基于内容识别的身份和访问管理的研究.docVIP

基于内容识别的身份和访问管理的研究 　　摘 要：传统的身份和访问管理（Identity and Access Management，简称IAM）虽然提供了令人信服的优势。但这些控制通常止步于访问层面，用户获得了信息后便无法控制用户对信息使用，从而不能完全阻止信息的误用或不当泄露。基于内容识别的IAM解决方案将控制延伸到数据层面，能更好地控制对信息的使用，降低风险，实现安全流程的自动化，从而提高效率，并增强整体法规遵从程度。 　　关键词：身份分析；控制访问；控制信息 　　中图分类号：TP302 文献标识码：A 　　Abstract：Traditional identity and access management while providing a compelling advantage.However，these controls are usually stop at the access level，the user can’t control access to the information after the user of the information used，and thus can’t completely prevent the misuse of information or improper disclosure.Content-based identification of IAM solutions will control extends to the data level，to better control the use of information，reduce risk and achieve security process automation to improve efficiency and enhance the overall level of compliance. 　　Keywords：capacity analysis；access control；information control 　　1 引言（Introduction） 　　IT组织在提高运营效率、降低风险，加强数据保密性等方面必须高效管理用户身份，并控制对关键系统、应用程序和信息的访问；然而仅仅只是控制用户及其对这些资源的访问还远远不够，还必须控制信息的使用[1]。保护信息在未经授权下的访问和不当使用十分必要，目的在于提供符合IT组织业务、用户和合作伙伴最为需要的法规遵从和安全性。IT基础架构必须支持不断增加的用户和应用程序、联盟身份系统和复杂的法规遵从要求。传统的身份和访问管理系统通常无法轻松地满足这些日益复杂的要求，因此需要开发新的身份系统模型[2]。 　　2 身份和访问管理（Identity and access management） 　　身份和访问管理是大多数IT组织的一个重要技术领域，其利用率与重要性在不断提高。IAM通过规定用户对受保护资源（包括系统、应用程序和信息）仅拥有相应级别的访问权限，奠定了有效的安全性。IAM通过实施适用的策略和指定能够访问每种资源的用户以及允许访问的条件来保护资源；并通过实现诸多安全过程的自动化降低管理成本；增强法规遵从则通过自动化安全控制和简化法规遵从审核来实现。IAM还可快速部署新的在线服务，同时支持安全的合作伙伴生态系统以加快业务增长[2]。 　　传统的IAM系统往往关注控制身份、控制访问两个领域。控制户身份主要是管理用户身份及其角色，从而控制访问资源，保证对身份和访问策略的遵从，监控用户和法规遵从活动。支持这些功能的技术包括身份监管、角色管理、备份和日志管理等。控制访问涉及到实施有关访问的策略，支持这些功能的技术包括Web访问管理、联盟、Web服务安全和特权用户管理。传统的IAM虽然可以控制对关键应用程序和信息的访问，但无法控制用户对所获取信息执行的操作[3]。 　　在制定信息使用策略时，确保违反策略的行为能够与具体的身份相关联。只是简单地通知发生了违反信息使用策略的行为还不够，必须阻止违规行为的发生，同时能够跟踪到具体的违规用户。此外，访问决策的制定依据不仅应包括所访问信息的敏感度，还应包括试图访问信息的用户身份。因此，访问和信息使用策略应基于身份。信息安全关注点往往是控制访问，而不是快速高效地进行适当的访问。但是，允许适当的用户轻松、动态地共享信息，对于实现业务的高效运营和增长也是十分必要的[3]。 　　3 基于内容识别的身份和访问管理（Context-based identification of IAM） 　　基于内容识别的身份和访问管理（简称为基于内容识别的IAM）能够控制用户身份、用户的访问以及用户对信息的使用