https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

身份識別與存取管理市場逐漸崛起

2005 / 11 / 04
陳佳溶
身份識別與存取管理市場逐漸崛起

美國由於HIPPA、沙賓法案(The Sarbanes-Oxley Act)及愛國保護法等法律的強制規範下,要求必須保護機密或敏感資料外洩,因而,企業或政府機關,則紛紛利用身份識別與存取管理系統來保護敏感資料,然而,MIC指出2003~2007年台灣資訊安全產品以身份識別管理、人侵偵測及內容安全為主,其中以身份識別管理的成長率最高,且台灣在沒有法律的強制要求下,科技產業的接受高,金融單位則還在評估階段,其整體而言,CA資深產品經理白培瑩說:「台灣IAM市場,還有很大的成長及努力的空間。」
美國在法律奧援之下IAM系統如魚得水
美國身份識別與存取管理市場和台灣不同,美國由於通過許多法律,在沙賓法案明訂倘若有任何機密敏感資料被更動的情形,都必須提出解釋,CA資深產品經理白培瑩說:「金融、會計資料被更動,必須知道更動的人是誰?為何更動資料?」此外,美國企業也很重視利用身份識別與存取管理的方法,使用自動化機制來減低營運成本,減少必須花費的時間及所造成的人為疏忽,白培瑩說:「就以新員工報到,建立密碼、帳號,及舊員工忘記密碼的查詢動作,原本2小時才能完成的工作變成5分鐘可完成的工作,則是利用科技來解決原來複雜的工作流程,大多數美國企業都接受這個觀念,利用此系統則不需要人力去執行,降低人為造成的錯誤,也提高了速度,再者加強用戶管理及權限的控管,企業也都樂意接受。」
在美國身份儲存管理系統,率先執行的是金融界,首先,是為了符合美國法律的要求,其次,則利用自動化減低成本,減少人為操作的疏忽以增加安全性,因此,美國金融界願意投資金錢和人力在這方面,會先請專家顧問評估安全的風險程度?問題的漏洞在哪?如何解決漏洞?用什麼方式解決?白培瑩表示,IAM系統使用的客戶,大部份是中、大型企業以此建立完整性的安全防線。然而,美國通信界通常擁有上百萬的客戶,如何保護客戶資料不被盜用,促使電信業對IAM的需求。
此外,美國HIPPA則是規範醫療單位必須保護病人資料及病歷,使病人有其隱私權,白培瑩舉例說:「一般醫院裡的護士在處理病人資料時,常被迫工作中斷去處理別的事,此時,也常常疏忽將電腦中的病人病歷資料給關閉,無意間可能被路過的人看到病人病歷資料,美國特別重視病人的隱私權,因此,IAM系統必須設定當醫護人員在30秒未打字時,電腦就會自動關閉,以保護病人權利。」
以美國汽車及基礎工業、製造業而言,則訴求保護內部機密資料,由程序及自動化來確立運作是合乎企業的安全政策,因此,利用系統化的方式來證明符合安全要求,且由系統內部的稽核資料,來擬定企業內部用戶管理及存取管理的措施,以確保資訊安全,倘若發生資安事件也可由稽核資料找出問題的癥結。

台灣IAM市場 深具潛力
台灣在IAM系統的導入情況,並不像美國,其中涉及到法律規範的問題,台灣法律的規定比美國鬆弛,要求上相對比較低,白培瑩說:「因為法律沒有強制性規定,很多客戶在預算考量下,較難有動力去執行身份識別與存取管理的控管,但政府或企業應該重視個人資料的保護,因為這是保護個人生命安全的基本要求。」
台灣對身份識別及存取管理有較高意識的是IC製造業,其主要訴求是保護企業內的機密資料,倘若機密資料被竊取,落入競爭對手手中,將會影響整體企業的營運,白培瑩說:「台灣的IC製造業重視伺服器和端點之間的安全,確保機密資料不會在過程中外洩,注重使用存取工具軟體來防護機密資料,以降低企業的風險。」
此外,台灣金融界也能夠接受身份識別及存取管理的觀念,白培瑩說:「台灣金融對於IAM系統還在評估階段,投資在這方面,其牽涉到整個組織,整個計劃大小是更需要長久的時間去計劃、觀察和評估,且各家廠商提供的IAM系統也不同,也只有透過短期或中期的實際操作佈署,才能真正了解此系統帶來的好處。」其次,台灣大部份金融銀行單位現況並無出現這方面的安全問題,雖然發生一連串的客戶資料外洩、存款盜領事件,並一定會利用科技來解決問題,白培瑩說:「其可能會利用人的管理政策,來規範每個人不該接觸哪些機密資料,倘若接觸到就必須罰款之類的管理方式,並非利用科技來解決問題,但韓國由於1998年通過金融改革法,以防制企業內部竄改會計、財報資料,造成企業營運上的不實報告,引發企業股票大幅漲跌而造成投資者之重大損失,其風險倘若起源於公司內部疏忽於安全管理,造成投資者損失,投資者可連合起來控告公司、要求索賠,因此,韓國更重視利用科技來管理人的問題,以避免企業必須承擔更大風險。」
以政府單位而言,政府組織龐大,在身分識別及存取管理上,白培瑩建議可藉由政策推動,從身份認證開始著手,使用同一張認證載具或PKI開始,推動到組織內部,以確保民眾資料的保護,這通常也需要法規去規範,才能促使政府機關更積極地保護大眾的權益。

給你的安全忠告
一般身分識別及存取管理工具具有認證、授權、稽核功能,當有一位新進行銷員工到公司企業內報到時,HR人力部門可到系統管理中心,依其職別角色建立工作所需的權限,其在主要架構系統、Windows、e-mail Exchange、Unix、Oracle都開放使用權限,HR人力部門一次就可建立新進人員工作使用上的權限,當離職時則一次刪除所有帳號,經由權限的開放,新進行銷人員只能使用開放的權限,且系統將紀錄下其所有的交易記錄,白培瑩建議在最完美的狀況下,盡量不要讓MIS人員涉入建立帳號、密碼和存取管理,MIS人員介入則造成安全上的威脅,理論上MIS人員應著重在系統是否可正常營運,不應讓涉入建立帳號、密碼和存取管理,以避免違反安全原則。
白培瑩說:「從企業組織的觀點來看,大部份企業安全的管理還是架構在IT的管理下,然而IT的管理則是將重心放在如何將網路架構布建好,如何讓伺服器可24小時運轉,然而,安全則著重在不要有太多人接觸機器,防範威脅的攻擊,安全就像保險一樣,不能保證做了所有的安全措施,就可達到百分百的安全,但卻需要做所有的安全措施去維持運作降低被攻擊或破壞所造成的損失,倘若將CSO與CIO的職權等同,CSO則有職權去確保資料不被盜用,管理使用者存取權限,則降低企業安全上的風險,以減少客戶損失,增加客戶對企業的信賴。」
此外,對於企業數位資產的保護,白培瑩建議企業先將要保護的資產名列來,再決定要保護的程度及步驟,步驟包含認證、授權及稽核,安全本身就有很多層級,無法因為執行了某一項,就保證了所有的安全,因此,強化認證、存取控制及稽核,以達到安全的要求,則非常重要,其中必須堅持減少不需要接觸的人碰觸資料,倘若能管控的好,其企業所承擔的安全風險則較低,這可利用不同的科技技術保護其重要的資產;在這方面則建議分4層去做保護,第1層,權限控管,限制誰有權限可以使用,誰是無使用權限,第2層只開放應有的帳號,不該有的帳號就不要開放,第3層,企業網路連結時,必須排除內部網路入侵,第4層,強化端點的認證,以防敏感資料外洩。
另外,對於民間團體而言,白培瑩也建議民間團體能發動民眾,提高對個人隱私權的重視,以保護人身的基本安全。最後,對於一般使用者而言,在使用網路交易時,應該注意到網路傳輸的安全性,白培瑩說:「在使用網路傳輸個人的姓名、身份證字號、出生年月日、信用卡號、帳號密碼時,應想到最壞的情形:隨時有人就在網路上等待著攔截你的個人資料,所以應該提高警覺,查看交易網站是否有提供一些安全傳輸的機制。」
為了確認銀行或網路拍賣網站是否安全,必須查看網站上是否有安全措施宣言,其中載明保護使用者資料、確認個人傳輸安全的申明,白培瑩說:「使用者應該向服務企業要求個人資料如何保護,企業才會加強安全性的服務,另外,使用者不要到網站隨便下載軟體,這容易將間諜程式安裝到個人電腦上,個人的機密資料也易不自覺地給傳輸出去,當有軟體下載的對話框出現時,可先到網站上查詢此是否為間諜程式,先做初步判斷。」

結語
國內廠商及企業對資安的認知,大部份還是停留在防毒、防垃圾郵件及防火牆,白培瑩表示,這些只能防範外部的攻擊,而無法防範內部所產生的威脅,因此,廠商及媒體必須共同去教育公司的高階主管,讓企業主了解防毒、防垃圾郵件及防火牆只是在解決50%的外部威脅,另外50%來自內部的威脅是容易被忽略。
由以上的建言,在提醒企業、民間團體及個人,應該加強個人資料保護的安全意識,在任何情境中,都不要輕易自己將個人資料洩漏出去,以保護自身生命及財產的安全!

何謂身份識別與存取管理?
根據IDC定義的身份識別與存取管理(Identity and Access Management)是指透過已建檔的身份結合用者權限,以識別系統使用者和控制他們存取資源的解決方案,身份識別與存取管理領域包括Web和主機單一登入、使用者資料提供、先進和舊式系統驗證、關鍵基礎架構以及目錄服務等。隨著IT組織的使用者越來越多及使用者角色多元(如員工、簽約廠商、商業夥伴及客戶),對眾多的資源(包括傳統系統和分散式應用程式、資料庫及Intranet/Extranet網站等)存取權限。
IDC於日前一份報告中,重新將安全3A市場歸納為身份識別與存取管理(IAM)和安全弱點管理(SVM)兩大主要領域;IDC連續第4年評定CA身份識別與存取管理市場趨於領先,市場佔有率達14.8%,收購Netegrity之後,亦將CA在IAM市場的佔有率大幅提高到19.1%。


白培瑩小檔案
出生 1952年
現任 CA資深產品經理