歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
已授權:您的身分是業務經理
2007 / 03 / 19
ELISABETH HORWITT
法規遵循與其他益處
雖然中型企業的數據不容易取得,但根據Gartner的研究,IAM的總體市場呈現每年20%的快速成長。Burton Group的Lewis表示,中型企業的IT高層主管面對著同樣的內部安全問題與法規壓力,使得企業也開始採納。以Unicco Service公司為例,不需直接接受HIPAA或是沙賓法案的控制,但「我們的顧客會」IT資深主任,Bill Jenkins說。
「他們總是會問我們是如何進行控管,如何管理使用者帳戶等問題。如果我們不遵循安全法規規定的話,我們便會成為他們的負擔。這還不算是個大問題,但我們的CFO希望我們朝正確的方向前進。」Jenkins最近便佈署了一套有限制,預先包裝版的IBM Tivoli Identity Manager。財務顧問公司Financial Engines的CISO兼風險與技術作業副總,Matthew Todd說,「我們要遵循金融服務法(Gramm-Leach-Bliley)規範,也要遵守沙賓法案,即使我們不是公共事業,但會向金融公司提供服務。」該公司已建立了正式的離職員工存取權終止程序,並利用Serena Software的TeamTrack將雇用與辭退等程序自動化。在重要程式上採用雙層驗證。若要存取重要的財務程式,使用者必須輸入自己的密碼,以及RSA SecurID所提供的一次性密碼。
法規遵循僅是IAM的益處之一;另外則是能減少支援中心的電話通數。「我們曾經看過一家真實的案例,藉由密碼管理,減少了支援中心將近80%關於密碼問題的來電!」Lewis說。「它就像是自助式的密碼重設主控台一樣。」Burton Group估計有將近30%至40%的支援中心來電與密碼相關,自助式的密碼管理可節省大量的IT人力時間,即使是中型企業也是如此。
單一簽入(SSO, single signon)不但可以減少支援中心的求助電話,還有助於安全性與使用者滿意度。RSA Security在2005年中對大約1,700位使用者進行的一項調查顯示,有25%的受訪者將他們的密碼存在PC上的試算表或其他文件中,22%的人存在PDA或手持設備上,而有15%的人則是寫在紙上。SSO可讓員工只利用一個密碼便可存取所有可用的系統,不但可簡化員工的生活,更可讓使用者改掉這不安全的壞習慣。而這樣還能讓IT人員強制實施強通行碼政策,不但強化安全性,也不致於過於擾民,Forrester Research首席分析師Jonathan Penn表示。
綜合套餐讓你一次吃飽
過去幾年來,像CA、HP、IBM、Oracle及Siemens AG等公司,都提供了制式的IAM組合包,其中包括了自助式密碼服務、User provisioning系統,以及SSO等。這些具競爭性的整合式軟體通常會建立在中立的目錄服務上,再向各種目錄服務及資料庫蒐集資料,消除了重覆與不一致性,並在集中的儲存區中建立出單一的項目集合。使用者身分識別與存取權限都可透過政策來集中管理。使用者帳戶的變更都會自動傳播到所有的使用者資料庫中。
直到最近, 這種軟體組合都只會針對大型企業客戶,主要是因為要設立中介的目錄服務本身就是一項大計畫,需要高度的IT資源與知識,這通常是中型企業所無法負荷的。「中型企業不太喜歡利用中介的目錄服務來做為自己的User provisioning,」IBM Tivoli部門IAM解決方案主任Joe Anthony說。通常會透過系統整合商來實作。一般IAM組合方案不便宜,「這些都是昂貴的工具,」Gartner研究副總,Ray Wagner說。「內部使用的User provisioning系統,若加上完整的ID管理與維護功能,通常要價每個使用者80~100美元。」
而授權費不過是個開端罷了。「你不能只是買個工具就希望問題會煙消雲散。」Wagner警告。「你必須檢視現行的程序,並將其定義成你希望的樣子。」對於中型企業來說,「第一次規劃、購買,以及安裝軟體,並對5~10項重要程式(如電子郵件與Active Directory等)提供ID管理功能,平均就得花費6~10個月,有時還得更久。」Wagner說。但情況已有了改觀。大多數領先的IAM廠商,都已為IT資源與預算有限的中型企業提供產品。預先設定好的應用以及企業組合的「精簡」版功能較少,且不容易客製化,但卻更為便宜,並容易佈署。
許多的組合產品都可以一次購買一個模組。以Novell的Identity Manager為例,便可讓顧客以基本的ID管理組合包作為開始,它包括了中介目錄、識別整合、User provisioning,以及密碼同步等功能。接下來他們可視需求加入以工作流程為基礎的供給或Web SSO功能。一些廠商除了以電腦為基礎的授權外,也提供了以使用者為基礎的授權方案。
「只要企業願意以Active Directory作為他們的中央驗證服務,並以Windows伺服器作為存取控制的基礎建設,那麼他們就不會需要太多的使用者ID,剩下的就是Active Directory帳戶管理的問題,」Gartner表示。他們在User provisioning系統的2006 Magic Quadrant報告中,這家研究公司指出,「顧客表示其軟體授權費用以及整合成本要比其他〔User provisioning〕產品的佈署要便宜的許多,因此值得這麼做。」
大興土木
IAM技術對中型企業已不再遙不可及,但企業的安全基礎建設必須正常運作,否則便無法帶來效益。若要像廣告說的方式運作,IAM系統如Web存取管理、SSO,以及User provisioning自動化等,得需要一致且同步的ID、使用者設定檔,以及存取權限。
「SSO算是容易實作的技術,」BCBSKC的Sparks說,但由於它讓使用者能夠透過一次登入來存取廣泛的資源,因此IT必須立即填補安全漏洞以及異常的存取權限,如「棄嬰帳戶」(例如離職員工仍有存取權限)。
Sparks的多年計畫必須深入考量這些因素。隨著完整的IAM平台剛上線,他正等著看投資會帶來如何的報酬。「我們中型企業的需求是想要找尋能夠讓我們心安的東西,但又不能麻煩到讓人們無法使用我們網站或應用程式所提供的功能,」他說。「IAM理應可以做到:目前仍無法自ROI得出評斷,但我們會拭目以待。」
Elisabeth Horwitt是自由作家。
IAM
身分認證
權限控管
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.22
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】高雄站
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.07.23
數位轉型下,企業的資安策略
2025.07.29
漢昕科技【 AI驅動的資安自動化革命:整合SOAR、AI威脅狩獵與OT/IT協防實戰研討會】台北站
2025.08.05
【2025 資安趨勢講堂】系列研討會
2025.08.08
網站滲透
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
資安人科技網
文章推薦
報告:開源惡意軟體暴增近2倍 攻擊者鎖定開發人員竊取憑證
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Ruckus Networks 網路管理設備存在多個未修補的嚴重資安漏洞