企业安全:你的系统值得信任么？

ZDNet安全频道原创翻译

作者：法兰·豪沃斯

    广大机构为了降低和数据有关的违规行为所带来的风险，纷纷采用了身份管理系统。这是向正确的方向迈出的正确的一步，但是法兰·豪沃斯认为，仅仅这样是不足够的，他们仍然需要一些其他的措施。

    Quocirca对来自德国，英国以及美国等地的二百五十名高管进行了调查；结果显示大多数首席信息官将数据保护列为最重要的问题之一。

    没有人希望变成为一个TK Maxx那样，母公司TJ的超过四十五万个客户的记录被黑客窃取。来自世界各地的报道显示，超过六十家的银行遭遇到和被盗信用卡有关的欺诈性交易事件。

    因此，企业对身份识别和访问管理技术的兴趣日益增加。在这些系统的帮助下，他们可以对某一特定用户或职员获取资源的权利进行控制。

    这样的技术可以让使用者对宝贵的数据进行有效的保护，以防止被不相关的人得到并导致公司利益的损失。

    它可以对类似重新设置密码等任务进行自动操作。正是由于技术的不断发展，导致大量密码的产生。如果没有合理有效方便的密码管理方式，大量的手工操作会对整个数据的安全带来消极的影响。而这样的技术，可以避免这种情况的发生。

    由于大量密码的存在，这对安全管理方面带来了不少问题。为了解决这个问题，身份识别和访问管理系统提供了单点登录方式，可以让用户在经过验证的单一界面下处理权限内的所有相关资源。

    这样，可以实现对所有的资源进行统一处理，而不必慢腾腾地单独解决每一个问题。更值得指出的是，通过使用联邦的标准，不仅在一个企业内可以实现统一处理，还可以将主要业务合作伙伴和第三方包括进来。

    理论上，只要有一个用户名和密码就可以获取所有的资源；因而从安全性的角度考虑，必须对认证的活动进行重点保护，以防止证书的丢失。这样的情况下，认证技术要得到进一步的加强。

    但是，即使是虚拟化程度最高的企业，也是拥有有形资产的。很多情况下，它们是用来储存或生产数据，如存储设备和打印机。

    因此，必须确保这些设备也在身份管理系统的控制中。例如，规定员工在使用打印机和复印机的时间必须刷卡，以避免数据在这个过程中被盗。

    对于包括光盘和USB记忆棒在内的便携式存储设备，也应该制定相关的政策，或者通过技术手段阻止它们的使用，以防止成为数据泄露的载体。

    对于企业网络，可以通过物理访问控制与逻辑准入等方法进行控制。

    此外，还可以采取更进一步的措施对网络进行控制。例如，不仅仅根据身份，还要根据员工的实际位置对企业网络进行监控。

    通过物理访问控制与逻辑准入的方法，网络可以拒绝那些没有经过安全认证的请求。

    基于位置的认证，也就意味着可以根据用户登录的物理位置确定其在企业网络中的访问权限。

    例如，用户在远程使用VPN登陆的时间，可以容许其访问与办公相关的生产力工具；但是只有其在办公室的时间，客户关系管理系统或财务记录才会被容许访问。

    通过中央管理系统，企业可以对所有的认证活动进行管理，可以通过逻辑和物理的访问控制模式将所有类型的资产联系在一起。

    这样可以将何时何地因为何种原因访问了什么等所有要素都监控起来，以方便对所有的访问和认证活动进行管理和分析。

    由于所有的事件都在控制中，所以审核其是否成功变得非常方便。

    而且，还可以对相关的记录进行分析，以发现他们是否遵循了包括数据保护规定和其它一些相关的规则在内的法律。