DoSECU 安全分析 5月6日消息:经济下滑时期,身份和访问管理技术是让企业免受威胁的关键所在,Forrester一分析师如是说。
任何经济的不景气都会给你的企业带来新的风险。因惧怕裁员而精神过度紧张的员工可能会企产生不良企图,想要通过不正当的渠道访问公司的敏感信息。虽然临时工不需要像全职员工那样严格的身份验证过程,但却可能会让你的企业更容易受到威胁。
出于这种原因,身份和访问管理(IAM)始终是安全专业人员最优先考虑的东西。在Forrester最近的《2008年至2009年企业IT安全研究》中,82%的安全决策者表示,在未来的一年时间里,IAM对于他们的企业来说将是重要或者非常重要的问题。Forreste预计,IAM市场将从2006 年的将近26亿美元增长到2014年的超过123亿美元。
尽管与一般长期员工比起来被雇佣和解雇都很容易,提供低成本的劳动力选择,但是临时工会带来更多安全问题,也可带来更多的风险。相比于长期员工来说,他们对公司缺乏足够的责任感和感情,并且可能在违规后,不能坦诚和主动地揭露自己的行径,但是他们也需要和长期员工一样的培训并对他们进行彻底的审查。并且,由于他们比一般员工有着更高的流动率,临时工必须被约束,以及更加频繁、迅速和更具成本效益地取消访问权限。
现有的员工同样可以对公司构成风险,因为他们可能因为未来工作的危机感而紧张。紧张的员工往往企图挖掘、盗窃或者破坏企业的关键性信息,特别是当员工面临离职风险的时候,(自愿、出于表现的原因或者遭遇裁员等)应当对他们访问应用程序或关键数据的活动进行检测和报告。
IAM 对这种问题有很多解决方案:在程序访问方面可采用检测和强制策略的集中式管理(centralized access management for monitoring and enforcing policies for application access);先进的基于角色的访问控制,用来让临时工在限制时间内进行访问,并在必要的时候迅速、彻底、安全地停止他们的使用权限。使用联合用户账户 权限配置的SaaS应用程序的支持在不断增长,IAM托管商服务帮助企业提高了收益。
集中式访问管理提高了安全性,同时也降低了成本。访问 管理解决方案集中支配管理对应用程序和数据的访问。许多这类解决方案还整合了非Web解决方案,例如笔记本电脑、电话和交互式话音响应系统(IVR),对 什么样的员工可以访问什么类型的数据有着严格的控制。最近在自适应和风险基础上的身份验证的发展让你可以在访问的情况下设置更加细节策略定义。
IP 地址地理位置、机器指纹、交易类型以及单点登录(SSO)解决方案等方法提高了密码的质量,这是因为用户只需要记住一个高质量的密码。同样使得忘记密码恢 复和重设密码变得更加容易,降低了密码丢失情况下数据违规行为带来的风险。没有集中式访问管理,一旦一个密码被丢失,要想说出是否其他密码也被违规和需要 被重设,将无计可施。如果所有的应用程序使用一个密码,然后重设这个密码将涉及重新确保所有应用程序访问的安全的问题。
整合了SaaS应用 程序让IAM可以通过外包的形式实现。SaaS应用程序可与企业IAM系统进行无缝整合,并随时设置和取消用户账户的权限,让企业重新思考他们的身份管理 设备。这种对身份服务的重构十分普遍,并且如果处理得当还能让身份结构变得可重新使用和低成本。这种身份结构让身份管理可部分或完全地外包出去,来管理安 全服务供应商(MSSP),例如Covisint,FuGen,Simeio Solutions,Symplified,VeriSign和Wipro。
在这样一个经济时期需要十分强调的一点就是,已部署了IAM解决方案的IT企业正在让添加、修改和删除用户的过程更加自动化来帮助降低IT管理方面 的成本,通过控制对关键企业资源(如ERP系统,Web和厚重的客户端应用程序)的访问来减少审计,以及避免和降低数据违规的损失。
尽管降 低了IAM可能带来的成本,但是安全预算一向在企业中都很难有所保证。行政管理将安全和IAM投资看做是能帮助公司顺利完成审计的必备因素,或者看做是遭 遇安全违规事件(系统或数据违规等等)后的仓促的后续补救措施。因此,在与你们公司的预算审批员讨论这些因素时,IT管理者仍应能随时提供出有力的统计数 字。
用简单的可与美元直接挂钩的单位来衡量IAM的影响。在降低(由于几个求助电话和几个审计结果造成的)求助电话成本方面,没有什么东西 能更好地体现IAM方案的价值,因此降低了与用户访问认证相关的审计成本。一个出乎人们意料的收益是IAM充分提高了授权访问用户的工作效率。这相比于必 须等待两到三周时间才能获得所有的访问权来说,确实方便很多。
无论在什么样的经济形式下,都应该将IAM看做是关键任务的管理设备,而非应用程序。如果你的Web访问管理设备出现故障,这通常意味着企业商业运营也被迫停止。对有责任维护这些设备的人们和企业,以及为这些设备设定策略确保业务连续性来说,是必不可少的。
用IAM支持基于事实的企业改组。IAM系统(访问企业SSO和Web SSO系统的日志、以角色为基础的访问控制策略,使用以角色为基础的应用程序统计什么员工可以让问什么信息)中的信息可以确定企业是否需要被外包和为什么需要被外包。
在 经济不确定的时期,行政管理可能更需要创造价值和对IAM项目的成本效益分析,并且如果不能明确IAM项目的商业价值和快速收益之间的关系,IAM项目很 可能被迫取消。行政管理也可能要求用IAM来严格地节省成本。快速设置临时工的访问权限,管理和加强所有应用程序的访问策略,以及为支持SaaS应用程序 做好准备,更加突显了IAM在避免新的风险发生方面的重要性。