CIO如何做好身份管理

　　这年头，身份外泄事件频传，但身为CIO，需要从用户将身份委托给企业保管的角度来看待此事。

　　身份管理解决方案

　　身份管理部署经验谈

　　随着更多企业开始导入身份识别管理的解决方案，企业也学到规划身份识别管理、导入身份识别管理和实际运作时的初步经验。

　　企业界担心IT部门要如何在确保信息安全的状况下，同时兼顾身份识别架构的功能和效率。加上顺应法律规范的重要性越来越高。这些原因都影响到IT部门对于现有身份识别数据的管理决策。有些早期的采用者，已经学到应该如何规划、建置、和维护管理架构的经验。

　　1. 对建置成效的了解越高，导入成功的机会也越高

　　许多身份识别管理的服务(密码管理、管理的授权)，以前就有单独的解决方案。一个重要的经验是绝对不要对执行成效作出过度的保证。许多失败的计划，问题都是出在执行初期对于计划要求的了解和分析上。有些问题让支持者对于执行成效，产生不正确的预期。事实上，复杂的身份识别管理包含很多变动因素。如果对预期成果有更多的了解，就可以避免之后的难堪局面。

　　2. 必须要有管理阶层的支持

　　导入大型的身份识别管理项目，常常需要六位数以上的预算和超过一年以上的时间，项目也常常会再细分为好几个阶段。如果没有管理阶层的支持(不是来自IT单位的支持，而是事业部门的主管)是不会成功的。管理阶层不单只是自己要了解项目的价值，还要能够向其它同仁作出清楚的解释。扮演这个角色的人士，必须能够沟通IT部门和事业单位的意见，并且和信息安全的负责人、身份识别管理的最大受益部门(人事或财务部门)的高层，保持良好的关系。达不到这些要求的计划，大多都会失败。

　　3. 身份数据必须定义为一项策略性的资产，并作为规划时的基础

　　身份识别管理的一个关键，就是要整合身份识别在业务运作上、应用上和IT基础架构上的定义。此外，也需要考虑未来重复使用的情况。身份识别变得这么复杂的一个原因，是因为现有系统(操作系统、应用程序、安全系统)各有不同的定义。目录和超目录(Metadirectory)已经试着在身份识别的架构上，解决这些问题。如果身份识别有一个完整的定义，企业就比较不会重复过去的问题。

　　4.身份识别的管理，就是系统整合的管理

　　身份识别管理已经在IT基础架构当中存在一段时间，要有一个比较完整的解决方案，就必须包含现有的系统和当前的身份识别管理工具，将新旧方案有效地整合。有时可能必须对更换或重复使用作出一个正式的评估，但是一般来说，仍然是一个

　　依照应用类别选择最佳方案的市场。有的厂商已经开始统整一整套的解决方案(例如IBM的Tivoli Identity Manager，等等)，值得注意的是，还都需要透过定制化的方式，才能整合新旧系统。

　　5. 身份识别涉及组织当中权力的归属和使用

　　导入身份识别系统，其实是计划当中最简单的一部份。大多数对身份识别数据的管理人员，可能会把身份识别管理当作自己职务上的威胁。所以身份识别管理项目，必须透过灵巧的交际手腕，才能避免这样的问题。身份识别管理项目，同时也会涉及分布式和集中式的争议。还好，一个好的解决方案加上好的组织流程，就可以提供一个有效的架构。身份识别管理也直接和信息安全、信任、风险管理的权力角力相关，这样的关系也会反映出，身份识别管理的解决方案对信息安全政策的帮助。

　　6. 健全的身份数据架构是身份识别管理的先决条件

　　许多的IT部门已经花了几年的时间，建立企业的身份数据架构，以便精简目录、建立有效的目录整合策略和统一的授权系统。虽然这样的架构并不是导入身份识别管理解决方案的必要条件，但是复杂的身份数据架构，将会提高身份识别管理的成本。一个好的身份数据架构，是良好辨识管理的先决条件。

　　7. 身份识别管理是组织流程的议题，而不只是技术上的问题

　　身份识别管理的解决方案，如果没有明确的组织结构和流程，是不可能对身份数据的管理有任何帮助。这个问题其实从规划阶段就存在，只是到了实际运作的时候才出现。没有明确的组织架构和流程，就不应该做身份识别管理。明确的组织架构和流程，应该是身份识别管理产品的必要条件。

　　8. 身份识别管理的实际运作，必须在组织上作出相应的调整

　　这不是指增加新的员工，而是要针对辨识管理所需要的新角色，作出调整。身份识别管理的实际运作，信息安全作业和系统管理的工作，将会最需要调整的部份。

　　有时候遵循业务运作所带动的方向，可能可以确实减少复杂度并降低风险。

　　越来越多企业开始采用身份识别管理的解决方案，除了作为营运上的支持力量之外，也作为强化信息安全政策及简化应用程序支持之用。大多数的IT部门应该在规划阶段，就要对身份识别作出明确的定义，并且锁定打算改进的问题。IT部门在排定优先级时，应该将重点放在信息安全和遵循法规规范上，并确保规划当中，不会因为想要解决太多问题而失焦。

　　身份管理解决方案部署

　　什么是身份?

　　简单的说，身份就是你能够证明“自己是自己”的一种手段--只有你自己才能够提供可以证明自己身份的独特信息。身份可以是一个单一的代码，也可以是一连串的数字，例如你的身份证字号;身份还可以是复杂程序，例如使用加密钥匙。身份鉴定过程能够决定你所享有的安全级别，以及你在完成了身份验证之后能够享受的服务或是参加的活动。同身份鉴定过程相关的是你的一系列信息。比如说你的姓名、电子邮件地址、用户密码、信用卡号或是社会保险密码。还有一些不像上面这些信息一样明显的信息，但也与你密切相关，例如你希望自己的首页以何种方式出现，以及你最近的购买记录等等。从某种程度上讲，公司保留的你的相关历史信息有助于为你提供更为积极的用户体验。

　　如果用户的身份信息保护的好的话，这些信息的应用能够使用户的电子商务活动更为简便。但是，电子商务并不仅仅是用户自身的一种体验和经历--商家和业务实体有责任保护用户的身份安全。

　　网络身份

　　“身份”和“网络身份(Network Identity)”是两回事。网络身份是透过多重身份确立的。而我们刚才所谈到的身份只是用来描述一个人的网络身份的一个方面。如果你想要通过某个商业程序的验证，你可能需要提供一系列这个程序的认证信息，然后才能应用这个程序。但是，如果你想要透过其它的商业程序的验证的话，再提供同样的信息就不行了，你要提供的是其它的商业程序能够透过的认证信息。这些认证信息可能是不同的，而这些认证信息中你的相关信息可能也是不同的。尽管在应用不同的程序时，你需要记住不同的用户信息和密码，但是还是很少有人会给不同程序设置完全相同的认证信息，即使是有相同的信息也会透过稍有不同的方式加以运用。

　　我们还可以透过另外一种方式来说明这个问题。尽管用户可能是多个重迭的社群和商业实体的成员，但是用户的信息是分散在各个独立的程序之中的。而这些信息又是重迭的。而网络身份就能够实现这些信息的协同配合：透过网络银行可以进行投资、使用信用卡和其它支付手段还可以进行其它活动。由于重迭的信息是一致的，所以在同一社群的不同商业程序上的用户体验也可以是一致的。比如说，在使用网络银行时，我既可以贷款、也可以存款，还可以查询账户。在同一商业实体当中，适用于某一程序的身份信息也会同其它相关连的程序。

　　当用户的网络身份需要跨越某个业务实体或是同一业务实体中各个分散、不连续的程序时，安全问题就产生了。每个系列的应用程序都需要用户的身份验证，因此用户需要面对的是多重的挑战。显然，对于同一系列的应用程序来说，单一的身份就足够了。但是，由于存在着多种不同系列的应用程序，用户很容易就会遇到问题，失去对认证信息的控制。每个应用程序的验证方法和验证内容都是不同的，这会给用户带来麻烦，引起用户的不满。

　　对于商业团体来说，由此而引发的问题就不仅仅是不满情绪那么简单了。有的时候，迫于政府法规的要求，一些商家需要公开一些财务信息或是被严格限制的信息，这就会使它们失去很多改善与用户关系的机会。

　　什么是身份管理?

　　刚才，我们把身份描述成了个人(或实体)同商业过程之间的联系。它是一种一对一的关系，有着自己的生命周期。当一个人同某一商业过程建立起关系、开始享受一定的权利时，身份就开始发生作用了。随着这种关系的不断发展，这个人所享受的权利会得到扩展或是受到限制、有所增加或是有所减少。

　　身份管理架构

　　尽管刚才我已经给大家举了有关电子商务的例子，有一点还是要指出，那就是身份管理在对员工和企业授权的其它代理人(例如合约代工和经销商)对企业资源的使用进行控制和追踪时能够发挥重要的作用。员工能够获取和使用的智能财产权信息，包括计算机系统和网络档案储存，都必须包含在身份管理过程当中。

　　例如，当一个人加入一家公司，递交了必要的身份认证信息之后，他就可以在人力资源方面进行某些活动并且获取一个电子邮件地址。从身份管理的角度来看，这个人就被赋予了一种身份，享有了使用拥有用户认证信息和指定密码的邮箱。这个人就可以使用指定的计算机，进入计算机系统和其它的网络共享系统。一旦被允许进入计算机系统，这个人就可以享受其它的权利，例如细读企业私人网络上的档案，以及浏览企业防火墙之外的公共网络。这个人可能还可以透过其它的用户身份验证和密码进入一些特定的有严格限制的内部网站中。如果这个人调到了新的工作岗位或是升了职，他所享有的权利就会发生变化。除非这个人离开公司或是退休，随着他职业生涯的不断发展，他所享有的权利就会相应的增减或是调整。而所有的工作变动都会为这个人增加身份信息。

　　一个人在公司内每一次工作的变动都会使他拥有进入某些商业程序，享受某些服务的权利。而在什么时候透过何种方式来分配这些权利，让员工享受使用哪些商业程序和服务的权利，这些都是身份管理的过程和内容。身份管理的另外一个方面就是所有的应用程序和服务都必须要有相应的使用规则。同任何其它的软件一样，身份也有着自己的生命周期。为了防止安全出现问题，防止身份信息的泄露，进行身份管理是十分必要的。

　　身份管理能否消除操作障碍?

　　大家可以想象，用户身份信息跟装有储存芯片的信用卡非常相似。透过确切的证明自己的身份，用户就能够解锁自己的信息。当用户进入某个应用程序或是某项服务时，你使用这些信息的权利将使你享受到自己想要的服务。

　　身份管理能够透过标准化的格式使这些信息在多种不同的应用程序中得到使用。这样不仅能够减少不必要的储存，还能够使安全政策保持连续性，以一种普遍适用的方式得到执行。标准化的实施能够推动信息在不同应用程序中的协同使用，节省开发时间，并且能够在认证格式、证明协议和安全政策的共同作用下保证信息的真实。身份的标准化能够给用户带来便利，有了它，大家再也不用忍受复杂的认证过程了。