一方面要应付数据量的快速增长、有效地保护数据资源、简化数据资源管理,另一方面又要控制IT成本,这是企业机构普遍面临的挑战。近年来,许多企业机构都希望通过实施ILM(Information Lifetime Management,信息生命周期管理)来解决上述问题。然而,大家所采用的ILM方法并没有很好地帮助那些以动态信息为中心的企业机构。一定是有某种东西被忽略,才会导致这种情况的发生。那个被忽略的东西就是—身份认证管理。
ILM的普遍问题
目前,大多数厂商提供给企业机构的ILM解决方案虽然都强调了层次化的存储系统,但却是以静态的方式来构建,并没有充分考虑到数据的动态性和双向访问。或许更重要的问题在于,当今的ILM技术没有对安全性给以足够的重视,因为关于数据安全性的考虑都集中在加密方面,而不是设法在数据的完整生命周期中实现有效的管理控制。
在信息时代,整个社会的所有活动无一不是以数据为基础,而数据安全方面的事故常常成为世界级的新闻事件。但是,这些新闻事件远远不是实际问题的全部,仅仅是一些深层问题的表象反映而已。真正的问题在于,我们对于数据访问管理与控制能力的薄弱程度远远超过我们的想象。
ILM的起源来自现实需求,也就是说,数据应该根据其在生命周期中所处的阶段来用不同的手段进行管理。这种技术在相当大的程度上改善了数据管理方式,但是当今普遍流行的ILM仍然有很多局限性,主要体现在以下几个方面:
•仅仅专注于通过层次化的存储策略来降低成本,缺乏综合性的方法;
•数据的迁移基本上是单方向的,即从主存储磁盘向附属的磁盘或者磁带库,缺乏反向的“激活”能力;
•缺乏多种不同的产品来分别实现数据的分类、管理和迁移,特别是在归档和备份时更是如此;
•仅仅解决数据迁移和保持力问题,对数据访问能力缺乏关注。
对于那些面临着数据快速增长、数据管理越来越复杂的企业机构,Sun可以提供更好的控制管理手段,覆盖数据的整个生命周期,其经济有效性、可用性和法规依从性都首屈一指,而在其中起到关键作用的就是身份认证管理(Identity Management)技术。
身份认证管理所解决的问题决不仅仅限于“哪个用户具有哪些数据的访问权限”,而是充分考虑到在当今数字时代中实现数据使用、共享和访问的所有方式,并且为整个数据生命周期提供访问控制的蓝图。Sun的解决方案可以提供顺畅的自动化控制手段,帮助企业机构通过身份认证的方式实现数据管理。这种控制手段可以显著降低当前的存储和运作成本,同时让这些数据在未来发挥更大的作用。
身份认证主导的ILM
问题的关键在于如何理解“生命周期”。特别要注意,不能仅仅局限于“数据的生命周期”,而且要注意到“用户的生命周期”。也就是说,数据在其生命周期的不同阶段应该怎样来分别处理?用户在其生命周期的不同阶段应该被赋予怎样的权限和方式来访问数据?
当一个新员工加入企业机构之后,首先需要为其分配文件存储空间。当现有员工被调动职位或者调整职责,就需要改变其对相关资料的访问权限。当有员工离职,就需要对其原有数据进行归档并确保其安全性。身份认证管理可以确保这些数据得到安全、正确的处理,并且根据不断变化的应用需求将其存放在最经济有效的存储资源中
在Sun公司看来,这就是“由身份认证主导的ILM”,而且将这个理念作为其ILM解决方案的核心哲学观点,由此重新思考信息及其使用者之间的相互关系。身份认证主导的ILM提供了一种简明的机制,确保了企业信息的可信度和安全性。以这种观念为基础,Sun公司将其业界领先的Identity Management(身份认证管理)、Data Management(数据管理)和Compliance(依从性)技术集成起来,帮助企业机构通过实施整个生命周期的全面管理来更好地保护其数据资源。
身份认证与访问权限管理应该是ILM战略的重要因素,但是这一点并没有引起大多数ILM解决方案提供商的足够重视。对于许多号称ILM的存储厂商来说,“安全的访问”只不过是“加密”的同义词。加密只是数据安全的一个方面,Sun公司在这方面的表现十分出色。但是,利用加密来进行数据访问控制只是初级阶段。即便是解决好了加密问题,还是需要准确地控制“谁有权限来访问哪些数据”,其中最大的挑战之一在于,用户很容易就能通过出人意料的特殊方式获得数据的访问权,甚至可能误打误撞地获得某些信息资源。
同时,数据的访问权限也必须根据不同的人和应用系统来加以区别管理,必须考虑到生成这些数据的人所拥有的特殊角色和职责。随着这些人员在企业中的角色不断变换,包括不同的职位、不同的部门、不同的公司,他们对于数据的访问权限也必须随之改变。
身份认证管理的第一个层次是安全性,而第二个层次则是帮助企业解决数据量增长中所遇到的难题。身份认证主导的数据管理具有将企业人员角色与信息生命周期管理相结合的独特能力。
例如,Sun公司身份认证管理主导的数据管理解决方案可以实现用户访问权限分配以及应用软件、文件系统和物理设备等不同层次上的存储资源分配的自动化。这种自动化将会使访问管理十分顺畅,简化依从性,改善数据的安全性。更进一步,这种解决方案还可以对应用软件、文件系统和物理存储设备的分配结果进行审计。当某个员工从企业离职,身份认证管理机制就可以自动触发一个流程,对这些人员相关的信息进行归档和备份。而且,这些数据的保密级别将会自动升高,从而防止因为不当的信息外泄而产生对企业机构不利的“新闻事件”。
综上所述,如果没有身份认证管理,这样的ILM解决方案充其量不过是较为经济的数据备份方案。只有将身份认证管理引入数据管理,在使用者和数据之间建立恰如其分的关联,才是真正意义上的ILM。