| 出版日期:2003-11-24 总期号:1269 本年期号:88 |
|
 |
身份管理
把好信息共享关 陈飞雪、张志斌 信息安全不仅要抵挡各种攻击,有时还要防止用户权限设置不当而可能造成的更大危害,用户身份管理已成为信息安全必不可少的一环。 信息的共享和信息的安全从来都存在着矛盾,如要保证信息的安全就要尽量减少信息的共享,而要保证信息的共享就可能带来安全问题。为了信息共享和安全的兼顾,就出现了对于身份管理的需求。可以共享信息,但根据每个人的身份分配适当的权限,使他们只拥有他们应该拥有的权限,只能访问他们应该访问的信息,这样就可以有效避免系统的越权操作和信息的泄密。身份管理表面上看好像限制了我们访问信息的自由,实际上,正是由于它保证了我们的信息共享的安全,才使得我们可以更好地共享信息资源。 用户面临的问题 M公司内部有很多的信息系统、Mail系统、文件共享服务器、考勤系统、OA系统等,每个用户在这些系统上都有账号,以前他们需要在每个系统上配置为各个账号分配的权限,由于系统过多,很容易出现遗忘,出现过用户被分配过高权限后没有及时修改的现象,发生了信息泄露的问题,影响了系统的安全。现在他们想统一管理这些系统上的账号,只需在一个管理平台上就可以配置所有系统的账号信息,这样可以更加清楚地明确各个用户的权限,保障系统的安全。 Y公司是个电子交易网站,需要根据交易用户的身份确定相应的权限,使普通用户只能操作他们自己的数据,而管理用户可以管理他们管理域内的用户。虽然普通用户和管理用户都可以登录,但他们的权限不同,否则就会危害用户的信息安全。他们希望身份管理系统不要只限于管理用户是否有权限登录系统,还要为用户可以点击界面上哪个按钮的权限进行设置。 现在很多公司都意识到身份管理的重要性,但他们在建立用户管理体系过程中遇到许多问题,首先是权限的分配,存在普通员工、管理层、股东、供应商和销售商等各种不同的角色。为了安全,各个不同的角色都会被赋予适当的权限。从安全的角度来说,每个人赋予的权限越少,系统的安全性就越好。权限的细度成为关键,能限定只有特定用户才能执行特定命令的系统。要比只能控制用户是否可以登录系统要有更高的安全性。其次是管理对象的复杂性。现有电子信息、纸件信息等多种信息格式,口令认证、证书认证、工卡认证、指纹识别多种认证方式,LDAP、数据库、Radius等多种数据存储形式。最后是权限的变更。公司的每个人有不同的角色,但每个人的角色是会发生变化的,比如员工升为主管,员工离职,这将带来一系列的权限变化,因此要考虑如何及时更新用户的权限。 身份管理的应用 针对用户对身份管理的需求,IBM、Microsoft、Netgrity、Oblix等主流厂商纷纷推出身份管理解决方案。他们的产品在解决以上问题方面作出了有益的尝试,提供全套的解决方案,并且具备适应各种企业的灵活性和可管理性,能迅速得到部署。 Netgrity公司的产品就是一个很好的例子。它有很好的用户权限控制粒度,可以设定用户执行的命令,如Web页面可以点击哪个按钮,不可以点击哪个按钮;它可以整合公司各种系统,如Mail、文件服务器等的各种认证信息于单一的数据库中,实现单点认证,全局应用。用户可以在一点认证,就可以根据权限访问整个公司的所有资源。比如用户在登录文件服务器时进行了认证,整个系统就知道了给用户的身份,该用户在用Mail服务和Web服务时就不需要再认证了,系统会根据他的身份赋予相应的权限;管理员可以在一点改变所有系统上用户的权限,例如管理员通过统一的管理终端将某用户分配特定系统的权限,不用再到各个系统分别配置;而且该产品有很强的扩展性,拥有自己的API,可以针对各种新出现的认证方式进行开发。 有人认为,企业网络已经部署了安全产品,可以防止外来黑客的攻击和内部员工的恶意破坏,因此对用户身份识别以及用户权限管理并不重视。实际上,这样的认识存在很大的危险。不同身份的用户拥有的企业网络权限应该是不同的,而且应该是分级别的。用户身份粒化的程度越精细,就能达到越好的管理效果。如果网络访问权限仅仅是一个“yes or no”的简单开关,必然存在大量越权限访问的潜在危险。这对于企业来说是非常不安全的。 身份识别和访问管理是IT基础架构中非常基本的部件。实际上,如果没有有效的身份管理,企业很难构建完整的信息化企业。身份和访问管理是构建可扩展信任环境的基础,并且需要提供灵活的、基于策略的管理模式。这对于企业来说是减少风险的必经之路。随着基于Internet的商业协作和商业流程的建立,这种对用户的管理和访问进行控制的需求将更加明显。 身份管理的内容 身份管理已经是一个发展很久的名词,在以前的描述中,身份管理曾经被简单地认为是目录管理,或者简单地对用户身份进行数据库式的线性管理。现在,真正的身份管理,已经发展为包含认证机制、密码管理、Web和企业网上的一次性登录(SSO)、账号管理、集成身份访问控制等非常全面的企业安全技术。 身份管理包括两部分内容:身份识别和访问控制。 身份识别管理需要集中并自动实现用户账号和批准工作流的创建,从整体角度设置IT和非IT资源,并通过流程自动地降低成本。借助集成化的一次登录和个性化的门户自服务(包括密码重置),也提升了用户的生产效率。由于有了能够满足当前及未来企业需求的功能强大的身份鉴别和识别存储支持,身份识别管理可以管理企业身份识别的各个环节。自员工工作、合作伙伴签约或客户访问系统开始,它就追踪和管理并自动实现所要求的系统访问变更,并且启动所有的工作流和批准过程。 提供集中的完全自动化的全用户管理,采用经济高效的解决方案,管理用户账户和工作流以及企业资源的设置。此外,还需要提供授权控制服务、基于Web的管理和自我服务功能,以便提升用户的生产效率和降低用户的管理成本。 通过提供一次登录,可自动实现安全地访问基于浏览器、客户机/服务器以及传统设备的应用程序,并且可消除当今IT安全领域最大的、造成高额成本支出的安全难题——持有多个ID的密码问题。 需要为管理身份识别和认证的方法提供强大的存储库,借助接近实时的查找功能来管理成千上万的用户,并且既能单机作业也可以从Netware、Lotus Notes或Active Directory等来源整合用户信息,为身份识别管理提供最坚实的基础。 要对所有的身份处理提供实时的证书验证、集中的客户管理、持续的隐私保证以及详细的审计跟踪。在此基础上,需要提供基于策略的处理以及分布式、负载平衡的吞吐量管理。另外,还需要无缝集成LDAP和X.500目录服务以及相关PKI要素。 管理用户访问当前无数的企业资源是一项复杂工作。员工、企业合作伙伴及客户要求跨不同平台和操作系统,安全地访问业务关键型应用。许多分布式操作系统支持管理员访问所有信息,这也意味着诸如患者信息或者敏感商业计划等信息的私秘性可能遭到破坏。管理访问也意味着对被认证的用户访问所有类型的资源进行控制,同时确保强大的安全策略始终如一地应用到所有职员。 访问管理解决方案通过集中和强化端到端的安全性,确保业务关键型资产的安全,而无需受限于操作系统、平台和业务应用以及是否是Web资源。集中管理汇同提升生产效率的个性化以及统一的安全策略,可以确保降低成本。借助主动的动态安全措施,这些解决方案能提供最强大的保护,因此能够在防止内部破坏和外部攻击的同时,全面监控IT和物理访问设备的访问违规。 身份管理的未来 身份管理系统近些年发展很快,现在有扩大范围的趋势。身份不只局限在一个公司内部,公司之间联合身份认证解决如何在公司之间实现单点认证现已很热门。在解决认证和单点登录(SSO)问题方面,很多流行的新技术被采用,这其中包含Kerberos、公用密钥基础结构(PKI),结合了XML标准以及Web Service 安全规范的标准也正在被制定,这是未来发展的一个方向。 
工作流程 背景资料 单点登录 (single sign-on,SSO) 用户需访问多个需要认证的系统应用时,只需要初始进行一次登录和身份认证,就可以访问具有权限的任何系统,而不需要再次登录,后续系统会自动获取用户信息,从而识别出用户的身份。这样,无论用户要访问多少个应用,他只需要进行一次登录,而不需要用户重复输入认证信息。单点登录技术广泛应用在公司内部信息共享和B2C、B2B网站上。单点登录技术可以简化用户访问多种系统应用,避免用户由于需记忆众多账号信息而出现的遗忘,而且可以减少口令等重要信息在网络传播时被截获的危险。 (沈) |
||||||||||||||||||||||||||||
