您的位置: 网界网 > 周报全文 > 正文

[周报全文]构建身份管理生态体系—访IBM Tivoli安全技术专家Jeff Crume

2006年12月14日 14:51:24 | 作者:网络世界记者 于翔 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:随着身份管理在安全领域重要性稳步提升,其系统构建方式被更多的企业用户所关注。在整体IT安全架构中,企业应该围绕身份管理构建一个和谐的管理生态体系。

标签
身份管理
 

随着身份管理在安全领域重要性稳步提升,其系统构建方式被更多的企业用户所关注。在整体IT安全架构中,企业应该围绕身份管理构建一个和谐的管理生态体系。

“身份管理的部署首先要做的就是突破已有的安全孤岛。”安全专家、IBM大中华区软件部IT架构工程师Jeff Crume说。他表示,在大多数企业,安全机制仍然是分散的,每个应用都会有自己的认证、授权、管理乃至审计方式,随着应用数量的增加,企业将很难管理这些彼此独立的安全管理组件。Jeff认为,在融合的安全架构构建过程中,如果要通过企业切身的应用体验改进跨应用的安全管理协作,从身份管理出发是可行的方式。

现实环境中,企业正在被很多身份管理问题所困扰。有关统计显示,新用户平均在12天后才能正常登录业务系统,在日常管理中,帮助台常常会接到的用户请求是重置用户口令,而这样的呼叫处理成本平均在20美元左右。另外,系统中通常有30%60%的账户是无效的,这是黑客从内部发起攻击的理想渠道。Jeff指出,很多时候,实际的管理疑难问题让企业不得不启动身份管理项目,与防火墙等边缘化的安全行为相比,身份管理首先要覆盖的就是企业的关键应用和与流程关联的部分,它可以在短期内改善用户体验,在提升安全性的同时改善易用性。

在这个生态系统中,企业需要从基于目录服务器的身份数据存储,逐步扩展到借助元数据技术实现信息同步,并在企业安全规范的约束下实现身份管理。这一系列举措的最终目的是,通过认证、授权等方式强制安全策略在企业应用体系中的实施。Jeff表示,在数据存储、信息同步、身份管理、强制实施四个环节上,IBM Tivoli都有相关产品与之对应。

其中,在身份管理环节,TivoliFederated Identity Manager(联邦身份管理)产品能够为用户提供一个简单、松耦合的模型,以管理用户身份和跨企业或安全域的资源访问权限。同时(+本站微信networkworldweixin),该标准还能够支持WS-SecurityLibertySAML等业界主流规范。他强调,具备联邦特性的身份管理产品优势,在于用户无须在本地复制身份和安全策略信息,企业自己可以充当身份服务供应商,与合作伙伴达成共享信任关系。

在具体实施时,Jeff认为,“企业首先需要找到自己的痛点,比如规范分支机构目录命名方式、门户管理、单点登录、用户生命周期管理,从一个需求最迫切的角度启动身份管理项目。”接下来,企业需要做的是,用明确的术语描述业务问题、构建身份认证数据源和管理架构,然后制定阶段性部署计划,并保证已实施的部分是可评估、可量化的。“不能妄图‘煮沸整个海洋’,但也不需要降低项目的远期目标,企业需要做的是保持渐进式的前进方式,以及全过程的可控性。”Jeff说。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]