“安全管理分为威胁管理、身份识别和访问管理三部分,企业首先要考虑的问题是威胁防御,接下来的重点就是身份识别和访问管理。”CA公司eTrust资深产品经理白培莹在谈到企业安全管理时表示,当企业部署了防病毒、反间谍等威胁防御系统之后,下一步的工作重点将是通过身份识别和访问管理,满足法规遵从的要求,提高企业安全管理的效率,降低成本,减少企业所面临的安全风险。
在当今的企业级计算环境中,用户数量和其所使用的IT资源种类都在不断增长。与此同时,为了避免与信息相关业务的风险,并保证对法规的遵从,企业对于访问这些IT资源的控制的需求也在不断上升。企业计算应用的不断增加和对管理需求的日益重视使得身份识别和访问管理(IAM)得到了前所未有的重视。
白培莹向记者介绍,2005年美国FBI的报告中指出,在目前范围内给企业IT信息安全带来破坏性损失的因素中,排在第一位的是计算机病毒,紧接其后的就是IT系统所面临的未经许可的访问。这样一来,身份识别和访问管理(IAM)就成为了企业IT安全管理的重要议题。
提到安全管理,大多数人的第一反应就是防病毒软件、反垃圾邮件等等,这也是用户在安全管理方面最基本的需求。然而,对于一个大中型企业而言,所关注的不仅仅是这些。他们所担心的是,除了病毒、黑客等来自外部的威胁之外,自己企业的重要应用和机密信息的安全是否因为来自内部的漏洞而受到影响。而事实上,许多企业在自身IT系统身份识别和访问管理方面还存在着许多的漏洞。
为保护企业的敏感信息并保证法规遵从性,IT部门必须保持对系统访问的严密控制,以保证只有经过授权的人才能访问企业资源。同时,包括客户、供应商和合作伙伴在内,外部人员访问企业敏感IT资源的需求正不断增加,访问控制工作也正面临着更多的挑战。
通过一套优秀的IAM系统,企业能够告别对跨越大型主机、分布式环境和基于WEB系统进行片面的被动管理,而开始采取更为统一、更为积极的方式来取而代之。在这一新兴模式中,定义用户身份的依据是他们的业务角色。当用户的身份识别和相应的业务角色得以确定之后,将能自动即时地访问到相应的系统。因此,企业所有员工都能够在最短的时间内,在最少的管理限制之下访问到适合的资源。
作为安全管理领域的重要厂商,CA公司同样拥有自己的IAM解决方案,不同之处在于,CA是目前唯一能够提供全部IAM解决方案的厂商。其IAM解决方案具有 “CIO”特点,即全面性(Completed)、集成性(Integrated)与开放性(Open)。根据IDC一份题为《2005-2009年全球身份识别和访问管理市场展望与分析》的报告,CA公司的eTrust安全管理解决方案占据了全球IAM市场20%的市场份额,收入超过4.5亿美,CA也连续五年被IDC评选为全球身份识别和访问管理(IAM)软件市场的领军企业。
在采访中白培莹表示,由于自身的特点,IAM在金融、保险、通信、医疗卫生、制造、政府等重点行业的应用需求最为广泛。随着中国企业国际化步伐的加快,会有越来越多的企业开始关注和应用IAM系统。他也提到,企业要想成功应用IAM的一个重要前提是打下良好的基础架构,否则将来用户所面临的应用成本会很高。
他还强调,威胁管理对于企业的安全管理来说最为基本,然后再根据企业自身的需求,选择是重点投入身份与访问控制管理还是信息安全管理。而随着互联网交易的不断增多,Web服务 和联合访问将成为未来安全技术关注的重点。