企业如何实施集中化身份管理

申请免费试用、咨询电话：400-8352-114

研究发现，很少有公司对用户的身份实行集中化管理，这就给了内部攻击者可乘之机。

大多数公司都采用某种形式的身份和访问管理控制来保护其应用软件和信息。但不久前的一项研究表明，很少有公司对这些系统进行集中化管理，并且及时更新用户权限。这种情形非常危险，假设公司对于谁有权访问其IT环境中的哪些部分心中无底的话，那必将是最大的安全隐患。

波耐蒙研究所(Ponemon Institute，下称波耐蒙)对627名商业科技专业人士进行了调查，其中超过64%的人表示，其所在公司在使用身份和访问权限管理技术，13%的被访者对身份和访问实行集中化管理。

对于那些投资在身份和访问管理技术方面的公司来说，主要是希望通过这种手段，来提升系统访问效率，改善系统安全性，同时能够达到合规要求。但是很多公司，即使是采用身份管理技术的公司，很大程度上还是依靠手工来实现上述目标的，波耐蒙主席拉里·波耐蒙(Larry Ponemon)更是指出：“他们的工作更多的是忙于对付内部滥用身份和权限的行为。”不久前，杜邦公司(DuPont)一位从事研究的药剂师窃取公司知识产权一案即是一个典型例子。当公司发现这位名为加利·敏(Gary Min)的药剂师访问了大量与其工作无关的信息时，才将其擒获。“但是，在发现价值4亿美元的贸易机密失窃之前，没人察觉他的异常举动，更别提将其行为视为高风险行为了。”波耐蒙进一步指出。

密切关注用户行为才是关键，因为最大的安全威胁往往来自那些起了贰心的员工，CRC健康集团(CRC Health Group ，下称CRC)首席技术官(CTO)杰伊·莱蒙迪(Jay Raimondi)指出。

CRC为那些有药物依赖和相关行为健康问题的人提供治疗。去年年末，该公司开始致力于提升其系统控制用户账户的能力，并计划用Apere公司的RapidConnector Framework，将其人力资源、薪金、总账、临床管理和其他应用软件整合到集中的身份和访问管理系统中。这样做有助于CRC在严密防范入侵者的同时，也更加容易遵从《健康保险流通和责任法案》(HIPAA)以及《萨班斯-奥克斯利法案》(《Sarbanes-Oxley Act》)的相关要求。

第一步要做的是，以Apere的身份管理访问网关，取代CRC过去用以增加和删除访问特权的故障单系统，这个工具可对与各种不同的应用软件相连的身份信息进行集中管理。该网关设备可自动利用专用身份数据定位所有数据库和目录，并进而创建用户身份和访问权限的更新列表。

应用RapidConnector既可以削减成本，又能在将网络的所有应用和目录集成到身份管理系统中时减少各种冲突。而且，它能在大约30分钟的时间内将一个目录或应用软件连入身份管理系统，无论该软件是商用的还是公司自行开发的，都一样。

此外，RapidConnector还可在应用软件的用户界面上模拟本地管理权限，以收集并提供用户信息，而非利用应用编程接口(API)构建连接器。这样，它就变成了一个虚拟管理员，并掌握了应用软件的界面所用的所有管理命令和域，Apere业务拓展和销售副总裁贾尔德·胡菲尔德(Jared Hufferd)介绍道。同时，它也决定着应用软件如何管理对特权信息的访问，以及如何利用存储身份数据的数据库或目录。

当一名用户离开了雇主，公司可以利用RapidConnector及其身份管理系统，与网络上的所有应用软件进行通信，以删除该用户的访问权限，其所用的身份管理系统可以是CA公司、网威公司(Novell)、甲骨文公司(Oracle)或其他任何公司的产品。这样，就避免了当员工离职后很久，其账户仍长久滞留于公司IT环境中的现象。

当务之急

在波耐蒙的调查中，被访企业部署身份和访问管理系统的首要原因，是要对有权访问公司敏感或机密数据的临时或合同雇员进行追踪。被访者还表示，他们还希望能够对系统和数据库管理员等特权用户的活动进行追踪，以侦察并阻止泄密行为(包括机密或私有数据)。此外，对身份和访问实行集中管理的另外一个原因，是要减少用户访问不同的应用软件时所需要的用户名数量和口令数量。

专用聚合物和其他化合物生产商罗门哈斯公司(Rohm & Haas，下称罗门哈斯)发现，其雇员为访问工作所需的系统，平均拥有15个不同的用户名和口令。也正因为这个原因，去年，该公司接到了1.4万多条与口令相关的求助电话。“实际上，这种情形确实降低了企业的安全性，因为用户往往会将用户名和口令等信息记录下来。”企业架构师兼程序开发经理斯科特·麦吉尔(Scott Megill)指出。

罗门哈斯随即决定采用国际商业机器公司(IBM)的Tivoli访问管理工具，利用该软件，网络可将用户信息传递给虚拟专网(VPN)、Lotus Notes、大量公司自行开发的应用程序以及其他70多个源自服务提供商和软件厂商的应用软件。麦吉尔表示，截至3月中旬，在全部1.7万名用户中都普及了简化的登录方法。

罗门哈斯在集中管理身份和访问权限时，使用的是微软公司的(Microsoft，下称微软)的集成身份认证服务器(Identity Integration Server，MIIS)，并将之用作其身份管理系统的基本管道。MIIS可将应用软件和目录所用的数据集中起来，并创建出最为完整的最终用户信息记录。基于微软的BizTalk Server中内置的过程规则，MIIS可以增加、改变或者删除用户账户。

用户请求由BizTalk、SharePoint和微软的Office InfoPath共同处理，它们将用户请求和所需的访问类型相连，麦吉尔解释道，“如果公司雇用了一名新的销售人员，那就意味着我们的IT系统有事可干了。”罗门哈斯正在用身份管理系统整合其应用，整合采用的是服务导向架构(SOA)，这个架构是由基于SOAP和XML协议的Web服务连接器组成。

现在，罗门哈斯极为依赖其现有的基于微软产品的基础架构，这绝非偶然。“如果不成功的话，我们会迅速破产。”他补充道。如果身份管理系统的状态都像今天一样，那么任何改进都可能被视为成功，而且会在保护与产品和雇员相关的机密信息的“战斗”中，设立一道坚固的防线。(信息周刊)