概要

政府条例和行业规章向各个组织继续施加前所未有的压力，以保护对信息和应用的安全访问。要确保信息仅提供给正确的人员，就必须采取适当的控制措施。这种平衡的棘手之处在于既要防范有不良企图的人员，又要将关键资源（信息）提供给需要它的人员。为了实现符合性和企业控制计划，各组织都在增加身份和访问管理软件来实现这种平衡。这份执行摘要分析了身份管理(IdM)通过有效地保护和管理与数据、应用程序及其它资源有关的身份来帮助各公司迎接顶级别业务挑战，同时可以实现符合性的途径。

引言

管理符合性、安全性和IT成本复杂性都是当今管理者重点考虑的商业问题。身份管理(IdM)软件及包含IdM的其它解决方案，诸如面向服务架构(SOA)，构成了解决这些问题的基石。首先，IdM最重要的作用是能够跨越不同环境,更精确的控制资源访问活动。随着标准和技术日渐融合，预计IdM的影响也会更大。随着各组织将整条价值链上的消费者、及合作伙伴访问联合在一起，他们已经开始进入这一领域。随着业务和员工变得更加分散、机动，并且他们的联系已经跨越物理和技术界限，IdM逐渐成为建设策略依从性控制的关键要素。许多组织，特别是大中型公司，现在已经开始认识到IdM与遵守隐私规定并不矛盾。一份2004年IDC客户调查表明，只有12%的公司表示IdM策略、程序和战略是其安全性计划的一部分。只有7%的公司表示建立隐私法则是当务之急。然而，2005年有46%的公司表示IdM策略、程序和战略是一个首要问题。建立隐私法则的公司猛增到27%。IDC预计这种趋势将随着客户对安全、隐私及其它符合性的要求越来越成熟而继续上升。

身份管理的商业驱动因素

需要遵守越来越多的隐私法则和其它规章制度是实施IdM的一个重要驱动因素。假定规定限定了哪些人能够访问哪些资源，则增加一层管理访问权限是非常重要的。简化准备（激活和取消激活）用户帐户的过程对于防止未经授权的访问至关重要，因为它能够使特定的资源仅限于提供给受控的用户组。简化处理还使得文档编制审核更加容易。因此，IdM自然就成为用来确保符合性的辅助手段。

总之，IdM加强了对组织内应用程序和数据的控制。通过基于用户访问权限简化对数据使用的授权和移除授权，各组织就能圆满解决安全和隐私保护之间的矛盾。随着时间的推移，越来越多的软件、文件目录、操作系统和数据库相互组合已经带来了互操作性的挑战，从而提高了提供IT环境的复杂性和成本。通过整合用户访问，IdM是减少复杂性，顺利处理业务的关键所在。经过简化和自动化的帐户预备操作-IdM的重中之重-有助于调整资源访问以满足用户需求。

简而言之，IDC坚信IdM通过更严格的控制来限定用户访问权限与资源之间的关系，能够做到在更有效地遵守这些法则。IdM主要有以下优势：

·通过减少系统认证过程的系统暴露时间，从而提高了安全性

·通过整合和或连接身份信息，包括属性、优先选项和访问权限策略，降低了复杂程度

·通过集成工作流和用户访问管理，降低了员工签约人集体跳槽带来的成本

·降低了准备资源访问的等待时间成本

·通过授权和自助服务，降低了运营支撑成本及其带来的生产力损失

与其它安全举措一样，能够同时在成本回避与成本节省的条件下考虑尊重隐私。例如，披露消费者的私人信息既会给整个行业造成损失，也损坏了单个组织的声誉。为了降低服从成本，可以在安全性项目中建立隐私保护管理，并且应当这样做。

请注意，安全性和隐私常常被误认为是互相矛盾的。实际上，遵守隐私法则已经超越了安全性领域的内容，例如，投诉解决或个体访问组织存储的私人信息。除IdM之外，保护隐私还涉及到记录管理、数据保存和商业智能。而且，它在横向涉及到所有的业务范围，在纵向涉及第一线工人并一直到董事会。

IdM策略依从性计划的未来
由于各组织都在着眼于未来，因此建立隐私和遵守保护隐私的原则就成为最重要的发展趋势。信任范围（通常在消费者中，但同时也在合作伙伴中）将依赖坚实的技术基础和消费者的信任，即他们的数据将依照明示或暗示的内容来进行处理。各个组织将发现，用来安全拓宽业务范围的技术也将会有助于他们遵守隐私法则。

由于IdM和策略依从性息息相关，因此IDC认为，以下技术趋势将影响IdM并因此影响各组织的策略依从性计划：

·SOAWeb服务。作为IT应用的一部分，Web服务应用程序不但对于正确处理用户身份必不可少，而且对于处理其它资源也不可或缺。同时在无状态环境中，仍存在许多挑战，例如跨越多方身份的数据完整性和保密性问题。此外，还需要仔细考虑当多方交易失败时通过回滚来管理身份信息，使得用户不会重复认证失败的不好经历。

·效用计算。随着IT向虚拟化（抽象用途）、动态配置以及基于交易的支付效用提交模型发展，资源到资源级别的访问变得日益重要。解决此难题的一项关键技术就是管理身份，即人员环境外部的身份和在IT资源（例如，应用程序和服务器）环境中的身份。

·竞争标准。XML标准会持续增加组织对内部和外部身份进行管理的帮助。在组织内部，问题相当简单，只是部分地集中在XML上-LDAP在这里发挥了重要的作用,使得XML的使用非常有限-只是在例如"服务配置标记语言"(SPML)这样的标准上有所应用。在防火墙外部，由于LibertyAllianceID-FF和WS-Federation规范得到很好的支持且协作良好，因而减少了竞争标准的忧虑。

·整合。各软件厂商在IdM市场中仍然在继续整合，这符合当前市场细划的预期。总体来说，市场整合对信息技术部门来说是一件好事，因为IdM需要在终端对终端环境中进行考虑。因此，随着厂商在核心产品中集成IdM，用户的信息技术部门越来越不需要担心集成。

·接受与排斥。阻挡有不良企图的人员称为"排斥"，而允许正确的人员访问资源称为"接受"。这基本上涉及到策略，而不是边界。因此，应更少地依据某些事物（例如物理位置）去限定边界，而应该更多地依据用户策略权限去限定。

结论
随着各公司凭借更多的合作伙伴和移动设备拓展了其客户范围，有效管理什么人有权访问什么资源就成为当务之急。身份管理(IdM)是一种软件，能够管理员工、客户、合作伙伴访问公司应用程序和信息的生命周期。它是在该生命周期开始和结束位置的门卫，又是在用户访问旅途上的监护人。具体而言，IdM允许或禁止用户访问某些信息和应用程序，协助自动批准访问，跟踪访问者的访问内容，以及简化忘记密码时的重设操作。

安全涉及到人员、流程和技术。各组织需要采取整体方案来保护这三道防线的应用程序和信息资源。人们通常会健忘、疏忽大意，或者心存不良。关系到安全时，他们既是最薄弱的环节，又是最好的资产。为了让员工理解并应用到技术中，就必须定义流程。一个完整的安全方案往往包含了许多方面的技术。入侵者能够借以侵入公司数据的攻击点越少，其攻击成功的可能性就越低。最重要的一点是，通过安全技术来实现更好的策略依从性需要确保只有正确的人员才能访问所需的信息。

信息集中的应用程序中存在的弱点越少，信任的隐私领域受攻击的可能性就越小，而组织遵守隐私规则的机会自然就越大。在整个安全战略中要考虑的弱点是可数的，例如，关闭不用的端口，给系统安装补丁，使用有效的密码和密钥管理等等。由于策略依从性可以确保组织只允许经过授权的用户访问数据并记录这些过程，因此关键战略就是限制可访问性。同样地，IdM通过以下方法可以更容易实现安全性和策略依从性：

·用户帐户配置功能可将访问权仅授予应当拥有它的人员。帐户发现功能有助于找到欺诈帐户，终止不适当的访问。密码重设和整合同步功能可减少员工进行不安全地行动（如，通过即时贴）和设置（需要使用更为复杂的字符组合）多个密码的需求。

·尽可能排除人为因素，组织也能够更接近100%安全的高目标。IdM通过并将分配访问权限的权利授予适当的人员（那些需要了解内容的人员，如经理），减少了最终用户的输入行为，从而大大减少了人为错误的影响。(ccw-IT经理世界)