觀點

落實身分管理 為企業除駭

2003 / 03 / 05
黃成弘
落實身分管理  為企業除駭

安全身分管理之六大特點
完整的「安全身分管理方案」(Secure Identity Management)

應為客戶提供安全及個人化的資源存取服務,能跨越地域限制,協助企業提高生產力,降低管理成本。更重要的是企業可以藉由應用這套方案,進而得到多重商業效益。此方案有以下幾個特點:

1. 跨平臺支援:完整的「安全 身分管理方案」應可以運行於各種異質平台上,如Solaris*, Linux*, Windows NT*, Windows* 2000, 以及NetWare(r)等,在不增加企業的負擔下,以加強進行使用者的身分驗證、政策和存取控制資訊。

2. 可擴展性:好的「安全身分管 理方案」應可以建構一個完整網路系統,能包含幾百萬個或者是幾十億個物件,且可同時支援百萬物件的執行工作。

3. 在未來可加入多重的資訊系統︰ 遵循開放的標準—完整的「安全身分管理方案」需能支援及遵循開放的標準支援 ,如XML .LDAP (輕量級目錄存取協定),由於大多數的入口網站與應用服務的供應商大都遵循開放性標準來進行系統的開發,故架構在遵循同一業界標準的「安全身分管理方案」才能和目前多數的應用程式相整合,讓企業在未來運行可更加順暢。

4. 可靠及穩定性:「安全身分 管理方案」對於企業而言是一項浩大的工程與攸關企業的商業命脈,稍一不慎即會造成極大的損失,其系統架構應極為穩定、可靠,而且新一代的「安全身分管理方案」應擁有分散式的容錯體系機制,以確保即使一個或多個伺服器或網路連接不通,也還可以存取目錄及伺服器上的資料,使網路停機時間與機會降到最低,讓整體認證授權工作仍施行無礙,期提供企業一個可靠及穩定的環境。

5. 安全性:「安全身分管理方案 」應擁有目錄服務產品的安全保護措施,允許對共同資料進行安全存取和管理,最好能提供以單一點來管理多重驗證方法包括標準密碼保護、智慧卡和指紋等生物認證科技的使用,提供企業一個完整且安全的環境。

6. 靈活性:完善的「安全身分管 理方案」應可以依組織需求和職務的不同來加以做適度的認證工作,如最高機密單位可實行3種以上的驗證方式來存取某幾處的高層資源,依資源別、職務別或單位別等多向方式來進行授權工作。

完善的目錄化管理功能
目前,能善盡管理之責的「安全身分管理方案」應具備 “目錄化”的多向管理。隨著科技的不斷發展,各個公司不斷地將一些數目驚人的不同應用程式和系統導入到他們的計算環境之中。通常,當一個公司在他們的計算環境之中增加一個新的系統時,總會出現一套新的和這個系統相關的資料。這套新的資料組通常都會包含一些多餘的資訊,而這個計算環境中的其他一個或多個系統都已經以這種或其他形式包含了這些資訊,於是,這些多餘資訊就加深了企業在整個公司系統內維持資料準確性和連續性的難度。

例如,企業內的門禁系統,它包含了使用這個門禁系統的員工的資訊,如果該公司內也有E-mail系統,他們會把公司員工的資訊輸入到這個E-mail系統中去,這些資訊包括了已經存在於門禁系統中的部分資訊。如果這個電子郵件系統和門禁系統存有相同的資訊,那會出現什麼樣的情況呢?每次在儲存資料的時候,如果資料相同,包括在電子郵件和薪資管理系統中的資料,以及其他儲存著類似員工資料的系統是否應進行同步的工作才能有效節省企業成本呢?其實最好的解決方式是要能將企業內的系統整合在同一個目錄下來進行管理的工作。透過這樣的一個程序不僅可節省下時間和成本,而且還能避免人工錯誤的危險。通過允許公司的每個應用程式和系統集中檢索和儲存共用資訊,企業目錄可以定位多餘資訊,從而解決這個問題,進而增加「安全身分管理方案」的整體效率。

Single Sign-On原理 網
路管理人員致力保護及管理企業資源的存取方式,責任重大,尤其是擁有大量網路使用者的企業,這些使用者需經常進入Internet、Intranet、Extranet及不同的網站,以至傳統的企業網路應用系統及資源等。

現今使用者常擁有多個私人密碼、多個電子郵件,以及無數的密碼,而且一般的觀念以為要時常更換密碼才是最安全的方式,其實這是不對的,因為使用者常會遺失及忘記密碼而向服務人員查詢時,不僅浪費網路管理人員的資源,更造成極大的麻煩,而有些人為了避免這樣的窘境,常常只用一組使用者名稱與密碼或將密碼寫在觸目可及的地方,這樣反而造成更不安全的情況。

什麼才是保障企業網路安全的上策?方法有很多,在企業內最常用的就是身分驗證。 藉著結合不同種類的身分驗證方法,以補足或更新舊式密碼,從而加強企業的系統安全措施。最佳的「安全身分管理方案」可運用層級式身分驗證(graded authentication) 功能,讓企業於不同部分的網路設定不同級別的存取政策,並可結合不同的身分驗證方式,例如密碼,指紋,或Token等。此外目前尚有Single Sign-On的Solution,所謂的Single Sign-On方式並不是像想像中那麼簡單,僅單純地只有用一組密碼來通行所有異質性平台,而是在設定這一組使用者帳號與密碼時,其資訊是儲存在經過多重安全加密機制保護的認證伺服器上,以確保駭客無法入侵取得,在進行驗證之時,其密碼的傳送過程中也透過層層的安全機制來保護,如SSL,才能做到單一登錄又擁有滴水不漏的安全措施,不只節省使用者時間,資訊管理者也不用再做某些曠日廢時的傳統性技術支援。

循序漸進建立系統
目錄服務(Directory Service)

以目錄服務做為完整存取與跨平台安全解決方案的基礎平台以提供集中化的網路管理和整體網路資源所需的基礎,要達成以上的目的,需挑選一個能統一目前所有異質伺服器平台的使用者身分驗證、政策和存取控制資訊,其應有高延展特性可在儲存和管理數百萬個物件之際,同時維持迅捷的執行速度的Directory Service。

帳戶自動整合調度系統(eProvisioning)
一般而言,市場上對目錄服務較為熟悉,對於帳戶自動整合調度系統的概念較為模糊,簡單而言帳戶自動整合調度系統以目錄為基礎,根據商業需求將資訊科技資源和服務的部署工作自動化。

所謂帳戶自動整合調度系統,是關於如何讓新的員工盡快勝任工作崗位,並確保員工離職時公司能同樣有效地處理有關手續,以及盡量減低安全方面的風險。這個過程遠非看上去那麼簡單。多數公司都擁有很多資料庫和系統,以滿足不同員工在工作中不同形式的需要。為員工提供電子郵件帳號、筆記型電腦、存取人力資源應用軟體、分配座位、出差相關資料,以及出入門禁卡等手續可能費時多日,甚至更長時間。對於銷售部門的員工來說,要獲得存取銷售資源自動化資料庫的權限可能要等候更長的時間,而法律諮詢部門的員工亦要等侯存取其專用資料,這會令生產力大受影響,而目錄技術則適合這些帳戶自動整合調度系統方案。

目錄技術主要應用於員工進入企業網路的入口,因此適合為新進員工提供有關的資料。新員工的資料只要輸入至目錄中一次,然後分發到公司其他專門的應用目錄及資料庫。目錄亦可管理以角色為基礎的資料提供,因此市場部的新進員工能自動獲取所需的一切,而人力資源部的員工亦能獲取自動提供的另一套資源。由於這個程序是自動化的,因此既快速、又減少了多餘的重複及人工輸入錯誤,而且對使用者來說是透明的。

帳戶自動整合調度系統,系統無需等待應用軟體目錄化,而是將應用軟體與現有的商業程序整合起來。提供了一個整合安全、管理、工作流程及其他任務的平台。 而透過帳戶自動整合調度系統,目錄可在員工離職時有效地取消其對整個企業應用軟體的存取權限,從而令企業安全得到保障。由於員工擁有企業資產的資訊集中儲存於目錄中,因此能輕易確保員工在離職前歸還這些資產。根據 Aberdeen Group 的報告顯示,由於 70%的安全漏洞由不滿的員工造成,因此帳戶自動整合調度系統能快速取消存取權限及收回公司資產是一個重要的優點。

安全身分管理方案(Secure Identity Management)
在架構了Single Sign-on、Directory Service與帳戶自動整合調度系統後,即構成一個頗具雛型的Secure Identity Management,但要建立更完整的「安全身分管理方案」還須加入其他廣泛的安全身分管理產品,主要功能包括身分認證、存取管理、授權、員工準備工作、委派及自我管理、目錄服務、用戶登記及申請。這些產品配合顧問服務,提供全面及客製化的方案。

此外,在管理關係部分需更加靈活,而新一代的Secure Identity Management有以下三個增強的功能性:
網路服務:
網路在今日世界的影響力已不可同日而語,未來企業將無可避免地將安全身分管理延伸至網路服務的各項環節,讓企業的資訊管理者能提供使用者更豐富的網路服務及控制網路服務的存取、制定管理網路服務的政策,以及提供自動化的服務功能。

動態身分管理:
現在所有身分管理方案在管理關係方面表現得還不夠靈活。「動態身分」將針對個別服務的需要,反映不同身分的角度,進而提升靈活性,例如:旅遊網站可能只需要有限的使用者身分資料,例如她任職的公司及她參與「經常飛行」計劃的號碼;而帳戶應用軟體則可能會需要她的完整個人資料,包括工作職責、預算限制等等。此動態的數據結構能簡化企業的管理及充分發揮目錄的價值。

智慧型基礎架構:
由於目錄本身是一組智慧型基礎建設,因此毋須安裝獨立的政策引擎。這樣,身分管理方案便可根據商業規則制定有關數據資料和政策的智慧型決策。商業政策將可動態而自動進行實施,毋須管理人員及借助「備忘錄」來強制執行。

提高生產力
增加滿意度 Gartner研究總監Steve Bittinger曾表示:「資訊安全是客戶進行網路交易首要考慮的因素。各大企業均以『贏得信賴與創造價值』為目標,尤其是從事電子商務的企業。目錄服務策略及資訊安全政策是企業確保資訊安全的要素,也是贏得客戶信心的致勝之道。」

國際市場研究機構IDC亞太區網際網路研究部高級分析員Jasmine Soo表示:「企業建立安全身分管理系統,能更有效管理及控制存取高價值資產,提高企業的生產力,增加顧客對服務的滿意度,最終提升企業的投資回報。時至今日,企業不論從公司內部以至跨越不同公司的網路,均須在網際網路上採用新技術結合嶄新方案與原有系統或應用。因此,客戶必須注重網路的安全管理,而安全的身分管理在這裡則扮演了一個關鍵角色。」

未來「安全身分管理方案」還有一段很長的路要走,因為身處現代商業社會面對各種挑戰,企業目前只有推行身分管理方案的基本概念,還有很多的觀念與想法有待再釐清與加強。完整且全方位的「安全身分管理方案」,應將人力資源應用軟體、電子郵件方案組合、目錄和網路作業系統等一系列主要系統連結在一起,確保企業政策的即時應用與一致性,更可降低安全風險,實質地協助企業在今日瞬息萬變的世界取得自我的商業利基與優勢。逐鹿於未來的國際舞台。

(本文作者為台灣網威技術顧問)