企業(yè)如何實施集中化身份管理

申請免費試用、咨詢電話：400-8352-114

研究發(fā)現，很少有公司對用戶的身份實行集中化管理，這就給了內部攻擊者可乘之機。

大多數公司都采用某種形式的身份和訪問管理控制來保護其應用軟件和信息。但不久前的一項研究表明，很少有公司對這些系統(tǒng)進行集中化管理，并且及時更新用戶權限。這種情形非常危險，假設公司對于誰有權訪問其IT環(huán)境中的哪些部分心中無底的話，那必將是最大的安全隱患。

波耐蒙研究所(Ponemon Institute，下稱波耐蒙)對627名商業(yè)科技專業(yè)人士進行了調查，其中超過64%的人表示，其所在公司在使用身份和訪問權限管理技術，13%的被訪者對身份和訪問實行集中化管理。

對于那些投資在身份和訪問管理技術方面的公司來說，主要是希望通過這種手段，來提升系統(tǒng)訪問效率，改善系統(tǒng)安全性，同時能夠達到合規(guī)要求。但是很多公司，即使是采用身份管理技術的公司，很大程度上還是依靠手工來實現上述目標的，波耐蒙主席拉里·波耐蒙(Larry Ponemon)更是指出：“他們的工作更多的是忙于對付內部濫用身份和權限的行為?！辈痪们?，杜邦公司(DuPont)一位從事研究的藥劑師竊取公司知識產權一案即是一個典型例子。當公司發(fā)現這位名為加利·敏(Gary Min)的藥劑師訪問了大量與其工作無關的信息時，才將其擒獲。“但是，在發(fā)現價值4億美元的貿易機密失竊之前，沒人察覺他的異常舉動，更別提將其行為視為高風險行為了?！辈兔蛇M一步指出。

密切關注用戶行為才是關鍵，因為最大的安全威脅往往來自那些起了貳心的員工，CRC健康集團(CRC Health Group ，下稱CRC)首席技術官(CTO)杰伊·萊蒙迪(Jay Raimondi)指出。

CRC為那些有藥物依賴和相關行為健康問題的人提供治療。去年年末，該公司開始致力于提升其系統(tǒng)控制用戶賬戶的能力，并計劃用Apere公司的RapidConnector Framework，將其人力資源、薪金、總賬、臨床管理和其他應用軟件整合到集中的身份和訪問管理系統(tǒng)中。這樣做有助于CRC在嚴密防范入侵者的同時，也更加容易遵從《健康保險流通和責任法案》(HIPAA)以及《薩班斯-奧克斯利法案》(《Sarbanes-Oxley Act》)的相關要求。

第一步要做的是，以Apere的身份管理訪問網關，取代CRC過去用以增加和刪除訪問特權的故障單系統(tǒng)，這個工具可對與各種不同的應用軟件相連的身份信息進行集中管理。該網關設備可自動利用專用身份數據定位所有數據庫和目錄，并進而創(chuàng)建用戶身份和訪問權限的更新列表。

應用RapidConnector既可以削減成本，又能在將網絡的所有應用和目錄集成到身份管理系統(tǒng)中時減少各種沖突。而且，它能在大約30分鐘的時間內將一個目錄或應用軟件連入身份管理系統(tǒng)，無論該軟件是商用的還是公司自行開發(fā)的，都一樣。

此外，RapidConnector還可在應用軟件的用戶界面上模擬本地管理權限，以收集并提供用戶信息，而非利用應用編程接口(API)構建連接器。這樣，它就變成了一個虛擬管理員，并掌握了應用軟件的界面所用的所有管理命令和域，Apere業(yè)務拓展和銷售副總裁賈爾德·胡菲爾德(Jared Hufferd)介紹道。同時，它也決定著應用軟件如何管理對特權信息的訪問，以及如何利用存儲身份數據的數據庫或目錄。

當一名用戶離開了雇主，公司可以利用RapidConnector及其身份管理系統(tǒng)，與網絡上的所有應用軟件進行通信，以刪除該用戶的訪問權限，其所用的身份管理系統(tǒng)可以是CA公司、網威公司(Novell)、甲骨文公司(Oracle)或其他任何公司的產品。這樣，就避免了當員工離職后很久，其賬戶仍長久滯留于公司IT環(huán)境中的現象。

當務之急

在波耐蒙的調查中，被訪企業(yè)部署身份和訪問管理系統(tǒng)的首要原因，是要對有權訪問公司敏感或機密數據的臨時或合同雇員進行追蹤。被訪者還表示，他們還希望能夠對系統(tǒng)和數據庫管理員等特權用戶的活動進行追蹤，以偵察并阻止泄密行為(包括機密或私有數據)。此外，對身份和訪問實行集中管理的另外一個原因，是要減少用戶訪問不同的應用軟件時所需要的用戶名數量和口令數量。

專用聚合物和其他化合物生產商羅門哈斯公司(Rohm & Haas，下稱羅門哈斯)發(fā)現，其雇員為訪問工作所需的系統(tǒng)，平均擁有15個不同的用戶名和口令。也正因為這個原因，去年，該公司接到了1.4萬多條與口令相關的求助電話?！皩嶋H上，這種情形確實降低了企業(yè)的安全性，因為用戶往往會將用戶名和口令等信息記錄下來。”企業(yè)架構師兼程序開發(fā)經理斯科特·麥吉爾(Scott Megill)指出。

羅門哈斯隨即決定采用國際商業(yè)機器公司(IBM)的Tivoli訪問管理工具，利用該軟件，網絡可將用戶信息傳遞給虛擬專網(VPN)、Lotus Notes、大量公司自行開發(fā)的應用程序以及其他70多個源自服務提供商和軟件廠商的應用軟件。麥吉爾表示，截至3月中旬，在全部1.7萬名用戶中都普及了簡化的登錄方法。

羅門哈斯在集中管理身份和訪問權限時，使用的是微軟公司的(Microsoft，下稱微軟)的集成身份認證服務器(Identity Integration Server，MIIS)，并將之用作其身份管理系統(tǒng)的基本管道。MIIS可將應用軟件和目錄所用的數據集中起來，并創(chuàng)建出最為完整的最終用戶信息記錄。基于微軟的BizTalk Server中內置的過程規(guī)則，MIIS可以增加、改變或者刪除用戶賬戶。

用戶請求由BizTalk、SharePoint和微軟的Office InfoPath共同處理，它們將用戶請求和所需的訪問類型相連，麥吉爾解釋道，“如果公司雇用了一名新的銷售人員，那就意味著我們的IT系統(tǒng)有事可干了?！绷_門哈斯正在用身份管理系統(tǒng)整合其應用，整合采用的是服務導向架構(SOA)，這個架構是由基于SOAP和XML協(xié)議的Web服務連接器組成。

現在，羅門哈斯極為依賴其現有的基于微軟產品的基礎架構，這絕非偶然?！叭绻怀晒Φ脑挘覀儠杆倨飘a。”他補充道。如果身份管理系統(tǒng)的狀態(tài)都像今天一樣，那么任何改進都可能被視為成功，而且會在保護與產品和雇員相關的機密信息的“戰(zhàn)斗”中，設立一道堅固的防線。(信息周刊)