解读身份认证与管理技术

在一个管理规范的企业,员工每进入一次系统,都必须输入一次用户名和密码进行身份确认,告诉系统自己是合法用户?这也许是一个繁琐的过程,却增加了系统的安全性。

记者在采访中了解到,某省级电信业务运营商是一个信息化程度相当高的企业,其信息系统既包括大量基础设施设备,例如网络设备、主机系统等,也包括各种各样的应用系统。

企业对信息安全非常重视,并陆续部署了防火墙、VPN、防病毒等安全产品,在企业的关键服务器、终端、移动用户接入等方面进行了安全保护。尽管采取了上述安全措施,但是仍然存在很多安全问题,其中一个比较突出的问题是账号、口令等的管理混乱。

每台设备、每个系统都有不同的账号和口令,管理员管理和维护起来困难,账号管理的效率低,工作量大,有效的口令安全策略也难以贯彻;用户使用起来也困难,需要记忆大量的口令;账号口令的混用、泄露、盗用的情况也比较严重,出了安全问题也难以追查到具体的责任人。如何解决这些安全问题呢,这家企业在整个企业内部实施了统一的身份管理解决方案。

其实,这样的例子十分常见。身份管理在整个安全体系中起着不可或缺的作用,但是身份管理在安全市场还是一个新兴的领域,自身的成熟和为用户所接受都需要一定的时间。

业内人士预计,2005年,国内身份管理市场将逐步升温。一开始,用户可能更关注于以产品形式而存在的一些功能部件,而要真正实现一个完整的身份管理系统,还需要大量的定制和集成工作。

为什么越来越多的用户开始关注身份认证管理呢?大致的理由无非有两点。

理由一:对企业用户来说,什么人能够访问什么系统、数据,正在成为保障系统安全、业务安全的一个重要方面。权威机构的调查数据也印证了这一点:身份认证管理市场目前正在以9.9%的年成长率增长,预计到 2007年,全球身份认证管理市场规模将达62 亿美元。

理由二:当前,信息安全已经引起了大家的重视,防火墙、入侵检测、防病毒等安全技术和产品也得到了广泛的了解和应用,这些技术主要侧重于边界的安全或者点防御,用来抵御外界的入侵。但是,大量的统计数据表明,安全问题往往是从企业内部出现,特别是用户身份的盗用,往往会造成一些重要数据的泄漏或损坏。因此如何对各种用户的身份进行管理,是一个越来越重要的问题。

解读身份认证与管理

信息资源存在的价值就是被合理访问。如果重要的资源因为害怕被非法访问而泄漏,就干脆完全拒绝被访问,从而使得需要访问的也无法访问,这样的信息资源就丧失了存在的价值,严重阻碍企业的信息化建设进程。在信息安全体系中,身份认证与管理是整个信息安全体系的基础。先来看看身份认证与管理的现实含义。

标识和认证

身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。

如何保证以数字身份进行操作的访问者就是这个数字身份的合法拥有者,即如何保证操作者的物理身份与数字身份相对应,就成为一个重要的安全问题。身份认证技术的诞生就是为了解决这个问题。
 如何通过技术手段保证物理身份与数字身份相对应呢?在信息安全中,验证一个人的身份主要有三种方式:

一是根据你所知道的信息来证明身份(what you know),知道的内容可以是一个密码,个人身份号码,自己的乳名,或一把锁的密码等。通过知道的内容来进行认证是最经济的,但这种方法的不利方面,就是其他人也能很容易获得这个信息,然后对系统进行非授权的访问;

二是根据你所拥有的物品来证明身份(what you have) 。假设某一物品只有某人才有,比如印章等,通过出示该物品也可以确认个人的身份,但证明容易丢失或被盗,从而导致非授权访问;

三是直接根据你独一无二的身体特征来证明身份(who you are),比如指纹、面貌,视网膜,语音等。

这三种方式仅通过一个条件来验证一个人的身份,称之为单因子认证。由于只使用一种条件判断用户的身份,单因子认证很容易被仿冒。而双因子认证或加强认证是通过组合两种或多种不同条件(如通过密码和芯片组合)来证明一个人的身份,安全性有了明显提高。如你不仅需要知道什么,同时还需要证明你是谁,或你拥有什么等。因此在高级别的信息体系中,一般都采用双因子或多因子认证。

集成身份管理

身份认证是身份管理的基础。在完成了身份认证之后,接下来需要进行身份管理。

在许多企业里,某个员工离开原公司后,仍然还能通过原来的账户访问企业内部信息和资源,原来的信箱仍然可以使用。为什么会出现这种现象呢?原因在于,当员工离开公司后,尽管人事部门将其除名,但在IT系统中相应的多个用户授权却没有被及时删除。

据统计,每个员工在公司里注册的用户账号最多可以达到17个之多,如E-mail账号、登录内部网络账号、访问企业特定应用的账号等。当员工数量越来越多时,管理员不可能对每一个离职员工的系统账号进行彻底删除。只要存在一个没有被删除的账号,就会给系统留下后门。身份管理系统能够解决以上问题。

自员工工作加入公司、合作伙伴签约后,身份管理系统就开始追踪和管理所有的关系。随着身份的变更,身份识别管理可以自动实现所要求的访问变更,并且启动所有的工作流程和批准过程。

对于一个内部用户而言,身份识别管理的时间跨度从员工加入公司开始直到这名员工离开公司。进入公司后,新员工最先接触的系统是人力资源系统,然后会获得门卡、办公设备等工具,然后还会获得网络的授权,通过授权访问公司的资源。这些不同的应用系统可能来自于不同的厂商,而身份管理系统可以把这些资源都集中起来。

新员工的资料一旦添加到人力资源管理系统之后,系统就会自动生成各种口令和授权,基于Web的授权也可以在这个流程中一次性完成,而且还会把这名员工在公司里所做的任何访问都记录下来。当员工离开时,网管员只需将其从人力资源管理系统中删除,身份识别管理系统就会自动地到所有的后台系统中,把与该员工相关的授权全面删除,这是一个非常自动化的过程,也是目前企业推崇的身份管理系统模型。