业务驱动型身份和访问治理这种新方法为何如此重要.pdf

业务驱动型身份和访问治理：这种新方法 为何如此重要 摘要 多年以来，信息安全和业务线经理已清楚认识到，身份和访问治理 (IAG) 必须由业务要求驱动。 毕竟，业务经理才最了解 “谁可以访问哪些内容”。本白皮书将解释，为什么针对 IAG 采用业 务驱动型方法可以帮助组织轻松证明法规遵从性，最大限度地降低风险，并提高业务的生产效率。 2014年4 月 版权所有 © 2014 EMC Corporation。保留所有权利。 EMC 确信本出版物中的信息在发布之日准确无误。本出版物中的信息可随时更改而不另行通知。 本出版物的内容按 “原样”提供。EMC CORPORATION 对本出版物的内容不提供任何形式的陈述或担保，明确拒绝对有特定目的的适销性或适用性 进行默示担保。 使用、复制或分发本出版物所描述的任何 EMC 软件都要有相应的软件许可证。 有关 EMC 产品名称的最新清单，请参见 上的 EMC Corporation 商标。 部件号 H13070 RSA 白皮书 目录 执行摘要 3 当前面临的现实：身份管理出现问题 3 业务环境的重要性 3 业务驱动型身份和访问治理要求 4 业务驱动型身份和访问治理的阶段式方法 4 总结 5 执行摘要 多年以来，信息安全和业务线经理已清楚认识到，身份和访问治理 (IAG) 必须由业务要求驱动。毕竟，业务经理才最 了解 “谁可以访问哪些内容”。 然而，组织的工具和流程却往往不能反映这种 “业务环境”。这些系统通常都不能有效地从业务的角度来支持用户的访 问权限、业务角色和职责。另外，它们通常都不反映精确的权限，因此也就无法具体确定用户可以在应用程序中执行哪 些操作。导致这种状况往往是因为组织尝试使用以 IT 和技术为重点的身份和访问管理 (IAM) 工具来解决以业务为重点 的治理问题。 业务环境指的是组织所掌握的有关其用户、用户的工作职责，以及他们所需要的信息、应用程序和权限的所有知识的集 合。虽然有些环境信息位于 IT 托管系统（如目录和 HR 应用程序）中，但也有一些环境信息由负责监督用户的经理， 或者是由业务职能部门、应用程序或数据的所有者（而不是 IT 或安全人员）掌握。 本白皮书将解释，为什么当今的身份管理系统无法恰当反映业务环境，为什么针对身份和访问治理使用业务驱动型方法 可以在提高安全性的同时降低成本；本文还将描述该系统的分步实施方法。 当前面临的现实：身份管理出现问题 现在的组织面临着比以前更加严峻的安全威胁和法规挑战，另外还有不断膨胀的用户群规模、急剧增加的移动设备，以 及数据泄露可能对股东利益和声誉造成的潜在损害。但是，传统的身份和访问治理 (IAG) 系统不但跟不上它们的脚步， 而且无法主动管理不断变化的风险和威胁环境。传统的 IAG 体系结构分散、复杂，而且装备不良，无法跟上组织中变 化（从简单的员工调动到重组、新法规要求和并购）的步伐。另外，传统的身份系统在部署和运营方面成本一直过高， 因而限制了它们的覆盖范围和有效性。 云计算需要为每个新的云应用程序和云服务提供商新建应用程序思洛（以及更多拥有访问特权的管理员），这增加了复 杂性。另外，它还加快了变化的速度，因为业务线常常会直接获取新服务，而不事先通知中央 IT 或安全组。移动计算 和 “自带设备”趋势创造了更多的身份和访问治理思洛，以便满足各个新平台的要求。 其结果是