了解IDM軟件的價值

申請免費(fèi)試用、咨詢電話：400-8352-114

概要

政府條例和行業(yè)規(guī)章向各個組織繼續(xù)施加前所未有的壓力，以保護(hù)對信息和應(yīng)用的安全訪問。要確保信息僅提供給正確的人員，就必須采取適當(dāng)?shù)目刂拼胧?。這種平衡的棘手之處在于既要防范有不良企圖的人員，又要將關(guān)鍵資源（信息）提供給需要它的人員。為了實(shí)現(xiàn)符合性和企業(yè)控制計(jì)劃，各組織都在增加身份和訪問管理軟件來實(shí)現(xiàn)這種平衡。這份執(zhí)行摘要分析了身份管理 (IdM) 通過有效地保護(hù)和管理與數(shù)據(jù)、應(yīng)用程序及其它資源有關(guān)的身份來幫助各公司迎接頂級別業(yè)務(wù)挑戰(zhàn)，同時可以實(shí)現(xiàn)符合性的途徑。

引言

管理符合性、安全性和 IT 成本/復(fù)雜性都是當(dāng)今管理者重點(diǎn)考慮的商業(yè)問題。身份管理 (IdM) 軟件及包含 IdM 的其它解決方案，諸如面向服務(wù)架構(gòu) (SOA)，構(gòu)成了解決這些問題的基石。首先，IdM 最重要的作用是能夠跨越不同環(huán)境,更精確的控制資源訪問活動。隨著標(biāo)準(zhǔn)和技術(shù)日漸融合，預(yù)計(jì) IdM 的影響也會更大。隨著各組織將整條價值鏈上的消費(fèi)者、供應(yīng)商及合作伙伴訪問聯(lián)合在一起，他們已經(jīng)開始進(jìn)入這一領(lǐng)域。隨著業(yè)務(wù)和員工變得更加分散、機(jī)動，并且他們的聯(lián)系已經(jīng)跨越物理和技術(shù)界限，IdM 逐漸成為建設(shè)策略依從性控制的關(guān)鍵要素。許多組織，特別是大中型公司，現(xiàn)在已經(jīng)開始認(rèn)識到 IdM 與遵守隱私規(guī)定并不矛盾。一份 2004 年 IDC 客戶調(diào)查表明，只有 12% 的公司表示 IdM 策略、程序和戰(zhàn)略是其安全性計(jì)劃的一部分。只有 7% 的公司表示建立隱私法則是當(dāng)務(wù)之急。然而，2005 年有 46% 的公司表示 IdM 策略、程序和戰(zhàn)略是一個首要問題。建立隱私法則的公司猛增到 27%。IDC 預(yù)計(jì)這種趨勢將隨著客戶對安全、隱私及其它符合性的要求越來越成熟而繼續(xù)上升。

身份管理的商業(yè)驅(qū)動因素

需要遵守越來越多的隱私法則和其它規(guī)章制度是實(shí)施 IdM 的一個重要驅(qū)動因素。假定規(guī)定限定了哪些人能夠訪問哪些資源，則增加一層管理訪問權(quán)限是非常重要的。簡化準(zhǔn)備（激活和取消激活）用戶帳戶的過程對于防止未經(jīng)授權(quán)的訪問至關(guān)重要，因?yàn)樗軌蚴固囟ǖ馁Y源僅限于提供給受控的用戶組。簡化處理還使得文檔編制/審核更加容易。因此，IdM 自然就成為用來確保符合性的輔助手段。

總之，IdM 加強(qiáng)了對組織內(nèi)應(yīng)用程序和數(shù)據(jù)的控制。通過基于用戶訪問權(quán)限簡化對數(shù)據(jù)使用的授權(quán)和移除授權(quán)，各組織就能圓滿解決安全和隱私保護(hù)之間的矛盾。隨著時間的推移，越來越多的軟件、文件目錄、操作系統(tǒng)和數(shù)據(jù)庫相互組合已經(jīng)帶來了互操作性的挑戰(zhàn)，從而提高了提供 IT 環(huán)境的復(fù)雜性和成本。通過整合用戶訪問，IdM 是減少復(fù)雜性，順利處理業(yè)務(wù)的關(guān)鍵所在。經(jīng)過簡化和自動化的帳戶預(yù)備操作 - IdM 的重中之重 - 有助于調(diào)整資源訪問以滿足用戶需求。

簡而言之，IDC 堅(jiān)信 IdM 通過更嚴(yán)格的控制來限定用戶訪問權(quán)限與資源之間的關(guān)系，能夠做到在更有效地遵守這些法則。IdM 主要有以下優(yōu)勢：

·通過減少系統(tǒng)認(rèn)證過程的系統(tǒng)暴露時間，從而提高了安全性

·通過整合和/或連接身份信息，包括屬性、優(yōu)先選項(xiàng)和訪問權(quán)限策略，降低了復(fù)雜程度

·通過集成工作流和用戶訪問管理，降低了員工/簽約人集體跳槽帶來的成本

·降低了準(zhǔn)備資源訪問的等待時間成本

·通過授權(quán)和自助服務(wù)，降低了運(yùn)營支撐成本及其帶來的生產(chǎn)力損失

與其它安全舉措一樣，能夠同時在成本回避與成本節(jié)省的條件下考慮尊重隱私。例如，披露消費(fèi)者的私人信息既會給整個行業(yè)造成損失，也損壞了單個組織的聲譽(yù)。為了降低服從成本，可以在安全性項(xiàng)目中建立隱私保護(hù)管理，并且應(yīng)當(dāng)這樣做。

請注意，安全性和隱私常常被誤認(rèn)為是互相矛盾的。實(shí)際上，遵守隱私法則已經(jīng)超越了安全性領(lǐng)域的內(nèi)容，例如，投訴解決或個體訪問組織存儲的私人信息。除 IdM 之外，保護(hù)隱私還涉及到記錄管理、數(shù)據(jù)保存和商業(yè)智能。而且，它在橫向涉及到所有的業(yè)務(wù)范圍，在縱向涉及第一線工人并一直到董事會。

IdM/策略依從性計(jì)劃的未來
由于各組織都在著眼于未來，因此建立隱私和遵守保護(hù)隱私的原則就成為最重要的發(fā)展趨勢。信任范圍（通常在消費(fèi)者中，但同時也在合作伙伴中）將依賴堅(jiān)實(shí)的技術(shù)基礎(chǔ)和消費(fèi)者的信任，即他們的數(shù)據(jù)將依照明示或暗示的內(nèi)容來進(jìn)行處理。各個組織將發(fā)現(xiàn)，用來安全拓寬業(yè)務(wù)范圍的技術(shù)也將會有助于他們遵守隱私法則。

由于 IdM 和策略依從性息息相關(guān)，因此 IDC 認(rèn)為，以下技術(shù)趨勢將影響 IdM 并因此影響各組織的策略依從性計(jì)劃：

·SOA/Web 服務(wù)。作為 IT 應(yīng)用的一部分，Web 服務(wù)應(yīng)用程序不但對于正確處理用戶身份必不可少，而且對于處理其它資源也不可或缺。同時在無狀態(tài)環(huán)境中，仍存在許多挑戰(zhàn)，例如跨越多方身份的數(shù)據(jù)完整性和保密性問題。此外，還需要仔細(xì)考慮當(dāng)多方交易失敗時通過回滾來管理身份信息，使得用戶不會重復(fù)認(rèn)證失敗的不好經(jīng)歷。

·效用計(jì)算。隨著 IT 向虛擬化（抽象用途）、動態(tài)配置以及基于交易的支付效用提交模型發(fā)展，資源到資源級別的訪問變得日益重要。解決此難題的一項(xiàng)關(guān)鍵技術(shù)就是管理身份，即人員環(huán)境外部的身份和在 IT 資源（例如，應(yīng)用程序和服務(wù)器）環(huán)境中的身份。

·競爭標(biāo)準(zhǔn)。XML 標(biāo)準(zhǔn)會持續(xù)增加組織對內(nèi)部和外部身份進(jìn)行管理的幫助。在組織內(nèi)部，問題相當(dāng)簡單，只是部分地集中在 XML 上 - LDAP 在這里發(fā)揮了重要的作用,使得 XML 的使用非常有限 - 只是在例如"服務(wù)配置標(biāo)記語言"(SPML) 這樣的標(biāo)準(zhǔn)上有所應(yīng)用。在防火墻外部，由于 Liberty Alliance ID-FF 和 WS-Federation 規(guī)范得到很好的支持且協(xié)作良好，因而減少了競爭標(biāo)準(zhǔn)的憂慮。

·整合。各軟件廠商在 IdM 市場中仍然在繼續(xù)整合，這符合當(dāng)前市場細(xì)劃的預(yù)期?？傮w來說，市場整合對信息技術(shù)部門來說是一件好事，因?yàn)?IdM 需要在終端對終端環(huán)境中進(jìn)行考慮。因此，隨著廠商在核心產(chǎn)品中集成 IdM，用戶的信息技術(shù)部門越來越不需要擔(dān)心集成。

·接受與排斥。阻擋有不良企圖的人員稱為"排斥"，而允許正確的人員訪問資源稱為"接受"。這基本上涉及到策略，而不是邊界。因此，應(yīng)更少地依據(jù)某些事物（例如物理位置）去限定邊界，而應(yīng)該更多地依據(jù)用戶策略權(quán)限去限定。

結(jié)論
隨著各公司憑借更多的合作伙伴和移動設(shè)備拓展了其客戶范圍，有效管理什么人有權(quán)訪問什么資源就成為當(dāng)務(wù)之急。身份管理 (IdM) 是一種軟件，能夠管理員工、客戶、合作伙伴訪問公司應(yīng)用程序和信息的生命周期。它是在該生命周期開始和結(jié)束位置的門衛(wèi)，又是在用戶訪問旅途上的監(jiān)護(hù)人。具體而言，IdM 允許或禁止用戶訪問某些信息和應(yīng)用程序，協(xié)助自動批準(zhǔn)訪問，跟蹤訪問者的訪問內(nèi)容，以及簡化忘記密碼時的重設(shè)操作。

安全涉及到人員、流程和技術(shù)。各組織需要采取整體方案來保護(hù)這三道防線的應(yīng)用程序和信息資源。人們通常會健忘、疏忽大意，或者心存不良。關(guān)系到安全時，他們既是最薄弱的環(huán)節(jié)，又是最好的資產(chǎn)。為了讓員工理解并應(yīng)用到技術(shù)中，就必須定義流程。一個完整的安全方案往往包含了許多方面的技術(shù)。入侵者能夠借以侵入公司數(shù)據(jù)的攻擊點(diǎn)越少，其攻擊成功的可能性就越低。最重要的一點(diǎn)是，通過安全技術(shù)來實(shí)現(xiàn)更好的策略依從性需要確保只有正確的人員才能訪問所需的信息。

信息集中的應(yīng)用程序中存在的弱點(diǎn)越少，信任的隱私領(lǐng)域受攻擊的可能性就越小，而組織遵守隱私規(guī)則的機(jī)會自然就越大。在整個安全戰(zhàn)略中要考慮的弱點(diǎn)是可數(shù)的，例如，關(guān)閉不用的端口，給系統(tǒng)安裝補(bǔ)丁，使用有效的密碼和密鑰管理等等。由于策略依從性可以確保組織只允許經(jīng)過授權(quán)的用戶訪問數(shù)據(jù)并記錄這些過程，因此關(guān)鍵戰(zhàn)略就是限制可訪問性。同樣地，IdM 通過以下方法可以更容易實(shí)現(xiàn)安全性和策略依從性：

·用戶帳戶配置功能可將訪問權(quán)僅授予應(yīng)當(dāng)擁有它的人員。帳戶發(fā)現(xiàn)功能有助于找到欺詐帳戶，終止不適當(dāng)?shù)脑L問。密碼重設(shè)和整合/同步功能可減少員工進(jìn)行不安全地行動（如，通過即時貼）和設(shè)置（需要使用更為復(fù)雜的字符組合）多個密碼的需求。

·盡可能排除人為因素，組織也能夠更接近 100% 安全的高目標(biāo)。 IdM 通過并將分配訪問權(quán)限的權(quán)利授予適當(dāng)?shù)娜藛T（那些需要了解內(nèi)容的人員，如經(jīng)理），減少了最終用戶的輸入行為，從而大大減少了人為錯誤的影響。(ccw-IT經(jīng)理世界)