美國目前IAM應用案例探討

身份識別建立自動化管理機制
當一位新進員工到企業報到時，必須為他建立E-Mail帳號、登入帳號及VPN帳號等，一個人報到需要5～8人在不同系統建立帳號，但一個企業一天可能要接觸10個員工進出公司，又如何簡化作業流程將帳戶刪除或建立，來正確控制進出企業的員工，以超級市場為例，1天要雇用10～20人，倘若需要由5～8管理者在不同系統建立帳號，則造成企業內部資源的嚴重損耗，其花費很多人力資源及時間建置，但又無法保證安全，可藉由自動化的機制去建立則更安全及節省資源。
根據資料顯示，一個人進入企業時，可能只有2～3個帳號，經過升遷、調職後，可能有17個帳號，當此人離開時，企業內部管理員只將11個帳號刪除，忽略6個帳號未刪除，倘若這6個帳號包含超級用戶帳號，這就如為企業開始了一個後門，倘若是VPN帳號忘記刪除，此離職員工還可從外部連線到企業內部網路，所以有30%的人為疏忽而影響到企業內部的資訊安全，因而美國大部分的企業多以減少人力及節省營運資本出發，且IAM機制可以自動提供密碼給忘記密碼者，不需要有專人來維護此工作，可節省這方面的成本。


存取權限適當劃分
以存取管理的角度而言，企業內部要管理的檔案、程式很多，但大部分企業都忽略文件檔案管理，並無整體安全的管理，尤其是負責不同伺服器的管理員通常會分享同一個超級用戶權限，這些人的權限通常沒有限制，倘若如此，容易造成管理不當，發生資安危機又要如何追蹤呢？目前要將機密檔案資料利用E-Mail傳送出去是件很簡單的事，倘若不加管制即對企業造成很大威脅，一般企業往往只重視對外的威脅防範，而忽略內部的威脅往往高於外部威脅。
然而，以新竹的IC製造業而言，最擔憂的還是機密資料的外洩，所以，部分企業禁止使用無線網路、光碟機及隨身碟，且部分區域不准予使用網路，但還是防範不了離職員工將電腦硬碟拆除，因此，企業遇到的不只是防火牆、防毒問題，更重要的是企業內部安全管控，內部員工所接觸到的企業資源往往大於員工的職務及權限，例如行銷部門員工只能查看有關行銷的文件，但多數仍可接觸到產品的原始碼文件，其造成企業很大的威脅，因此，對於機密文件依職務適當的劃分權限及管控，並保留所有使用紀錄，更可降低企業所造成的風險。

美國相關法律
美國身份識別及存取管理相關的法律有沙賓法案(Sarbanes-Oxley Act of 2002)、HIPAA及SB1386等，沙賓法案則是規範企業內所公佈的財報資料必須正確，合法的會計人員有更改權限，企業內部CEO及CFO對財報資料必須簽字表示負責，倘若因內部管疏忽產生錯誤財報資料，將造成投資人投資損失，視情況判定罰鍰或坐牢，因此，身份識別及存取管理工具則變得非常重要。
HIPAA乃是保護病人隱私，醫院為確保病歷資料的安全，也設法尋求解決方案，再者，加州的SB1386即特別針對消費者個人隱私權給予保護，規範政府或單位不小心洩露使用者信用卡及社會保險密碼等個人資料，必須主動告知受害者，2004年美國加州學校捐血中心不小心遺失手提電腦，其中有許多捐血人的資料，因此，透過新聞媒體通知捐血人，則是法律要求對個人隱私權的保護，所以更重視如何保護資料的安全，然而，企業更重視客戶機密資料的保護，倘若一再發生外洩危機，將會對企業營運造成影響。

案例分享
IAM系統涵蓋認證方法，全世界有90%身份認證仍以密碼為主，少數利用RFID認證，美國海關使用指紋辨識或臉部辨識，結合單一登入系統，經過身份確認後，可登入不同系統，身份辨識管理可一次建立及刪除使用者帳號，在系統中通過該主管批示後，自動進入下一流程，再依職務開放使用權限，使用者可藉由系統找尋自己遺忘的密碼，然而，此系統可協助管理員定義帳號使用者，並對使用權限加以管理，並可追蹤所有使用記錄。
以美國紹式超市而言，在美國擁有200多個據點，3萬名員工，44億營收，其所遭遇到問題是雇用人員之進出非常頻繁，倘若1天1個人進來需要7個人為他在不同系統建立帳號，1天若有10個人進來必須耗費很多時間在建立帳號這件事情上，因此，超市認為這為企業造成很沉重的負擔，建立IAM系統，以自動化的流程來精確管理人員去留，並使用高安全度的密碼管理，降低了超巿營運成本，並提高了超巿的安全性。
以汽車製造公司案例而言，其為美國三大汽車製造廠之一，財產排美國前10名，擁有很多汽車設計圖的機密資料，必須確認接觸的人不會洩露機密資料，因此，將接觸的設計部門及稽核部門權限分劃分，設計部門人員只要有不合法的行為，將有紀錄可以追蹤，設計部門人員也不能查看稽核資料以免篡改。

結語
國內資訊安全應用上，目前仍停留在Anti-Virus，使用微軟的漏洞修補程式解決問題，利用防火牆及來防範外部的入侵者，大部分都是在防衛外部的攻擊，而忽略內部安全，根據FBI及CSI的調查報告指出，過去7～8年造成金融損失的最大原因是內部權限存取不當約占70～80%，目前約有50%，但大部分企業的注意力仍著重在外部防範，而不重視內部的管理，要達到身份識別及存取權限管理，則需要涵蓋越大範圍，防護越多的點則越安全，再評估企業內部有哪些人最容易造成威脅，再逐一的建立安全管理政策，有助於企業面臨不必要的風險。