概要

政府條例和行業(yè)規(guī)章向各個(gè)組織繼續(xù)施加前所未有的壓力，以保護(hù)對(duì)信息和應(yīng)用的安全訪問。要確保信息僅提供給正確的人員，就必須采取適當(dāng)?shù)目刂拼胧?。這種平衡的棘手之處在于既要防范有不良企圖的人員，又要將關(guān)鍵資源（信息）提供給需要它的人員。為了實(shí)現(xiàn)符合性和企業(yè)控制計(jì)劃，各組織都在增加身份和訪問管理軟件來實(shí)現(xiàn)這種平衡。這份執(zhí)行摘要分析了身份管理(IdM)通過有效地保護(hù)和管理與數(shù)據(jù)、應(yīng)用程序及其它資源有關(guān)的身份來幫助各公司迎接頂級(jí)別業(yè)務(wù)挑戰(zhàn)，同時(shí)可以實(shí)現(xiàn)符合性的途徑。

引言

管理符合性、安全性和IT成本復(fù)雜性都是當(dāng)今管理者重點(diǎn)考慮的商業(yè)問題。身份管理(IdM)軟件及包含IdM的其它解決方案，諸如面向服務(wù)架構(gòu)(SOA)，構(gòu)成了解決這些問題的基石。首先，IdM最重要的作用是能夠跨越不同環(huán)境,更精確的控制資源訪問活動(dòng)。隨著標(biāo)準(zhǔn)和技術(shù)日漸融合，預(yù)計(jì)IdM的影響也會(huì)更大。隨著各組織將整條價(jià)值鏈上的消費(fèi)者、及合作伙伴訪問聯(lián)合在一起，他們已經(jīng)開始進(jìn)入這一領(lǐng)域。隨著業(yè)務(wù)和員工變得更加分散、機(jī)動(dòng)，并且他們的聯(lián)系已經(jīng)跨越物理和技術(shù)界限，IdM逐漸成為建設(shè)策略依從性控制的關(guān)鍵要素。許多組織，特別是大中型公司，現(xiàn)在已經(jīng)開始認(rèn)識(shí)到IdM與遵守隱私規(guī)定并不矛盾。一份2004年IDC客戶調(diào)查表明，只有12%的公司表示IdM策略、程序和戰(zhàn)略是其安全性計(jì)劃的一部分。只有7%的公司表示建立隱私法則是當(dāng)務(wù)之急。然而，2005年有46%的公司表示IdM策略、程序和戰(zhàn)略是一個(gè)首要問題。建立隱私法則的公司猛增到27%。IDC預(yù)計(jì)這種趨勢將隨著客戶對(duì)安全、隱私及其它符合性的要求越來越成熟而繼續(xù)上升。

身份管理的商業(yè)驅(qū)動(dòng)因素

需要遵守越來越多的隱私法則和其它規(guī)章制度是實(shí)施IdM的一個(gè)重要驅(qū)動(dòng)因素。假定規(guī)定限定了哪些人能夠訪問哪些資源，則增加一層管理訪問權(quán)限是非常重要的。簡化準(zhǔn)備（激活和取消激活）用戶帳戶的過程對(duì)于防止未經(jīng)授權(quán)的訪問至關(guān)重要，因?yàn)樗軌蚴固囟ǖ馁Y源僅限于提供給受控的用戶組。簡化處理還使得文檔編制審核更加容易。因此，IdM自然就成為用來確保符合性的輔助手段。

總之，IdM加強(qiáng)了對(duì)組織內(nèi)應(yīng)用程序和數(shù)據(jù)的控制。通過基于用戶訪問權(quán)限簡化對(duì)數(shù)據(jù)使用的授權(quán)和移除授權(quán)，各組織就能圓滿解決安全和隱私保護(hù)之間的矛盾。隨著時(shí)間的推移，越來越多的軟件、文件目錄、操作系統(tǒng)和數(shù)據(jù)庫相互組合已經(jīng)帶來了互操作性的挑戰(zhàn)，從而提高了提供IT環(huán)境的復(fù)雜性和成本。通過整合用戶訪問，IdM是減少復(fù)雜性，順利處理業(yè)務(wù)的關(guān)鍵所在。經(jīng)過簡化和自動(dòng)化的帳戶預(yù)備操作-IdM的重中之重-有助于調(diào)整資源訪問以滿足用戶需求。

簡而言之，IDC堅(jiān)信IdM通過更嚴(yán)格的控制來限定用戶訪問權(quán)限與資源之間的關(guān)系，能夠做到在更有效地遵守這些法則。IdM主要有以下優(yōu)勢：

·通過減少系統(tǒng)認(rèn)證過程的系統(tǒng)暴露時(shí)間，從而提高了安全性

·通過整合和或連接身份信息，包括屬性、優(yōu)先選項(xiàng)和訪問權(quán)限策略，降低了復(fù)雜程度

·通過集成工作流和用戶訪問管理，降低了員工簽約人集體跳槽帶來的成本

·降低了準(zhǔn)備資源訪問的等待時(shí)間成本

·通過授權(quán)和自助服務(wù)，降低了運(yùn)營支撐成本及其帶來的生產(chǎn)力損失

與其它安全舉措一樣，能夠同時(shí)在成本回避與成本節(jié)省的條件下考慮尊重隱私。例如，披露消費(fèi)者的私人信息既會(huì)給整個(gè)行業(yè)造成損失，也損壞了單個(gè)組織的聲譽(yù)。為了降低服從成本，可以在安全性項(xiàng)目中建立隱私保護(hù)管理，并且應(yīng)當(dāng)這樣做。

請注意，安全性和隱私常常被誤認(rèn)為是互相矛盾的。實(shí)際上，遵守隱私法則已經(jīng)超越了安全性領(lǐng)域的內(nèi)容，例如，投訴解決或個(gè)體訪問組織存儲(chǔ)的私人信息。除IdM之外，保護(hù)隱私還涉及到記錄管理、數(shù)據(jù)保存和商業(yè)智能。而且，它在橫向涉及到所有的業(yè)務(wù)范圍，在縱向涉及第一線工人并一直到董事會(huì)。

IdM策略依從性計(jì)劃的未來
由于各組織都在著眼于未來，因此建立隱私和遵守保護(hù)隱私的原則就成為最重要的發(fā)展趨勢。信任范圍（通常在消費(fèi)者中，但同時(shí)也在合作伙伴中）將依賴堅(jiān)實(shí)的技術(shù)基礎(chǔ)和消費(fèi)者的信任，即他們的數(shù)據(jù)將依照明示或暗示的內(nèi)容來進(jìn)行處理。各個(gè)組織將發(fā)現(xiàn)，用來安全拓寬業(yè)務(wù)范圍的技術(shù)也將會(huì)有助于他們遵守隱私法則。

由于IdM和策略依從性息息相關(guān)，因此IDC認(rèn)為，以下技術(shù)趨勢將影響IdM并因此影響各組織的策略依從性計(jì)劃：

·SOAWeb服務(wù)。作為IT應(yīng)用的一部分，Web服務(wù)應(yīng)用程序不但對(duì)于正確處理用戶身份必不可少，而且對(duì)于處理其它資源也不可或缺。同時(shí)在無狀態(tài)環(huán)境中，仍存在許多挑戰(zhàn)，例如跨越多方身份的數(shù)據(jù)完整性和保密性問題。此外，還需要仔細(xì)考慮當(dāng)多方交易失敗時(shí)通過回滾來管理身份信息，使得用戶不會(huì)重復(fù)認(rèn)證失敗的不好經(jīng)歷。

·效用計(jì)算。隨著IT向虛擬化（抽象用途）、動(dòng)態(tài)配置以及基于交易的支付效用提交模型發(fā)展，資源到資源級(jí)別的訪問變得日益重要。解決此難題的一項(xiàng)關(guān)鍵技術(shù)就是管理身份，即人員環(huán)境外部的身份和在IT資源（例如，應(yīng)用程序和服務(wù)器）環(huán)境中的身份。

·競爭標(biāo)準(zhǔn)。XML標(biāo)準(zhǔn)會(huì)持續(xù)增加組織對(duì)內(nèi)部和外部身份進(jìn)行管理的幫助。在組織內(nèi)部，問題相當(dāng)簡單，只是部分地集中在XML上-LDAP在這里發(fā)揮了重要的作用,使得XML的使用非常有限-只是在例如"服務(wù)配置標(biāo)記語言"(SPML)這樣的標(biāo)準(zhǔn)上有所應(yīng)用。在防火墻外部，由于LibertyAllianceID-FF和WS-Federation規(guī)范得到很好的支持且協(xié)作良好，因而減少了競爭標(biāo)準(zhǔn)的憂慮。

·整合。各軟件廠商在IdM市場中仍然在繼續(xù)整合，這符合當(dāng)前市場細(xì)劃的預(yù)期?？傮w來說，市場整合對(duì)信息技術(shù)部門來說是一件好事，因?yàn)镮dM需要在終端對(duì)終端環(huán)境中進(jìn)行考慮。因此，隨著廠商在核心產(chǎn)品中集成IdM，用戶的信息技術(shù)部門越來越不需要擔(dān)心集成。

·接受與排斥。阻擋有不良企圖的人員稱為"排斥"，而允許正確的人員訪問資源稱為"接受"。這基本上涉及到策略，而不是邊界。因此，應(yīng)更少地依據(jù)某些事物（例如物理位置）去限定邊界，而應(yīng)該更多地依據(jù)用戶策略權(quán)限去限定。

結(jié)論
隨著各公司憑借更多的合作伙伴和移動(dòng)設(shè)備拓展了其客戶范圍，有效管理什么人有權(quán)訪問什么資源就成為當(dāng)務(wù)之急。身份管理(IdM)是一種軟件，能夠管理員工、客戶、合作伙伴訪問公司應(yīng)用程序和信息的生命周期。它是在該生命周期開始和結(jié)束位置的門衛(wèi)，又是在用戶訪問旅途上的監(jiān)護(hù)人。具體而言，IdM允許或禁止用戶訪問某些信息和應(yīng)用程序，協(xié)助自動(dòng)批準(zhǔn)訪問，跟蹤訪問者的訪問內(nèi)容，以及簡化忘記密碼時(shí)的重設(shè)操作。

安全涉及到人員、流程和技術(shù)。各組織需要采取整體方案來保護(hù)這三道防線的應(yīng)用程序和信息資源。人們通常會(huì)健忘、疏忽大意，或者心存不良。關(guān)系到安全時(shí)，他們既是最薄弱的環(huán)節(jié)，又是最好的資產(chǎn)。為了讓員工理解并應(yīng)用到技術(shù)中，就必須定義流程。一個(gè)完整的安全方案往往包含了許多方面的技術(shù)。入侵者能夠借以侵入公司數(shù)據(jù)的攻擊點(diǎn)越少，其攻擊成功的可能性就越低。最重要的一點(diǎn)是，通過安全技術(shù)來實(shí)現(xiàn)更好的策略依從性需要確保只有正確的人員才能訪問所需的信息。

信息集中的應(yīng)用程序中存在的弱點(diǎn)越少，信任的隱私領(lǐng)域受攻擊的可能性就越小，而組織遵守隱私規(guī)則的機(jī)會(huì)自然就越大。在整個(gè)安全戰(zhàn)略中要考慮的弱點(diǎn)是可數(shù)的，例如，關(guān)閉不用的端口，給系統(tǒng)安裝補(bǔ)丁，使用有效的密碼和密鑰管理等等。由于策略依從性可以確保組織只允許經(jīng)過授權(quán)的用戶訪問數(shù)據(jù)并記錄這些過程，因此關(guān)鍵戰(zhàn)略就是限制可訪問性。同樣地，IdM通過以下方法可以更容易實(shí)現(xiàn)安全性和策略依從性：

·用戶帳戶配置功能可將訪問權(quán)僅授予應(yīng)當(dāng)擁有它的人員。帳戶發(fā)現(xiàn)功能有助于找到欺詐帳戶，終止不適當(dāng)?shù)脑L問。密碼重設(shè)和整合同步功能可減少員工進(jìn)行不安全地行動(dòng)（如，通過即時(shí)貼）和設(shè)置（需要使用更為復(fù)雜的字符組合）多個(gè)密碼的需求。

·盡可能排除人為因素，組織也能夠更接近100%安全的高目標(biāo)。IdM通過并將分配訪問權(quán)限的權(quán)利授予適當(dāng)?shù)娜藛T（那些需要了解內(nèi)容的人員，如經(jīng)理），減少了最終用戶的輸入行為，從而大大減少了人為錯(cuò)誤的影響。(ccw-IT經(jīng)理世界)