企業(yè)如何實施集中化身份管理

申請免費試用、咨詢電話：400-8352-114

研究發(fā)現(xiàn)，很少有公司對用戶的身份實行集中化管理，這就給了內(nèi)部攻擊者可乘之機。

大多數(shù)公司都采用某種形式的身份和訪問管理控制來保護其應(yīng)用軟件和信息。但不久前的一項研究表明，很少有公司對這些系統(tǒng)進行集中化管理，并且及時更新用戶權(quán)限。這種情形非常危險，假設(shè)公司對于誰有權(quán)訪問其IT環(huán)境中的哪些部分心中無底的話，那必將是最大的安全隱患。

波耐蒙研究所(Ponemon Institute，下稱波耐蒙)對627名商業(yè)科技專業(yè)人士進行了調(diào)查，其中超過64%的人表示，其所在公司在使用身份和訪問權(quán)限管理技術(shù)，13%的被訪者對身份和訪問實行集中化管理。

對于那些投資在身份和訪問管理技術(shù)方面的公司來說，主要是希望通過這種手段，來提升系統(tǒng)訪問效率，改善系統(tǒng)安全性，同時能夠達到合規(guī)要求。但是很多公司，即使是采用身份管理技術(shù)的公司，很大程度上還是依靠手工來實現(xiàn)上述目標的，波耐蒙主席拉里·波耐蒙(Larry Ponemon)更是指出：“他們的工作更多的是忙于對付內(nèi)部濫用身份和權(quán)限的行為?！辈痪们埃虐罟?DuPont)一位從事研究的藥劑師竊取公司知識產(chǎn)權(quán)一案即是一個典型例子。當公司發(fā)現(xiàn)這位名為加利·敏(Gary Min)的藥劑師訪問了大量與其工作無關(guān)的信息時，才將其擒獲?！暗?，在發(fā)現(xiàn)價值4億美元的貿(mào)易機密失竊之前，沒人察覺他的異常舉動，更別提將其行為視為高風險行為了?！辈兔蛇M一步指出。

密切關(guān)注用戶行為才是關(guān)鍵，因為最大的安全威脅往往來自那些起了貳心的員工，CRC健康集團(CRC Health Group ，下稱CRC)首席技術(shù)官(CTO)杰伊·萊蒙迪(Jay Raimondi)指出。

CRC為那些有藥物依賴和相關(guān)行為健康問題的人提供治療。去年年末，該公司開始致力于提升其系統(tǒng)控制用戶賬戶的能力，并計劃用Apere公司的RapidConnector Framework，將其人力資源、薪金、總賬、臨床管理和其他應(yīng)用軟件整合到集中的身份和訪問管理系統(tǒng)中。這樣做有助于CRC在嚴密防范入侵者的同時，也更加容易遵從《健康保險流通和責任法案》(HIPAA)以及《薩班斯-奧克斯利法案》(《Sarbanes-Oxley Act》)的相關(guān)要求。

第一步要做的是，以Apere的身份管理訪問網(wǎng)關(guān)，取代CRC過去用以增加和刪除訪問特權(quán)的故障單系統(tǒng)，這個工具可對與各種不同的應(yīng)用軟件相連的身份信息進行集中管理。該網(wǎng)關(guān)設(shè)備可自動利用專用身份數(shù)據(jù)定位所有數(shù)據(jù)庫和目錄，并進而創(chuàng)建用戶身份和訪問權(quán)限的更新列表。

應(yīng)用RapidConnector既可以削減成本，又能在將網(wǎng)絡(luò)的所有應(yīng)用和目錄集成到身份管理系統(tǒng)中時減少各種沖突。而且，它能在大約30分鐘的時間內(nèi)將一個目錄或應(yīng)用軟件連入身份管理系統(tǒng)，無論該軟件是商用的還是公司自行開發(fā)的，都一樣。

此外，RapidConnector還可在應(yīng)用軟件的用戶界面上模擬本地管理權(quán)限，以收集并提供用戶信息，而非利用應(yīng)用編程接口(API)構(gòu)建連接器。這樣，它就變成了一個虛擬管理員，并掌握了應(yīng)用軟件的界面所用的所有管理命令和域，Apere業(yè)務(wù)拓展和銷售副總裁賈爾德·胡菲爾德(Jared Hufferd)介紹道。同時，它也決定著應(yīng)用軟件如何管理對特權(quán)信息的訪問，以及如何利用存儲身份數(shù)據(jù)的數(shù)據(jù)庫或目錄。

當一名用戶離開了雇主，公司可以利用RapidConnector及其身份管理系統(tǒng)，與網(wǎng)絡(luò)上的所有應(yīng)用軟件進行通信，以刪除該用戶的訪問權(quán)限，其所用的身份管理系統(tǒng)可以是CA公司、網(wǎng)威公司(Novell)、甲骨文公司(Oracle)或其他任何公司的產(chǎn)品。這樣，就避免了當員工離職后很久，其賬戶仍長久滯留于公司IT環(huán)境中的現(xiàn)象。

當務(wù)之急

在波耐蒙的調(diào)查中，被訪企業(yè)部署身份和訪問管理系統(tǒng)的首要原因，是要對有權(quán)訪問公司敏感或機密數(shù)據(jù)的臨時或合同雇員進行追蹤。被訪者還表示，他們還希望能夠?qū)ο到y(tǒng)和數(shù)據(jù)庫管理員等特權(quán)用戶的活動進行追蹤，以偵察并阻止泄密行為(包括機密或私有數(shù)據(jù))。此外，對身份和訪問實行集中管理的另外一個原因，是要減少用戶訪問不同的應(yīng)用軟件時所需要的用戶名數(shù)量和口令數(shù)量。

專用聚合物和其他化合物生產(chǎn)商羅門哈斯公司(Rohm & Haas，下稱羅門哈斯)發(fā)現(xiàn)，其雇員為訪問工作所需的系統(tǒng)，平均擁有15個不同的用戶名和口令。也正因為這個原因，去年，該公司接到了1.4萬多條與口令相關(guān)的求助電話。“實際上，這種情形確實降低了企業(yè)的安全性，因為用戶往往會將用戶名和口令等信息記錄下來?！逼髽I(yè)架構(gòu)師兼程序開發(fā)經(jīng)理斯科特·麥吉爾(Scott Megill)指出。

羅門哈斯隨即決定采用國際商業(yè)機器公司(IBM)的Tivoli訪問管理工具，利用該軟件，網(wǎng)絡(luò)可將用戶信息傳遞給虛擬專網(wǎng)(VPN)、Lotus Notes、大量公司自行開發(fā)的應(yīng)用程序以及其他70多個源自服務(wù)提供商和軟件廠商的應(yīng)用軟件。麥吉爾表示，截至3月中旬，在全部1.7萬名用戶中都普及了簡化的登錄方法。

羅門哈斯在集中管理身份和訪問權(quán)限時，使用的是微軟公司的(Microsoft，下稱微軟)的集成身份認證服務(wù)器(Identity Integration Server，MIIS)，并將之用作其身份管理系統(tǒng)的基本管道。MIIS可將應(yīng)用軟件和目錄所用的數(shù)據(jù)集中起來，并創(chuàng)建出最為完整的最終用戶信息記錄?；谖④浀腂izTalk Server中內(nèi)置的過程規(guī)則，MIIS可以增加、改變或者刪除用戶賬戶。

用戶請求由BizTalk、SharePoint和微軟的Office InfoPath共同處理，它們將用戶請求和所需的訪問類型相連，麥吉爾解釋道，“如果公司雇用了一名新的銷售人員，那就意味著我們的IT系統(tǒng)有事可干了?！绷_門哈斯正在用身份管理系統(tǒng)整合其應(yīng)用，整合采用的是服務(wù)導向架構(gòu)(SOA)，這個架構(gòu)是由基于SOAP和XML協(xié)議的Web服務(wù)連接器組成。

現(xiàn)在，羅門哈斯極為依賴其現(xiàn)有的基于微軟產(chǎn)品的基礎(chǔ)架構(gòu)，這絕非偶然?！叭绻怀晒Φ脑?，我們會迅速破產(chǎn)?！彼a充道。如果身份管理系統(tǒng)的狀態(tài)都像今天一樣，那么任何改進都可能被視為成功，而且會在保護與產(chǎn)品和雇員相關(guān)的機密信息的“戰(zhàn)斗”中，設(shè)立一道堅固的防線。(信息周刊)