利用身份管理保護資訊財產安全

Sun Inner Circle 讀者們大家好。各位都已經知道了，我針對 IT 資源管理最佳實例的持續研究，已成為我們每月電子報的固定主題。您可以回顧我最近有關「將資料中心管理交給專家」 、 「讓 IT 外包值回票價」 、及 「如何在企業中最有效地供應寶貴的 IT 產品與服務」 的一些想法。

這些領域都希望能夠以就在幾年前還完全無法想像的方式，與內部及外部的人們互相分享資訊。而且企業如果想要更靈活、具有競爭力，就無法僅靠內部員工單獨執行 IT 服務與產品的管理工作。

這些改變將帶來一些好處 — 以及一些挑戰。因為企業與外部廠商分享越多資訊以維持競爭力，則安全性可能遭到破壞的領域數量也會大幅增加。分享資訊的嚴酷現實需要更多的防禦機制 — 而 Sun 在內建安全性功能方面具有領導業界的實力。

無論是各式各樣的 Sun 伺服器產品、Solaris 10 作業系統、或軟體開發工具如 Java EE ， Sun 對於安全性的承諾主導了我們大多數產品的開發工作。這項承諾是我們擁有如 Whit Diffie 之類員工的理由之一，他是我們的安全長，同時也是 公開金鑰加密的先驅者。

安全性也是 Sun IT 部門副總裁 Leslie Lambert 兼資訊安全長的特別專精的領域。如她所說的，新的事業模式需要 IT 部門重新思考維護安全性的方法。在本月的 CIO 文章中，我邀請 Leslie 檢視身份管理在維持資訊資產安全方面所扮演的角色，下面您將會讀到她對這個主題的想法，提供您一個有關此主題的絕妙且直接的入門之道。

Bob Worrall
CIO
Sun Microsystems

現在有更多的使用者比以往需要在更多不同的階層上存取更多的資源，亦即企業要為他們更加開放，同時維持資源的安全。在開放與安全之間維持微妙的平衡是我工作中的一項挑戰，而身份管理則是面對這項挑戰的利器。

進入或不得進入？
我還記得以前的資訊安全基本上就是在網路四周維護強大的防線 ，以避免未經授權者進入，就像在城堡四周建造護城河一樣，阻擋外人進入。要定義何人可以或不得進入是很簡單的事情：如果你是隸屬於該組織者，你將可以進入；如果不是，你將不得進入。 (當然，資訊安全的威脅亦可能來自內部 — 但這是另一個議題。)

現在，倚賴外包及協同合作商業的模式已持續轉變為 「內部」 與 「外部」 ，而 Sun 的安全性模式也由單純將壞蛋阻擋在外，轉變為確實支援創新的經營方式。唯有採行正確的安全性機制，你才能有信心地將企業開放給外包合作夥伴或其他企業外部人士，他們將可完全存取所有應可存取的資源，並且無法存取任何他們不應存取的資源。

或介于兩者之間？
採用強固防線的方式也帶來其他問題：非黑即白，過於簡單。如果你是外人，就不得其門而入；如果你進入了，就在裡面。現今經營事業的方式需要更多灰色地帶，獲得存取企業之權限者，在進入之後仍有各種不同的存取層級。

在此環境中，僅在城堡的大門口建立及檢查使用者的身份是不夠的。你還必須能夠提供使用者開啟某些房間的鑰匙，並且在使用者的角色改變時，取回或提供鑰匙。最後，你必須隨時追蹤使用者的位置，確定他們只在他們應前往的房間，並且不曾因各種不明原因而進入不應前往的房間。

你是誰？及其他資訊
簡單說，以安全性而言，身份管理也就是問 「你是誰？」 ，然後依據回答內容，說 「請進」 或 「請勿進入」 。現在身份管理是問：

你是誰？
我如何知道你是你自稱的那個人？
你應具備何種存取權限？
你實際上具備何種存取權限？
誰賦予你存取權限？
你之前在哪裡？
你現在在哪裡？
你要去哪裡？

如果你有上述問題的解答，將可自由地與來自企業內外部的人士分享資訊與資源 — 並且可以放心，這些資源在處理過程中都非常安全。

你如何管理？
身份管理在維持網路資訊及其他資源安全中所扮演的角色，就是改善讓上述問題可獲得立即解答的這項非常難以管理的工作。如果問題只是問 「你是誰？」 ，而答案也很簡單，那麼是可以人工方式來管理身份資訊。

但現在，良好的身份管理解決方案必須以自動化的方式提供以下功能：

• 證明身份
• 授權存取
• 提供使用者存取
• 需要時可改變使用者的存取權限
• 稽核使用者的存取權限，檢視他們可執行的、實際執行的、以及已執行的

而且除了能夠為企業提供上述功能之外，也要為企業在網路上進行互動的每個人執行上述功能，包括合作夥伴、廠商、客戶等。網路上有許多人及行為需要密切追蹤。這也是為何身份管理成為當今資訊安全方案中的關鍵部分的
原因。