打從帳號、密碼被運用於系統平台登入之際,帳號、密碼已成為確保系統安全的基本防護,而隨著主從架構(Client / Server)和網路應用程式(Web applications)興起,多組帳號、密碼的使用情況更是極為普遍,令人遺憾的是,假若各類作業系統和應用程式都必須搭配不同的帳號、密碼來使用,不僅徒增MIS人員在管理帳號、密碼的難度,更將導致企業體無形中虛耗巨大的生產效能。為了因應此類的問題,IAM安全議題早就悄悄蘊釀,也由於相關政策、法令之推波助瀾下,讓近幾年來IAM的發展更為加速,因此藉由IAM機制整合企業員工之使用權限與政策管理等將更形重要。
IAM讓安全機制更落實
IAM機制造成企業安全管理之影響程度將是無庸置疑的,但仍必須釐清觀念的是,IAM決非僅止於ID、Password之管理,其中仍涵蓋許多重要的安全管理成份,為了深究IAM實際功效就不得不針對IAM機制存在的功能特性來一探究竟。
組合國際公司(CA)諮詢顧問經理吳益賢提出值得參考的看法,首先在導入IAM之際必須嚴肅看待幾項重要前提,包括:是誰?在何時?用什麼方法?取得何種資訊?等;另外,更基於IAM所牽涉之企業內部範圍廣大,因此在導入IAM之前則必須將企業內部所有資訊資產進行分類,如此才能讓IAM機制之權限控管達到最佳配置效果。
其次,就IAM系統功能層面來看,IAM機制大致涵蓋 Authentication(識別)、Authorization(授權)、Administration(管理)、Audit(稽核)等四大範疇。所謂Authentication即扮演身分識別之作用,屬於IAM前端登入部分,透過登入過程與底層目錄之帳號、密碼資料進行比對,以取得系統使用之授權,目前通用的弱認證(ID / Password)可導向生物辨識、IC card、one time password、Token等,甚至異質平台的 Single Sign On機制。
而Authorization、Administration、Audit三者是屬於IAM系統之核心部分,Authorization主要功能在於身分授權方面,也可配合 Role and responsibility (職務)、Segregation of duty(例如:權責區分密碼分由兩人掌管)等來限制 AP、OS、DB的存取控制。Administration則會針對身分進行管理,對於AP、OS、DB等系統之帳號是否真實對應現職員工,又是否仍有離職人員帳號、測試帳號未能取消、甚至駭客取得的帳號,這些都必須時時進行帳號盤點。而Audit是以稽核管理為主,即針對IAM系統進行管控記錄,這也關係到相關事件發生之記錄,且再依記錄回應來搭配其他解決方案進行安全管理,當然為防止駭客入侵,也可以規劃另一個log serve方式,以提升Audit稽核管理之功能。
至於『底層部分』通常就是儲存帳號、密碼資料之目錄(包括Active Directory、eDirectory等),其作用類似資料庫,但由於目錄與系統緊密結合,安全性相對提升,因此市面上IAM機制大多會以目錄服務為主。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7200
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
