身份识别和安全:从历史的角度而言
在整个业务计算的历史长河中,身份识别管理和信息安全一向被视为完全不同的IT准则。确实,虽然这两种类型在某些方面存在联系如鉴定技术和密码管理,但是交集仍然十分有限。身份识别和安全依旧相互独立的原因如下:
•身份识别管理重点关注员工的生产效率。人力资源部门通常将新用户账号的配置工作作为整个流程的一部分来完成,为新员工提供必要的生产工具如桌椅、员工证件和网络/应用访问。在后台,IT负责基本的身份识别管理细节。某些情况下,IT运营甚至需要更先进的身份识别管理工具来自动进行用户配置、日常运作和应用访问,但实际上,这一切工作都是人力资源的原始需求所导致的。
•安全人员注重IT资产和攻击防范。从人力资源部门分离后,安全人员的职责是保护网络周边和个人计算机免受黑客和恶意代码的攻击。安全专业人士往往关注防火墙和防病毒软件一类的技术,而忽略了主要IT机构或者是所有员工的存储安全。
为什么这些业务会互相独立呢?过去,私人网络和极少的互联网入口将"值得信赖"的员工视为危险等级最低的安全隐患。小偷也许能偷走一两台笔记本电脑,但是这种类型的物理威胁是可以防范的。而"真正的"安全风险则是那些如电子邮件病毒如"ILoveYou"、"Melissa"以及黑客攻击如网络探测和扫描。由于这些业务缺乏共同点,因此身份识别和安全被分配给不同的小组来完成,而他们缺少相互之间的了解,技能也完全不同。
新的业务流程拉近了身份识别和安全集成的距离
进入2000年以来,人们逐渐认识到,身份识别和安全必须在IT部门、流程和技术范围内进行整合。为什么呢?许多业内权威认为是出于法规遵从的需求,但这只是冰山一角。ESG认为,是大量新的网络业务流程的需求拉近了身份识别和安全的距离。
互联网连接、移动互联网设备、外部应用以及基于互联网的应用集成技术如网络服务的兴起,催生了开放式网络和"无边界网络"。从商业角度来看,这些趋势开启了全新的业务流程模式如业务流程外包、供应链整合以及全球范围内的合作。由于企业将互联网作为一种刺激新利润、开拓机遇、加速业务措施和降低成本的方式,因此,私有网络现在已经对业务开放。这一趋势在ESG最新的研究报告中已经详细描述了。60%的大型企业(即,员工人数不少于1000人)表示他们与非企业员工分享机密数据。而大多数企业还认为他们将来会与更多外部机构如商业伙伴、客户或供应商分享更多机密数据。
由于有巨大的商业利益,因此,首席执行官们都鼓励IT部门大力发展身份识别管理功能,为外部人员提供网络/应用访问并使之尽快产生效益。虽然业务主管鼓励这些网络业务流程,但是安全专业人士明白他们会为此背负无形的潜在成本- 安全风险的潜在增加。对于外部人员而言,开放式的网络与应用意味着更大的终端数量,以及更加广泛的恶意代码攻击。与非员工共享机密数据会大大增加数据外泄的风险。新型网站应用也会增加应用层安全攻击如SQL植入或跨站脚本执行的风险。事实上,从安全角度而言,每个新用户、设备、网络或与内部资源相连的应用带来了一系列新的入侵载体,需要对可疑活动进行了解、阻止和监控。
归根结底,新的网络业务流程的成功要求身份识别和安全管理之间达到某种平衡。不安全的身份识别虽然会加快业务的实施,但是也会带来一系列的安全风险,从而导致安全事故、数据外泄以及法规遵从的违规事件。另外,虽然安全控制和"纵深防御"防护措施将对IT资产进行保护,但是却无法帮助配置外部用户、创建角色或使外部赞助商获取效益。
身份识别和安全的相辅相成–阴和阳
中国的阴阳符号通常用来表示两种力量之间的平衡并形成和谐一致。这一古老的符号为身份识别和安全的结合提供了一个很好的比喻。其作为IT条例的补充,可确保业务整合和流程的安全,同时提高生产效率。这样,身份识别和安全可以通过以下方式自动进行用户管理并降低风险:
•允许外部人员安全地访问网络和应用。"外部人员"可以是远程员工、现场承包商或是亚洲供应商- 通常会认为他们是通过因特网与内部IT资产如网络、服务器、应用和文件相连。为了使这些用户获得更高的生产效率,同时保持高级别的安全性,大型企业需要强大的用户配置、验证、统一的身份识别功能以及检测技术,如微软的网络访问保护(NAP)。
•包含数据安全性。在旧的身份识别管理领域中,"身份识别"一词专门用来指人,但是为了业务的可实施性,身份识别与安全的联姻已经超越了人类的范畴。而在新的阴阳世界中,身份识别就分类而言,已经扩大到数据认证以及相关的安全性政策。为了保护数据的机密性和完整性,同时满足网络业务流程的灵活性和增加的风险,这种细分是很有必要的。
•身份识别与授权和安全策略的结合。当用户获准访问网络或应用时,按照用户的角色和职责限制其访问活动就显得非常重要。而这些往往通过网络控制如防火墙和访问控制表以及自定义个人应用的随机方式来完成。这一对等流程损害了安全性,还无法进行扩展。当身份识别和安全实现统一时,网络和应用访问政策执行视角色而定,且其自动化程度会更高。
•审核使用情况和行为。由于人依旧是"安全链中最薄弱的环节",因此,对用户进行监管以发现和审查可疑或恶意行为就非常重要。当供应商的应收账款管理人员将SQL问题提交给公司会计系统中的请求路径时,安全管理员将会立即得到通知并需要了解有关该用户使用方式的历史数据,以及标记有时间的审计报告,以避免抵赖事件的出现。
•检测并防止安全事故。随着网络中越来越多的用户、设备以及协议加入,基本的安全分级/内容过滤、异常检测和预防体系相比现在会更加重要。大型企业必须将其安全防御与关键性技术如防火墙、IDS/IPS、应用防火墙、DLP、电子邮件网关以及终端安全软件相联系。
值得注意的是,只有通过完整的技术堆栈从网络到应用层实现身份识别和信息安全的集成,这些功能才能够得以实现。如果没有这种一体化,大型企业需要为特定用户定制服务,并制定细分访问策略,以及实时检测高级别的安全攻击,而这些企业对企业来说都是难题。
结束语
毫无疑问,对于实现与网络连接和应用密不可分的新业务流程而言,实现身份识别与信息安全之间的平衡必不可少。首席信息官们首先需要了解并评估内部流程、技能和技术,然后在这些领域中部署整合计划。
由于IT主管们都期望身份识别和安全产品能够支持其业务目标,因此,他们必须坚持紧密集成- 通过网络实现用户配置和鉴定,并利用数据机密性和完整性获得网络和应用授权。这种集成必不可少,不仅能帮助IT快速满足业务需求,还不会增加相应安全风险。