身份识别和访问管理的解决方案

　　别问我是谁

　　——走近身份识别和访问管理

　　当前，企业面临诸多挑战，而许多挑战都与用户身份管理及受保护资源的访问管理相关。这些挑战包括:降低安全管理的成本、保护组织的关键资产、确保法规遵从性等。专家认为，借助于部署一款全面完善、集成化的身份识别与访问管理产品，所有这些挑战都会迎刃而解。

　　竞争日益加剧的今天，企业正面临着前所未有的压力:需要阻止入侵者进入计算机网络，管理员工对系统及应用程序的访问，逐步使客户和合作伙伴对在线交易树立信心。与此同时，企业还需要减低风险和遵循种种法规。这对于企业的 IT 部门来说是一项巨大的责任，正因为如此，越来越多的企业正在向供应商寻求身份管理的产品和方案。

　　具体就新员工账号的设定而言，如果能够直接连结人事管理系统和存储企业网络资源的服务器之后，企业就可以缩短新员工账号设定的时间。然而根据美国斯坦福大学的研究报告显示，几乎所有的企业在设定新账号时，最少都得花上一到两天，十分之一的企业甚至需要花两周以上的时间。在账号设定好以前，新员工必须花费较长的时间等待企业资源的授权与核准，这对于企业而言，无疑是一种人力成本的极大浪费。同时，每一个员工光是忘记或遗失密码时的重设与密码变更，就需要400美元的技术支持成本。另外，斯坦福大学的研究也发现，86%的员工需要记住两组以上的密码，而有四分之一的员工得记住四组以上的密码。被密码记忆和反复输入不同密码搞得身心交瘁的企业员工们真心期望，能有这样一种产品，可以帮助他们在面对冷冰冰的系统时得到“别问我是谁”的礼宾级待遇。然而在很多企业里，这似乎是一种遥不可及的奢望。

　　这真的很难吗?

　　为管理类软件注入强心剂

　　他(她)是谁?谁认识他(她)?

　　在现实生活中，诸如此类的问题我们经常会遇到，并且其解答也非常简单。不过一旦涉及到网络(无论是局域网，抑或Internet均是如此)，这种问题往往给个人、团体和企业带来极大的困扰。

　　一些知名的国际和国内市场调查公司，如IDC与计世资讯的调查数据和相关研究报告均显示出，出于业务以及未来发展的需求，目前越来越多的企业需要访问愈发庞大且复杂的计算资源，而这种需求仍在不断增长当中。然而对于越来越担忧IT风险的公司来说，监控和管理这种访问无疑成为一大挑战。这种挑战来自法规遵从性、运营效率和降低成本等方面，而身份识别与访问控制管理系统的应运而生则可以极大地改善企业此时面临的窘境。

　　身份识别和访问管理(IAM)产品并不是这两年才出现的，不过由于2001年12月的安然事件以及2002年6月的世界通信公司会计丑闻事件，萨班斯·奥克斯利法案的迅速出台加之加州隐私法案的实行，给政府和公司的监管都带来了非常大的压力，于是身份识别管理软件也搭了一趟顺风车，其市场开始在近年来日渐红火起来，并且未来走势看好。

　　不过，在我们看到这种“红火”之前，其实厂商们早在几年前就有所行动。CA应该算是动作最早的一批:2004年10月，CA以4.3亿美元的价格将身份管理软件商Netegrity收入旗下;2005年初，蓝色巨人IBM正式宣布收购身份识别软件供应商SRD;同样是2005年初，BMC也购入了身份识别软件供应商Calendra公司，兴许是“意犹未尽”的缘故，一年之后的2006年3月，BMC再次出招，以1.5亿美元又收购了一家以色列的身份识别软件公司;甲骨文则是在2005年4月兼并了身份识别管理软件商Oblix……在最近的两年里，类似的例子真是不胜枚举。

　　多年来，管理类软件一直缺乏新鲜血液和独特亮点。由于管理类软件的一个基本职能是保证企业信息化平台运营的顺畅与安全，因此管理类软件自身的安全，以及软件所承载的业务流的安全就一直是倍受企业CSO和CIO们关注的问题。为了更好地达成目的，快速发展的身份识别管理类软件融入了众多新技术，其中包括令人兴奋却又颇感神秘的指纹识别和虹膜识别等生物技术。这些新技术的出现和应用，勾起了很多人的兴趣，使得那些认为管理类软件乏善可陈的企业用户，又开始重新审视这类产品。

　　需求拉动增长

　　2005年美国FBI的报告指出，在目前给企业IT信息安全造成破坏性损失的所有因素中，排在第一位的是计算机病毒，紧接其后的就是IT系统所面临的未经许可的访问。于是，身份识别和访问管理也成为企业IT安全管理的重要议题。

　　在不断变化的数字环境中，企业必须对用户访问进行严格的控制，并确保身份与访问控制管理系统与企业目标保持协调统一，同时和企业IT管理整体战略紧密结合在一起。

　　随着在线应用的增加，建立账户和管理用户权限的工作负荷也越来越重。此外，企业内同一个体存在的多重身份也会让用户感到困惑。更为重要的是，如果某一用户是企业许多产品和服务的客户，但由于无法识别其身份，企业可能因此丧失商机。同一用户在不同的应用中产生了越来越多的多重身份，使企业暴露于多种严重威胁和漏洞之下，不断遭受到身份盗窃和欺诈威胁、网站破坏、盗窃用户信息、破坏客户和员工保密性以及多种其他内部攻击。

　　另外，IAM的升温也是企业实现法规遵从的需要。在所有重要IT系统范围内，政府和行业法规正逐渐加大对企业的管理力度，要求他们提供可供审计的证据，证明只有相应人员访问了关键数据和应用。从萨班斯·奥克斯利法案一直到Basel Ⅱ，业务系统的全球化使遵从性问题也具有了全球化性质，并且极大地推动了企业加大对IAM解决方案的投资。

　　从另一个角度来说，IAM应用的升温受到企业业务要求的影响。美国CIO杂志和普华永道的报告表明，IT安全是亚洲企业面临的重大挑战。报告指出，曾经有75%的亚洲公司因安全问题导致系统崩溃。这主要归结于亚太地区企业对基于Web应用的依赖性急剧增长，但对相应的身份与访问控制管理流程和基础架构关注不足。由于以上的原因，促使着IAM市场成长迅速。但由于自身的特点，IAM在金融、保险、通信、医疗卫生、制造、政府等重点行业的应用需求最为广泛，另外还有其他行业的一些大型企业，也会对IAM的应用更加迫切。这其中行动最快的是金融行业，因为需要遵循的法规相对更多一些，需要通过IAM的应用来保障企业的数据安全。另一个起步较快的是保险业，因为在经营中涉及到大量的消费者数据，所以身份识别及认证所涉及的安全问题就显得比较重要。这种趋势不仅是在国外，在国内同样如此。

　　IAM面临挑战

　　今天，对于企业的业务而言，让合适的人能够及时地访问到合适的IT资源至关重要。无论是新来的呼叫中心员工要查询客户资料，还是企业运营经理要应用最新的商业智能工具，公司里的每一个员工都必须能够及时地访问到特定的信息系统，以保证其日常工作的效率。因此，在任何时间和地点都能快速访问IT系统的重要性也就不言而喻。

　　然而，访问的及时性不能以牺牲安全性作为代价。为保护公司的敏感信息并保证法规遵从性，IT部门必须保持对系统访问的严密控制，以保证只有经过授权的人才能访问企业资源。包括客户、供应商和合作伙伴在内，越来越多的外部人员访问企业敏感IT资源的需求正不断增加，IAM产品也正面临着更多的挑战。另外，那些对外公布的、通常以基于Web形式发布的资源同样需要确保其安全性，而出于维护业务合作关系的需要，对这些信息访问的及时性同样必不可少。这看似是一对难以调和的矛盾，但是成熟的IAM产品必须解决这一问题。

　　除此之外，对包括大型主机、Windows、Linux和Unix系统在内的复杂系统管理也使得识别工作更加复杂。因此，IAM面临的挑战不仅来自于外部，自身发展速度的快慢也将是它能否“征服”企业的重要因素。

　　至于好的IAM对于企业的好处，上面已经说了很多了。那么糟糕的IAM系统则会为企业带来哪些不利的影响呢?

　　更高的运营成本: 随着用户和IT资源呈几何级数增加，IT部门将会很快因需要在建立新账号并对权限进行管理上投入过多精力而忙得不可开交。

　　安全风险: 不合适的IAM将使机密业务暴露在众多的安全威胁之下，其中包括身份被盗窃、客户及员工机密被窃取，以及信息被破坏等。

　　不遵从法规: 萨班斯法案、健康保险携带和责任法案、巴赛尔协定Ⅱ等法案的出现使得用新的标准对IT资源访问进行控制和审计成为企业必需的工作。拒不执行这些法规将使得企业承担财务上的后果，并很有可能对企业的声誉产生破坏作用。

　　降低业务响应速度: 不能及时地为内部和外部访问者提供其所需的IT资源访问的企业在生产效率降低、机会丧失和传达利益缓慢的同时，将在竞争中处于持续不利的境地。

　　产品之间差异较大

　　目前在市场上，很多厂商都提供了有关身份识别和访问管理的产品，例如CA eTrust、Cisco IBNS、HP OpenView、IBM的身份和访问管理整合服务等等。这些产品中有很多都属于这些大的厂商在近两年中通过收购专业厂商之后推出的，至于这些收购，本文前面已有述及，在此不在赘述。

　　虽然市场上的IAM产品已经有很多，但是由于各种原因，这些产品的特性并不一致。这主要表现在三个方面:首先是功能差距，由于厂商实力不一样，因此各自的产品在一些比较难实现的功能上会有所差距。例如，就操作系统来说，软件在考虑网络的管理与控制的同时，还应考虑到操作系统上面的主机以及开放性等因素。其次，在于是否具备开放性。为了实现商业价值的最大化，身份识别和访问管理解决方案的功能组件应当是集成的，可与其他厂商或与定制开发的应用程序的组件能实现互操作。最后，就是解决方案的整合程度。许多小的IAM产品可能在应用的某一点上比较专注，但是并不能为用户提供一个完整的解决方案。如果用户分别选择了不同的IAM产品，就会造成在IAM应用的后期需要花费更大的成本来整合这些产品，才能实现整个系统的一致性。

　　企业应用前提

　　企业要想成功应用IAM的一个重要前提是打好良好的基础架构，否则将来用户所面临的应用成本会很高。从应用层次的角度上来说，安全管理分为威胁管理(Threat Management)、身份与访问控制管理 (Identity and Access Management)和信息安全管理(Security Information Management)三大部分。这其中，威胁管理对于企业的安全管理来说是最基本的;然后再根据企业自身的需求，选择重点投入身份与访问控制管理或是信息安全管理。因此，专家建议，企业应首先将防病毒、反间谍、反垃圾邮件等一系列威胁管理问题解决好，再来考虑应用IAM的问题。

　　用户应用IAM的具体过程中，首先要先明确自己到底有哪些需求，因为要想一次性地实现IAM的所有功能，无论从技术准备还是资金准备上来说，都是不太可能的事情。因此企业需要先制订一个计划，有步骤开展IAM的应用。从美国的经验来看，大部分的企业是从存取控制方面开始IAM应用。而对于国内企业来说，身份管理可能会是更多企业首先着手进行应用的部分。而对于厂商来说，无论用户将何处作为起点，最终都要实现整体的应用，因此，厂商必须使自己的解决方案实现真正的完整性与集成性，才能满足用户的最终要求。而随着互联网交易的不断增多，Web服务和联合访问(Federation)将成为未来IAM应用中安全技术关注的重点。

　　在对21家大型企业所做的IAM项目进行了全面的调查后，Gartner得出这样一个结论:拥有10000名员工的企业在实施了IAM解决方案之后三年的时间里，ROI(投资回报)往往可以达到近300%!IAM的应用不仅能为用户带来更低的管理成本、降低信息风险发生概率、更好的法规遵从、并能更快地交付增值的IT服务，而且重要的是，IAM能为企业实现IT投资价值的最大化。我们相信，随着中国企业国际化步伐的加快，会有越来越多的企业开始关注、购买和使用IAM产品。