CIO如何做好身份管理

　　身份管理省时省钱

　　Safelite Glass是协助保险公司进行汽车玻璃更换服务的协力厂商。Safelite的系统包括了Siebel的客户关系管理软件、Cognos的数据仓储系统、甲骨文的财务系统、以及6家其它厂商的产品。

　　身份管理数字化

　　因此Safelite决定采用“身份识别管理(Identity Management)”的技术，将信息安全的管理集中化，让技术支持人员可以经由单一系统变更系统资源。之后，Safelite所需要的系统管理员、开支和困扰也都得以降低。

　　Safelite企业系统架构和信息安全总监Dean Riviera表示，“指派各个管理员负责不同的系统，得花上不少成本和人事管理。”“使用者必须记下不同系统的密码，但是使用者却不想记这么多密码。同时，使用者，除了不想记密码之外，也不想记不同系统上的不同工作任务。”

　　身份识别管理在企业信息安全技术当中，因其改善工作效率的帮助，开始受到重视。身份识别管理可以让使用者用单一密码，连结服务器、打印机以及其它企业资源。新员工的账户设定，可以在几分钟之内完成，而不像过去一样得花上数个工作天。厂商表示，身份识别管理的投资成本，在一年内就可以借着节省的时间和成本达到回收。

　　目前的身份识别管理系统，大致上可分为四个组件：储存使用者信息的目录、增加及修改纪录的管理系统、管制读取权力的信息安全系统、以及确保企业符合隐私权规范的稽查系统。

　　IDC的信息安全分析师Chris Christiansen表示，“身份识别管理的目的很单纯：每一个企业系统的使用者，都只需要一个辨识身份。”

　　但是简单也可能得付出代价，一旦黑客侵入了一个管理集中化的系统，黑客透过一个安全漏洞，就有办法侵入所有的资源。

　　网络安全厂商Conterpane Internet Security的信息长Bruce Schneier表示，“这就像是把车子、房子、和办公室的锁全部换成一样的钥匙。虽然简单，但是却有其风险。”“如果你从来没有掉过钥匙，那可能会是一个好主意。”

　　在产业发展前景的预估上，紧盯成本数据的公司也愿意试用身份识别管理的技术。IDC曾经预估身份识别管理系统的销售，在2007年将成长到46亿美元，两倍于2002年24亿美元的营收。

　　身份识别软件厂商Netegrity的信息长Deepak Taneja表示，“大家现在想做的是把成本压低。”“系统管理中所有和身份管理相关问题，代价很高，大家都想更有效益。”

　　另外一个带动需求的因素，则是在企业并未善尽顾客信息保护时，将进行处罚的法案。包括萨班斯法案(Sarbanes-Oxley Act)、健康保险流通与责任法案(Health Insurance Portability and Accountability Act, HIPAA)、以及加州的Security Breach Information Act法案，都要求企业管制信息的存取。

　　PricewaterhouseCoopers负责信息安全及隐私权解决方案的首席合伙人Joe Duffy表示，最先开始采用身份识别技术的是协助客户处理信息安全和身份识别系统的会计顾问公司。

　　Duffy指出，“这是一个快速成长的技术，每一年就成长两倍。”“得以采用单一使用者观点，来管理企业资源，是令人兴奋。”

　　基本上来说，身份识别管理可以将分散在不同系统的应用软件结合。企业不再需要零碎的单一登入、目录管理、或稽查软件。许多软件厂商也开始将原本分散的技术，同新包装为身份识别管理的产品。

　　Oblix、Netegrity、Phaox Technology和Blockade System等厂商，都以身份识别管理软件为主。组合国际(Computer Associates International)、IBM、微软、Novell和RSA Security等大型的科技厂商，则提供了各自的解决方案。例如IBM所提供的Access360、Tivoli、微软和Oblix合作所强化的微软Active Directory、Metadirectory Services、Identity Integration Server等产品。

　　直接连结人力资源系统和存取企业网络资源的服务器之后，企业可以缩短设定新员工账号设定的时间。根据史丹佛大学、香港科技大学(Hong Kong University of Science & Technology)、Novell的研究显示，几乎所有企业在设定新账号时，最少都得花上一到两天，10%的企业甚至得花到两周以上。

　　IBM负责整合身份管理事业群的程序总监Joe Anthony表示，“新员工必须等待企业资源的授权与核准，是多么没有生产力。”BM估计每一个员工，光是忘记或遗失密码时的重设与密码变更，就得需要400美元的技术支持成本。史丹佛大学的研究也发现86%的员工得记两组以上的密码，而有四分之一得记四个以上的密码。

　　看到这样的数据，也难怪拥有数千名员工的大型企业，会对身份识别管理有兴趣。以汉堡王为例，每年员工的流动率是250%，就采用身份识别管理解决人力资源的问题。

　　身份识别管理除了员工数据文件的管理之外，也有其它的用途。通用汽车(General Motors)就采用身份识别管理，追踪员工处理供货商合约的资格。通用汽车有1万7000家厂商，在通用的系统上进行合约竞标。

　　NovellNsure和exteNd解决方案营销的总监Wendy Steinle表示，“企业如果有100家店面的数据，就表示企业得输入100次的数据。而且，完全不出错的机会有多少。”

　　企业内部的身份识别管理，也会走向顾客层面的应用。以微软的.Net Passport为例，就是让客户储存个人数据，在Passport的合作网站，使用单一登入的服务。此外，参加自由联盟计划(Liberty Alliance)的厂商，也发展了“联合(federated)”的身份系统，让消费者选择是否储存个人数据。其中最重要的概念，就是让消费者拥有单一的辨识身份，以便在使用不同网站时，免除讨人厌的各种登录动作。

　　微软身份识别管理事业群的主任产品经理Michael Stephenson表示，“消费者不想要在使用不同服务时，都得登录一次。登录动作减少该项服务的使用数。”

　　但是说服企业采购身份识别管理软件，仍然是一项挑战。大多数的时间，安装新系统都会破坏企业已经客制化的商业流程。

　　IBM的Anthony表示，“通常你面对的客户，都有现存的商业流程，而且执着于原有系统。这有点令人沮丧。”

　　不过Anthony和其它厂商也表示，在身份识别管理的好处，为人所知之后，这些阻碍就会慢慢消失。

　　Oblix的产品及技术副总Prakash Ramamurthy表示，Oblix在20世纪90年代末期，开始推销该公司的身份识别管理产品时，对于每个潜在客户都得先花上45分钟，解释为什么企业会需要身份识别管理。不过这在现在已经不是问题了。 “我们不用多作推广了。企业已经了解到问题和需求，身份识别管理也渐渐成为主流。”

　　身份识别管理市场的厂商不完全名单

　　Blockade Systems——Blockade的ManageID软件提供了不同平台间密码登记、重设、同步、和存取权的更新。

　　Critical Path——Critical Path的密码管理软提供了和Blockade产品相同的功能。

　　Netegrity——Netegrity的软件，以网页方式提供企业员工身份识别和资源存取的监测，简化了账号管理的方式。Netegrity的IdentityMinder帮助管理员增加、变更、删除使用者在网页应用程序和内部网络应用的信息。SiteMinder则连结网络应用程序，规范企业数据的存取。

　　Oblix ——Oblix的NetPoint管理员工和顾客的身份辨识。NetPoint简化了纪录变更、单一登录、使用群组存取权的功能。NetPoint同时适用于网站及内部网络的应用。

　　Phaos Technology——Phaos提供企业自订身份识别系统的软件，或者将现有系统开放给合作伙伴和顾客使用。

　　Oracle——2009年7月初，甲骨文(Oracle)公司宣布其新一代中间件软件产品—Oracle融合中间件软件11g (Oracle Fusion? Middleware 11g)上市，将可为客户与合作伙伴提供一个创新的基础。 Oracle融合中间件软件11g强化了全产品线功能，包括Oracle SOA Suite、Oracle WebLogic Suite、Oracle WebCenter Suite，以及Oracle身份管理 (Oracle Identity Management)等，皆新增各式创新功能。

　　其中，Oracle Identity Management 11g为一完全整合之身份管理套件的首款组件，展现了与其它Oracle融合中间件软件解决方案更深入的整合，多项新增功能，如部署加速器 (Deployment Accelerators)、通用联邦式框架 (Universal Federation Framework)，以及基于Oracle Application Development Framework (ADF) Faces的统一用户接口。

　　另外，在2007年7月18日，甲骨文宣布收购在线防身份窃盗及诈骗侦测的软件商Bharosa。

　　Bharosa是一家专门帮助打击在线身份窃盗与诈欺的安全公司，甲骨文表示，由于强而有力的身份识别和诈骗侦测在身份管理部署上有日益加重的角色，因此甲骨文认为有迅速收购该公司的必要。

　　甲骨文将Bharosa Tracker 和 Authenticator 软件的实时诈骗预防技术加入现有的网络Single Sign-On (SSO) 和网络架构的认证方案(Web-based authorization solutions)，以便为客户和市场提供下一代的存取管理。

　　甲骨文的身份管理和安全产品部门副总裁Hasan Rizvi表示，甲骨文的身份管理在业界名列前茅，甲骨文计划继续快速扩充安全事业，提供客户最周全先进的保护措施。希望和Bharosa合作为企业提供可以整合先进和实时诈骗预防的完整身份管理方案。

　　Bharosa拥有超过2500万个使用者，甲骨文表示，未来Bharosa的Tracker及Authenticator除了与Oracle Identity Management整合之外，仍然会保有独立的软件，可与甲骨文及非甲骨文环境整合。

　　Computer Associates International——CA在eTrust系列当中，包含了独立的身份识别和存取管控软件。身份识别软件提供使用者数据的增加、删减、和变更。存取管控软件则提供了使用者权限的政策管理。

　　IBM ——IBM将产品分成四个类别。目录软件保存身份识别数据。Tivoli Identity Manager，提供数据管理的功能。Tivoli Access Manager以身份辨识为基础，强化信息安全。Tivoli Privacy Manager让企业透过员工的数据存取，检视员工是否遵循保护数据安全的规范。

　　IBM在2006年12月5日宣布买下荷兰的安全稽核软件商Consul Risk Management，Consul的产品将被纳入IBM的Tivoli软件事业部门。

　　Consul拥有许多安全模块，包括可侦测企业系统存取、自动遵循安全政策、维护主机安全，以及可侦测到未经授权的数据库使用。Consul的技术可用来让企业主追踪、记录及调查企业员工对内部数据的未经授权使用，分别有针对大型企业的InSight及针对主机用户的zSecure两套产品。

　　根据Secret Service及CERT Coordination Center/SEI近来发表的调查，有86%内部计算机的安全意外是来自于企业的IT员工。

　　IBM Tivoli整合身份管理规划总监Joe Anthony表示，可同时涵盖分布式及主机系统的产品非常吸引IBM，因为这非常独特且具有价值，因为有些IBM的客户购买主机是用来当作安全中继站，因此这些客户对于在主机上加装Consul软件应该很有兴趣。

　　Consul的客户包括Fidelity Information Services、福特汽车及费城证券交易所等。

　　Joe Anthony说明，Consul将可协助Tivoli定义及标示哪些使用者合理使用哪些数据，例如银行可以允许出纳员存取客户信息，假设一名出纳员每日在报表上只呈现200笔记录，但Consul追踪使用者行为后发现该名出纳每日浏览800笔记录，那么该程序就会提出警告。

　　Microsoft——微软的Active Directory数据服务器保管身份识别和存取权的信息。Metadirectory Services应用程序的设计，允许企业在身份识别管理系统当中，使用其它非Active Directory的数据。Identity Integration Server则整合了分散的信息。

　　Novell——Novell的Nsure软件包含了目录软件、安全登录、账号管理、监控软件等可以相互连结的个别产品。

　　Novell主导的Bandit计划针对旅馆与休闲产业面临的一项关于营运的主要挑战，在2008年宣布一个可在符合成本效益的前提下，连结分散各处的系统，简化行政工作且能遵循法规的解决方案。Bandit计划采用开放源代码，以Hotel Technology Next Generation (HTNG)标准为基础，撰写出参考建置方案，并且利用市面上的身份管理软件连结企业中包括老旧系统在内的各种系统与平台。IDC于2007年11月所发表的一份名为《运用企业级身份与存取管理技术以标示投资报酬》的白皮书指出，企业部署身份与安全管理软件的整体利益，平均每年超过560万美元。

　　Bandit计划中所建立的参考程序代码是以现有HTNG标准为基础，再加入HTNG Identity Compliance Services团队所额外提出的建置方案。

　　HTNG是一个全球性的商业协会，为包括全世界首屈一指的旅馆企业成员们，针对旅馆与休闲产业推动新一代开放性标准技术的研发。HTNG执行副总裁暨执行长Douglas C. Rice表示：“HTNG与众多厂商协商一同解决如何让会员们能集中连结与管理异质化系统的问题。 如Bandti计划的开放原始码参考建置方案，特别具有吸引力的原因是由于其能让我们的会员能充分延伸其身份管理建置方案，自动化执行管理与监控以往分立的系统，进而协助他们大幅降低成本。“

　　大多数旅馆拥有多达100个遍布四处且具备独立管理账号的系统，包括电话、暖气，以及销售点管理系统等，让业者难以有效率地监督以及监控整个运作环境。运用Bandit计划的参考程序代码将上述系统连结至既有的身份管理软件，企业即可遵循产业法规、减少行政成本，并且大幅降低供应资源、管理、以及通过稽查的时间。

　　Delaware North Companies应用部门总监Yvette Vincent表示：“作为全球旅馆与饮食业的领导厂商，Delaware North Companies的事业版图涵盖旅馆、零售、饮食，休闲及运输等领域。Bandit计划的连结器与审议中的HTNG标准，运用Novell Identity Manager，让我门得以从一个集中据点，对我们的系统进行自动化、监视，以及控制存取等作业，简化审核IT基础建设的流程，使付费卡产业数据安全标准(PCI-DSS)与其它相关规章的法规遵循更加容易。这项技术协助我们大幅改进用户存取管理的质量，并带来更大的效率。”

　　Bandit计划致力发展一套一致性的方法，解决企业在身份管理方面所面临的各项挑战，包括安全地存取以及法规遵循报告等。Bandit开发者以HTNG目前审议中的标准，撰写连结器源代码，让旅馆与观光休闲企业能以单一身份管理解决方案整合各种系统。Bandti连结器是以开放原始码所撰写，让旅馆与其它产业的业者皆可采纳这些标准，以因应其业务需求。

　　RSA Security——RSA以该公司著名的安全存取技术为基础，提供身份识别管理软件，RSA的ClearTrust技术，提供客户及合作伙伴网站存取管理的自动化及简化。RSA也提供数种支持内部使用者的技术。

　　Sun Microsystems ——Sun ONE Identity Server 6.0，提供以标准为基础的身份识别管理产品，企业可进一步管理网站和内部应用程序的管理。升阳的产品，采用了所谓的联合身份识别架构(federated identity framework)，让顾客在不同网站上采用相同的使用者名称和密码。