IAM的应用之旅.docVIP

IAM的应用之旅 　　来自企业内部的安全风险以及来自外部监管的要求，推动着越来越多的企业迈上了身份识别与访问管理（IAM）的应用之旅。 　　在竞争日益激烈的今天，由于IAM给企业带来的竞争力、生产力、完整性和可信性等方面的各种积极影响，已经促使其成为企业应用中非常关键的解决方案之一。 　　事实上，IAM解决方案的确能提高员工的生产力、降低管理和维护费用、缩短组织与市场的距离，并使法规遵从能持续自动地成为工作中的一部分。通过自动管理访问者、日志记录和报表，以及执行业务、机密和安全政策，身份识别与访问管理对于密码管理以及组织运营的各个方面均有所改善。另外，IAM还将扩展到包含消费者、合作伙伴和供应商在内的多种身份，以便于相互协作。 　　企业在明确了IAM的作用并决定应用IAM之后，首先就需要将IAM作为企业流程的一部分，并且将IAM流程与其他相关业务流程相匹配，从而明确自己真正的IAM需求是什么，进而制定出相应的IAM策略。 　　首要就是要确定IAM流程的“健康”程度，找出最薄弱的IAM流程，并优化和自动化这些流程的优点;以及评估IAM流程的成熟度。这样，企业就能选择一个合适的切入点，从容开始IAM应用之旅了。 　　那么，一个完整的“IAM旅程”都包括哪些内容呢？也就是说企业需要通过哪些步骤，才能顺序地完成IAM的应用呢？ 　　 　　第一步：密码管理 　　 　　通过密码管理，集中管理用户的账户。 　　在企业IT服务支持中，密码问题占据了很大的部分。因此设置密码管理系统可集中管理用户账户，并可列出密码政策的详细说明，最终用户可以自己重新设置密码，由帮助台人员而不是系统管理员负责密码的管理。而单点登录可以让用户访问所有授权应用，通过认证能一次性简单登录，用户只需记住一个密码，而无需记住一堆密码，这样便可做到高效且安全。 　　密码管理中对新成员的访问权利的批准以及访问权利的更改，仍然是手工操作程序，但对用户账户格式和密码质量需要做标准规定。通常一个虚拟目录链接用户账户并对密码进行管理。 　　通过密码管理系统，企业能根据业务的需求，方便地更改密码政策；提高最终用户体验，并通过提供对密码的自助服务，降低了技术支持的成本；此外，密码管理能对应用和平台的访问提供更有效的控制，降低丢失/被盗密码的风险，并通过对密码管理政策的定义，来提高法规的遵从性。 　　而密码管理是IAM应用过程的第一阶段，因此建议在采用解决方案之前，可以先从一个部门的用户开始。不要担心选择哪一种的认证系统（密码、智能卡、生物识别设备等），你可以考虑将单点登录作为中期解决方案，同时它还可以承担经纪服务或“中间件”的责任。 　　 　　第二步：统一身份识别管理 　　 　　实现统一的身份识别管理，为新员工提供快捷、安全的访问权限，并在该员工离职后将其全部删除。 　　在实现统一身份识别管理之前，首先需要设定一个授权源，通常由人力资源部门批准新员工对系统和资源的访问权限，而批准程序则由首席信息安全经理定义。同时设定一些正式的工作流程序，对如何要求更改特权的制定、批准和执行做出定义。还可对个别业务部门赋予管理授权能力，这可使他们在职权范围内定义和维护自己的用户和访问权利。此外，系统还应能探测到“幽灵”账户，并自动产生更改和活动报告，但审核仍由手工进行。企业中的应用和平台可以使用自己的身份存储器和安全系统，但新应用需要使用公共目录和安全模型。 　　这样一来，企业可以根据业务目标定义用户访问策略，新员工也可以快速访问他们工作所需的系统和应用。同时，企业将用户身份链接到如HR和薪水数据等授权源上，当离职时可快速地删除访问权限。IAM的自动化流程还可以使政策遵从性一直能对企业的发展提供支持，为管理流程收集审计数据，并可追踪访问权限是如何获得的。 　　在此阶段，需要考虑如何定义和分配“角色”，不仅是根据人员及他们各自的工作描述，而且还要根据资历、对敏感信息的访问权限以及其他因素来决定，并要确定已经将临时或兼职用户也包含在内，如合同工等不在人事数据库内的和其他没有访问权限的人员。 　　 　　第三步：集成角色和权利 　　 　　集成了角色和权利的管理，这确保了对关键系统和应用的访问严格按照业务需求来设定。 　　当实现了IAM的前两步之后，接下来要做的就是实现当用户的责任和角色发生变化时，权限里的身份识别与访问管理系统可自动同步进行更改。这需要有对角色进行定义、修正和删除设定的程序和工作流，或许还有为不同类型的用户（如合同工）设定的多种信息管理源。 　　多数应用现在都通过目录服务作为用户信息的公共源。对业务流程进行定义，可使企业的安全团队根据标准进行检验。而自动化操作的权限审核程序，在特殊情况下，可根据用户角色进行侦测。此外，用户的虚拟目录还要包括角色