提交能力,可帮助企业实施可持续的法规遵从政策及管理,从而降低成本和企业风险,并提高整个企业在法规遵从性管理的透明性。新版软件对主要功能进行了全面升级,例如,访问与身份管理功能中增强了口令管理功能,与Oracle身份处理无缝集成,提高了与Oracle电子商务套件、PeopleSoft Enterprise、JD Edwards和SAP应用产品的集成度;虚拟目录功能中增强了审计和报告功能,方案范例提高了与各种Oracle身份管理组件、IBM Tivoli和Microsoft Active Directory配合使用时的易用性;身份联合功能中,支持SAML 2.0(包括X.509 Attribute Sharing Profile)、1.0、1.1,Liberty ID-FF 1.1、1.2,WS-Federation规范以及方便账户链接的新型成批联合实用工具……
Sun 则配套提供了全面且易于部署的网络身份管理解决方案以及特定的 Sun Open Net Environment (Sun ONE) 产品,它们涵盖了网络身份管理的各个方面。用户可以在利用现有 IT 资产的基础上,严密而有效地部署网络身份管理基础设施。主要产品包括 Sun Java System Directory Server 软件和 Sun Java System Identity Server 软件。
CA在2005年底也发布了一款具有高度可扩展性和自适应性的解决方案CA Identity Manager,它可自动完成对用户身份的管理,以帮助企业管理风险、增强法规遵从性及降低管理成本。CA Identity Manager充分利用收购的Netegrity技术,统一了从网络到大型主机在内的整个企业范围的身份管理,简化了对企业内外用户及他们权限的管理。Identity Manager有助于确保企业对IT系统的掌控,并确保业务流程符合有关政策。
类似的产品还有很多,功能也大同小异,企业CIO们在比较这些产品特点和功能的同时,还需要对企业自身身份管理需求、项目预算、项目目标以及与企业适应性等方面考虑,选择一款适合企业的身份管理系统。
来源:《信息系统工程》
