安全新理念――身份认证.docVIP

安全新理念――身份认证 　　基于身份认证的访问系统让商业活动更加安全。 　　 在传统“各自为政”式的网络中安全管理应用程序分散在多个部门，每个部门视各自需要而使用不同的应用程序来监控资源访问。目前，安全系统正在全球化，企业越来越多地转向采用诸如IBM、Netegrity、Novell和Oblix这样的生产商所提供的身份认证管理解决方案，以使网络策略和许可权限更好地同商业目标相吻合，而不仅仅是从IT角度考虑系统该如何管理。 　　IBM 安全战略总监Chris O’Connor说：“传统的企业安全模型是对少量的数据中心进行参数化得来的，其中滋生了各种适应性问题和安全问题。” 　　桌面和文件柜一团乱麻不算什么，但混乱的网络注定不可能安全。数字身份认证不再只是一种使SSO（单点登录）可行的方法，它已开始成为在混乱中产生秩序的关键工具。 　　身份认证不仅仅定义用户是谁；它把“谁”与“什么”直接联系在一起。用户在组织中的角色是什么，用户需要访问什么资源和信息，以及他/她能够对信息做什么操作，不能做什么操作……身份认证是一张全景图，它使整体策略和流程全面而一致地应用于整个企业中。 　　 通过强化每个用户的访问与授权信息，身份认证解决方案可以让网络状态及时更新。身份认证解决方案使新员工能够迅速访问网络，同时在前任员工有机会入侵之前清理掉其留下的无用账户；能够提供审核信息，以确保企业对管理法规条例的遵守；能够保护隐私和加强访问控制。但最重要的是，基于身份认证的网络管理使安全脱离数据中心，并与企业的需求相符。 　　身份认证仓库 　　 向基于身份认证的网络管理迁移，需要改造现有的系统，但这并不意味着彻底推翻现有的软件基础架构。相反，身份认证系统使现有的基础架构更为强壮，更为智能化，并且更易于防范未经授权的访问企图。 　　 我们要做的第一步工作是建立身份认证仓库，这样用户的访问信息就可以独立于应用程序来进行集中维护。典型的形式是网络目录，例如 　　LDAP 目录、微软的活动目录或者 Novell 的 eDirectory。 　　 问题在于很多组织已经维护有多个网络身份验证信息目录???相应的也有多个合作伙伴、供应商和客户数据库，这里面常包含有重复数据和非公共数据。 　　网络体系架构顾问John McNeely认为，正在形成的两类目录集成工具能够解决这个问题。例如Novell Nsure Identity Manager元目录 (Metadirectory) 解决方案建立单一的授权 (Authoritative) 目录以作为所有数据的数据源。与之相反，OctetString Virtual Directory Engine这样的虚拟目录产品将所有数据展现为单一的虚拟数据仓库，实际上它要从各个数据源抽取数据。 　　 　　 企业在选择建立身份认证仓库的工具时，应考虑企业中已有的组织架构。McNeely 解释说：“如果不同的工作组对各自的数据有归属权问题，那么虚拟目录就是极好的选择，它不会改动数据，只是指向数据的位置。如果数据的准确性在整个企业内同等重要，那么元目录将是理想的选择，任何有访问权限的人将看到相同的信息。没有哪种方式在任何情况下都有明显优势，选择取决于特定的公司需要。” 　　单点登录 　　 建立起身份认证仓库并部署了管理工具后，就可以开始部署使用数字身份认证的应用程序了。SSO也许是最常被引用的例子，它可以确保用户省去多个密码的麻烦。 　　在启用了SSO的环境中，每个用户的身份认证定义了他能在网络上做什么。因此，用户只需登录一次，就可以得到对网络中所有应用程序和数据的相应访问权限。 　　实际应用中，虽然用户毫不例外地都喜欢SSO的“魔力”，但一些IT管理员担心，一次登录就能够访问多个应用程序会使攻击者对网络的破坏范围更大。事实并非如此，当用户不得不维护多个用户名和口令时，他们更倾向于选择一些容易被猜出的密码，安全性很容易受到威胁。如果是由 IT部门来指定不易猜测的密码，用户又会把登录信息写下来放在不安全的地方，例如把即时贴粘在显示器上。 　　此外，用户要记的密码越多，就越有可能忘记。要是有几千个用户，光是重设忘记的密码就会给IT支持部门造成很大的工作量。通过采用基于身份认证的SSO，用户支持的成本将显著降低。 　　轻松管理网络账户 　　 　　比 SSO更重要的是，基于身份认证的网络使管理员得以集中创建和销毁网络账户。通过诸如 Netegrity IdentityMinder eProvision 等等基于身份认证的配置系统，几分钟内就可为新雇员设置好电子邮件、应用程序和网络访问权限。许可权限可基于已建立好的规则分配，即用户组以及组中的各个成员在网络中有哪些访问权限。只需向系统中输入一些简单信息―