歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
已授權:您的身分是業務經理
2007 / 03 / 19
ELISABETH HORWITT
法規遵循與其他益處
雖然中型企業的數據不容易取得,但根據Gartner的研究,IAM的總體市場呈現每年20%的快速成長。Burton Group的Lewis表示,中型企業的IT高層主管面對著同樣的內部安全問題與法規壓力,使得企業也開始採納。以Unicco Service公司為例,不需直接接受HIPAA或是沙賓法案的控制,但「我們的顧客會」IT資深主任,Bill Jenkins說。
「他們總是會問我們是如何進行控管,如何管理使用者帳戶等問題。如果我們不遵循安全法規規定的話,我們便會成為他們的負擔。這還不算是個大問題,但我們的CFO希望我們朝正確的方向前進。」Jenkins最近便佈署了一套有限制,預先包裝版的IBM Tivoli Identity Manager。財務顧問公司Financial Engines的CISO兼風險與技術作業副總,Matthew Todd說,「我們要遵循金融服務法(Gramm-Leach-Bliley)規範,也要遵守沙賓法案,即使我們不是公共事業,但會向金融公司提供服務。」該公司已建立了正式的離職員工存取權終止程序,並利用Serena Software的TeamTrack將雇用與辭退等程序自動化。在重要程式上採用雙層驗證。若要存取重要的財務程式,使用者必須輸入自己的密碼,以及RSA SecurID所提供的一次性密碼。
法規遵循僅是IAM的益處之一;另外則是能減少支援中心的電話通數。「我們曾經看過一家真實的案例,藉由密碼管理,減少了支援中心將近80%關於密碼問題的來電!」Lewis說。「它就像是自助式的密碼重設主控台一樣。」Burton Group估計有將近30%至40%的支援中心來電與密碼相關,自助式的密碼管理可節省大量的IT人力時間,即使是中型企業也是如此。
單一簽入(SSO, single signon)不但可以減少支援中心的求助電話,還有助於安全性與使用者滿意度。RSA Security在2005年中對大約1,700位使用者進行的一項調查顯示,有25%的受訪者將他們的密碼存在PC上的試算表或其他文件中,22%的人存在PDA或手持設備上,而有15%的人則是寫在紙上。SSO可讓員工只利用一個密碼便可存取所有可用的系統,不但可簡化員工的生活,更可讓使用者改掉這不安全的壞習慣。而這樣還能讓IT人員強制實施強通行碼政策,不但強化安全性,也不致於過於擾民,Forrester Research首席分析師Jonathan Penn表示。
綜合套餐讓你一次吃飽
過去幾年來,像CA、HP、IBM、Oracle及Siemens AG等公司,都提供了制式的IAM組合包,其中包括了自助式密碼服務、User provisioning系統,以及SSO等。這些具競爭性的整合式軟體通常會建立在中立的目錄服務上,再向各種目錄服務及資料庫蒐集資料,消除了重覆與不一致性,並在集中的儲存區中建立出單一的項目集合。使用者身分識別與存取權限都可透過政策來集中管理。使用者帳戶的變更都會自動傳播到所有的使用者資料庫中。
直到最近, 這種軟體組合都只會針對大型企業客戶,主要是因為要設立中介的目錄服務本身就是一項大計畫,需要高度的IT資源與知識,這通常是中型企業所無法負荷的。「中型企業不太喜歡利用中介的目錄服務來做為自己的User provisioning,」IBM Tivoli部門IAM解決方案主任Joe Anthony說。通常會透過系統整合商來實作。一般IAM組合方案不便宜,「這些都是昂貴的工具,」Gartner研究副總,Ray Wagner說。「內部使用的User provisioning系統,若加上完整的ID管理與維護功能,通常要價每個使用者80~100美元。」
而授權費不過是個開端罷了。「你不能只是買個工具就希望問題會煙消雲散。」Wagner警告。「你必須檢視現行的程序,並將其定義成你希望的樣子。」對於中型企業來說,「第一次規劃、購買,以及安裝軟體,並對5~10項重要程式(如電子郵件與Active Directory等)提供ID管理功能,平均就得花費6~10個月,有時還得更久。」Wagner說。但情況已有了改觀。大多數領先的IAM廠商,都已為IT資源與預算有限的中型企業提供產品。預先設定好的應用以及企業組合的「精簡」版功能較少,且不容易客製化,但卻更為便宜,並容易佈署。
許多的組合產品都可以一次購買一個模組。以Novell的Identity Manager為例,便可讓顧客以基本的ID管理組合包作為開始,它包括了中介目錄、識別整合、User provisioning,以及密碼同步等功能。接下來他們可視需求加入以工作流程為基礎的供給或Web SSO功能。一些廠商除了以電腦為基礎的授權外,也提供了以使用者為基礎的授權方案。
「只要企業願意以Active Directory作為他們的中央驗證服務,並以Windows伺服器作為存取控制的基礎建設,那麼他們就不會需要太多的使用者ID,剩下的就是Active Directory帳戶管理的問題,」Gartner表示。他們在User provisioning系統的2006 Magic Quadrant報告中,這家研究公司指出,「顧客表示其軟體授權費用以及整合成本要比其他〔User provisioning〕產品的佈署要便宜的許多,因此值得這麼做。」
大興土木
IAM技術對中型企業已不再遙不可及,但企業的安全基礎建設必須正常運作,否則便無法帶來效益。若要像廣告說的方式運作,IAM系統如Web存取管理、SSO,以及User provisioning自動化等,得需要一致且同步的ID、使用者設定檔,以及存取權限。
「SSO算是容易實作的技術,」BCBSKC的Sparks說,但由於它讓使用者能夠透過一次登入來存取廣泛的資源,因此IT必須立即填補安全漏洞以及異常的存取權限,如「棄嬰帳戶」(例如離職員工仍有存取權限)。
Sparks的多年計畫必須深入考量這些因素。隨著完整的IAM平台剛上線,他正等著看投資會帶來如何的報酬。「我們中型企業的需求是想要找尋能夠讓我們心安的東西,但又不能麻煩到讓人們無法使用我們網站或應用程式所提供的功能,」他說。「IAM理應可以做到:目前仍無法自ROI得出評斷,但我們會拭目以待。」
Elisabeth Horwitt是自由作家。
IAM
身分認證
權限控管
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制